Foro de elhacker.net

Hola,

Antes de nada Feliz Navidad al foro elhacker.net .

ahora mi duda.

Estoy intentando crackear un programa realizado en delphi 7 ó 8 eso me dice el RDG . El caso es que es trial y a caducado y cuando ejecuto el programa sale una pu ñetera nag screen pero no tengo muchas nociones de cracking y no se por donde tirar .

He puesto un breakpoint en ShowWindow y funciona, es decir, se para antes de crear el nag , pero no me acuerdo de como se hacia para ir hacia atras en las instrucciones y situarte en la que hizo la llamada a la funcion .

No se si me he explicado correctamente , pero espero que se entienda el problema.

Salu2

Puedes o bien pulsar "ALT + K" (Call Stack) y verás las  llamadas que se hicieron desde la función Show Window o bien darle a "ALT + F9" para volver al código del módulo principal, y una vez ahí estarás justo debajo de la llamada...

Un saludo.

P.D: Si quieres cuando estes seguro que el call es el de la llamada puedes poner una imagen, feliz navidad :).

Yo hice un tute para eliminar Nagietas de Delphis

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/838-COMO_ELIMINAR_NAGS_EN_PROGRAMAS_DELPHI.rar (http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/838-COMO_ELIMINAR_NAGS_EN_PROGRAMAS_DELPHI.rar)

espero te sirva

Feliz Año Nuevo.. 

Shady, tanta espuma en la cabeza te quedaste en navidad jejeje :)

Muchas gracias por vuestra ayuda .

Voy a ver si saco algo jejej .

Salu2

FELIZ NAVIDAD Y ENTRADA Y SALIDA DE AÑO . 

Nos os pongais muuu  :rolleyes: .

Hola de nuevo,

He intentado lo que me decis con algunos resultados, pero no se si voy por buen camino .

He intentado crear un BP en getcapture ( Bueno eso creo ) , pero no consigo nada por hay .

Lo que si hace que la ventana no aparezca es un BP en CreateWindow y luego hice lo del ALT+F9 para volver a la llamada , de hay aparezco donde muestro abajo ,pero no se si voy bien no localizo nada que me evite el nag .

Esta es la call que llama a la creacion del nag creo .

7B223A76    8985 5CFFFFFF           MOV DWORD PTR SS:[EBP-A4],EAX
7B223A7C    8B8D 60FFFFFF           MOV ECX,DWORD PTR SS:[EBP-A0]
7B223A82    33D2                    XOR EDX,EDX
7B223A84    E8 8355E4FF             CALL System_W.7B06900C
7B223A89    8B8D 60FFFFFF           MOV ECX,DWORD PTR SS:[EBP-A0]
7B223A8F    33D2                    XOR EDX,EDX
7B223A91    E8 0656E4FF             CALL System_W.7B06909C
7B223A96    8B85 60FFFFFF           MOV EAX,DWORD PTR SS:[EBP-A0]
7B223A9C    33D2                    XOR EDX,EDX
7B223A9E    8990 FC000000           MOV DWORD PTR DS:[EAX+FC],EDX
7B223AA4    C785 34FFFFFF 58854A7B  MOV DWORD PTR SS:[EBP-CC],System_W.7B4A8558
7B223AAE    89A5 38FFFFFF           MOV DWORD PTR SS:[EBP-C8],ESP
7B223AB4    8B85 64FFFFFF           MOV EAX,DWORD PTR SS:[EBP-9C]
7B223ABA    68 CF3A227B             PUSH System_W.7B223ACF
7B223ABF    8F85 3CFFFFFF           POP DWORD PTR SS:[EBP-C4]
7B223AC5    C640 08 00              MOV BYTE PTR DS:[EAX+8],0
7B223AC9    FF15 BC33447B           CALL DWORD PTR DS:[7B4433BC]                   ; System_W.7B64FA18
7B223ACF    8B8D 64FFFFFF           MOV ECX,DWORD PTR SS:[EBP-9C]
7B223AD5    C641 08 01              MOV BYTE PTR DS:[ECX+8],1
7B223AD9    833D F017387A 00        CMP DWORD PTR DS:[7A3817F0],0
7B223AE0    74 07                   JE SHORT System_W.7B223AE9
7B223AE2    50                      PUSH EAX
7B223AE3    E8 C449D7FE             CALL mscorwks.79F984AC
7B223AE8    58                      POP EAX
7B223AE9    8BF8                    MOV EDI,EAX
7B223AEB    B9 01000000             MOV ECX,1
7B223AF0    E8 EBFFC4FE             CALL mscorwks.79E73AE0
7B223AF5    8BB0 6C090000           MOV ESI,DWORD PTR DS:[EAX+96C]
7B223AFB    8BD6                    MOV EDX,ESI
7B223AFD    8BCF                    MOV ECX,EDI
7B223AFF    E8 9C7712FE             CALL mscorlib.7934B2A0
7B223B04    85C0                    TEST EAX,EAX
7B223B06    74 3A                   JE SHORT System_W.7B223B42
7B223B08    8D85 70FFFFFF           LEA EAX,DWORD PTR SS:[EBP-90]
7B223B0E    33D2                    XOR EDX,EDX
7B223B10    8910                    MOV DWORD PTR DS:[EAX],EDX
7B223B12    8978 04                 MOV DWORD PTR DS:[EAX+4],EDI
7B223B15    8D85 70FFFFFF           LEA EAX,DWORD PTR SS:[EBP-90]
7B223B1B    FF70 04                 PUSH DWORD PTR DS:[EAX+4]
7B223B1E    FF30                    PUSH DWORD PTR DS:[EAX]
7B223B20    8D4A 01                 LEA ECX,DWORD PTR DS:[EDX+1]


sigo la call con F7 y luego F8 hasta llegar aqui
aqui llama al nag

7B223DA0    8B85 60FFFFFF           MOV EAX,DWORD PTR SS:[EBP-A0]
7B223DA6    83B8 F8000000 00        CMP DWORD PTR DS:[EAX+F8],0
7B223DAD    75 2F                   JNZ SHORT System_W.7B223DDE
7B223DAF    E8 E036E5FF             CALL System_W.7B077494
7B223DB4    8BF8                    MOV EDI,EAX
7B223DB6    B9 04934B7B             MOV ECX,System_W.7B4B9304
7B223DBB    E8 1C15C5FE             CALL mscorwks.79E752DC
7B223DC0    8BF0                    MOV ESI,EAX
7B223DC2    8B95 60FFFFFF           MOV EDX,DWORD PTR SS:[EBP-A0]
7B223DC8    8BCE                    MOV ECX,ESI
7B223DCA    E8 4196EBFF             CALL System_W.7B0DD410
7B223DCF    56                      PUSH ESI
7B223DD0    8BCF                    MOV ECX,EDI
7B223DD2    BA 04000000             MOV EDX,4
7B223DD7    3909                    CMP DWORD PTR DS:[ECX],ECX
7B223DD9    E8 8ABA4200             CALL System_W.7B64F868
7B223DDE    C745 E4 00000000        MOV DWORD PTR SS:[EBP-1C],0
7B223DE5    C745 E8 FC000000        MOV DWORD PTR SS:[EBP-18],0FC
7B223DEC    68 9D3F227B             PUSH System_W.7B223F9D
7B223DF1    EB 00                   JMP SHORT System_W.7B223DF3
7B223DF3    8D55 D0                 LEA EDX,DWORD PTR SS:[EBP-30]
7B223DF6    33C9                    XOR ECX,ECX
7B223DF8    890A                    MOV DWORD PTR DS:[EDX],ECX
7B223DFA    8B45 DC                 MOV EAX,DWORD PTR SS:[EBP-24]
7B223DFD    8942 04                 MOV DWORD PTR DS:[EDX+4],EAX
7B223E00    8D45 D0                 LEA EAX,DWORD PTR SS:[EBP-30]
7B223E03    FF70 04                 PUSH DWORD PTR DS:[EAX+4]
7B223E06    FF30                    PUSH DWORD PTR DS:[EAX]
7B223E08    E8 A7034600             CALL System_W.7B6841B4
7B223E0D    85C0                    TEST EAX,EAX
7B223E0F    75 06                   JNZ SHORT System_W.7B223E17
7B223E11    8B45 D8                 MOV EAX,DWORD PTR SS:[EBP-28]
7B223E14    8945 DC                 MOV DWORD PTR SS:[EBP-24],EAX
7B223E17    8D55 C8                 LEA EDX,DWORD PTR SS:[EBP-38]
7B223E1A    33C9                    XOR ECX,ECX
7B223E1C    890A                    MOV DWORD PTR DS:[EDX],ECX
7B223E1E    8B45 DC                 MOV EAX,DWORD PTR SS:[EBP-24]
7B223E21    8942 04                 MOV DWORD PTR DS:[EDX+4],EAX
7B223E24    8D45 C8                 LEA EAX,DWORD PTR SS:[EBP-38]
7B223E27    FF70 04                 PUSH DWORD PTR DS:[EAX+4]
7B223E2A    FF30                    PUSH DWORD PTR DS:[EAX]
7B223E2C    E8 83034600             CALL System_W.7B6841B4
7B223E31    85C0                    TEST EAX,EAX
7B223E33    74 3A                   JE SHORT System_W.7B223E6F
7B223E35    8D55 A8                 LEA EDX,DWORD PTR SS:[EBP-58]
7B223E38    33C9                    XOR ECX,ECX
7B223E3A    890A                    MOV DWORD PTR DS:[EDX],ECX
7B223E3C    8B45 DC                 MOV EAX,DWORD PTR SS:[EBP-24]

no consigo entender como verifica , ya que no pide serial ni nada es simplemente se acabo el tiempo tatatatatat y la ***** de la ventana que no se va .


Estoy hecho un lio ,tengo poca experiencia en esto y no se si sera demasiado complicado.

Salu2

Estas en una dll. Fijate con ALt+K las llamadas que se hicieron hasta ahi..

Tambien podes poner un bp en DestroyWindows y luego aceptas la nag, despues vas retrocediendo hasta encontrar donde llama la nag..

slds

FELIZ AÑO 2009

Hola,

Desde el año pasado no escribia nada . : )


Mira he llegado hasta aqui y creo que es donde verifica

0040DD1F  |.  81C4 E0FCFFFF         ADD ESP,-320
0040DD25  |.  53                    PUSH EBX
0040DD26  |.  56                    PUSH ESI
0040DD27  |.  57                    PUSH EDI
0040DD28  |.  898D F8FCFFFF         MOV [LOCAL.194],ECX
0040DD2E  |.  8BDA                  MOV EBX,EDX
0040DD30  |.  8985 FCFCFFFF         MOV [LOCAL.193],EAX
0040DD36  |.  F643 01 20            TEST BYTE PTR DS:[EBX+1],20
0040DD3A      75 0A                 JNZ SHORT BobsTrac.0040DD46
0040DD3C  |.  B8 57000780           MOV EAX,80070057
0040DD41  |.  E8 7EFBFFFF           CALL BobsTrac.0040D8C4
0040DD46  |>  66:8B03               MOV AX,WORD PTR DS:[EBX]
0040DD49  |.  8BD0                  MOV EDX,EAX
0040DD4B  |.  66:81E2 FF0F          AND DX,0FFF
0040DD50  |.  66:83FA 0C            CMP DX,0C
0040DD54      0F84 73010000         JE BobsTrac.0040DECD
0040DD5A      F6C4 40               TEST AH,40
0040DD5D      75 0D                 JNZ SHORT BobsTrac.0040DD6C
0040DD5F      8B43 08               MOV EAX,DWORD PTR DS:[EBX+8]
0040DD62  |.  8B00                  MOV EAX,DWORD PTR DS:[EAX]
0040DD64  |.  8985 ECFCFFFF         MOV [LOCAL.197],EAX
0040DD6A  |.  EB 09                 JMP SHORT BobsTrac.0040DD75
0040DD6C  |>  8B43 08               MOV EAX,DWORD PTR DS:[EBX+8]
0040DD6F  |.  8985 ECFCFFFF         MOV [LOCAL.197],EAX
0040DD75  |>  8B85 ECFCFFFF         MOV EAX,[LOCAL.197]
0040DD7B  |.  0FB700                MOVZX EAX,WORD PTR DS:[EAX]
0040DD7E  |.  8985 F0FCFFFF         MOV [LOCAL.196],EAX
0040DD84  |.  8B9D F0FCFFFF         MOV EBX,[LOCAL.196]
0040DD8A  |.  4B                    DEC EBX
0040DD8B  |.  85DB                  TEST EBX,EBX
0040DD8D      7C 6B                 JL SHORT BobsTrac.0040DDFA
0040DD8F  |.  43                    INC EBX
0040DD90  |.  33FF                  XOR EDI,EDI
0040DD92  |.  8DB5 00FDFFFF         LEA ESI,[LOCAL.192]
0040DD98  |>  8BC6                  /MOV EAX,ESI
0040DD9A  |.  8985 E0FCFFFF         |MOV [LOCAL.200],EAX
0040DDA0  |.  8B85 E0FCFFFF         |MOV EAX,[LOCAL.200]
0040DDA6  |.  83C0 04               |ADD EAX,4
0040DDA9  |.  50                    |PUSH EAX
0040DDAA  |.  8D47 01               |LEA EAX,DWORD PTR DS:[EDI+1]

He modificado esos valores y el resultado es un pantallazo diciendo que el programa necesita framework 2.0 , pero ni rastro del nag  ( Creo que voy bien encaminado por este detalle  o no ? ) . 

El caso es que si que tengo instalado el paquete de framework 2.0  .

Voy Fatal no ?

Hola ,

He intentado lo de poner un breakpoint en getcapture .

Cargo el programa el olly pulso ctrl + n para buscar las funciones , pero aky no encuentro Getcapture por ningun sitio .

Como esto no salia he intentado por mil sitio llegar al nag COSA CHUNGA .

Creo que esta es la call que llama a la nag , pero no se como hacer para quitarla.


Este es el codigo que hay cerca de la call  .

0042137F   .  E8 440DFFFF           CALL BobsTrac.004120C8
00421384   .  FF75 9C               PUSH DWORD PTR SS:[EBP-64]
00421387   .  FF75 98               PUSH DWORD PTR SS:[EBP-68]
0042138A   .  FF75 94               PUSH DWORD PTR SS:[EBP-6C]
0042138D   .  FF75 90               PUSH DWORD PTR SS:[EBP-70]
00421390   .  8D45 84               LEA EAX,DWORD PTR SS:[EBP-7C]
00421393   .  E8 4444FEFF           CALL BobsTrac.004057DC
00421398   .  50                    PUSH EAX
00421399   .  A1 D4484200           MOV EAX,DWORD PTR DS:[4248D4]
0042139E   .  8B40 30               MOV EAX,DWORD PTR DS:[EAX+30]
004213A1   .  50                    PUSH EAX
004213A2   .  8B00                  MOV EAX,DWORD PTR DS:[EAX]
004213A4   .  FF50 40               CALL DWORD PTR DS:[EAX+40]
004213A7   .  E8 4045FEFF           CALL BobsTrac.004058EC
004213AC   .  8B45 84               MOV EAX,DWORD PTR SS:[EBP-7C]
004213AF   .  50                    PUSH EAX
004213B0   .  8B00                  MOV EAX,DWORD PTR DS:[EAX]
004213B2      FF90 94000000         CALL DWORD PTR DS:[EAX+94]
004213B8   .  E8 2F45FEFF           CALL BobsTrac.004058EC
004213BD   >  33C0                  XOR EAX,EAX
004213BF   .  5A                    POP EDX
004213C0   .  59                    POP ECX
004213C1   .  59                    POP ECX
004213C2   .  64:8910               MOV DWORD PTR FS:[EAX],EDX
004213C5   .  68 28144200           PUSH BobsTrac.00421428

Alguna idea ?

Estoy un poco verde en el tema , pero es que los crackme que he visto por hay son otro tipo de nag y si se quitan mas facilmente.

Salu2

Si queres mandame el link de descarga al privado y lo vemos..

Tambien podes usar el DEDE para decompilar los delphis.

slds

Hola,

Gracias por tu ayuda amigo/a tena.

He intentado utilizar el DEDE pero el tema es que el programa a caducado y el DEDE no lo carga.

Te envio un privado con el link .


Salu2

deberia dejarte decompilar lo mismo.

Bueno estoy a la espera de ese link..

slds

No es que haya caducado sino que te muestra una nag y debes esperar un momento, luego de esto se te activa el boton  ;)

Hola,

Si ha caducado el nag que muestra lo dice claramente .

Lock System

The trial period has expired .

Tena ya te he enviado el link del programa .

Es este de todas formas .

http://www.gigasize.com/getcgi.php?t=373952fb8b31904e7b066dddc53a3b4e&d=r0nhbryy9kf

Salu2

Jojo que tonto soy  :rolleyes: :rolleyes: yo me referia al DeDe  :xD :xD :xD :xD :xD :xD :xD :xD :xD

NP

:laugh: :laugh: :laugh: :laugh:

Si os fijáis por la librería System_w, os dariais cuenta que es un programa compilado en .NET (De ahí que te pida el FrameWork), y como diría marciano (creo).

"Normalmente abrimos un programa con OllyDBG, pues en .NET lo primero es con Reflector".

Feliz año..

Hola ,

Gracias por la ayuda .

He bajado reflector , pero no se que hacer aqui nunca he oido hablar de este programa .

Voy a buscar info , pero si me puedes hechar una manita para saber que hace exactamente este programa .

Salu2

Cuando cargo el programa en Reflector me dice
Module Programa does not contain a CLI header.

Esto quiere decir que el programa no es .net no ?


Le doy a la lupa para que busque las funciones , luego me posiciono encima del programa y no aparece nada de nada .

Que ocurre?


Una cosa mas .  Que programa mas bestia para desemsamblar codigo .net no ?

Jeejjej esto si es desensamblar un programa .

Salu2

Primero baja la ultima version de RDG Packer detector, segundo ponlo en modo M-B, porque no me creo que eso no sea .NET, y si es que te dice delphi, apostaría por un packer que se codeó en delphi, y lo deja en delphi, como el unnamed scrambler por ejemplo...

Salu2..

P.D: de todas formas con ejecutarlo y ver el código se ve a simple vsita el compiladfor..

mmm que nag molesta jeje..

Bueno yo tambien creo que es algun packer o algo, por dentro se ven string que hacen referencia a delphi, y tambien hay de .net

Text string=ASCII "SOFTWARE\Borland\Delphi\RTL"

Text string=ASCII "This software requires the .NET Framework 2.0 or higher. Please install the .NET Framework and run this software again."

Hice pruebas con dede, e2a, minide y no va..
Hice pruebas con Reflector, DisSharp, xenecode fox y tampoco va con esos..

El RDG me dice que es un delphi..

sin embargo hay una libreria ICSharpCode.SharpZipLib.dll que la usan los net por lo que vi en google.

Tambien pude ver con Filemon que busca 2 archivos para registrarse, License.exe y License.dll...

Para sacar la nag adelante el reloj, luego retrocedi el reloj y sigue ahi firme, por lo que debe aver metido algun valor en el registro de windows o en algun archivo..

slds

Hola de nuevo,

Efectivamente tena con Rdg no funciona y tambien me habia fijado en la dll , pero esta pienso que la utiliza para los calculos en el programa y no tiene nada que ver con el put nag .

Tambien realice chequeos con filemon y regmon y con filemon no consegui localizar el fichero que dices ( Licence.exe) .

El regmon me abre muchas claves del registro y no tengo suficientes conocimientos para saber que hace , ademas no localice una clave que hiciese referencia unicamente a bobs , es decir , todas las claves aparecian con algo de windows y no queria urgar mucho hay .


Agradezco vuestra ayuda .

He mirado varias cosas sobre los ficheros

License.exe y License.dll

Si creas dos ficheros ficticios con esos nombres , al intentar abrir el programa nos da un error imagino por que realiza alguna peticion a esos fichero .Pero es curioso si cambiamos el fichero license.dll falso por otro como la dll de directx3d , el programa nos volvera a tirar la nag , esto me parece raro a mi ó es raro .

Son trasteos nada mas por que no he conseguido nada de nada .

Queria preguntarte una cosilla Shaddy .

Como descompilo ó debugeo un programa creado con unnamed scrambler , no encuentro nada mas que el encrypter unnamed scrambler .

Salu2

Lo de unnamed scrambler era un ejemplo, no tiene porque ser ese... es el primero que me vino a la cabeza que es capaz de engañarte a la hora de reconocer el compilador...

Salu2..

Alguna idea ó manual ó lo que sea para poder continuar .

Una cosa más .

Cargo el programa en olly le pongo un BP en CreateWindowsExA y el programa se detiene cuando muestra el nag como es de esperar, pues bien , pulso alt-F9 y me muestra esto .

4EBC6B36    6A 01                   PUSH 1
4EBC6B38    6A 01                   PUSH 1
4EBC6B3A    53                      PUSH EBX
4EBC6B3B    53                      PUSH EBX
4EBC6B3C    68 000000A0             PUSH A0000000
4EBC6B41    68 346CBC4E             PUSH 4EBC6C34                                  ; ASCII "GDI+ Window"
4EBC6B46    50                      PUSH EAX
4EBC6B47    53                      PUSH EBX
4EBC6B48    FF15 F814BA4E           CALL DWORD PTR DS:[4EBA14F8]                   ; user32.CreateWindowExA
4EBC6B4E    3BC3                    CMP EAX,EBX
4EBC6B50    A3 040AD24E             MOV DWORD PTR DS:[4ED20A04],EAX
4EBC6B55    0F84 46A10400           JE 4EC10CA1
4EBC6B5B    56                      PUSH ESI
4EBC6B5C    57                      PUSH EDI
4EBC6B5D    68 03080300             PUSH 30803
4EBC6B62    E8 1B010000             CALL 4EBC6C82

Esta bien ?.

Si pulso continuamente en alt+F9 se queda en un bucle je y no sale .

salu2

Primero tienes que asegurarte de saber con que estas tratando...

Mira vos jeje
No conocia este detector Protection id que acaba de postear el usuario zart..

Pues que bien ese detector me dice esto de tu programa..

dotNet Reactor v3.3 (or newer) protected !

Esta protegido con dotNet Reactor v3.3

Slds

Hola,

He estado revisando el programa con Protection id y es verdad que decia Dotnet .

Por lo que me lie a buscar info sobre este tipo de proteccion , y parece que nuestro querido programa no va ser nada facil meterle mano  :rolleyes: ....

Buscando info encontre varias utilidades , pero yo no consigo sacar nada en claro, bueno si algo si . El programa utiliza una libreria ezencryption_lib , no estoy seguro pero creo que es una especie de libreria para cifrar textos y codigo fuente .

Por otro lado he podido hacer un trace del programa con una aplicacion llamada dotTrace ( San roto el coco con el nombre :) ) . Con esta aplicacion he conseguido ver los datos que te digo arriba y algo más pero yo tengo pocos conocimientos en este tema . 

Tambien he encontrado esta aplicacion , que tampoco se muy bien su utilidad aun teniendo un nombre bien clarito .

License Manager Killer Win32


Otra mas DotNET_Reflector_v2.01.04


Dotnet Dumper para dumpear el codigo .net


Cff Explorer puedes crear nuevos .exe quitando componentes de .net .

{smartkill} v0.3 Puedes ver direcciones Hex de codigo .net y modificar partes de codigo .

He localizado un Crackme de como eliminar un nag .net y parece facil , pero el problema es que este no lleva la proteccion de codigo .

Estoy intentando entender como funciona el protector dotnet si localizo mas informacion te ire informando .

Creo que Apuromafo tiene un plugin en su blog que es para descompilar .net en olly y viene incluido el tema de dotnet . A ver si me entero mejor.

Bueno Salu2 .

Se me olvidó también comentar que tenemos otra opción de las 3 que comenté en el post correspondiente xD

Y es subir el .exe o .dll siempre y cuando no sobrepase los 10 mb si mal no recuedo (Creo que antes en la web ponía el límite pero ahora tonto de mí no lo encuentro xD) a virustotal ya que con las últimas mejoras añadidas hay varios AVs como KAV,Authentium y F-Prot que llevan detección de packers xD

Justamente lo que yo decía XD, un packer (en este caso para .NET) que lo encapsulaba y le hacía creer que era un Delphi... (por el compilador del packer).

Salu2..