Foro de elhacker.net

Hola,
tengo un programilla el qual deja unos pocos dias de evaluacion,
no encuentro cracks, i tampoko me interesa mucho el encontrarlo,

Tengo entendido que borrando cierto registro, el perido de evaluacion se anula,
Explicare brevemente lo que e leido en un tutorial y haber si me podeis ayudar ya que me pierdo un poco:

lo primero que dice es bajarse el "Regmon"
i azerlo funcionar,
una vez echo esto arrancamos el programa a crackear y detenemos la busqueda con el Regmon

Llegado este punto el tutorial dice que devemos abrir el "regedit"
acontinuacion buscar los "binari keys" del programa a crackear i posteriormente eliminarlos.
pareze facil...
pero la cantidad de registros relacionados con el proceso es enorme i soy incapaz de encontralo...


pues aqui queda la pregunta..
me e enrollado un poco por la cuestion de que no quiero crackear el programa simplemente, si no que me gustaria entender un poco los registros que se crean y todo esto...



gracias por adelantado


salu2 ;)

lo primero que tienes que hacer es analizarlo, por ejemplo con RDG Packer Detector v0.6.5, y luego nos dices que clase de compilador / protección utiliza y lo abres posteriormente con:

http://shaddy.co.nr/OllyDBG.rar

y ahi es donde empieza todo ;).

Salu2..

Ya lo e escaneado con el RDG y el resultado es

Borland delphi (v 6-7)
y como proteccion  Armadillo deteccion Heuristica


(entonces todo lo que e dicho de los registros no sirve en este caso?)





salu2 ;)

buah, yo lo dejaría xD, no se porque to2 los programas que intentáis son armadillo jajaja, tu mismo, lee un topic que dice restorator y bajate el mismo tute probablemente te valga...

Salu2..

donde esta ese topic :S?
e usado la busqueda y no lo encuentro

de todas maneras si es un programa tipo el resourcehacker no creo que sirva
ya que con estos programas no me deja tocar nada :(
(la cosa esta complicada XD)




salu2 ;)

no me referia a eso. aqui esta.

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/847-Armadillo%204.62%20+%20Debug%20Blocker%20+%20CopyMem%20II%20+%20Import%20Table%20Elimination%20+%20Code%20Splicing%20+%20Nanomites%20%96%20PARA%20PRINCIPIANTES%20%96%20USANDO%20TOOLS%20%96%20Por%20Solid.rar

aun así analizalo con el ArmaFind que le pongo en el Topic "armadillo tocando las..." era ese me confundí de topic. sigue los pasos mas o menos.

Salu2..

Hola ShadowDark
ante todo gracias por irme a aconsejando, el tutorial que me e bajado trabaja con una proteccion muy similar a la que yo tengo

pero como soy bastante novato me encayo aqui (se que se trata de algo muy basico  :-[)

dice "poner un bp en WriteProcessMemory"

yo no se como se busca dicha llamada, lo unico referente a WriteProcessMemory
que e encontrado es esto

0061634A   .  FF15 0CC16400 call ds:[<&KERNEL32.WriteProcessMemory>] ; \WriteProcessMemory


de todas maneras al ponerle un bp (que no se qual poner ya que no lo especifican
,yo le pongo el toggle)
i al darle al run me salta un error i se me cierra todo...

pues asi esta la cosa..
me gustaria seguir ya que el tutorial como ya e dicho trabaja con una proteccion muy similar a la que me interesa



salu2 ;)

antes de nada busca en ese mismo topic el programa ArmaFP o algo así se llama que le puse es para detectar la protección exacta de armadillo y me la pegas.

Salu2..

!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Import Table Elimination
Enable Strategic Code Splicing
Enable Memory-Patching Protections
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
Store Environment Vars Externally
Allow Only One Copy
?- Signature 466F3380 13-06-2007





Aqui lo tienes
gracias por tu tiempo ;)

bien, parece que si que te valdrá el tute.

por lo del bp, no se si bajaste mi ollydbg, está preparado para funcionar en "C:\".

se baja aqúi, http://shaddy.co.nr/OllyDBG.rar, si ya lo tienes simplemente ponle en el command bar BP WriteProcessMemory respetando las mayúsculas y te lo pondra, le das a F9 y "debería" parar.

Salu2..

bueno mas o menos vai avanzando :)

e encontrado el call encriptador y el OEP hijo
ahora llego un punto en el que tengo que nopear el call encriptador
pero no me queda claro.
como voi otra vez donde estaba el call?
i como se nopea?



gracias esto parece que tira aunque aun me queda mucho por delante

salu2 ;)

cuando le das a ALT + K, vas a el call, y para volver a donde estabas ALT + C (code) que te actualiza a donde estas en el momento, el ALT + K es el CALL STACK que quiere decir los CALL que llamaron, y tu ves quien te llamo, uno llamo el call encriptador y otro el desencriptador. ya lo dice bien en el tute, para nopear simplemente le pones el cursor en la linea le clickeas y escribes "nop" porque automáticamente te pondrá en modificar comando (si no barra espaciadora que es lo mismo).

Salu2..

pues yo sigo aqui con mi proyecto...
me cuesta bastante i en muchos pasos me encayo
pero ahora aqui si que me e quedado


El proximo paso sera colocar el loop infinito en el OEP del HIJO, el cual obtenemos con una simple cuenta:
OEP      -    Zona Base = Desplazamiento
66B92C    -     66B000    =   92C

Zona Base + Desplazamiento = Zona de los bytes del OEP

0EC0048   +  92C           =  0EC0974


el OEP ya lo tengo, lo que no entiendo es la segunda operacion

0EC0048   +  92C           =  0EC0974



gracias por tu atencion de verdad

el padre no tiene las mismas direcciones que el hijo, por lo tanto imagina que el padre tiene la dirección:

1000 y el hijo la 2000, y el OEP del padre es 1010, entonces lo que dice ahi es que mires la base del padre:

1000 y la del hijo 2000 y que calcules el desplazamiento del que sabes (el padre) que tiene desde la base hasta el OEP para poder añadirlo al hijo y calcular la dirección de su OEP, es decir, para hacer el loop tienes que saber donde comienza el hijo (OEP) y ahi hacerle un loop, el loop es simplemente que se quede todo el rato haciendo lo mismo y saltando a la misma direccion constantemente. así que el concepto es que le quites la base al oep:

1010 (OEP) - 1000 (BASE) = 10 (DESPLAZAMIENTO)

y 10 es el desplazamiento, osea, desde la base hasta el OEP hay 10 bytes, así que en el hijo sabiendo la base le sumas 10, y si la base es 2000 le sumas 10:

2000 (BASE) + 10 (DESPLAZAMIENTO) = 2010 (OEP DEL HIJO)

espero que lo entiendas, no se si te he liado mas o te lo he explicado cualquier cosa dime.

Salu2..