Ejemplo 04

Este siguiente ejemplo es una buena forma de crackear un programa con una limitación de tiempo con Resource Hacker.
Se puede apreciar cómo, se intenta eliminar una ventana que nos informa de la limitación de tiempo de 15 días, y se obtiene un error. Para saber lo que sigue hay que leerlo.

Este fantástico tute ha sido realizado por APOKLIPTIKO (CrackSLatinoS), y lo he encontrado en la página de Ricardo Narvaja en formato pdf. Si falla este enlace se puede descargar en la página ya mencionada en Curso Nuevo y número 781-. Volviéndonos invisibles.
Descarga directa:
TUTE

Ejemplo 06

Sobre Visual Basic 6 (I)

Muchísima gente sigue utilizando todavía el querido (queridísimo) Visual Basic 6. Por este motivo existen en la actualidad cientos de programas compilados en este lenguaje.

¿Quién no ha tenido alguna vez la curiosidad de abrir un programa compilado en Visual Basic (VB) con un editor de recursos?¿Qué observaremos?.
-Pues normalmente sólo veremos dos carpetas: Icon Group y Version.

¿Por qué?
-Pues porque como comenté al principio de todo, los editores de recursos analizan la sección de recursos (.rsrc) pero en los programas compilados con VB6, los recursos NO se encuentran en esa sección.

Un programa compilado con VB6 normalmente tiene 3 secciones:
-text (aquí el Entry Point)
-data
-rsrc (y es la que los editores de recursos leen)

Entonces, ¿dónde se guardan los recursos?
-Se guardan en la sección .text.

Buscar determinados recursos a mano por la sección .text, es una locura así que voy a utilizar un programa muy bueno que nos va a indicar dónde está cada cosa:
VB Decompiler Lite

Lo primero es configurarlo, así que en el menú Tools-Options en los apartados Form y Disasembler señalamos todas las tildes.

Ahora ya podemos abrir cualquier programa compilado en Visual Basic. Yo voy a abrir uno de ejemplo que acabo de hacer. Es éste:


Como se observa el botón no está centrado.
Veo en VB Decompiler lo siguiente:


Me está diciendo que:
-Se trata de un botón: CommandButton
-Su "caption": Caption
-Su posición en el formulario: Left y Top
-Sus dimensiones: Width y Height
-El índice del Tab: TabIndex = 0
-Y lo más importante de todo: Que se encuentra en el offset 00001230. (¡Qué buena información!. Esta información nos va a ayudar en nuestro cometido y pocos programas la dan).

Lo que voy a hacer es modificar por ejemplo:
-La posición del botón para centrarlo.(Solamente horizontal)
-Y voy a modificar también el texto mostrado ("Caption") por "Aceptar". En este último caso no tendré problemas ya que los dos textos constan de 7 bytes.

Voy a abrir el ejecutable en VB con cualquier editor hexadecimal. A la izquierda los editor hexadecimales nos indican el offset así que nos dirigimos a 00001230 y tendremos que ver lo siguiente:


Lo primero que voy a hacer es cambiar lo más fácil en este caso :el texto. Así que modificamos "Caption" y escribimos encima "Aceptar".
Ahora voy a mover el botón a la derecha para centrarlo. Sé por el VB Decompiler que el Left = 480. Utilizo la calculadora de Windows y convierto 480 decimal en hexadecimal: 480d == 01E0h.
Como sé que los datos se guardan al revés, sé que tengo que buscar por E001, así que en el código que he puesto arriba lo localizo rápidamente en la segunda linea (los dos penúltimos bytes).

Ahora hago unos cálculos matemáticos sencillos para centrar el botón:
Ancho formulario = 4185; 4185/2 = 2093
Ancho botón = 1335; 1335/2 = 668
Posición resultante para centrar: 2093 - 668 = 1425

1425 decimal = 0591 hex por lo tanto tengo que modificar los bytes E001 por 9105.
El final del código es el siguiente:
Lo guardo como ejemplo.exe, lo ejecuto y...

Esto es similar en todos los controles...

Ahora para finalizar viene de nuevo mi pasión por las imágenes, es un poco diferente.

Cómo modificar una imagen:

Voy a ir directamente al ejemplo. He creado una aplicación que sólo consta de una imagen. El acerca de, puede ser el siguiente:


Consta de una imagen. Vamos a ver cómo la podemos modificar.
Para extraer las imágenes voy a utilizar otro programa excelente, se trata de VBreformer su página web es la siguiente:
http://www.decompiler-vb.net/

Voy a abrir el programa en VB con este VB reformer. En mi caso, yo he utilizado el programa Trial Edition v.4.2. Y tras analizar la aplicación aparecen a la izquierda las siguientes carpetas:

*Informations-headers (para este tutorial nos olvidamos de ella)
*Forms-objetcs:
         -Form1 - VB.form:
                    -Mi_imagen - VB.Image
*Visual Basic resources:
         -Form1.frx:
                    -Form1.frx: 00000000

Ahora miro a la derecha y veo el siguiente código:

Yo me fijo en estos detalles:
1º El nombre de la imagen: Mi_imagen
2º El offset que me indica el formulario. Ya que la imagen estará  más abajo de ahí: 'address 00001178
3º La imagen en cuestion. A la derecha me indica que la imagen es esta: Picture="Form1.frx":00000000. Así que voy a la izquierda (donde las carpetas) y selecciono la imagen correspondiente: -Form1.frx: 00000000

Ya tengo la imagen que quiero modificar. VBreformer tiene una opción valiosísima que nos permite extraer la imagen tal cual aparece en el código, así que lo voy a hacer: "File --> enregistrer l'image sous"


Yo la he llamado: imagen.bmp.
Ahora voy a buscar un dato importantísimo:
-El tamaño: 102734 bytes

Con toda esta información ya puedo modificar la imagen o crear otra a mi gusto. La única condición es que la imagen nueva NO DEBE sobrepasar de 102734 bytes. No he probado a modificar el formato pero supongo que dará error así que lo dejo igual: .bmp. La imagen que he creado la he llamado imagen_modificada.bmp

Yo he hecho esta imagen de igualmente 102734 bytes:


Ahora viene la parte más difícil de todo. Insertar esa imagen.

Voy a abrir el programa con un editor hexadecimal cualquiera y me voy a ir al offset antes marcado: 00001178.
Ahora bien, yo sé que una imagen en formato mapa de bits comienza por BM, así que un poco más abajo de ese offset voy a buscar esto comentado:


Ahí está el nombre de mi imagen, y después aparece lo comentado:BM. Ya tengo el inicio.

Ahora abro en otra pestaña del editor hexadecimal la imagen_modificada.bmp y copio todos sus bytes.

Ahora tengo que pegarlo pero sin que se agrege ningún byte de más, así que hay que hacer cálculos matemáticos:

Offset de inicio: 00001242 hex
Tamaño de la imagen: 102734 dec = 1914E hex
Offset final imagen: 00001242 + 0001914E = 0001A390 hex
Pero como el offset 00001242 ya contiene un byte pues hay que restarle 1. ¡IMPORTANTE!

Por lo tanto:
offset inicial: 00001242
offset final:   0001A38F

Ahora solamente y con mucho cuidado hay que seleccionar los bytes que hay entre esos offsets y pegar los que habíamos copiado. Sé por experiencia que seleccionarlos para un bitmap puede ser complicado, así que algunos editores hexadecimales permiten seleccionar pulsando la tecla Shift o simplemente lo que hago yo: visualizo 128 bytes por columna y en un momento lo selecciono todo.

Bueno, tras pegar lo que acabo de comentar ya tiene que aparecer lo siguiente:


Ciertamente si no se tiene experiencia, puede ser complicado realizar este último ejemplo que acabo de hacer.

Ejemplo 08

Modificar el título de una ventana por uno más largo en VB6.
Sobre Visual Basic (III)

Antes de nada quiero hacer una pequeña introducción que el que quiera puede saltarse:
Debido a la buena acogida que ha tenido el tutorial, y la cantidad de mensajes que recibo solicitando ayuda, sigo ampliándolo con nuevas ideas. Recibo preguntas que cada vez son más complicadas, pero intentaremos hacer todo lo más sencillo posible.

Antes de comenzar, hay que tener claras bastantes cosas y releer varias veces el tute porque puede ser difícil de entender.
Ya que hay mucha gente que pregunta por este tema, voy a modificar el título de un programa compilado con Visual Basic 6 por otro título mucho más largo.



1ª FORMA:

Esta primera manera de hacerlo es la más complicada haciendo uso de una API.

Descargar el programa sol.exe (está como sol.zip) que está en el archivo .zip. El enlace está en el primer mensaje de este hilo.

El título del programa original es "Sol":


y voy a modificarlo por "Título mucho más largo - karmany".

Para hacer esto, se podría intentar modificar el puntero de "Sol" pero en VB6 no es sencillo hacerlo. También se podría intentar modificar el título utilizando la misma función de VB pero también es una ardua tarea, así que, en principio se me ocurre que la forma más sencilla es hacerlo utilizando la API "SetWindowText".
SetWindowText requiere 2 datos: el puntero a la cadena "Título mucho más largo - karmany" y el handle de la ventana. Éste ultimo dato es el más complejo de encontrar pero VB6 en determinados momentos lo deja bien visible en la pila.

Bueno, sabiendo ya cómo lo voy a hacer, queda lo más importante: Y... ¿cómo se puede obtener la dirección de "SetWindowText" para poder utilizar dicha API?. Este es el dato más complicado de encontrar para todo Newbie y por este hecho se debe entender perfectamente:
Voy a insertar en la IAT (que en el programa original será toda de funciones de la librería de VB6) nuestra dirección de "SetWindowText". Por lo tanto, lo que voy a hacer es modificar la IMAGE IMPORT DESCRIPTOR la cual nos dará la dirección correcta de "SetWindowText". Como sé que habrá gente que no tiene ni idea de qué es la IMAGE IMPORT DESCRIPTOR pues me remito a los fantásticos tutoriales de Ricardo Narvaja en los que explica paso a paso qué es y para qué sirve.(Titulados: Import Tables lento y a mano). Puede ser difícil de entender si no se tiene práctica, pero voy a intentar explicarlo lo más sencillo que pueda...
Lo que voy a hacer para este ultimo caso es crear una nueva sección y ahí pondré la IID y la IAT. Para hacer esto de forma muy requetesencilla, voy a utilizar el programa ImportRE que hace siempre una labor importantísima.
De este modo, como en un programa compilado con Visual Basic 6, la IAT está normalmente en la dirección 401000 pues al cambiarla de sitio, tendré ahí espacio suficiente para hacer un injerto.

Bien con todo lo que acabo de explicar, ya estamos en condiciones de empezar:
El programa que he creado se llama "Sol.exe". No lo voy a poner de momento en descarga, pero si alguien realmente lo necesita que me lo pida.

Abro "Sol.exe" en el OllyDBG. Parado en el OEP. Voy a 401000 y veo la IAT:


Bien, para que después ImportRE nos diga que hay una función pero que no sabe cuál es voy a modificar los datos de 401078 y 40107C de este modo:


Pues ya podemos ejecutar ImportRE, seleccionamos "Sol.exe" y abajo a la izquierda ponemos los 3 datos siguientes:
OEP: 00001130 (Ya que el OEP es 00401130 y la Image Base 400000)
RVA: 00001000 (Ya la IAT comienza en 00401000)
Size:0000007C (Ya que como se ve antes, en 401078 hemos puesto 77777777)
Pulsamos en "Get Imports" y aparece lo siguiente:


Perfecto. Como se observa ha reconocido nuestras 29 funciones de la librería de VB y nos dice que hay una función de otra librería que no reconoce y que la dirección es 77777777 que ya habíamos preparado para tal fin. Como ya sabemos qué API necesitamos: "SetWindowTextA", pues clickeamos 2 veces  y seleccionamos dicha API. Y ya nos aparecerá lo siguiente:


Perfecto. Ahora pulsamos en "Fix Dump" seleccionamos "Sol.exe" y nos crea satisfactoriamente "Sol_.exe". El trabajo que hace ImportRE es fantástico.

.
De este modo hemos creado ya una nueva sección, y ahí hemos puesto la IID y la IAT.
Si se ejecuta da error, así que después de analizarlo detenidamente descubrí que el problema es culpa de un dato: "Bound Import". Para solucionarlo, hay que abrir "Sol_.exe" en un editor de PE y modificar tanto el dato "Bound Import RVA" como Bound Import Size" y poner los 2 a CERO. Ya funciona "Sol_.exe".

Ahora ya se observa que en 401000 ya no está la IAT y podemos utilizar este espacio para poner el código que nosotros queramos.

Lo primero que hago es ver qué eventos hay. Yo utilizo esta vez VB Decompiler Lite y obtengo que en 4019B0 comienza Form.Load.
Ahora lo que me interesa es buscar el handle de la ventana a la que quiero modificar el título.
Me pongo al final de esta subrutina(Form.Load):


Pongo un Breakpoint(BP) por ejemplo en 401A09. Pongo también un BP en la API "CreateWindowExA" y voy pulsando F9 hasta que para en "CreateWindowExA" y es por nuestra ventana: (Windows name: "Sol"). Traceo hasta el RET de "CreateWindowExA" para observar el handle y veo que en mi caso el handle (registro eax) es: 001105F2
Pulso F9 y para en 00401A09 y observo la pila encontrándome lo siguiente:


¡Umm! parece ser que si paro en 401A09, tengo en ESP+10 el ¡handle de mi ventana!. Interesante. Pues con este dato ya podemos hacer el injerto.
Así que modifico el original código de 00401A09 por lo siguiente:


Me he comido 3 instrucciones.

Y en 00401000 hago el siguiente injerto:


Se observa que tras hacer los push el dato del handle que era [esp+10] se ha convertido en [esp+34].
También hay que observar que la dirección [404078] es de SetWindowTextA que es donde está la IAT.
Finalmente sólo queda insertar nuestro texto en 401020, terminado en cero:

                                .

Y asunto terminado.

El ejemplo final es el siguiente:


Si quieres analizar el resultado puedes descargar cómo me ha quedado a mí:
Descargar el programa sol_2.exe (está como sol_2.zip) que está en el archivo .zip. El enlace está en el primer mensaje de este hilo.


Ya sé de antemano, que esto que acabo de explicar no es nada sencillo, pero es la forma que se me ha ocurrido de hacerlo.



2ª FORMA:

Tras haber publicado la 1ª FORMA recibí varios mensajes en los que me comentabais que era posible hacerlo de una manera más sencilla, usando determinados programas que ya hemos analizado en ej. anteriores.

Realmente existen programas como VBReformer, del que ya hablé en el ejemplo 6, que nos permiten modificar directamente el título de la ventana que tenemos por defecto. Es decir, podemos abrir el programa en VBReformer, observar todo lo que ha analizado y tras seleccionar en el panel izquierdo el formulario que deseamos, nos aparecerá en el panel derecho los controles y propiedades de dicho formulario y podremos modificarlos. Después simplemente guardamos.

Realmente para una persona que no se quiere complicar o no tiene suficientes conocimientos para entender el ejemplo que propuse, pues es una muy buena opción y podría ser la primera opción que deberíamos usar.

Por contra, VBReformer no siempre compila adecuadamente o no siempre puede abrir todos los programas. Además si el título se modificara en algún evento, tampoco nos valdría... Bueno, todo es cuestión de probar, de gustos y de lo que nuestra imaginación proponga- Las dos formas explicadas son válidas.


Para cualquier duda...

Ejemplo 10

Redimensionar matrices en VB6.
Sobre Visual Basic (IV)
Muchas veces en determinados programas, sobre todo en programas obsoletos o que ya no se desarrollan es necesario aumentar el rango de la matriz.
Esto puede resultar muy útil, ya que las matrices normalmente no están redimensionadas en ningún evento, están (normalmente) declaradas en las declaraciones de cualquier formulario o módulo y ningún programa te indica dónde están: ni VBReformer, ni VB decompiler ni ningún otro.

En este ejemplo que he hecho, he declarado una matriz: Private variable(1) As String que se compone de variable(0) y variable(1).
Está declarada dentro de las declaraciones del formulario principal.

Os voy a mostrar cómo se puede redimensionar hasta FF ==> 255... cómo encontrar ese byte escondido.

Lo primero es descargar el programa que he hecho:
Descargar el programa ReDimMatriz.exe (está como ReDimMatriz.zip) que está en el archivo .zip. El enlace está en el primer mensaje de este hilo.

Ejecutarlo, examinarlo con Ingeniería Inversa. Es muy sencillo. Si pulsáis el primer botón nos mostrará la dimensión de la variable empezando por 0.
Si se pulsa el botón segundo mostrará variable por variable.


¿Cómo se rellena una matriz de string desde VB6?
Pues es muy sencillo, porque para matrices de cadenas(strings) hace uso de la función __vbaStrCopy, que como su nombre indica copia una cadena de texto. Y este ejemplo es así.

Vamos a analizarlo. Poner un BP en 403477, ejecutar el programa en un depurador(OllyDBG por ej.), pulsar el segundo botón y se detendrá ahí.

Si vemos el registro ecx, en mi caso es 0015ef08. Si dumpeamos ese valor veremos el primer dword que se reserva para la matriz. Ese valor dword lo rellena VB con una dirección donde irá la cadena de texto.

Antes de pasar por la función  __vbaStrCopy:

Después de pasar por la función __vbaStrCopy:

Y si dumpeo ese valor: 0016A354 vemos esto:
que es la cadena de texto que se cargará en en variable(0).

Bien, ¿qué ocurre?
Pues variable(1) está definida en las declaraciones del formulario y no se puede redimensionar así como así. Como variable(1) son dos: variable(0) y variable(1) pues en el código del programa existe un byte 02 que es el que hay que buscar...
Sólamente modificando ese byte 02 a cualquier otro valor redimensionamos la matriz. De esto se trata: de encontrar ese byte 02.

Para encontrarlo, voy a poner un Hardware Breakpoint en el dword de la variable(1) que es la segunda string. Se entiendo ¿no?, es decir, voy a poner un HBP on write dword en 0015ef0c. Reinicio OllyDBG y veo cuándo el dword de 0015ef0c se pone a 0.

Ejecuto el depurador, veo que se detiene por HBP pero el valor no es cero. Sigo ejecutando y veo que se detiene y que el valor de 0015ef0c se pone a cero!!! Aquí está.
A veces mirando los registros se puede observar de dónde se está leyendo, pero en este caso no se puede saber, así que se me ocurre ver la pila y observo lo siguiente:


004030B8?! podría ser éste la dirección que buscamos???
Voy a dumpear a ver:
Como se puede observar, el byte que buscamos es el que está en 004030B0.

Así que vamos a modificar ese bytes y ponemos el valor que queramos y veréis los resultados:


Aprovechando una herramienta mía, voy a mostrar cómo modificar el byte rápidamente desde el ejecutable original que he puesto en descarga. Haré uso de File Location Calculator v0.3.2, que se puede descargar gratuitamente desde aquí:
http://tuts4you.com/download.php?view.2790

Arrastramos el programa sobre File Location Calculator, señalamos virtual address y pegamos ahí la dirección 004030B0. Simplemente pulsamos Enter o pulsamos el botón calcular. Ya se verá en los bytes el byte 02. Ahora sencillamente pulsamos el botón Editor hex, modificamos el byte y guardamos. Imagen:

---

Gracias a la colaboración (lo ha hecho el todo) de kcr_4u, es posible descargar el tutorial en pdf, hasta el 5º ejemplo (aunque está desactualizado y no se corresponde con el original):

Tutorial en pdf

GRACIAS krc_4u POR TU AYUDA.

Texto y enlaces revisados: Todos los textos y enlaces fueron corregidos y actualizados el día 13 de marzo de 2011. Asimismo todas las imágenes tienen están numeradas y todo tiene copia de seguridad.


Si alguien observa alguna cosa que debiera modificar o añadir, comentario o algún enlace roto, mandarme un mp..
Un saludo a todos.