Foro de elhacker.net

Hola chicos:

Recien me inicio en estos lados y pues he empezado con un programa bastante sencillo que se encarga de modificar un archivo binario externo... Es decir... el programa abre un archivo .DAT lee las variable y modifica cierta parte con una formula matematica y luego guarda el archivo de nuevo... la unica pega es que en el "demo" coloca la palabra "DEMOSTRACION" en un campo de ese archivo binario que modifica...

La tarea que he querido hacer es desemsamblar el programa y eliminar la orden donde coloca la palabra "DEMOSTRACION" para que haga lo demas y me deje ese campo sin modificar... Lo he desemsanblado con W332dasm v9 y pues he encontrado las palabra Demostracion una vez, mas el nombre del archivo que modifica dos veces...

El nombre del archivo .DAT que modifica un poco mas abajo de la palabra demostracion y luego mucho mas arriba el archivo .DAT de nuvo con muchas mas instrucciones...

El problema es que he modificado algunos bytes y pues me deja de colocar la palabra "demostracion" pero el problema es que lo sustituye por espacio en blanco y en otros caso por puntos... pero el problema es que en donde va a poner la palabra "demostracion" ya hay texto y pues no me interesa que modifique ese texto... solo me interesa que haga lo demas sin colocar demostracion y asi no modificar el texto que ya esta...

cosas importante que logre ver...

"Palabra Demostracion"
mov edx, 00477608
call 00404064

"archivo binario que modifica"
mox eax, 00477634
call 0040846c
tests al, al
je 004775c0
push 00000002

y luego mucho mas arriba aparece de nuevo el archivo binario que se modifica con las siguientes instrucciones:

mov eax, 0047752c
call 0040846c
test al, al
je 004774f5
mov dl, 01
mov eax, dword ptr [ebx+0000032c]
mov ecx, dword ptr [eax]
call [ecx+64]
jmp 00477502

Mi pregunta es:

Me podrias explicar un poco que hace la rutina aqui?? veo que hace unos llamados y unos salto... ademas de algunos movimientos... pero hay algunas cosas que no entiendo como "mov dl, 01" que hace especificamente esto..

Les recuerdo que me recien comienzo y todos los manuales que consigo son con oddy o con softice y ninguno que me explique que tengo que modificar ni como en w32dasm...

Me agradaria que me explicara que hace el programa y a donde debo de ir a modificar... o que debo de buscar para modificarlo... segun tengo entendido tendria que buscar un salto y modificarlo... pero cual salto?? y modificarlo con cual digito?? utilizo el Hex workshop para modificar el archivo hex...

Muchas gracias de antemano por quienes me puedan ayudar a explicar... se que es demasiado facil el programa para ustedes pero hay muchas cosas que no comprendo... y pues quiero que me ayuden para seguir asi progresivamente avanzando... muchas gracias...

Si alguien quiere revisar el programa o modificarlo y luego decirme como se hace para entender la rutina y saber que teniamos que modificar... pues me avisan y se los paso a traves de un servidor publico o si me dejan su correo se lo paso y asi me ayudan analizando mejor el codigo... Mil Gracias

mov dl, 01 copia al registro dl "01", habría que ver el código para darte una explicación mas completa... te convendría subirlo a algún server gratuito y si alguien tiene tiempo que lo vea y te de una mano...

S2

Aqui esta el archivo a modificar... Por si alguien se atreve a ayudarme con el codigo... Si lo modifica puede explicarme luego que modifico para poder yo aprender...

http://www.zshare.net/download/5432772e353fff/

Gracias de Antemano al valiente...

Hola guruangel, bienvenido.

He echado un vistazo a tu archivo ejecutable y da error al intentar leer una zona de memoria en una dirección que no pertenece al ejecutable.
He analizado la Import Table y no logro ver cual es el fallo. ¿Has arreglado correctamente la IAT? ¿Es el ejecutable original? yo diría que no.

Mira, las librerías que importa son todas de system32 y además el programa está compilado con Delphi, así que no debería tener ninguna dependencia más (en principio, solamente para cargarlo y llegar al OEP).
Yo particularmente creo que el dumpeado que has hecho no es correcto. Para no cometer errores sube solamente el instalador y así no habrá problemas...

Un saludo.
karmany

PD. Para localizar los eventos en Delphi puedes utilizar Dede, EA2, MiniDe y muchos programas más, que te dirán mucha información.
Una última cosa... en vez de analizarlo con WinDasm utiliza el OllyDBG que tiene muchísimas más opciones y es mucho más sencillo dar con la solución a tu problema.

Gracias por responder chicos...

Les comento que he subido el instalador de nuevo y ademas algunas otras instrucciones para que se le haga mas facil ayudarme... Ya he probado con el OllyDBG y el OllyPersonal y pues ambos me siguen pareciendo extraños... Estoy dandole con el curso de Ricardo pero a veces me medio pierdo entre los saltos y la estructura del programa... Quizas este programa no es tan facil o es muy diferente al tener que eliminar un NAG o buscar un serial...

Aqui les dejo el programa original.... con su instalador y ademas el archivo binario que modifica solo para que le echen un vistazo... y tambien les dejo un supuesto CODIGO FUENTE que encontre que es del mismo programa... Pueden analizar la estructura de como esta diseñado el programa. Aunque no estoy seguro que sea del mismo ejecutable que les estoy pasando... pero hace lo mismo... Si alguien pudiera compilarlo y pasarme el ejecutable estare muy agradecido igualmente... Eso tambien me ayudaria a aprender a programar... jejejeje

Muchas gracias de antemano nuevamente y pues seguire con los manuales de Ricardo a ver si doy con el problema... Lo que si puedo asegurarle que me dijo el PEiD es que esta diseñado en Delphi y no esta protegido... Aqui el enlace de descarga... Disculpen que sea de 5 megas...

http://www.zshare.net/download/5445445f048502/

Gracias futuros colegas.. :D

Pues no logro ver los cambios que me dices, he cogido el .dat que tu subiste y el otro, y lo he "modificado" segun dice el programa, hice una comparacion binaria y queda igual, así que no se que es lo que modifica, tampoco tiene cadenas que digan "DEMO" y el programa si que vi zonas interesantes pero si no puedo ver que es lo que quieres hacer exactamente no sirve de nada.

Salu2..

El programa que has colgado es el completo porque a mi no me pone nada de que es una versión Demo :S menuda ***** de programa por cierto

Hola Chicos:

Primero que nada... No estoy loco... jejeje... Estoy seguro que el archivo es DEMO... lo que pasa es que no hace lo que comunmente hacen los demas demo... no marca "DEMO" por ningun lado... dejenme explicarle como funciona el programa para los que me quieran ayudar...

Aqui esta el mismo ultimo enlace que subi:

http://www.zshare.net/download/5445445f048502/

Alli encontraran tres carpetas... En uno instalan el programa... en la otra carpeta esta el archivo DAT a modificar... y una ultima con un codico fuente que es supuestamente de una aplicacion como la de este demo segun supongo... pero que aun no he conseguido compilar porque me da una serie de errores...

Al instalarlo se van a la carpeta de programa y encontraran dos archivos... uno que esta realizado en Delphi 7 y otro secundario que es realizado en un compilador bajo DOS...

ok... abren el programa y seleccionan de la lista el archivo binario que esta incluido en la carpeta de descarga... y luego que le dan "Realizar Cambios" me aparece una ventana donde dice "Cambios realizados satisfactoriamente" y luego cerramos el programa...

Segun entiendo el programa diseñado en delphi (que es el que se supone hay que crackear) tiene una serie de modificaciones que hace al archivo binario... unas multiplicaciones y divisiones que hace a algunas variables de ese archivo... pero ademas de todo eso... tambien selecciona una descripcion que aparece en ese archivo binario y las cambia por la palabra "Demostracion" y lo guarda conjuntamente con las modificaciones que hace a las demas variables...

Solo necesito que el haga las modificaciones a las variables pero que cuando tenga que modificar la variable "descripcion" no la modifique con la palabra "demostracion" sino que la deje funcionando tal cual como esta con la descripcion que tiene...

Prueben y veran que si abren el archivo binario con el bloc de notas despues que lo hayan modificado se incluye la palabra "Demostracion" en el archivo binario...

Lo que no se es si el programa que hay que crackear es el archivo Delphi o es el otro archivo realizado en DOS que no he encontrado que ningun desensamblador me lo reconozca y menos se con que esta diseñado... Gracias de antemano de nuevo y pues no creo que sea tan dificil de verificar... Ayudenmeeeee pleaseeee

Pues te digo que hice tal y como tu has dicho, y no me MODIFICA ABSOLUTAMENTE NADA, tal como tu lo pusiste ahí, yo lo he hecho, y el .DAT me lo deja igual, es más, le pase el ultra compare (de ultraedit) y no detecto ni un solo cambio.

Necesito más información.

Salu2..

Ok Amigo ShadowDark:

No se como explicarme mas... Pero le agrego los archivos modificados aqui... en esta direccion:

http://www.zshare.net/download/5548986c07aa4b/

Solo puedo explicarte que en este ultimo paquete te he puesto una carpeta con el archivo binario original (Este es mas pequeño que el anterior... es otro) y en otra carpeta el archivo binario modificado... puedes abrirlo con notepad y veras que aparece la palabra "demostracion" Ademas te agrego captura de pantalla de antes de la modificacion en la misma carpeta... y despues de la modificacion para que veas a lo que me refiero con la modificacion...

Ademas, agrego el archivo que me genera w32dasm donde me aparecen los comentarios del archivo a modificar... ademas de la palabra "demostracion"... Espero te sirva esta informacion para que me puedas ayudar....

Bien vale.. el tuyo lo veo, pero te digo que no hay manera de que me lo modifique... lo estoy mirando exactamente y mira, te digo que todo el rato comprueba en el arbol de raiz si esta el "aprod.dat", si está la línea esta:

00408477      0F95C0                setne al

será verdadera, es decir, hay un "aprod.dat" y por lo tanto lo muestra, una vez lo hay cuando le das a ejecutar cambios, ejecuta con una línea de comando ésto:

"csaint.exe C:\Documents and Settings\Usuario\Escritorio DEMOSTRACION_NO_FALLA_0414-4348711"

es decir, se confirma (creo) que utiliza el csaint.exe para realizar los cambios, pero ¿porque pone la cadena? si ni siquiera le indica que aprod.dat, como va a ejecutar eso ¬¬.. mira para comprobarlo dime si en esta línea:

004775BB  |.  E8 20ECF8FF           call <jmp.&kernel32.WinExec>                   ; \WinExec

te sale esa cadena al ejecutar, es decir, pones un bp con f2 en esa linea y cuando pare me pasteas la pila (la ventana de abajo a la derecha), algo así:


Salu2..

Oye ShadowDark, contigo si que da gusto aprender... jejeje... :xD

Te explico la situación, segui al pie de la letra tus instrucciones y pues... efectivamente si pasa lo que me dijiste.... Te paso el fragmento que aparece... Aqui te copio un pedazo hacia arriba y otro pedazo de abajo por si te sirve de algo... Al menos ya comprendo que es lo que hace el programa...

DATO: El programa no es necesario que le diga que esta el archivo aprod.dat en X lugar... no hay otro archivo a modificar... puedes tener 1 archivos binarios en la misma carpeta pero el va a busca siempre el mismo... aprod.dat.

Si logras ver el codigo fuente que te pase... pues quizas te sirva de ayuda... aun no encuentro con que programa compilarlo... pero creo que es turbo pascal 7 donde esta realizado. Gracias por la ayuda... Y espero por mas instrucciones... tan facil de manejar como las que me vienes dando...


Codigo:

0012F594   00A6480A
0012F598   004043B6  Cambio.004043B6
0012F59C   00A6479C  ASCII "csaint.exe C:\Archivos de programa\Digital Byte\Saint Administrativo Cambio DEMOSTRACION_NO_FALLA_0414-4348711"
0012F5A0   004043CB  Cambio.004043CB
0012F5A4   00000004
0012F5A8   0012F770
0012F5AC   0042DADC  Cambio.0042DADC
0012F5B0   00A6496C
0012F5B4   004775B2  Cambio.004775B2
0012F5B8   00477608  ASCII "DEMOSTRACION_NO_FALLA_0414-4348711"
0012F5BC   0047765C  Cambio.0047765C
0012F5C0   00A62358  ASCII "C:\Archivos de programa\Digital Byte\Saint Administrativo Cambio"
0012F5C4   00A6479C  |CmdLine = "csaint.exe C:\Archivos de programa\Digital Byte\Saint Administrativo Cambio DEMOSTRACION_NO_FALLA_0414-4348711"
0012F5C8   00000002  \ShowState = SW_SHOWMINIMIZED
0012F5CC   0012F924  Pointer to next SEH record
0012F5D0   004775F1  SE handler
0012F5D4   0012F5EC
0012F5D8   00A68950
0012F5DC   00A6479C  ASCII "csaint.exe C:\Archivos de programa\Digital Byte\Saint Administrativo Cambio DEMOSTRACION_NO_FALLA_0414-4348711"
0012F5E0   00477608  ASCII "DEMOSTRACION_NO_FALLA_0414-4348711"
0012F5E4   00A62358  ASCII "C:\Archivos de programa\Digital Byte\Saint Administrativo Cambio"
0012F5E8   00A6260C  ASCII "C:\Archivos de programa\Digital Byte\Saint Administrativo Cambio"
0012F5EC  /0012F734
0012F5F0  |0043F976  RETURN to Cambio.0043F976

Pues haz una prueba, ves al a linea que tiene lo de DEMOnoseque y la seleccionas, le das a Follow in dump - select constant o algo así xD, el caso es que te mostrará el texto en la ventana de abajo a la derecha, seleccionas lo de demostracion, el texto entero y le das al espacio (o escribes directamente xD) y le metes TODO 0s, así que cuando genere la rute que la genere sin el DEMOSTRACION, a ver si no te las chafa, es posible que al mandarle ese parámetro sustituya lo que hay por esa cadena, y si dejas la cadena a 0 no chafe nada (asegurate de quitar el espacio final).

Salu2..

Ok... siguiendo tus consejos hice lo que me indicaste y pues aunque no se que signifique "me chafe" imagino que sera si no me da error... jejeje... Aqui en Venezuela no se conoce ese termino... y me aparecio lo siguiente:

00477578  |.  8D45 F4               lea eax,[local.3]
0047757B      0000                  add ds:[eax],al
0047757D      0000                  add ds:[eax],al
0047757F      00E8                  add al,ch
00477581  |?  DF                    ???                                            ;  Unknown command
00477582  |?  CA F8FF               retf 0FFF8                                     ;  Far return


Y pues al intentar seguir el error que me marca en el 00477581 me congela el programa y no hace mas nada... y me da error en el Olly que dice:

Dont know how to bypass command at address00477584, try to change EIP or pass excepcion to program...

Ahora probando me fui al editor hexadecimal... busque donde aparecia la palabra "demostracion" y la sustitui con Zeros 00 y pues guarde y volvi a probar y pues ahora funciona el programa bien... Pero no modifica nada en el archivo binario... ni lo que tiene que modificar y mucho menos donde tiene que poner la palabra "Demostracion"

Que otra opcion tengo... ?? Seguiremos probando con otra alternativa...

a ver, lo que tienes que hacer, es cuando estas en esa linea (cuando metes el breakpoint), donde se ve la RUTA de comandos, editarla para que no ponga el DEMO, sin más).

Salu2..

guruangel eres una rata jajajajaja yo te dejo el programa mas barato 100 mil bs. para q te ganes tu dinerito ya tengo el del contable...

Mandame un Demo para probarlo... jajajaja...

Mi pana no soy ninguna rata... Tengo el codigo fuente del programa... solo lo hago para aprender... quiero saber como se salta la proteccion de este tipo de archivos... Ademas que este no es tu programa... el tuyo esta realizado en DOS y pues no es Windows como este... jejejeje... El dueño de este me ofrecio todos en 100 mil... y tu uno solo por 100 mil... Pero tranquilo que solo me interesa aprender... Ademas... Tu mismo crackeaste el tuyo... No te quejes... jejejeje

bueno menos charla y mas comentar xD, como va la cosa?

Salu2..

Ok... Hace rato no probe porque no tenia suficiente tiempo y pues respondi al chico que me ofrecio el programa completo... jejeje... un cracker vendiendo un programa crackeado... a precio de original... Bueno... te explico...

Pongo a funcionar el programa en el olly... le doy F9 y se detiene en el bp que ya habia creado... justo en ese momento me voy abajo a la izquierda donde esta la pila donde aparece el siguiente codigo:

0012F5C0   00A6AF6C  ASCII "C:\Archivos de programa\Digital Byte2\Saint Administrativo Cambio"

0012F5C4   00A66110  |CmdLine = "csaint.exe C:\Archivos de programa\Digital Byte2\Saint Administrativo Cambio DEMOSTRACION_NO_FALLA_0414-4348711"

0012F5C8   00000002  \ShowState = SW_SHOWMINIMIZED

Hice unos cambios para probar... jejeje.. En la primera linea es el directorio donde esta el archivo APROD.DAT a modificar... Luego en la segunda linea esta el comando que me dices que modifique... ok... alli selecciono y me voy al FOLLOW IN DUMP y pues marco todo el codigo y lo modifico por Zeros (0's) le doy ACEPTAR y pues el programa termina... pero lo que no comprendo es que no me modifica nada...

No se si es que no me modifica nada en el archivo binario porque lo estoy trabajando en el Olly o porque de verdad no modifica nada porque elimine esa linea...

¿Existe una manera de guardar esos cambios en el ejecutable y hacerlo luego por el mismo programa a ver si me cambia algo? Porque no se donde aparece el offset de esa parte para modificarla en el hexadecimal y guardar los cambios...

Entiendo como trabaja el programa pero igual me confunde ese pedacito... espero por mas instrucciones a ver que pasa...

Ok shadowdark.... Adelantos...

Desintale el programa... lo volvi a instalar... pero igualmente no me modificaba el archivo binario...  asi que agarre el archivo binario y cree en C: una carpeta llamada SAINT y dentro de esa carpeta cree otra mas llamada DATA y meti alli el archivo binario APROD.DAT y pues ahora si lo modifica normalmente con el "DEMOSTRACION"...

Abro el Olly... abro el programa y pues le pongo el bp con F2... sigo adelante y pues ahora elimino todo lo que dice DEMOSTRACION continuo y cuando reviso... Ahora si me lo modifico... pero ejecuta la rutina... efectua la division que debe efectuar pero entonces me deja la descripcion en blanco en vez de dejar el nombre que estaba en esa descripcion.

Sigo probando... y cualquier nombre o letra que coloque en donde va DEMOSTRACION pues el me la modifica y me la pone... pero si elimino todo pues elimina la descripcion del producto que estaba antes y lo cambia por espacio en blanco... Imagino que lo que hace con las demas cosas que modifica es leer los datos... copiarlo a la memoria... efectuar la division que debe efectuar y volver a escribirlos en el mismo lugar... en cambio en la descripcion no copia la informacion a la memoria sino que simplemente agrega la linea de demostracion sin importar lo que haya antes alli... y pues la descripcion que estaba me la sustituye con DEMOSTRACION...

Mi duda ahora es... ¿¿es posible saltar esta instruccion a algun otro punto donde efectue la division que debe efectuar pero que no modifique la descripcion ni con la palabra DEMOSTRACION ni con el espacio en blanco en caso de eliminar esa palabra?? O sera que el otro archivo realizado en DOS al que le manda las instrucciones a modificar tiene algo que ver con este proceso... Me parece interesante la aplicacion... jejejeje... Gracias por seguir ayudandome...

lógicamente si ejecutas el .exe de DOS con esos parámetros, será el mismo .exe el que tenga esa función, así que tendremos que indagar en el propio .exe de DOS que es el que se encarga de gestionar ese tipo de cosas.

Salu2..

Estuve viendo la herramienta DOS pero ademas de que me lanza un error al iniciar Olly donde me dice que esa no es una aplicacion de 32 bits pues no encontre nada interesante en el codigo...

Es decir... no hay texto llamativo como en el otro programa como DEMO o cosas asi... puro codigo y pues no se por donde buscar... Deme datos... que debo buscar y mas o menos que podria encontrar en ese programa tomando en cuenta lo que viene desde el otro programa por linea de comandos...

Espero instrucciones...

Bueno, no tienes que buscar nada de DEMO, lo que tienes que ver son los argumentos que le pasas, tienes que pasarle argumentos con OllyDBG (debug-arguments) y buscar en la memoria que hace con ellos, así verás donde escribe la cadena para que no escriba nada.

Salu2 :)...

bueno... estuve mirando tu programa y logré hacerlo funcionar (al parecer no quiere funcionar desde "Archivos de prog...", tonces lo copié a C y le puse un nombre de menos de 8 caracteres), la cosa es que lo que hace es muy simple, llama al segundo programa para que haga los cambios con los 2 argumentos, pero que pasa si falta uno? funciona correctamente (va en realidad vi que solo modifica unos datos pero no pone el mencionado argumento) como podes probar esto? lo abrís con el olly, y cuando va a llamar a "winexec" te vas a "Follow in Dump" de eax (el argumento a ser enviado) y eliminas el 2º argumento haciendo doble clic sobre el espacio y pones 0, te queda así:

00A66D0C  63 73 61 69 6E 74 2E 65 78 65 20 43 3A 5C 63 61  csaint.exe C:\ca
00A66D1C  6D 62 69 6F 00 44 45 4D 4F 53 54 52 41 43 49 4F  mbio DEMOSTRACIO
00A66D2C  4E 5F 4E 4F 5F 46 41 4C 4C 41 5F 30 34 31 34 2D  N_NO_FALLA_0414-
00A66D3C  34 33 34 38 37 31 31                             4348711

y entonces que pasa si el cartel no existe?

abrís el programa con un editor hexadecimal, buscás el cartelito y cuando lo encontrás remplazás la primera letra con 00

00076a00h: FF FF FF FF 22 00 00 00 00 45 4D 4F 53 54 52 41 ; ÿÿÿÿ"....EMOSTRA
00076a10h: 43 49 4F 4E 5F 4E 4F 5F 46 41 4C 4C 41 5F 30 34 ; CION_NO_FALLA_04

y listo... cuando quiera unir el segundo argumento este va a ser nulo... prueba esto y dime que onda...

S2

Hola chicos... He seguido las dos instrucciones... y el resultado es el siguiente...

Segui con el metodo de ShadowDark y cargue el segundo archivo... meti un argumento y me manda a restablecer el programa... restart y se para en un push... entonces revise hacia arriba y me aparece unos argumentos.. marcados con el numero 1... 2... etc... pero en realidad no se como usar esto de los argumentos...(recuerden que soy novato aun) asi que les dejo la parte que encontre para entonces me den instrucciones de como actuar ahora...

0F00F316  /$  8BFF                  mov edi,edi
0F00F318  |.  55                    push ebp
0F00F319  |.  8BEC                  mov ebp,esp
0F00F31B  |.  57                    push edi
0F00F31C  |.  8B7D 08               mov edi,[arg.1]
0F00F31F  |.  57                    push edi                                       ; /Arg1
0F00F320  |.  E8 599D0000           call ntvdm.0F01907E                            ; \ntvdm.0F01907E
0F00F325  |.  0FB6C0                movzx eax,al
0F00F328  |.  48                    dec eax
0F00F329  |.  48                    dec eax
0F00F32A  |.  74 16                 je short ntvdm.0F00F342
0F00F32C  |.  8B4D 10               mov ecx,[arg.3]
0F00F32F  |.  8BC1                  mov eax,ecx
0F00F331  |.  56                    push esi
0F00F332  |.  8B75 0C               mov esi,[arg.2]
0F00F335  |.  C1E9 02               shr ecx,2
0F00F338  |.  F3:A5                 rep movs dword ptr es:[edi],dword ptr ds:[esi]
0F00F33A  |.  8BC8                  mov ecx,eax
0F00F33C  |.  83E1 03               and ecx,3
0F00F33F  |.  F3:A4                 rep movs byte ptr es:[edi],byte ptr ds:[esi]
0F00F341  |.  5E                    pop esi
0F00F342  |>  5F                    pop edi
0F00F343  |.  5D                    pop ebp
0F00F344  \.  C2 0C00               retn 0C
0F00F347      CC                    int3
0F00F348      CC                    int3
0F00F349      CC                    int3
0F00F34A      CC                    int3
0F00F34B      CC                    int3
0F00F34C > $  6A 18                 push 18
0F00F34E   .  68 4816000F           push ntvdm.0F001648
0F00F353   .  E8 4CC20000           call ntvdm.0F01B5A4
0F00F358   .  BF 94000000           mov edi,94
0F00F35D   .  8BC7                  mov eax,edi
0F00F35F   .  E8 3CCA0000           call ntvdm.0F01BDA0
0F00F364   .  8965 E8               mov ss:[ebp-18],esp
0F00F367   .  8BF4                  mov esi,esp
0F00F369   .  893E                  mov ds:[esi],edi
0F00F36B   .  56                    push <<<<<< AQUI ES DONDE SE DETIENE esi                                       ; /pVersionInformation
0F00F36C   .  FF15 2C10000F         call ds:[<&KERNEL32.GetVersionExA>]            ; \GetVersionExA
0F00F372   .  8B46 10               mov eax,ds:[esi+10]
0F00F375   .  A3 685A060F           mov ds:[F065A68],eax
0F00F37A   .  8B4E 04               mov ecx,ds:[esi+4]
0F00F37D   .  890D 745A060F         mov ds:[F065A74],ecx
0F00F383   .  8B56 08               mov edx,ds:[esi+8]
0F00F386   .  8915 785A060F         mov ds:[F065A78],edx
0F00F38C   .  8B76 0C               mov esi,ds:[esi+C]
0F00F38F   .  81E6 FF7F0000         and esi,7FFF
0F00F395   .  8935 6C5A060F         mov ds:[F065A6C],esi
0F00F39B   .  83F8 02               cmp eax,2
0F00F39E   .  74 0C                 je short ntvdm.0F00F3AC

Entonces segui con el segundo metodo de Karman... Pero me pasa lo mismo que antes... que me quita la descripcion que tenia antes en el archivo binario y me deja el espacio en blanco... pero si hace el segundo argumentos...

Espero me guien con el uso de los argumentos y como deberia de actuar... mas o menos que deberia de buscar y que otra cosa deberia hacer y en que parte del Olly... Gracias a Karman por seguir con la ayuda al igual que ShadowDark...

si te deja la descripción en blanco es por una condición del Delphi, que deriva del pascal y utiliza el sistema "primer caracter longitud del texto"... entonces al reemplazar el texto el primer carácter define la longitud... y como este es 0 no te lo muestra, en consecuencia... tendrías que modificar el archivo en DOS para que no te reemplace la longitud de la cadena... el chiste del programador fue colocar el corazón del programa en DOS que es un lenguaje muerto (está de moda hacer eso ahora... xD) ya que es difícil de debugear y desensamblar... habría que analizar lo que hace el programa en DOS...

S2

Ok... es lo que me habia hecho referencia ShadowDark... a ver... que sugerencias me das para analizar ese archivo... Segun el RDG Packer Detector 0.63 me dice que esta compilado con MiniGw Gcc V2.xx

Segun averigue eso es un programa que usa unas librerias o plugin para compilar varios lenguajes... entre los que compila no aparece el Turbo Pascal... Pero tengo entendido que eso esta realizado en Turbo Pascal...

Asi que no confio de ese detector... jejeje... Espero por mas instrucciones a ver como sigo analizando ese sistema...

tendrías que desensamblarlo con algún disassembler de DOS, que como mencioné no son muy conocidos por ser un lenguaje muy viejo.... y la verdad, en DOS no existen DLL's así que el código se reutiliza por lo que no vas a encontrar llamadas a funciones definidas... sinó a funciones locales (que hacen lo mismo que las funciones definidas) pero no están tan documentadas... una segunda opción sería crear un patcher que sepa identificar los registros de tu archivo DAT y pueda corregir el mencionado carater "inicial" que elimina la descripción....

S2

Bueno... ibamos bien hasta que dijiste eso de hacer un Parcher... jejeje... Creo que soy muy novato aun y este programa es mucho para mi... jejeje... Es decir... tengo que ir quemando etapas... y bueno.. dejame ver si consigo un programa para desensamblarlo y seguir antes de que lo abandone... Gracias... esperare por algun programa mientras sigo buscando una solucion...

para lo del patcher tendrías que saber la estructura bajo la cual se guardan los datos en el archivo, que podría ser algo así:

registro datos:
  num lngnomb;
  alfan Nombre;
  num cant;
  num mod;
  ..
  etc...
fin reg;

y con esto leer el archivo modificado (el que tiene la descripción en blanco) y corregir el dato lngnomb... pero para eso tendrías que averiguar bien primero dicho registro....

S2

 Bueno Sres. Me agrada sobre manera que se hayan dedicado a tratar de quitar la palabra demo de mi programa De Cambio al Bolivar Fuerte. Creo que ya es tarde lo libere gratis en la web. (por supuesto despues de haberlo vendido  225 veces hasta el viernes).
 No era necesario hacer todo lo que que dicen que trataron de hacer era mejor sentarse con la libreria tipos (que aparece en todos los Saint) y hacer el programita no creen?. De todas maneras me da mucho placer que alguien haya perdido el tiempoe n eso. Muchas veces no se ve lo que esta en la punta de la nariz
 Saludos Ing. Victor J. Acosta L. cel 0414-4348711 en Venezuela
  Como diria Soda Stereo ..... Gracias TOTALES  :P

Era tuyo el programa??? se lo vendiste a alguien??? que boludos!!! xD


Ni idea que son esas librerías... es más... ni idea que es el saint... xD


no fue una perdida de tiempo... nos apasiona analizar los programas de otros para "joderlos", es más... yo lo crackié al Winrar y hay como 200 cracks de distintas personas en la web... es el hecho de "hacerlo uno"... xD

S2

PD: Además... tampoco le dedicamos taaaanto tiempo... xD

Hay que ver chicos...

Se dejaron joder por ese tal victor... Es mas... se puso a decir en su pagina web que un poco de hacker le intentaron copiar el programa y desbloquearlo y no pudieron... jajajaja.. En realidad yo lo estoy haciendo por entretenerme y por aprender mucho mas... Imagino que ustedes estan compartiendo sus conocimientos conmigo... Asi que no se a que se refiere con que estamos perdiendo el tiempo con el programa... jajajaja

El programa lo tengo desbloqueado... solo quiero aprender como ha hecho para lo del programa y ponerle la palabra "demo" y pues como desemsanbrar el programa DOS...

Bueno... estuve de vacaciones un tiempo.. pero he regresado para seguir trabajando con este programa y darle a entender al chamo que su programa no es incrackeable... Solo que me ha servido para aprender mucho mas sobre el cracking... Suerte... Continuemos trabajando...

Ten cuidado con las palabras que utilizas amigo, te aseguro que si pusiésemos un interés real la cosa hubiese sido diferente, a mi no me interesaba realmente ese programa, vi que realmente el que hacia el trabajo sucio era el programa en DOS que lo lanzaba mediante consola el proceso padre (el de w32), y la verdad, no tenía muchas ganas de depurar el de consola, no eres ni un genio, ni debes de ser alavado por nada, nuestra intención es totalmente altruista y nosotros decidimos donde está el límite de lo que queremos hacer. Si te sientes alagado por nuestra intención, me parece perfecto, pero hay cierto tipo de cosas que no debes confundir, porque es posible que tropieces con alguna piedra.

Un saludo.

Por cierto ya me dirás cual es la página de nuestro amigo.

Salu2...

Hola a todos..

La palabra "DEMOSTRACION" le elimina generando un archivo adicional.. en el cual se incluye el nombre y dirección de la empresa..

Si lo quereis te bueno enviar uno para que proveis..

Saludos

Aqui esta la susodicha pagina... Y por cierto... Queria informarle que ayer en cuestiones de minutos logre crakear el programa... hasta hice una aplicacion nueva con muchas mas funciones... En solo un dia... (Ahora les traigo un par de capturas y mas informacion) El chicuelo esta jodido... Porque esta en los foros pidiendo ayuda sobre otros agregados de esta aplicacion... y todo el mundo lo ayuda gratis y el degenerado vende el programa por cerca de 150 Dolares americanos...

http://www.saintbf.blogspot.com/

Observen lo que dijo de ustedes ShadowDark...

Amigo gracias por responder... Pero si hubieras leido desde el principio lo que se esta tratando de hacer no hubieras confundido el querer crackear el Saint Administrativo con querer crackear una aplicacion de agregado para el Saint Administrativo que pasa los precios del Bolivar normal a Bolivar Fuerte... Es una aplicacion para uso interno en Venezuela solamente... Gracias por resposder de todos modos...

P.D.: lo que tu dices es para legalizar y personalizar el Saint y eso ya lo he logrado... Lo tengo personalizado... Necesitaba crackear otro programa pero ya lo termine de crackear... Gracias y Suerte... Seguire con otra aplicacion

No tengo porque seguir con éste tema ;). Soy practicante de la ingeniería inversa, siempre con un fin altruísta (o casi siempre :P). Así que quizás te equivocas cuando piensas que soy un "Hacker", no soy ni me dedico a eso. Si quieres aprender éste foro esta abierto a cualquier tipo de pregunta, orientada también a proteger tanto tu software como a desprotegerlo. Pero cualquier otro afán de superioridad o protagonismo, al menos, por mi parte, no pienso darle valor.

Salu2..

BUENO SEÑORES AQUI LLEGO YO A SUBIR LA APUESTA, NECESITO SABER QUIEN Y COMO HAN PODIDO PERSONALIZAR EL SAINT 8.7.0... SI SEÑORES EL MISMO QUE SE PUEDE BAJAR DESDE LA PAGINA WWW.SAINTNET.COM. YA YO LO TENGO FUNCIONANDO CON UN SERVIDOR SQL 2005 Y TODO, LO QUE NECESITO AHORA ES PERSONALIZAR EL PAQUETE PARA PONERLO A TRABAJAR.

amigos, podrian poner el link en rapidshare del programa ya crackeado, es q en la web del autor no esta  ;D

Salu2

lo que te voy a pedir es posible que no accedas, necesito ayuda para demostrarle a un engreido que el saint administrativo nuevo, el administrativo para windows no es incraqueable,  :-[ necesito personalizarlo, si ya se que el tal victor echo una buena pero yo solo quiero personalizar el programa para lograr algo personal no comercial. sei puedes ayudarme mi correo es intelys@gmail.com.
Por cierto ya me inscribi en la pagina para no hacer estos papelotes y aprender a hacer las cosas yo mismo, pero mi problema ahora es de tiempo, por favor ayudame

bueno danos el link.

Shaddy

http://www.saintnet.com/download/Admin8733_sql.EXE (http://www.saintnet.com/download/Admin8733_sql.EXE) administrativo
http://saintnet.com/download/InstNominaee430_sql.exe (http://saintnet.com/download/InstNominaee430_sql.exe) nomina

Me gustaria saber como quitar la licencia demo de esta nueva version del programa.

1.- Lo necesito para usarlo y soy malisimo en esto que uds hacen y pues como vi el tema sencillamente trato de ver si puedo hacer 2 cosas 1 aprender en este arte y 2 lograr tenerlo para usarlo simplemente para ver toda su prestaciones e instalarlo para usarlo claro esta.

si me pueden enviar un mp o correo (ver perfil) con como personalizarlo de verdad mucho sabria agradecerlo.

AMIGO COMO HAGO PARA ELIMINAR LA PALABRA DEMOSTRACION DE MI SAINT ADMINISTRATIVO ENTERPRISE DE VERDAD NECESITO ESE FAVOR YA LO TENGO INSTALADO CON EL SQL 2005 PERO NO PUEDO TRABAJARLO PORQUE NO ESTA PERSONALIZADO

hola amigos soy nuevo en esto y tengo mucho tiempo tratande de hacer eso de quitar lo DEMO de los programas lo logre con uno pero lo unico que puede hacer fue cambiar DEMO por FREE pero solo fueron las letras todavia sigue siendo demo el programita es ADN RIF lo hice con un programita muy bueno que se llama Open Freely ya que el Olly me queda algo grande si alguna persona desea apoyarme y ayudarme le agredeceria
el programa ADN RIF esta echo en Xailer