 Autor
|
Tema: Solicito sugerencias para estudiar protección. (Leído 3,192 veces)
|
Kalyato
 Desconectado
Mensajes: 7
|
En primeras aproximaciones, podemos observar lenguaje Delphi, no empaquetado, la primera vez que se corre el programa crea un archivo (registro), y en el guarda el código que acaba de calcular para esa maquina, en función de su HD y Placa base (supongo), a continuación no solicita nada y se ejecuta en Demo (con las debidas limitaciones). Para registrarlo escribimos el código en la ventanita correspondiente y en lugar de hacer comparaciones, simplemente lo guarda en el anterior archivo (Registro) e indica que reiniciemos el programa, se supone que es entonces cuando en ese nuevo arranque comprueba por si solito el Ok del código introducido y como no es correcto, sin decirte nada de nada, se ejecuta sin problema alguno, como Demo. A lo que aspiro es a crearme el keygen, agradezco cualquier sugerencia que me oriente en este bonito reto, tutoriales, caminos a seguir, etc, etc. Gracias a todos y muy especialmente a Ricardo Narvaja y a los genios que moderan este foro, de todos ellos estoy aprendiendo. Kalyato  |
|
|
|
|
En línea
|
|
|
|
|
MCKSys Argentina
|
Hola! Si ni está empacado, puedes usar Dede o IDR para obtener una "lista muerta". Por supuesto, Olly siempre es la herramienta definitiva...  Saludos! |
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando." |
|
|
Kalyato
Desconectado
Mensajes: 7
|
Gracias MCKSys Argentina
Bueno, mi primera aproximación fue poco fiable, más bien un desastre, posiblemente estemos ante un "Unamed Scrambler" y tal vez ni siquiera sea Delphi, la protecciòn que tiene de momento despista a los detectores que utilizo, al correrlo en Olly, se detiene en un EP, que vaya ud. a saber. Despues colocado "Bp ResumeThread", se detiene en exception 0EEDFADE, y con Shift F9 se queda corriendo según Olly, sin detenerse en el Bp, aparentemente detecta el Olly y se lo salta.
¿Que os parece ?
|
|
|
|
|
En línea
|
|
|
|
|
MCKSys Argentina
|
¿ Qué dice el RDG ha todo esto ? Pon una imagen del EP. Quizás podamos sacar algo en claro. O mejor, postea un link el proggie, así lo miramos "de cerca"  Saludos! |
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando." |
|
|
Kalyato
Desconectado
Mensajes: 7
|
Gracias MCKSys por tu atención y ayuda, te pongo alguna imagen por si nos puede ayudar, lo siento no consigo insertar imagen, no se como se hace.
RDG v0.6.5 dice Borland Delphi v6.0- v7.0 ; Fake Ninja v2.0 (capacidad para crear signaturas falsas), el Compiler detector v1.0 dice Visual C++ v7.0.
RDG v0.6.6 2k8 dice Borland Delphi v6.0 -v7.0 ; Detectado NADA (archivo sospechoso) Escaneo Externo (Mediante DLL Actualizable Posible unnamed Scrambler (Detección Euristica) su correspondiente Compiler detector insiste en Visual C++ v7.0.
El entry point en Olly, lo ubica en 007A1764 55 Push EBP; 007A1765 Mov EBP,ESP ; 007A1767 ADD ESP, -10 etc, etc.
Si me dices como puedo hacerlo, inserto imagenes.
Gracias
|
|
|
|
|
En línea
|
|
|
|
|
MCKSys Argentina
|
Para poner imágenes, debes subirlas a un servidor (imageshack, etc, etc). El servidor te dará un link, el cual pones en el post (usando el boton insertar imagen). Cuando alguien vea el post, las imagenes se cargaran...  Saludos! |
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando." |
|
|
tincopasan
Desconectado
Mensajes: 1.286
No es lo mismo conocer el camino que recorrerlo.
|
por el EP parece un delphi, ahora si cuando lo cargas en el olly no te avisa que el EP esta fuera de la zona code lo más probable es que no tenga packer, salvo que encierre un .net por eso se ejecuta saltando el olly.
|
|
|
|
|
En línea
|
|
|
|
Kalyato
Desconectado
Mensajes: 7
|
Gracias tincopasan, estoy en ello con la inestimable ayuda de MCKASys, que es un fenómeno.
Gracias
|
|
|
|
|
En línea
|
|
|
|
|
 |
