Título: Ayuda con ingeniería inversa Publicado por: Teknofer en 31 Julio 2011, 17:57 pm Hola amigos, como veran soy nuevo y gracias a Ricardo Narvaja
me registré en el foro para consultar y pedir su ayuda. Les cuento que estoy tratando de efectuar ingeniería inversa a un programa ya viejito del 2006 - 2007 el cual usando los programas mas nuevos del tuto no logro saber si esta empaquetado o no. Solo me aparece el compilador el cual es: MS Visual C++ v7.0 Tiene un uso de 15 dias el cual ya expiró y luego del cartel de expiracion me permite poner nombre y unlock code. Les comento que no puedo abrirlo con W32Dasm v8.93 simplemente no hace nada, ni dice nada (si ya se que no habla) ;D No aparece ningún cartel de error ni nada. El OllyDbg 1.10 se cierra al abrir el .exe no puedo hacer nada. Usando plugins logré que funcione el OllyDbg 1.10 y lo abre. Con el OllyDbg201c se abre pero se me resiste no logro efectuar ingeniería inversa. No se si es por algún tipo de protección o es para usuarios avanzados con dificultad alta y por eso no puedo lograr la meta. Con todo lo que gasté al imprimir chiquicientas hojas y tinta en los tutoriales ya lo podía haber comprado, pero el cometido es lograr efectuar la ingeniería inversa, o sea aprender. Lo único que logré es al momento de darle al boton despues de agregar nombre y unlock code es que se detenga el Olly con un BP y tracear y tracear y tracear pero no puedo dar en el blanco. No quiero quedarme así me gustaría poder efectuar la ingeniería inversa, por eso pido su ayuda No se si alguien se anima a ayudarme con este programa o sería mejor un tutorial aunque sea a medias o una pequeña ayuda de algún BP etc. Como a hecho el amigo .:UND3R:. en su primer [Tutorial] Crackeando PosWin v8. Excelente tutorial ;-) Les dejo el link del instalador por si se animan a ver porque no puedo lograr efectuar la ingeniería inversa de este programita que no es nada nuevo. Aquí (http://liquidmirror.swmirror.com/AlwaysWatching2.exe) Salu2, nos leémos... Teknofer Título: Re: Ayuda con ingeniería inversa Publicado por: apuromafo CLS en 1 Agosto 2011, 10:01 am ayudemos a ver.. escaneo con un programa como pe-scan
-=[ ProtectionID v0.6.4.1 JULY]=- (c) 2003-2011 CDKiLLER & TippeX Build 07/22/11-02:48:07 Ready... Scanning -> C:\archivos de programa\Liquid Mirror Software\Always Watching\Always Watching.exe File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 614400 (096000h) Byte(s) [File Heuristics] -> Flag : 00000000000000000000000000000000 (0x00000000) [!] Possible CD/DVD-Key or Serial Check -> registration code [CompilerDetect] -> Visual C++ 7.1 (Visual Studio 2003) [!] File appears to have no protection or is using an unknown protection - Scan Took : 0.172 Second(s) [0000000ACh tick(s)] Scanning -> C:\archivos de programa\Liquid Mirror Software\Always Watching\AlwaysWatchingLib.dll File Type : 32-Bit Dll (Subsystem : Win GUI / 2), Size : 696320 (0AA000h) Byte(s) [File Heuristics] -> Flag : 00000100000000001100001100100001 (0x0400C321) [Debug Info] Characteristics : 0x0 | TimeDateStamp : 0x44525036 | MajorVer : 0 / MinorVer : 0 -> (0.0) Type : 2 -> CodeView | Size : 0x67 (103) AddressOfRawData : 0x30C28 | PointerToRawData : 0x30C28
Age : 0x11 | Pdb : c:\Projects\AlwaysWatchingLib - Internal\Release-Unicode\AlwaysWatchingLib.pdb [!] Armadillo v4.00 - v4.42 detected ! [CompilerDetect] -> Visual C/C++ - Scan Took : 0.109 Second(s) [00000006Dh tick(s)] <- 31-07-2011 17:17:56 - [2.0] -> C:\archivos de programa\Liquid Mirror Software\Always Watching\AlwaysWatchingLib.dll Protected Armadillo <-Find Protect Protection system (Professional) <Protection Options> System File Import Table Elimination Strategic Code Splicing <Backup Key Options> Variable Backup Keys <Compression Options> Best/Slowest Compression <Other Options> Allow Only One Copy <-Find Version Version 4.40 01-11-2005 <- Elapsed Time 00h 00m 00s 438ms -> si usas armaggedon, puedes desempacar la dll, luego renombrarla a otro nombre el original y ya estaria full, desaparece el boton de buy saludos y a seguir aprendiendo como desempacar armadillo!! saludos Apuromafo por el tema de generar una clave, no es muy posible, deberia parcharse, y al final se gana mas desempacando: Raw Certificate Data : 1D50F8F8ED92333233383733363136392C3639343933363436393930 Certificate 1 :: Level 29d (1Dh) -> V3 Signed Short Level 10 (ECDSA-113) -> Source Exponent : 92EDF8F8->sym key 17827355 -> ECDSA Exponent 1 : 3238736169 -> ECDSA Exponent 2 : 6949364699003427259030398410853021 -> ECDSA Exponent 3 : 544438800848300908597865738018164Ø -> (Solving is not supported) osea seria similar a una clave asi: apuromafo HIW:0000-0000 serial:000013-JZXWCW-QZ5Q7U-KDNY8V-ZZFZZZ-ZZZZZZ-ZWCJP9-51VJ00-800000-000000 Título: Re: Ayuda con ingeniería inversa Publicado por: Teknofer en 1 Agosto 2011, 13:47 pm Muchas gracias Apuromafo por tu ayuda.
Esto si es ayudar. ;-) ;-) ;-) En los tutos se menciona que está muy bien programada esa protección. Yo usé el RDG Packer Detector v0.6.7 y no detectó nada solo el compilador. No probé con otro pensando que el RDG Packer podía detectar protecciones. Me faltaban las herramientas adecuadas. Es que mi antivirus me cancelaba la descarga, detectaba virus. :o Armadillo v4.00 - v4.42 detected "uuuu tiembla Teknofer" :o Con estos datos ya puedo empezar a trabajar y nuevamente muchas gracias por tu ayuda Apuromafo Salu2, nos leémos... Teknofer Título: Re: Ayuda con ingeniería inversa Publicado por: apuromafo CLS en 3 Agosto 2011, 05:57 am el tema delicado es que como novato no podras con tanta proteccion, a menos que ya hayas juntado todas las tools como para armadillo
el tema aun mas denso, es que con el unpacker un paso y listo, reune la experiencia y luego lo haces manual, pero creeme, el tema de la iat no es facil , toma en cuenta el post anterior con mucho cuidado. ^^ saludos Apuromafo pd:aun aprendo del tema de keygenning en armadillo, soy novato en aquella area y actualmente es un tabu o un tema no conversado en lugares publicos. Título: Re: Ayuda con ingeniería inversa Publicado por: Teknofer en 17 Septiembre 2011, 12:01 pm Hola amigo Apuromafo ya probé en desempacar la dll con
ArmaG3ddon y el programa al cual quiero vencer queda sin cumplir con la funcion para el cual fue programado. Te deja crear las reglas y luego simplemente no hace nada. Tambien probé en usar script para armadillo desde Olly sin buenos resultados. Desde el dia de tu ayuda sigo sin poder lograr que no pasen los 15 dias de prueba que en su momento con un par de saltos logré dejarlo en cero, pero con las mismas consecuencias, que luego simplemente no hace nada el programa. Por eso es que recurro a el amigo .:UND3R:. por sus excelentes tutoriales y de esa manera aprender un poco mas. Me parece un interesante desafio para crear un tuto para los mas nuevos como yo. Este programita me venció, no se que mas hacer. PD: Quizás a ti como no tenías los 15 dias vencidos el programa te funcionaba bien, pero a mi como ya se me venció el tiempo simplemente no hace nada el programa no cumple con la funcion para el cual fue programado. Apuromafo... Lo probastes luego de desempacar la dll si funciona como debe? Me puedes pasar tu dll desempacada? Dejo el link del instalador por si .:UND3R:. se anima. Link (http://liquidmirror.swmirror.com/AlwaysWatching2.exe) Salu2, nos leémos... Teknofer Título: Re: Ayuda con ingeniería inversa Publicado por: apuromafo CLS en 19 Septiembre 2011, 03:41 am pues por lo mismo decia que debia parcharse, puede haber funciones perdidas y si logras que acepte ese hiw, y el serial seria lo ideal, pues fue formado con el symetric key correcto
si es de sugerencia, pues la unica forma deberia ser un inline para que lo acepte, verificar secured section y comparar con un serial valido, pero tampoco me han compartido la tecnica, y aun no la descubro los hash del serial que usan para las secured section en ese nivel el detalle de desempacar la dll no es tanto el desempacar, sino el tema es que crea antes o si realmente es el oep o bien si se usa bien ese espacio tambien hay un detalle, el unpacked de armaggedon creo que esta bien, lo que debes explorar son las variables de environment variables , ese es un inline que debe hacerse, debes agregar una sección con topo y redireccionar desde una parte que ya no use y luego saltar al oep si quieres usar por mas tiempo existe una tool llamada trial reset pero en armadillo el que dices, no es keygeneable solo parchando por profesionales y si es inlineable desde el unpacked, si te crackeao la aplicacion no aprenderias nada, habiendo centenas de tutoriales, yo pase 4 años leyendo de armadillo en diversos idiomas y recien el año pasado logre compartir palabras con algunos autores de keygens y tools de armadillo logre hasta verificar bugs y cosas por el estilo no es mucho, pero no es poco GetEnvironmentVariableA y W , debes checkear, normalmente los parches pueden ser nop, o jmp por ejemplo aqui uno muuuuuy antiguo: http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1401-1500/1402-Desempacando%20Armadillo%20Simple%20v2.52%20by%20Ivinson.pdf asi se puede parchar un armadillo en el unpacked y aca coloca la palabra "Arma" o armadillo http://ricardonarvaja.info/WEB/buscador.php cuando termines de leeer y sin nace otra duda, aqui estamos |