Autor
|
Tema: Puede un programa bajo DOS detectar que esta siendo copiado? (Leído 9,927 veces)
|
scramble
Desconectado
Mensajes: 11
|
Karman disculpa tanta insistencia....Bajé el IDA Pro y la verdad nunca habia trabajado con un programa de estos, pero he estado leyendo algunos tutoriales y archivos de ayuda todos estos dias.
Analice el archivo p2004.exe con el IDA y lo detecta como un archivo NE tal como decias, luego hace referencia a 2 archivos dll que no los tengo pero de igual forma al ignorar dicho mensaje pude ver el analisis del programa.
Encontre tambien las direcciones que me colocaste mas arriba, pero que exactamente debo modificar?
Sinceramente no es que busque las cosas ya hechas sino que me ha costado un poco digerir en estos dias tanta informacion y cosas de este mundo de la ingenieria inversa.
Si no es mucho pedir, pudieras ser un poco mas especifico en la parte de la modificacion de los saltos?
Muchas gracias de antemano.
|
|
|
En línea
|
|
|
|
scramble
Desconectado
Mensajes: 11
|
Bueno ya logre modificar los saltos...
Muchas gracias, aunque al iniciar me lanza unos errorcitos que en el equipo normal no salen de igual forma probare esta noche la funcionalidad a ver si no se ve comprometida de ninguna forma. Muchisimas gracias de verdad, yo solo no habria podido hacer ni la mitad del proceso.
Una ultima pregunta, por ejemplo se puede a traves de un desensamblador descifrar una contraseña? ya que por lo menos yo tengo contraseña de usuario pero imagino que debe haber una de Administrador para configurar los parametros generales.
Saludos
|
|
« Última modificación: 19 Noviembre 2007, 23:52 pm por scramble »
|
En línea
|
|
|
|
Hendrix
|
Bueno ya logre modificar los saltos...
Muchas gracias, aunque al iniciar me lanza unos errorcitos que en el equipo normal no salen de igual forma probare esta noche la funcionalidad a ver si no se ve comprometida de ninguna forma. Muchisimas gracias de verdad, yo solo no habria podido hacer ni la mitad del proceso.
Una ultima pregunta, por ejemplo se puede a traves de un desensamblador descifrar una contraseña? ya que por lo menos yo tengo contraseña de usuario pero imagino que debe haber una de Administrador para configurar los parametros generales.
Saludos
Desensamblador no se (Hace años que no toco el W32Dasm), pero desde un debugger si... Con lo de modificar los saltos, creo que en el olly si se puede (haciendo un dumpeado del archivo), supongo que en el IDA tambien (no lo e usado nunca al IDA), aunque es más fácil hacerlo desde un editor hexa
|
|
|
En línea
|
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
|
|
|
Karman
|
Bueno ya logre modificar los saltos...
Muchas gracias, aunque al iniciar me lanza unos errorcitos que en el equipo normal no salen de igual forma probare esta noche la funcionalidad a ver si no se ve comprometida de ninguna forma.
Errorcitos??? No tendría que tirar ningún tipo de error, acá cuando lo ejecuto se abre normalmente, habrás modificado bien? El tema de los saltos era el siguiente: jnz short loc_4D38 -> jz short loc_4D38 entonces abrías el debugger, ibas a las direcciones que te dí, te fijabas en la barra de estado del IDA, y te aparecía un número (offset), abrías el archivo en un editor hexa, ibas al offset que te decía el IDA, y cambiabas: cseg01:4CC3 7 5 73 -> 7 4 73 cseg01:4CC9 7 5 6D -> 7 4 6D cseg01:4CD6 7 5 60 -> 7 4 60 cseg01:4CDC 7 5 5A -> 7 4 5A Acá te dejo el link de descarga... lo terminé subiendo para que veas como queda: http://rapidshare.com/files/71013947/P20042.rar.htmlUna ultima pregunta, por ejemplo se puede a traves de un desensamblador descifrar una contraseña? ya que por lo menos yo tengo contraseña de usuario pero imagino que debe haber una de Administrador para configurar los parametros generales.
Si, en realidad con un debugger... pero en este momento no tengo ningún debugger de 16 bits... S2
|
|
|
En línea
|
|
|
|
scramble
Desconectado
Mensajes: 11
|
Desensamblador no se (Hace años que no toco el W32Dasm), pero desde un debugger si... Con lo de modificar los saltos, creo que en el olly si se puede (haciendo un dumpeado del archivo), supongo que en el IDA tambien (no lo e usado nunca al IDA), aunque es más fácil hacerlo desde un editor hexa Entiendo, bueno es que como en varios de tus tutos en PDF lograbas descifrar las keys/seriales de algunos programas imagine que en este caso el procedimiento sería parecido. Errorcitos??? No tendría que tirar ningún tipo de error, acá cuando lo ejecuto se abre normalmente, habrás modificado bien? El tema de los saltos era el siguiente:
jnz short loc_4D38 -> jz short loc_4D38
entonces abrías el debugger, ibas a las direcciones que te dí, te fijabas en la barra de estado del IDA, y te aparecía un número (offset), abrías el archivo en un editor hexa, ibas al offset que te decía el IDA, y cambiabas:
cseg01:4CC3 75 73 -> 74 73 cseg01:4CC9 75 6D -> 74 6D cseg01:4CD6 75 60 -> 74 60 cseg01:4CDC 75 5A -> 74 5A Yo el proceso lo completé de esta manera, sombree el area que queria modificar y arriba en el menu del IDA sale un boton que dice "Open Hexadecimal View", y para estar mas seguro agarre un tramo largo de caracteres y los busque en el Ultra Edit para dar con esa región...Intente en el ultraedit ir hasta el offset que me salia en la barra de estado y no se, no hacia la busqueda (CTRL+G en UltraEdit). En fin los errores que me da es que no puede encontrar el archivo Defrag.exe pero de igual forma sigue adelante y abre el programa... Si creo que debi cometer algun error en la modificacion en el Hex... De igual forma muchas gracias a ambos por sus comentarios y ayuda. (Debiera tener este foro el sistema de aumento de prestigio a usuarios a traves de un boton de agradecimientos yo ya lo habria fundido con ustedes ).
|
|
« Última modificación: 20 Noviembre 2007, 23:44 pm por scramble »
|
En línea
|
|
|
|
scramble
Desconectado
Mensajes: 11
|
Ehmm..Buenas tardes...
Yo nuevamente con otra pregunta un tanto relacionada a este tema...
Que tipo de sistema de protección es este que presenta el software? quiero decir, se pudo encontrar y saltar la proteccion, pero basicamente en que se basa? que tiene el equipo en el cual el programa funciona perfectamente? Son archivos ocultos? toma el serial del disco duro para compararlo?
Por mas que veo el analisis de IDA no veo la proteccion en si. (soy newbie recuerden).
Esto mas que todo es por cosa mia que quiero aprender un poco mas y tengo dias con esa curiosidad.
Nuevamente agradecido con ustedes.
|
|
|
En línea
|
|
|
|
Karman
|
Básicamente se basa en 2 condiciones... la 1º con el tema del archivo de LOG que te expliqué anteriormente... (lo de leer, borrar, escribir) y el 2º en la siguiente línea:
call @DiskSize$q4Byte ; DiskSize(Byte) <- Tamaño de disco?
con esta función obtiene el tamaño del disco que luego compara con un valor guardado, o sea... disco de distinto tamaño, programa copiado...
S2
|
|
|
En línea
|
|
|
|
g6
Desconectado
Mensajes: 4
|
Que buen trabajo en equipo hicieron gente, la verdad da gusto leer el post Si de algo les sirve, mi hermano solía proteger así sus programas tomando datos de la pc donde se intalaba (valores BIOS, parámetros HD, etc.) lo cual aseguraba que ese programa no podía ser instalado en ningun otra PC. No es nada del otro mundo y según me comentó es facil de sacar solo que al estar en DOS es más trabajoso. Saludos a todos y si tienen tiempo y desean investigar denme una mano con mi post
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Mover .inc que esta siendo utilizado por otro programa.
ASM
|
YagamiIori2002
|
8
|
6,324
|
4 Noviembre 2011, 08:59 am
por Eternal Idol
|
|
|
[Necesito ayuda] Mi PC está siendo invadida.
Seguridad
|
Piicapieedra
|
6
|
7,143
|
15 Agosto 2012, 14:46 pm
por тαптяα
|
|
|
¿Como detectar en que punto del programa evita ser copiado?
Ingeniería Inversa
|
xivan25
|
1
|
2,361
|
29 Marzo 2013, 07:20 am
por apuromafo CLS
|
|
|
Cómo podemos detectar rootkits bajo Mac OS X
Noticias
|
wolfbcn
|
0
|
1,554
|
26 Septiembre 2013, 13:34 pm
por wolfbcn
|
|
|
Cómo detectar si el programa esta siendo decompilado
Programación Visual Basic
|
OfTheVara
|
3
|
2,099
|
19 Febrero 2023, 00:25 am
por Danielㅤ
|
|