|
Título: installshield timetrial SafeDisc 3.00.000 -> Macrovision Publicado por: yako-_- en 8 Junio 2010, 21:13 pm Buenas, alguien me puede dar un poco de infomación acerca de esta protección
no encuentro nada entendible de como desempacarla. ni tutos ni nada SafeDisc 3.00.000 -> Macrovision un saludo! Título: Re: SafeDisc 3.00.000 -> Macrovision Publicado por: LSL en 8 Junio 2010, 22:02 pm http://foro.elhacker.net/ingenieria_inversa/ayuda_con_un_la_proteccion_de_un_programa_entren-t294010.0.html
pero si es lo que me imagino, no es un safedisc, sino un trial de installshield Título: Re: SafeDisc 3.00.000 -> Macrovision Publicado por: yako-_- en 8 Junio 2010, 22:32 pm Hola LSL!!
Si por lo que e investigado es un trial de installshield, y mi pregunta es: ¿Como se guisa eso??? En peid me da eso pero es correcto que es un timetrial installshield Pero no encuentro nada acerca de eso el link que me pasas lo estuve viendo y las aplicaciones nada y los tutos con el trraductor para mi son impracticable Gracias de todos modos por la molestia PD: A ver si alguien salto un timetrial de installshield que me pueda hechar una mano. Es que no se ni por donde empezar. Título: Re: SafeDisc 3.00.000 -> Macrovision Publicado por: yako-_- en 9 Junio 2010, 00:13 am Encontre esto muy bueno por cierto: http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1015-Cracking%20InstallShield%202008%20TryalWare%20en%205%20min%20by%20noukeys.pdf
Pero me desconecto de la red y el programa no me da la opcion de activar por email un saludo Título: Re: installshield timetrial SafeDisc 3.00.000 -> Macrovision Publicado por: LSL en 9 Junio 2010, 11:34 am Encontre esto muy bueno por cierto: http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1015-Cracking%20InstallShield%202008%20TryalWare%20en%205%20min%20by%20noukeys.pdf Pero me desconecto de la red y el programa no me da la opcion de activar por email un saludo En este caso, es distinto pues no da opción a registrarte por ningun medio. Así que le he dado un meneito en la batidora, he conseguido quitarle la protección y quedarme solo con el archivo exe desprotegido. En principio ha sido muy facil, pero como no he encontrado ningun manual al respecto, Prometo manual. Título: Re: installshield timetrial SafeDisc 3.00.000 -> Macrovision Publicado por: yako-_- en 9 Junio 2010, 18:52 pm Hola LSL!!
Cuando dices que le as quitao la protección te refieres a desempacarlo y en su defecto quedar sin el timetrial no?? Yo con el ollydbg sadow me dejo en un OEP para poder dumpearlo pero al reconstruir la IAT me tiraba error de win de enviar o no enviar a microsoft. LSL espero ese manual como agua de mayo. Si me puedes mandar un adelanto de lo que as hecho te lo agradeceria. Para ver como te buscaste la vida y aprender algo mas. Un saludo !! Edito Ya vi uno de mis errores LSL el Safedisc con el que esta protejido es el 2.60.030 e descargardo un plugin para Olly con el que te busca el OEP + IAT pero no logro hacer que funcione (el plugin). Este es el plugin "SafeCast 2.60.30 OEP Finder + Fix IAT.txt" Espero tu respuesta y tu manual ;) un Saludo!!! Título: Re: installshield timetrial SafeDisc 3.00.000 -> Macrovision Publicado por: LSL en 10 Junio 2010, 09:44 am El programa original se trata de un Visual Basic, empacado con el installshield de Macrovision, la misma empresa de SafeDisc. Además de confirmarlo con El RDG Packer, si con OllyDbg lo attach cuando corre, con Alt-E (en los módulos ejecutables) ves que utiliza la librería MSVBVM60 clásica de VB.
Si recuerdas las palabras citadas no hace mucho en el tema de otro packer, por el "maestro" MCKSys Argentina: "La cosa se hace fácil, porque en todo VB6 el OEP es siempre de la misma forma: PUSH y CALL ThunRTMain..." Así que podemos tratarlo como cualquier otro VB empacado, y buscarle su OEP clásico, desde el que dumpear. Yo lo que he hecho, con esa idea inicial de encontrarle el OEP de VB, e improvisando por mi cuenta, fue attacharlo cuando estaba parado en la ventana del trial con los días de uso. Una vez attachado con Olly, pulsas en run ó F9 para que siga corriendo el programa sobre el que hemos tomado el control, después me fui con Alt+M al "memory map", y observando las distintas secciones del programa, me pareció interesante la Sección "stxt371" identificada con el contenido de "code,imports", por lo que le puse un "set memory breakpoint on access" sobre dicha sección para que se detenga al leer el código de funciones importadas, pensando en las funciones del programa ajenas a las del installshield. Volví al programa y pulse sobre el botón continuar que era el de finalizar, para terminar la capa de protección del installshield, y a continuación como estamos dentro del periodo del trial se ejecuta el programa original desempacado, y es entonces cuando al entrar en la sección de "code,imports", el OllyDbg hace la ruptura al leer de la sección, pero en la barra de titulo del Olly vemos que no estamos todavia en el modulo principal del programa, así que vamos dando F9 hasta que veamos en el titulo que estamos en el modulo con el nombre del ejecutable principal, a partir de aquí continúe traceando unas cuantas líneas con F8, hasta caer en el OEP clásico de VB que antes comentaba, el cual reconocí nada mas verlo "PUSH y CALL ThunRTMain" y si miras unas líneas mas arriba tienes la tabla de importaciones de la librería MSVBVM60; ya solo hacer el dump (en ese momento no tenia instalado el plugin de ollydump), por lo que utilicé el LordPE con su modo inteligente, y para arreglar la IAT con el ImportREC, y sin problemas al correr el dumpeado. Esta fue mi forma de llegar al OEP de forma un poco improvisada, pero reconozco que la mejor forma para llegar al OEP de un VB es la del manual de MCKSys, no obstante pongo la que yo utilicé, por si es útil cuando el programa original no esté hecho en VB. Para obtener un desempacado "casi" completo: 1) Abrir el EXE en Olly y en el EP hacer ALT+E para ir al listado de módulos. 2) De la lista seleccionar MSVBVM60.DLL y hacer doble-click para saltar al modulo. 3) Hacer CTRL+G y poner "ThunRTMain" (sin las comillas). En la dirección donde queda Olly, poner un BP con F2. 4) Ejecutar con F9 y cuando para en nuestro BP, colocarse sobre el primer valor de la pila y darle ENTER. 5) De la dirección que aparece en la ventana de CPU, escrolar 2 instrucciones hacia arriba (hasta el PUSH o mejor dicho, hasta 4070C8). Ese es nuestro OEP. Reconocemos que es el OEP de un programa hecho en VB6. 6) Colocar un HBP en esa dirección y hacer CTRL+F9 para reiniciar el programa. 7) Cuando reinicia, hacer ejecutar con F9 y cuando para en el HBP, dumpear con OllyDump y reconstruir IAT con ImpRec. Título: Re: installshield timetrial SafeDisc 3.00.000 -> Macrovision Publicado por: yako-_- en 11 Junio 2010, 00:54 am LSL eres un crack!!!
Yo no fui capaz de reconstruir la IAT con exito o eso o es que no lo dumpee en el OEP original. Probé con tu técnica y con la de Argentina pero no puedo con ninguna de las dos ya que me venció el periodo de prueba y no me deja avanzar el olly me saca el Terminated. Con el método de MCKsys y con el tuyo no puedo por lo que te dije antes que se me termino el periodo de prueba y no avanzo, si ago el Athach tambien me termina. Le falta mucho a ese manual con sus capturas?? ya tengo ganas de leerlo :rolleyes: Gracias un saludo!! Título: Re: installshield timetrial SafeDisc 3.00.000 -> Macrovision Publicado por: ganstarflowconsul en 11 Junio 2010, 19:38 pm a ver tengo aun el problema ejejeejeje como es que usaron una pregunta mia de ejemplo aver si mal no recuerdo lei una parte de unos tutos de por hay y ese que me pasaron en realidad si es safe disck porque el peid lo detecta lo que tienes que hacer es encontrar el dll que impide que se ejecute la aplicacion se crea con un nombre aleatorio aunque la mayor posivilidad es que este en la carpeta temp se tiene que parachar ese dll para que deje correr la aplicacion he intenl}tado parchar ese exe principal pero al momento de modificarlo sale error consegi sacar ese maldito mendaje pero sale error y no se ejecuta usa el pluginphantom para ocultar el olly segun lo que he avansado nopeando un push ebp y se borra pero no se mas que hacer si lo concigues mandame un tuto de como lo isiste
Título: Re: installshield timetrial SafeDisc 3.00.000 -> Macrovision Publicado por: LSL en 18 Junio 2010, 23:35 pm Aqui mi primer tutorial para newbie, de como eliminar el sistema trial-ware
del instalador installshield, a un archivo programado en Visual Basic. :rolleyes: http://www.myupload.dk/showfile/5445092b508.rar/ Saludos. LSL. Título: Re: installshield timetrial SafeDisc 3.00.000 -> Macrovision Publicado por: LSL en 18 Junio 2010, 23:54 pm para ganstarflowconsul: el safedisc y el trialware del installshield, proceden ambos de macrovision, por lo que puede que tengan algo en común, y en los que creo que se llega de la misma forma al OEP, pero para llegar al OEP con el archivo original descifrado, en el trialware tiene que estar en el periodo de evaluación, si no, no llega y aunque lo forcemos a llegar lo que tiene es basura, por lo que seguramente si fuerzas al safedisc a llegar al OEP, por eso te tira error, porque llega con solo basura, y seguramente tengas que hacer el dumpeado desde el OEP teniendo el programa en el cd original ó en una unidad virtual que emule la protección safedisc como el Daemon Tools.
No se si realmente pueda ser asi, es solo una idea ... Título: Re: installshield timetrial SafeDisc 3.00.000 -> Macrovision Publicado por: yako-_- en 19 Junio 2010, 06:29 am Gracias por el trabajo!!
Ya lo leí. Ahora voy a desempaquetarlo. Muy buen tuto explicado de una forma sencilla y entendible 100%. De p%t@ madre ::) un saludo!! Título: Re: installshield timetrial SafeDisc 3.00.000 -> Macrovision Publicado por: LSL en 19 Junio 2010, 11:54 am :D
de nada, verás que en 5 minutos tienes el dump listo, y de camino practicas con el ImportREC arreglando la IAT y tambien con el Lord PE puedes practicar a reconstruir la cabecera PE de un ejecutable o archivo de volcado, con la opción Rebuild PE, para cuando te den errores algunos dumpeados. |