|
Título: Metodo para encontrar nag en Delphi Publicado por: gastonp en 6 Julio 2010, 16:29 pm Hola, queria saber que metodo utilizan ustedes para encontrar la CALL desde la que se llama a una nag en Delphi (no de un programa en particular, sino en general). He leido varios tutos de la pagina de Ricardo Narvaja, y he estado practicando crackeando algunos programitas en Delphi pero siempre tengo este problema.
El metodo de poner un bp en GetCapture no siempre me funciona, al igual que el de ejecutar el programa con CTRL+F8 y supuestamente el Olly se detiene en la CALL de la nag. Si busco en DeDe o IDR la direccion del metodo Show de la nag y pongo un bp ahi, recorro todo el procedimiento con F8 hasta el RET y la nag tampoco aparece. ¿Hay alguna forma de detectar exactamente cual es la CALL que hace aparecer la nag? Título: Re: Metodo para encontrar nag en Delphi Publicado por: Mintaka en 6 Julio 2010, 19:03 pm Puedes probar con BP en DestroyWindow y vas ejecutando ret's hasta llegar al programa.No suele estar muy lejos esa call de la dirección donde te encontrarás.
Suerte, Mintaka Título: Re: Metodo para encontrar nag en Delphi Publicado por: LSL en 7 Julio 2010, 00:56 am Tambien con un BP ShowWindow, y mirando la pila para ver donde retorna despues de los call's de la aplicación que te han llevado hasta ahí, puedes ver si tienes antes algun salto que evite dichos call.
para mejor entendimiento leete este manual de KmL ReVeRsEr ® Teoria sobre como eliminar un NAG con nada mas mirar la pila (http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1012-Teoria%20sobre%20como%20eliminar%20un%20NAG%20con%20nada%20mas%20mirrar%20%20la%20pila.rar) Título: Re: Metodo para encontrar nag en Delphi Publicado por: tena en 7 Julio 2010, 03:05 am En el caso del total comander, lo que hice fue cargar el map que me dio
el IDR, ver cuando muestra los formularios. Llegue a este punto.. Código: 004E7F38 |> \E8 07220000 CALL <TOTALCMD.Nagdlg.sub_004EA144> Si el salto no se produce, lo cierra el Formulario con Close. Para que eso suceda Al debe valer cero, y si entramos al call... Código: 004EA144 >/$ A0 ECC66C00 MOV AL,BYTE PTR DS:[6CC6EC] ; Nagdlg.sub_004EA144 Vemos que Al toma el valor de la varibale [6CC6EC], me fijo las referecias a esa variable y tengo una aqui... Código: 004E9E47 . 881D ECC66C00 MOV BYTE PTR DS:[6CC6EC],BL Entonces te vas al principio de la rutina. Código: 004E95CC > 55 PUSH EBP y pones como condicion que pare en BL==0 y Ctrl+F8 y te para justo aqui... Código: 004E997D . E8 CA90F1FF CALL <TOTALCMD.system.@AStrCmp> Ahi sale de la call, que compara algo, y al salir y no ser igual, te pone BL a CERO. Si invertis ese salto, ya arranca registrado, y luego se sigue como indica Tinco en su tute. Maso menos asi, pero bueno si solo queres eliminar la nag solo nopeas el salto y listo.. Luego estan las formas ahi expuestas por los amigos Mintaka y LSL slds Título: Re: Metodo para encontrar nag en Delphi Publicado por: tena en 7 Julio 2010, 03:19 am Tambien podes Pausar al Olly en el momento que te aparece la Nag, luego Alt+F9, te vas a la nag y aceptas, y el olly debe saltar justo debajo de la call que te muestra la nag.
Título: Re: Metodo para encontrar nag en Delphi Publicado por: gastonp en 7 Julio 2010, 05:20 am Gracias a todos, voy a poner en practica sus metodos.
Gracias tena por tu solucion para registrar el total commander, muy bueno!! ;-) Un saludo |