Programa:DrDepth V4.0.10
Instalador:drd4p0p10_PCsetup.exe
Página:http://www.drdepth.se
Objetivo:Parchear
Autor:UND3R
-Conociendo el programa:
Una vez instalado, lo primero que se debe hacer, es saber con qué tipo de programa se está trabajando(Crackeando),es decir el lenguaje en cual está programado y si está empaquetado, para eso utilizamos: RDG Packer detector,tras realizar el análisis, este nos muestra lo siguiente:
(*Recordamos que RDG Packer tiene dos tipos de detecciones una es por código y otra por análisis heurístico)
Luego de haberlo analizado iniciamos DrDepth desde Ollydbg y lo primero que nos mostrará será lo siguiente:
Por curiosidad intentaremos colocar un BP en la API:
Citar
GetDlgItemTextA
Aclaramos que esta API se encarga de almacenar aquellos caracteres que han sido introducidos en un control o cuadro de diálogo
Introducimos un serial falso:
Y si presionamos aceptar,el debugger no se detiene en la API y nos muestra el siguiente mensaje:
Por lo que al aparecer el mensaje se podría utilizar la API:
Citar
MessageBoxA
Reiniciemos y coloquemos un BP en dicha API:
al dar aceptar si vemos la PILA o STACK desde Olly,Notaremos hacia donde retornará (address) una vez lanzada esta, en este caso 0053CCB1 como lo muestra la imagen:
Nos dirigimos hacia ella presionando Control+G y colocamos la dirección de retorno de la API:
Nos aparecerá:
Si seguimos subiendo llegamos hasta el inicio en intentaremos colocar un bp ahí,reiniciamos y colocamos un BP para saber si en esa zona se puede observar que el programa ya realizó la comprobación:
al detenerse, si observamos a EAX, notaremos que el programa ya ha comprobado nuestro serial falso:
Si miramos la Pila:
Notaremos por así decirlo algo interesante y es que nos muestra el punto de retorno de la call anterior(última call) antes de que se detuviera, por lo que dirijámonos hacia ella, una vez que ya lo hemos hecho, subiremos hasta el final,anotemos el inicio, reiniciamos y colocamos un bp (53D0E4)
y al darle RUN(F9) si nos fijamos en EAX, notaremos que el programa de nuevo ya ha comprobado nuestro serial falso, por lo que nos volveremos a fijar en nuestra PILA:
00452963
la retorno nos lleva:
si nos fijamos vemos una string llamativa, un poco familiar en todo este tutorial:
Pero si seguimos subiendo, notaremos lo siguiente:
y un salto muy Interesante:
reiniciemos y NOPIEMOS (NOP)
si guardamos los cambios y si le damos RUN nos mostrará lo siguiente:
--------------------------------------------------------