Autor
|
Tema: Problema con registro en Delphi -->MCKSys Argentina (Leído 7,200 veces)
|
yako-_-
Desconectado
Mensajes: 157
Heroes Del Silencio
|
Hola que tal, me pasa una cosa rara cuando salto una proteccion de un programa escrita en Delphi y me registro al cerrar y volver a abrir el programa, me dice que no estoy registrado pero le vuelvo a dar a registrar y se me registra perfectamente hasta que vuelvo a cerrar abrir alguien me puede iluminar. Seguro que pa los fenomenos es facil pero a mi me esta volviendo loco solo me pasa con programas escritos en Delphi aki estan mis dos ejemplos con su original adjunto muchas gracias de antemano http://www.megaupload.com/?d=BKTF5J67 pesa 3MB PD: MCKSys Argentina, no es por menospreciar nadie en absoluto pero lei muchas de tus respuestas y se nota que controlas y te gusta ayudar. a ver si me puedes echar una mano, y si no es mucho molestar tambien en mis otros dos post. Gracias de antemano
|
|
« Última modificación: 13 Mayo 2010, 04:54 am por yako-_- »
|
En línea
|
Para que vivir, pudiendo trabajar los Domingos
Yako-_-
|
|
|
PeterPunk77
Desconectado
Mensajes: 77
|
Eso pasa porque realmente no está registrado. Y al arrancarlo de nuevo busca el código en el registro de Windows, vuelve a comprobar y ve que no está registrado. De todas formas, éste parece muy fácil. Lo que es el registro es inviable sacarlo: Una clave de 36 caracteres de la que calcula el MD5 y luego la compara con muchísimas que están en el propio programa a partir de 0x4D6DAC. Pero si estudias el código que has parcheado para que te muestre que estás registrado verás que se pone a 1 una bandera que es apuntada desde 0x54A5DC. Así que con buscar todas las referencias a esa dirección: References in Art:.text to 0054A5DC Address Disassembly Comment 004D667C MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 004D6779 MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 0050CACC MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 0050CB92 MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 0050FEC9 MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 0050FF2F MOV EAX,[54A5DC] (Initial CPU selection) 00510133 MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 00539B0B MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 y actuar en consecuencia, aparentemente ya estaremos registrados. Así que: 1º fuerzas salto 2º nopeas 3º nopeas 4º nada 5º y 6º nopea 0050FF02 |. /74 33 JE SHORT 0050FF37 0050FF29 |. /74 0C JE SHORT 0050FF37 7º nopeas 8º nopeas Aunque supongo que con parchear sólo los dos saltos que indico en el 5º y 6º punto debería llegar, ya que parece que es cuando comprueba el código en el registro. Saludos.
|
|
|
En línea
|
|
|
|
tena
Desconectado
Mensajes: 668
|
El archivo al que está intentando acceder está temporalmente desactivado.
|
|
|
En línea
|
|
|
|
yako-_-
Desconectado
Mensajes: 157
Heroes Del Silencio
|
PeterPunk77 eres una maquina te tengo leido por otro foros y me quedo sorprendido.Aunque aparentemente parece facil explicado por ti yo soy nuevo en esto y aun no me entero mucho muchas gracias por la respuesta. Me lo podias explicar de una manera mas simple para uno que no entiende mucho? uso ollydb muchas gracias de antemano. mis dudas: ¿De cual de los dos programas me habalas? ¿como sabes esto(donde lo miras)? Lo que es el registro es inviable sacarlo: Una clave de 36 caracteres de la que calcula el MD5 y luego la compara con muchísimas que están en el propio programa a partir de 0x4D6DAC. y esto tampoco lo entiendo: Pero si estudias el código que has parcheado para que te muestre que estás registrado verás que se pone a 1 una bandera que es apuntada desde 0x54A5DC. Así que con buscar todas las referencias a esa dirección: PD: se que no te gusta hacer tutoriales El archivo al que está intentando acceder está temporalmente desactivado. ya esta a mi me va lo acabo de provar
|
|
« Última modificación: 13 Mayo 2010, 19:56 pm por yako-_- »
|
En línea
|
Para que vivir, pudiendo trabajar los Domingos
Yako-_-
|
|
|
MCKSys Argentina
|
Je,je,je,je... Bueno, parece que ya no me necesitas... @PeterPunk77: Buen trabajo amigo (aunque, la verdad, no esperaba menos de ti ) Saludos!
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
|
|
|
PeterPunk77
Desconectado
Mensajes: 77
|
¿De cual de los dos programas me habalas? ??? Esta vez soy yo el que no te entiende a ti. Hablo del ejecutable art.exe que es el único que he abierto. La verdad es que ni siquiera he tocado el tuyo, pero como leí que decías que cuando le dabas a registrar el programa se te "registraba bien", supuse que habías parcheado esta zona: 0050CAE9 |> \C645 FF 00 MOV BYTE PTR [EBP-1],> 0050CAED |. 8D45 EC LEA EAX,[EBP-14] 0050CAF0 |. 50 PUSH EAX ; /Arg1 0050CAF1 |. 33C9 XOR ECX,ECX ; | 0050CAF3 |. BA 28CC5000 MOV EDX,0050CC28 ; |ASCII "If you have paid, please enter registration code" 0050CAF8 |. B8 64CC5000 MOV EAX,0050CC64 ; |ASCII "Enter registration code" 0050CAFD |. E8 E6D0F5FF CALL 00469BE8 ; \Art.00469BE8 0050CB02 |. 837D EC 00 CMP DWORD PTR [EBP-14> 0050CB06 |. 0F84 C0000000 JE 0050CBCC 0050CB0C |. 8B45 EC MOV EAX,[EBP-14] 0050CB0F |. E8 0875EFFF CALL 0040401C 0050CB14 |. 83F8 24 CMP EAX,24 0050CB17 |. 0F85 9A000000 JNZ 0050CBB7 0050CB1D |. 8B45 EC MOV EAX,[EBP-14] 0050CB20 |. E8 BB76EFFF CALL 004041E0 0050CB25 |. 8945 F8 MOV [EBP-8],EAX 0050CB28 |. 8B45 F8 MOV EAX,[EBP-8] 0050CB2B |. E8 D0320000 CALL 0050FE00 0050CB30 |. 84C0 TEST AL,AL 0050CB32 |. 74 6C JE SHORT 0050CBA0 0050CB34 |. B2 01 MOV DL,1 0050CB36 |. A1 601C4600 MOV EAX,[461C60] 0050CB3B |. E8 E452F5FF CALL 00461E24 0050CB40 |. 8945 F0 MOV [EBP-10],EAX 0050CB43 |. BA 01000080 MOV EDX,80000001 0050CB48 |. 8B45 F0 MOV EAX,[EBP-10] 0050CB4B |. E8 0454F5FF CALL 00461F54 0050CB50 |. B1 01 MOV CL,1 0050CB52 |. BA 84CC5000 MOV EDX,0050CC84 ; ASCII "\SOFTWARE\Elcom\ART\Registration" 0050CB57 |. 8B45 F0 MOV EAX,[EBP-10] 0050CB5A |. E8 A955F5FF CALL 00462108 0050CB5F |. 8845 F7 MOV [EBP-9],AL 0050CB62 |. 8D45 E8 LEA EAX,[EBP-18] 0050CB65 |. 8B55 F8 MOV EDX,[EBP-8] 0050CB68 |. E8 E773EFFF CALL 00403F54 0050CB6D |. 8B4D E8 MOV ECX,[EBP-18] 0050CB70 |. BA B0CC5000 MOV EDX,0050CCB0 ; ASCII "Code" 0050CB75 |. 8B45 F0 MOV EAX,[EBP-10] 0050CB78 |. E8 435BF5FF CALL 004626C0 0050CB7D |. 6A 00 PUSH 0 ; /Arg1 = 00000000 0050CB7F |. 66:8B0D B8CC5000 MOV CX,[50CCB8] ; | 0050CB86 |. B2 02 MOV DL,2 ; | 0050CB88 |. B8 C4CC5000 MOV EAX,0050CCC4 ; |ASCII "Thank you for registering !" 0050CB8D |. E8 B2CBF5FF CALL 00469744 ; \Art.00469744 0050CB92 |. A1 DCA55400 MOV EAX,[54A5DC] 0050CB97 |. C600 01 MOV BYTE PTR [EAX],1 0050CB9A |. C645 FF 01 MOV BYTE PTR [EBP-1],> 0050CB9E |. EB 2C JMP SHORT 0050CBCC 0050CBA0 |> 6A 00 PUSH 0 ; /Arg1 = 00000000 0050CBA2 |. 66:8B0D B8CC5000 MOV CX,[50CCB8] ; | ¿De cual de los dos programas me habalas? ¿como sabes esto(donde lo miras)? Lo que es el registro es inviable sacarlo: Una clave de 36 caracteres de la que calcula el MD5 y luego la compara con muchísimas que están en el propio programa a partir de 0x4D6DAC. [/quote]Sólo hay que profundizar en el código antes expuesto: 0050CB0F |. E8 0875EFFF CALL 0040401C 0050CB14 |. 83F8 24 CMP EAX,24 0050CB17 |. 0F85 9A000000 JNZ 0050CBB7 Aquí compara la longitud introducida con 0x24 (36 letras de toda la vida) Luego entramos aquí: 0050CB2B |. E8 D0320000 CALL 0050FE00 (...) 0050FE2D |. 8B45 FC MOV EAX,[EBP-4] 0050FE30 |. E8 AB64FCFF CALL 004D62E0 ; calcula el MD5 del codigo introducido 0050FE35 |. 8B45 E8 MOV EAX,[EBP-18] 0050FE38 |. E8 DF41EFFF CALL 0040401C 0050FE3D |. 8945 F0 MOV [EBP-10],EAX 0050FE40 |. A1 D8A55400 MOV EAX,[54A5D8] ; esto me apunta a 0x543528 0050FE45 |. 8B00 MOV EAX,[EAX] ; y esto me lleva a 0x4D6DAC 0050FE47 |. E8 D041EFFF CALL 0040401C 0050FE4C |. 8945 EC MOV [EBP-14],EAX 0050FE4F |. C645 E7 01 MOV BYTE PTR [EBP-19],1 0050FE53 |. C745 F4 01000000 MOV DWORD PTR [EBP-C],1 0050FE5A |> 8B45 EC /MOV EAX,[EBP-14] 0050FE5D |. 50 |PUSH EAX ; /Arg2 0050FE5E |. 6A 01 |PUSH 1 ; |Arg1 = 00000001 0050FE60 |. A1 D8A55400 |MOV EAX,[54A5D8] ; | 0050FE65 |. 8B55 F4 |MOV EDX,[EBP-C] ; | 0050FE68 |. 8B5490 FC |MOV EDX,[EAX+EDX*4-4] ; | 0050FE6C |. 8B4D F0 |MOV ECX,[EBP-10] ; | 0050FE6F |. 8B45 E8 |MOV EAX,[EBP-18] ; | 0050FE72 |. E8 CDB6F8FF |CALL 0049B544 ; \Art.0049B544 0050FE77 |. 48 |DEC EAX 0050FE78 |. 75 06 |JNZ SHORT 0050FE80 0050FE7A |. C645 FB 01 |MOV BYTE PTR [EBP-5],1 0050FE7E |. EB 0C |JMP SHORT 0050FE8C 0050FE80 |> FF45 F4 |INC DWORD PTR [EBP-C] 0050FE83 |. 817D F4 65130000 |CMP DWORD PTR [EBP-C],1365 ; bucle que compara el MD5 de nuestro 0050FE8A |.^ 75 CE \JNZ SHORT 0050FE5A ; codigo con todos los validos 0050FE8C |> 33C0 XOR EAX,EAX (...) y esto tampoco lo entiendo:
Pero si estudias el código que has parcheado para que te muestre que estás registrado verás que se pone a 1 una bandera que es apuntada desde 0x54A5DC. Así que con buscar todas las referencias a esa dirección: Eso aún está más claro: el programa nada más indicar que estás bien registrado pone esa bandera a 1: 0050CB88 |. B8 C4CC5000 MOV EAX,0050CCC4 ; |ASCII "Thank you for registering !" 0050CB8D |. E8 B2CBF5FF CALL 00469744 ; \Art.00469744 0050CB92 |. A1 DCA55400 MOV EAX,[54A5DC] 0050CB97 |. C600 01 MOV BYTE PTR [EAX],1 0050CB9A |. C645 FF 01 MOV BYTE PTR [EBP-1],1 aunque lo cierto es que yo ya lo había visto antes, pues al inicio del procedimiento tenemos: 0050CACC |. A1 DCA55400 MOV EAX,[54A5DC] 0050CAD1 |. 8038 00 CMP BYTE PTR [EAX],0 0050CAD4 |. 74 13 JE SHORT 0050CAE9 0050CAD6 |. C645 FF 01 MOV BYTE PTR [EBP-1],1 0050CADA |. B8 00CC5000 MOV EAX,0050CC00 ; ASCII "You have registered version!" 0050CADF |. E8 8CCDF5FF CALL 00469870 0050CAE4 |. E9 E3000000 JMP 0050CBCC lo que evidenciaba su "pequeña" importancia. PD: se que no te gusta hacer tutoriales Ja ja ja. Es cierto que soy un "poco" vago. Aunque para excusarme un poco también he de decir que tampoco dispongo de mucho tiempo. De todas formas todo depende de a quien vaya dirigido. Si creo que no va a ser de utilidad porque nadie lo va a leer, ya ni se me pasa por la cabeza hacerlo. Pero también es cierto que tengo creado tutoriales "exclusivos" para algunas personas que se mostraban interesadas en privados. Saludos. Je,je,je,je... Bueno, parece que ya no me necesitas... @PeterPunk77: Buen trabajo amigo (aunque, la verdad, no esperaba menos de ti ) Saludos! Muchas gracias, aunque era lo suficientemente sencillo para que tú o Tena os aburriéseis. Saludos nuevamente (que MCKSys contestó mientras posteaba).
|
|
|
En línea
|
|
|
|
yako-_-
Desconectado
Mensajes: 157
Heroes Del Silencio
|
muchas gracias por la extensa explicación PeterPunk77 a y gracias también por hacerme caso a MCKSys Argentina. Pero aun estoy muy verde, estuve repasando el código y la explicación, pero no logro comprender como llegaste a la conclusión de buscar todas las referencias de 0x54A5DC. Acabo de sacarle un serial a un programa que es muy similar a este, solo que te crea un archivo propio con el registro en la carpeta del programa en vez de en regedit, y seguí el mismo procedimiento con el Art.exe ya que la protección es muy similar (lo unico que no hace es la comparación MD5 y ese bucle casi infinito XD) pero no llego a esa conclusión que tu as llegado. También e de decir que soy nuevo en esto, y quizás das por echo que se mas de lo que realmente se XD. De todas muchas gracias, y seguiré leyendo mas tutes de Ricardo Narvaja. A en la dirección que compara nuestro md5 con todos los validos da códigos a tropel pero no funcionan. (Por que) Solo 2 preguntas: ¿me podrias mandar los tutes que as echo para leerlos? y ¿como buscas las referencias a una dirección? yo me pongo encima le doy ctrl+R pero no me sale lo que a ti a ti te sale esto: References in Art:.text to 0054A5DC Address Disassembly Comment 004D667C MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 004D6779 MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 0050CACC MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 0050CB92 MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 0050FEC9 MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 0050FF2F MOV EAX,[54A5DC] (Initial CPU selection) 00510133 MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 00539B0B MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 Y a mi con control+R encima de la dirección solo me sale 1 dirección que la misma de la que estoy encima (perdonadme por mi ignorancia). Saludos Alguien me puede pasar las Cracker Notes que en todos los lados que la encuentro esta offline.
|
|
« Última modificación: 14 Mayo 2010, 03:18 am por yako-_- »
|
En línea
|
Para que vivir, pudiendo trabajar los Domingos
Yako-_-
|
|
|
tena
Desconectado
Mensajes: 668
|
0050CACC |. A1 DCA55400 MOV EAX,[54A5DC] 0050CAD1 |. 8038 00 CMP BYTE PTR [EAX],0 // 0 = No registrado 1=registrado 0050CAD4 |. 74 13 JE SHORT 0050CAE9 0050CAD6 |. C645 FF 01 MOV BYTE PTR [EBP-1],1 0050CADA |. B8 00CC5000 MOV EAX,0050CC00 ; ASCII "You have registered version!" Pues si te fijas, el salto ese depende de lo que contenga esa variable, si hay un 1 esta registrado, si hay un cero entonces lola Bueno yo le acabo de hechar un vistazo, y aunque ponga en 1 esa variable, luego al reiniciar, lo sobreescribira aqui... 0050FECE C600 00 MOV BYTE PTR DS:[EAX],0 ; lo setea a cero
Asi que modificando ahi, para que meta un 1, lo unico que hacia era elimanar del menu Help a buy online y register... Por lo que no estaba totalmente registrado.. Si te fijas en el codigo... 0050CB2B |>CALL <_Art.FUNCION DE REGISTRO> 0050CB30 |>TEST AL,AL 0050CB32 |>JE SHORT _Art.0050CBA0 ; te manda a invalid 0050CB34 |>MOV DL,1 0050CB36 |>MOV EAX,DWORD PTR DS:[461C60] 0050CB3B |>CALL _Art.00461E24 0050CB40 |>MOV DWORD PTR SS:[EBP-10],EAX 0050CB43 |>MOV EDX,80000001 0050CB48 |>MOV EAX,DWORD PTR SS:[EBP-10] 0050CB4B |>CALL _Art.00461F54 0050CB50 |>MOV CL,1 0050CB52 |>MOV EDX,_Art.0050CC84 ; ASCII "\SOFTWARE\Elcom\ART\Registration" 0050CB57 |>MOV EAX,DWORD PTR SS:[EBP-10] 0050CB5A |>CALL _Art.00462108 0050CB5F |>MOV BYTE PTR SS:[EBP-9],AL 0050CB62 |>LEA EAX,DWORD PTR SS:[EBP-18] 0050CB65 |>MOV EDX,DWORD PTR SS:[EBP-8] 0050CB68 |>CALL _Art.00403F54 0050CB6D |>MOV ECX,DWORD PTR SS:[EBP-18] 0050CB70 |>MOV EDX,_Art.0050CCB0 ; ASCII "Code" 0050CB75 |>MOV EAX,DWORD PTR SS:[EBP-10] 0050CB78 |>CALL _Art.004626C0 0050CB7D |>PUSH 0 ; /Arg1 = 00000000 0050CB7F |>MOV CX,WORD PTR DS:[50CCB8] ; | 0050CB86 |>MOV DL,2 ; | 0050CB88 |>MOV EAX,_Art.0050CCC4 ; |ASCII "Thank you for registering !" 0050CB8D |>CALL _Art.00469744 ; \_Art.00469744 0050CB92 |. A>MOV EAX,DWORD PTR DS:[54A5DC] <==== ESTA VARIABLE ELIMINA LOS MENUES buy y register Veras que si AL vale 1, estas registrado y el JE no salta, si AL es Cero, el salto se produce y te dice que no estas registrado. Si entras al Call que retorna Al en 1 o 0, veras al final del codigo que retorna AL... 0050FEA9 . 8>MOV AL,BYTE PTR SS:[EBP-5] ; si o no registrado 0050FEAC . 8>MOV ESP,EBP 0050FEAE . 5>POP EBP 0050FEAF . C>RETN y si te fijas un poquito arriba cuando [ebp-5] toma el valor 1, encotras esto.. 0050FE72 |. E>|CALL _Art.0049B544 ; \_Art.0049B544 0050FE77 |. 4>|DEC EAX 0050FE78 7>JNZ SHORT _Art.0050FE80 0050FE7A |. C>|MOV BYTE PTR SS:[EBP-5],1 ; Registrado por lo tanto si nopeas ese JNZ quedara registrado, ya que metera siempre un 1 en la variable. En fin, las dos soluciones son validas, el objetivo se cumple .... La idea es esa Call getValidarRegistro() cmp registrado,1 je salto_a_registrado Tenes que entrar a la funcion y lograr que la variable registrado salga con el valor 1 o segun convenga. slds
|
|
|
En línea
|
|
|
|
yako-_-
Desconectado
Mensajes: 157
Heroes Del Silencio
|
Hola tena!! gracias por tu respuesta por esa parte del codigo estuve yo trasteando, pero no habia llegado a la conclusion si sabia que hay dos saltos que te llevan a la zona mala uno si no pones numeros y la otra lo que no me habia fijado es en 0050FE72 |. E>|CALL _Art.0049B544 ; \_Art.0049B544 0050FE77 |. 4>|DEC EAX 0050FE78 7>JNZ SHORT _Art.0050FE80 0050FE7A |. C>|MOV BYTE PTR SS:[EBP-5],1 ; Registrado me quedo muy claro!! te explicas bien, Lo que pasa que yo aun empiezo y no se por ejemplo que """0050FE7A |. C>|MOV BYTE PTR SS:[EBP-5],1""" me indica que estoy registrado ya que no conozco esa instruccion ni lo que hace. Ahora lo se. Pero antes nunca deduciria que poniendo esa instrucciona 1 me registraria ni que al tiene que valer 1. es algo similar a lo que PeterPunk77 me dice que la bandera se pone a uno y ahora lo entiendo pero claro no me fije en eso pues no sabia para que valia esa funcion. Boy a seguir estudiando los tutes del foro y R.N para poder llegar yo solo a esas conclusiones esa es mi meta!! Saludos y gracias PD: con que comando se muestran el olly "References in Art:.text to xxxxx" ya se que con Ctl+R no.(perdona mi ignorancia, es que no lo encuentro)
|
|
|
En línea
|
Para que vivir, pudiendo trabajar los Domingos
Yako-_-
|
|
|
PeterPunk77
Desconectado
Mensajes: 77
|
Solo 2 preguntas: ¿me podrias mandar los tutes que as echo para leerlos? Para la primera pregunta. Lo cierto es que esos tutoriales "individualizados" (¿esto existe o me lo acabo de inventar?) los escribo contestando mensajes privados así que no los tengo. Tendría que revisar los foros por los que los he hecho a ver si guardan copia y conservo alguno a ver si hay suerte. También tengo alguno en inglés en crackmes.de http://www.crackmes.de/users/peterpunky recuerdo haber hecho uno en PDF sobre esto: http://foro.elhacker.net/ingenieria_inversa/me_kedan_10_dias_o_no_se_si_devolverlo-t246629.0.html;msg1191695#msg1191695Si lo encuentro te lo paso por privado. y ¿como buscas las referencias a una dirección? yo me pongo encima le doy ctrl+R pero no me sale lo que a ti a ti te sale esto: References in Art:.text to 0054A5DC Address Disassembly Comment 004D667C MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 004D6779 MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 0050CACC MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 0050CB92 MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 0050FEC9 MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 0050FF2F MOV EAX,[54A5DC] (Initial CPU selection) 00510133 MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 00539B0B MOV EAX,[54A5DC] [0054A5DC]=005B2BD1 Y a mi con control+R encima de la dirección solo me sale 1 dirección que la misma de la que estoy encima (perdonadme por mi ignorancia). Botón derecho en la línea de la que quieras ver las referencias y allí: Find References -> Address Constant Lo cierto es que dependiendo de la línea sobre la que hagas click con el botón derecho te pueden salir diversas opciones. Por ejemplo (código de un programa aleatorio) 0045F3B0 /. 832D 64544600 01 SUB DWORD PTR [465464],1 te mostrará tres opciones: -Selected Command CTRL+R <- te busca las referencias a 0x45F3B0 en este caso a mi me devuelve References in Keygneme:.text to 0045F3B0 Address Disassembly Comment 0045E8C4 DD Keygneme.0045F3B0 0045F3B0 SUB DWORD PTR [465464],1 (Initial CPU selection)
-Inmediate constant <- referencias a 1 Esta me muestra mogollón de líneas (todas en las que se pone algo a 1) -Address constant <- referencias a 0x465464 Me devuelve References in Keygneme:.text to 00465464 Address Disassembly Comment 0042767D INC DWORD PTR [465464] DS:[00465464]=00000000 0045F3B0 SUB DWORD PTR [465464],1 (Initial CPU selection)
Si la línea sobre la que pinchas es un salto o una llamada te aparecerían aparte del "Selected Command CTRL+R" (que aparece siempre), "Jump Destination" o "Call Destination" dependiendo del caso. Saludos.
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
[CRACKME] Crackme 3 por MCKSys Argentina
« 1 2 3 »
Ingeniería Inversa
|
MCKSys Argentina
|
29
|
19,949
|
18 Enero 2013, 20:48 pm
por SITEA
|
|
|
[CRACKME] Crackme 4 por MCKSys Argentina
« 1 2 »
Ingeniería Inversa
|
MCKSys Argentina
|
14
|
13,981
|
6 Diciembre 2011, 02:46 am
por PeterPunk77
|
|
|
El crackme4.exe de MCKSys, OLLY y el plugin LCB
« 1 2 »
Ingeniería Inversa
|
ViejoMajara
|
16
|
9,484
|
29 Marzo 2015, 20:24 pm
por MCKSys Argentina
|
|
|
¿Como contactar a MCKSys Argentina?
Sugerencias y dudas sobre el Foro
|
alando01
|
6
|
3,294
|
10 Agosto 2018, 18:00 pm
por simorg
|
|
|
Busco gente de Argentina. Necesito ayuda con el registro.
Dudas Generales
|
MamboItaliano
|
1
|
2,173
|
2 Julio 2023, 19:05 pm
por marcelotdf
|
|