¿Cómo hacer Strings que están a cero aparecer?

Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

5 Noviembre 2024, 08:50 am

Tema destacado: Introducción a Git (Primera Parte)

Foro de elhacker.net

Programación

Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)

¿Cómo hacer Strings que están a cero aparecer?

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1] 2

Ir Abajo

Respuesta

Imprimir

Autor

Tema: ¿Cómo hacer Strings que están a cero aparecer? (Leído 14,256 veces)

02k0

Desconectado

Desconectado

Mensajes: 39

Ver Perfil

¿Cómo hacer Strings que están a cero aparecer?

« en: 12 Agosto 2017, 03:49 am »

Buenas noches me quedé dos años sin estudiar nada de ingeniería inversa (por problemas personales) y hace 3 días atrás, volví a estudiar el curso de ricardo narvaja. En este mismo período copié un software e intenté cambiar las strings a mi idioma (Pt-bR), pero no aparecen ninguna string, este software fue alterado por un alemán experto en craqueo, no sé el método que utilizó para ocultar las strings, En fin no hago ni idea para encontrarlas. También tengo una versión antigua de este mismo software (pura, antes de ser cambiada) y cuando busco por las referencias, nada! Las strings aparecen cero. Las nuevas secciones también creadas por la persona que cambió el software también están con los bytes en cero.

Version sin cambios:

Version Cambiada:

También cuando intento cambiar cualquier instrucción en el software, me aparece un mensaje de error:

¿Alguien puede opinar al respecto?

Bueno, ya hace un tiempo que estoy sin estudiar nada, sé que debería estudiar antes de hacer esta pregunta, pues esto no parece ser sencillo de resolver, pero...

Saludos

!!!


	En línea

Lo que no fue impreso, sigue siendo escrito a la mano.

tincopasan

Desconectado

Desconectado

Mensajes: 1.286

No es lo mismo conocer el camino que recorrerlo.

Ver Perfil

Re: ¿Cómo hacer Strings que están a cero aparecer?

« Respuesta #1 en: 12 Agosto 2017, 05:20 am »

¿analizaste el soft para ver si tiene algún packer? tiene pinta de estar con alguno.


	En línea

02k0

Desconectado

Desconectado

Mensajes: 39

Ver Perfil

Re: ¿Cómo hacer Strings que están a cero aparecer?

« Respuesta #2 en: 13 Agosto 2017, 17:50 pm »

Bueno he pasado a infoPE y queda una version estraña de Armadillo:

conoce algun script de esto armadillo?


	En línea

Lo que no fue impreso, sigue siendo escrito a la mano.

apuromafo CLS

Desconectado

Desconectado

Mensajes: 1.441

Ver Perfil

WWW

Re: ¿Cómo hacer Strings que están a cero aparecer?

« Respuesta #3 en: 14 Agosto 2017, 05:10 am »

es mucho mas facil que uses armaggedon en windows xp para desempacarlo, a que lo desempaques...
en general yo podria desempacarlo, pero tampoco se que me pueda enfrentar..por el poco tiempo que pillo armadillos jeje

una vez desempacado, es editar a gusto lo que gustes..Si tu idea es solo inlinear puedes usar tools como la creada por mr.exodia llamada akt (armadillo keygen tool, osea tambien puedes keygenear..) pero es tema de conocimiento

saludos Apuromafo
pd: he escrito algunos escritos de armadillo , pero no he apuntado todo aun por temas de tiempo

aqui te dejo una de ejemplo
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1501-1600/1576-Armadillo%209%20flowcode%20Tute%2017-07-15%20by%20Apuromafo.docx


	En línea

Apuromafo

02k0

Desconectado

Desconectado

Mensajes: 39

Ver Perfil

Re: ¿Cómo hacer Strings que están a cero aparecer?

« Respuesta #4 en: 15 Agosto 2017, 03:06 am »

Muy bueno, Apuromafo mi intención es realmente desempaquetar el software porque pretendo estudiar las modificaciones hechas por el cracker que cambió el software. La idea de traducirlo es porque pretendo distribuirlo a algunos amigos que no entienden bien el idioma inglés y que tampoco pueden pagar por él.
Si no es abusar demasiado usted podría chequear el software?
Voy a leer su Tutorial para aclarar las ideas. También haré dualboot para usar winxp en mi máquina.

En el siguiente enlace dejé el software en cuestión y también el serial de activación del mismo.

Enlace: https://www.4shared.com/zip/3MGPLXBica/RM2k3-v111.html

En el caso de que usted se interesa en instalar el software para cheque, debe habilitar también las opciones de TLS en Internet Explorer para evitar error la hora de activar el software (bueno sé que es ridículo pedir a un cracker utilizar un serial, pero bueno, todavía estoy aprendendo a crackear).

Saludos!


	En línea

Lo que no fue impreso, sigue siendo escrito a la mano.

apuromafo CLS

Desconectado

Desconectado

Mensajes: 1.441

Ver Perfil

WWW

Re: ¿Cómo hacer Strings que están a cero aparecer?

« Respuesta #5 en: 15 Agosto 2017, 08:01 am »

pues en general todo programa tiene sus herramientas,
bajado el programa (main) descompreso con 7zip, ,luego instalado el de accesorios..al parecer no tiene exes o es la mascara..? bueno
comienzo sabiendo la version:(armaversion.osc) disponible en mi github

en general es de los pocos armadillo que no usa debugblocker :O

---------------------------
MSG ODbgScript
---------------------------
Armadillo Version = 9.64
---------------------------
Aceptar Cancelar
---------------------------

aqui te presento un log como se ve desempacando.
OS--> Microsoft, 64-bit (build
9200)
<------- 08/15/2017 02:21:12 ------->
Loading target:
rpg2003.exe
Process ID: 18B8
Processing target...
==========================================
IAT Fixed Redirection Disabled!
VM address: 042BE290
VM variable: 0435CA20
==========================================
IAT Variable Redirection Disabled!
VM address: 04219CED
VM variable: 04345284
==========================================
No splices found.
==========================================
Dumping target...
Dump done!
Saved to: rpg2003_unpacked.exe
==========================================
Rebuilding Imports...
Rebuilding Imports completed
Return code: 0
Now, you should test your target. Good luck

==========================================
IAT RVA: 001931A4
IAT Size: 000007F8
OEP VA: 00406CEC
OEP RVA: 00006CEC
OEP call return VA: 005B7CD3
Exit Process ID: 18B8

en general esto significa que ha desempacado, pero que tenga un return va significa que no pilló el oep real..
solo basta ejecutar el programa en el depurador (sin que sea detectado) bp en CreateThread, al retornar..buscar mas abajo el cal ebx (es casi a 2 scroll de abajo)
el oep real es
005B7000 | E9 BB 0C 00 00 | jmp rpg2003.5B7CC0 |
este salta a otra direccion eso si::

a
005B7CC0 | 55 | push ebp |
005B7CC1 | 8B EC | mov ebp, esp |
005B7CC3 | 83 EC 04 | sub esp, 0x4 |
005B7CC6 | 53 | push ebx |
005B7CC7 | 56 | push esi |
005B7CC8 | 57 | push edi |
005B7CC9 | 68 70 7D 5B 00 | push rpg2003_unpacked_1b7cc0 _no oep.5B7D70 | 5B7D70:"kernel32"
005B7CCE | E8 19 F0 E4 FF | call <rpg2003_unpacked_1b7cc0 _no oep.GetModul |
005B7CD3 | 68 79 7D 5B 00 | push rpg2003_unpacked_1b7cc0 _no oep.5B7D79 | 5B7D79:"VirtualProtect"
005B7CD8 | 50 | push eax |
005B7CD9 | E8 1E F0 E4 FF | call <rpg2003_unpacked_1b7cc0 _no oep.GetProcA |
005B7CDE | 8D 55 FC | lea edx, dword ptr ss:[ebp - 0x4] |
005B7CE1 | 52 | push edx |
005B7CE2 | 6A 40 | push 0x40 |
005B7CE4 | 68 00 00 10 00 | push 0x100000 |
005B7CE9 | 68 00 70 5B 00 | push rpg2003_unpacked_1b7cc0 _no oep.5B7000 |
005B7CEE | FF D0 | call eax |
005B7CF0 | 68 88 7D 5B 00 | push rpg2003_unpacked_1b7cc0 _no oep.5B7D88 | 5B7D88:"ultimate_eb.dll"
005B7CF5 | E8 BA F0 E4 FF | call <rpg2003_unpacked_1b7cc0 _no oep.LoadLibr |
005B7CFA | 85 C0 | test eax, eax |
005B7CFC | 0F 85 0A 00 00 00 | jne rpg2003_unpacked_1b7cc0 _no oep.5B7D0C |
005B7D02 | 68 98 7D 5B 00 | push rpg2003_unpacked_1b7cc0 _no oep.5B7D98 | 5B7D98:"The required file \"ultimate_eb.dll\" could not be found! You might need to reinstall RPG Maker 2003."

en general, valida que esten las dll del programa, antes de llegar a ejecutar propiamente tal el programa...asi que si lo cambio a ese entrypoint (voilá...corre unpacked), se puede cambiar tambien al jmp lugar, pero siento que le queda mejor ese oep xD

lo comprimi en winrar , asi que espero que te sirva
http://rgho.st/7Hlv2Bx76

insisto, no he visto nada mas que quitar el packer..

se ve que es un delphi y puedes por lo cual usar idr , pexplorer, resource hacker y otros para editar

Saludos Apuromafo

PD: para el RPGMV de la misma compañia (rpg maker mv o algo asi) tambien tiene armadillo, el procedimiento es el mismo
OS--> Microsoft, 64-bit (build
9200)
<------- 08/15/2017 03:23:51 ------->
Loading target:
RPGMV.exe
Process ID: 1938
EnumWindows: ArmaGeddon v2.2 for WinXP (32-bit final)
EnumWindows: armag 2.2 - Everything
EnumWindows: Armadillo Find Protected 2.1
Processing target...
==========================================
IAT Fixed Redirection Disabled!
VM address: 058DE290
VM variable: 0597CA20
==========================================
IAT Variable Redirection Disabled!
VM address: 05839CED
VM variable: 05965284
==========================================
No splices found.
==========================================
Dumping target...
Dump done!
Saved to: unpacked.exe
==========================================
Rebuilding Imports...
Rebuilding Imports completed
Return code: 0
Now, you should test your target. Good luck

==========================================
IAT RVA: 00023000
IAT Size: 00000718
OEP VA: 0041F68F
OEP RVA: 0001F68F
OEP call return VA: 05867F5A
Exit Process ID: 1938

el oep


« Última modificación: 15 Agosto 2017, 09:03 am por apuromafo »	En línea

Apuromafo

02k0

Desconectado

Desconectado

Mensajes: 39

Ver Perfil

Re: ¿Cómo hacer Strings que están a cero aparecer?

« Respuesta #6 en: 15 Agosto 2017, 15:27 pm »

Bueno, muchas gracias por lo que tu he echo. Más tarde cuando llegar del trabajo haré uno vistazo ao soft unpacado.

Saludos!


	En línea

Lo que no fue impreso, sigue siendo escrito a la mano.

02k0

Desconectado

Desconectado

Mensajes: 39

Ver Perfil

Re: ¿Cómo hacer Strings que están a cero aparecer?

« Respuesta #7 en: 16 Agosto 2017, 02:29 am »

He echado un vistazo pero está ocurriendo algún error al cargar en el ollydbg. Salta un mensaje de error de DLL, instalo la DLL y me pide otra, otra ... y no puedo cargar en el olly. ¿Es el sistema operativo que estoy utilizando?
Una vez que el programa se carga, aparece un RETN y el proceso queda "Terminated"...

¿Qué estoy haciendo mal?


	En línea

Lo que no fue impreso, sigue siendo escrito a la mano.

apuromafo CLS

Desconectado

Desconectado

Mensajes: 1.441

Ver Perfil

WWW

Re: ¿Cómo hacer Strings que están a cero aparecer?

« Respuesta #8 en: 16 Agosto 2017, 08:04 am »

te lo explicare facil y bonito, tu programa debes instalarlo para que corra bien

sigue todas las instrucciones que me has puesto, solo que al lado del exe principal (packed con armadillo), colocas el unpacked y sin necesidad de depurador necesitas editar nada...
directamente en los editores de recursos..

ahora bien

ahi luego modificas a gusto, recuerda que el ejecutable necesita por defecto haber instalado las runtimes, sin las existencias de esas no corre, en una maquina virtual u otra puede que te falten dll o bien aun no sabes manejar las excepciones de wow64
en tu olly

por otro lado si es posible, intenta usar mas x64dbg si estas usando windows 7 en adelante, para usar ollydbg en esos sistemas operativos debes tener primero el plugin que fixea las excepciones propiamente tal del wow64 ...


	En línea

Apuromafo

02k0

Desconectado

Desconectado

Mensajes: 39

Ver Perfil

Re: ¿Cómo hacer Strings que están a cero aparecer?

« Respuesta #9 en: 16 Agosto 2017, 14:05 pm »

Citar

sigue todas las instrucciones que me has puesto, solo que al lado del exe principal (packed con armadillo), colocas el unpacked y sin necesidad de depurador necesitas editar nada...
directamente en los editores de recursos..

Bueno el programa esta bien instalado y he cargado en olly en la propria carpeta del soft.

ahi luego modificas a gusto, recuerda que el ejecutable necesita por defecto haber instalado las runtimes, sin las existencias de esas no corre, en una maquina virtual u

Citar

otra puede que te falten dll o bien aun no sabes manejar las excepciones de wow64
en tu olly

Sinceramente, no entendía lo que quise decir en esa parte (sé que debo estudiar más).

Citar

por otro lado si es posible, intenta usar mas x64dbg si estas usando windows 7 en adelante, para usar ollydbg en esos sistemas operativos debes tener primero el plugin que fixea las excepciones propiamente tal del wow64 ...

Debo instalar winxpX64 en mi máquina?
Perdón por la ignorancia, Es que tengo déficit de atención.


	En línea

Lo que no fue impreso, sigue siendo escrito a la mano.

Páginas: [1] 2

Ir Arriba

Respuesta

Imprimir

Ir a:

Mensajes similares
		Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
		Hacer aparecer ventanas en una aplicación a pantalla completa Programación Visual Basic	aaronduran2	0	1,319	4 Agosto 2008, 23:43 pm por aaronduran2
		Como hacer aparecer un monton de MsgBox Programación Visual Basic	gulabyte	3	3,516	16 Diciembre 2009, 14:24 pm por Karcrack
		como hacer un programa que imprima los numeros que no estan dentro de una rango Programación C/C++	pefo	6	5,832	21 Noviembre 2012, 20:49 pm por rir3760
		Comparación de strings que estan en arreglos. Programación C/C++	nrmc17	2	1,904	3 Diciembre 2015, 00:04 am por nrmc17
		De cero a 17 millones, cómo aparecer en tu propia serie de Netflix hace que ... Noticias	wolfbcn	0	986	18 Octubre 2018, 21:43 pm por wolfbcn

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines