Foro de elhacker.net

Wenas a todos.. xD
necesito que me guien un poco con esto del ollydbg :P.
Lo que necesito es poder obtener el address correspondiente a un valor de un juego, y la verdad es que nose muy bien como encontrarlo, intente hacerlo pero no lo encontre y nose si abri el proceso correctamente.
Alguien me podria decir que pasos debo seguir o darme un link de algun tutorial?.

Y otra pregunta xD en una de esa saben como hacerlo :P, el juego está protejido con Themida y por lo tanto no lo puedo ejecutar en una maquina virtual :S, alguien conoce la manera de Desempaquetarlo?

Me Falto aclarar que el juego tiene muchas protecciones, entre ellas esta el X-Trap (lo logro desactivar una vez que el juego esta abierto) y el Themida (nose como desempaquetarlo xD) y tambien tiene protecciones propias del juego que nose como funcionaran :P(lo se porque una vez que logro desactivar el X-Trap, abro con el ollydbg el proceso del programa y mientras escanea, el juego se cierra, al igual que con el cheat engine, se abre el CE, pero en cuanto quiero escanear el juego, se cierra :S), ahora que lo pienso creo que estas "protecciones propias del juego" xD, las produce la proteccion del themida :P, que si no me equivoco viene con un antidebugger, asi que necesitaria desempaquetarlo, si alguien sabe como... :S
Espero sus respuestas :P, gracias de antemano :)

Debes partir por lo básico lo más probable es que quieras desempaquetar algún juego online, parte primero con themida de esa forma ya podrías tener el ejecutable mucho más entendible y podrías darte cuenta de que manera actúa el juego para que se cierre puedes buscar las APIS por eso parte con desempaquetar, bueno comentas que el xtrap, logras descatvarlo por ende te quedará themida y acontinuación encontrar los adress para poder crear tu propio trainer, lo de tutorial debes primero saber que version es utiliza un rdg packer detector para saber que versión tienes y luego poder buscar algún tutorial y poder desarrollarlo tranquilamente

Saludos

Ese juego es maple?

Themida es un packer muy dificil, pero no imposible, claro que yo con mi nivel no puedo, hacerlo, pero hay gente que sí.

http://forum.tuts4you.com/index.php?act=idx

En este foro, hay personas que te pueden ayudar con el desempacado con themida, hay muchos que lo han logrado con versiones anteriores a la actual.

Ahora, como crees que el CE va a funcionar, en un juego online, ._., primero está el anticheat, que detecta el nombre de la caption del CE, hasta el driver del CE.

Así que tienes muchos puntos a resolver.

La protección del juego (packed).
El anticheat.
Bypassear la forma que usa el juego al anticheat.
Bypassear su CRC del juego.

y lo tendrás en tus manos.

Nox.

Hola a los 2 xD, trate de conseguir la version pero el RDG packer detector no me lo detecto xD, pero se que esta empaquetado con el themida porque no me lo abre en maquina virtual, ahora quise entrar para ver si en el error que me da cuando quiero abrirlo en la maquina virtual decia la version pero no me arranca el windows(cuando lo solucione me fijo :P) y los anticheat del juego ya los pase eso no es problema, usa el X-Trap(anticheat) y sin esta proteccion, el cheat engine si me arranca con el juego y va todo bien, pero en cuanto selecciono el proceso del juego, pasan 10 segundos y el juego se cierra :S y yo pienso que eso es por el themida, o tiene otra proteccion a parte, la verdad es que no me imagino, si alguien sabe que podria ser, espeo sus respuesta :P

ah y otra cosa, el juego no lo detecta al cheat engine por el caption, ya realice la prueba, cambie todos los datos del CE, hasta la imagen que tiene y nada, sigue igual xD

Por eso como te comenté, debes primero desempaquetar themida, luego de eso puedes ver el código más claramente, parte por themida, luego de eso empiezas a avanzar

Saludos

hola, si pero ahora la gran pregunta xD ¿como desempaqueto el themida? xD jaja :P el PDG packer detector no me muestra que estuviera empaquetado con el themida :S

Intenta probarlo con otros detectores, como sabes que es themida?, puede ser cualquier otro packer

prueba con:PEid

se que es Themida porque en la maquina virtual me tira el error xD, ahora estoy reinstalando windows en mi vm para ver al error le puedo sacar alguna otra informacion xD, con el PEiD si probe pero tampoco me da ninguna info del themida, me sale "Nothing"

El error hace referencia a themida?

Saludos

si no recuerdo mal si xD, ahora estoy instalando mi vm y te digo bien ;)

Claro porque que no se te pueda iniciar en la máquina virtual, no quiere decir que sea causante el themida hay muchos packers que no permiten la ejecución en máquinas virtuales

Saludos

si, eso lo se :P pero recordaba haber visto que era el themida xD...  y confirmado :P, es el themida (supuestamente) xD

(http://www.imagengratis.org/images/dibujozq2uz.jpg)

Sobre el Themida no te puedo decir nada, ya que no estoy muy puesto en el tema de unpacking pero sobre el CE:

¿Has probado a utilizar alguna versión modificada como el Kiki engine o alguno del estilo? También puedes probar con las opciones que tiene el CE de esconderlo.

las opciones no probe, pero yo mismo modifique el CE y desordene todo, pero igual sigue detectandolo, detecta la "injeccion", no es que detecte el caption de la ventana ni nada de eso, yo teniendo el juego abierto puedo modificar cualquier otro juego, pero en cuanto quiero modificar el juego que necesito, se cierra :P

Themida no es el único, que no arranca en una VM, también está el VMProtect, Enigma (creo que así se llama), y muchos otros.

Seguro está detectando que el proceso está siendo debuggeado, el CE,  aunque no es un debugger completo, también desambla el código.

Ya bypasseastes el CRC del juego?, ese es el problema(seguramente) porque lo que cuando atajas el proceso con el engine se cierra.

bueno mira, nose si tendra otra proteccion que no este teniendo en cuenta, pero la porteccion que logro deshabilitar es el X-Trap, es parecido al GameGuard, son protecciones anticheat que usa el juego. Ese es el que logro pasar, es el primer paso ya que con esa proteccion el juego ni arranca teniendo el CE abierto, te tira un error diciendo que cierres el proceso cheatengine.exe, ahora que lo deshabilite, ese error no me aparece y el juego inicia perfectamente con el CE abierto, el problema es cuando selecciono el proceso del juego desde el CE, una vez que selecciono el proceso, pasan 5 segundos y el juego se cierra :S

El primer paso es desempaquetar el juego, para poder hacer lo siguiente:

saber "como usa" el juego al anticheat para poder bypassearlo.

Luego está el del CRC del juego, también hacerle el bypass.

Haciendo íncapie, necesitas desempaquetar el binario.

Sí dices que ya pudistes con el anticheat, pues el CRC es lo que te está jodiendo la vida.

Nox.

y como puedo hacer para bypassearlo a la prtoeccion del CRC?, porque me parece que si es esa con la que tengo problemas :P :rolleyes:

como lo mencione como 3 veces, necesitas desempaquetar el ejecutable para buscar el CRC del binario y parcharlo.

Nox.

hola :P, si y como te dije, como se desempaqueta, creo que fue mi primer pregunta y esta en el titulo ("Como desempaqueto el themida?") :P gracias por las respuestas

Yo también.

Tambien puedes pasarte por Crackalatinos, el grupo en google, que hay algunos que han tocado themida y te pueden ayudar.

Ahora viene fly que sabe más del tema sobre themida, él hizo un inline patching a winlicence que son primos hermanos.

Fly = MCKSys Argentina, si deseas enviale un MP.

Nox.

Themida no tiene protección contra inyección, dicha protección debe estar dentro del código del anticheat (si tiene un driver suelen hookear ntcreatesection o ntcreatethread para detectar inyecciones), fuera de eso, que te detecte el CE puede ser por varios motivos (detectar el driver del CE [si está corriendo] o detección del proceso del CE), podrías (si es que se puede, dado que nunca usé el CE) desactivar el driver y ver si te lo sigue detectando, si no es así, prueba cambiar el nombre del ejecutable, si cambiando el nombre lo sigue detectando puede ser por el nombre de la ventana... etc... de todas formas, para ver el código del programa puedes utilizar algún antirootkit como el Rootkit Unhooker o alguno parecido para dumpear el proceso (con eso ya puedes ver parte del código [que no esté virtualizado]), si está virtualizado hasta hoy no hay ningún método 100% funcional para desvirtualizar así que esa parte no podrás verla... je

S2

ninguna de esos posibles problemas son, ya habia probado tiempo atras, modifique todo el code del ce, la imagen la posicion de los command, el caption de la ventana, los datos de autor, los caption de los botones, el tamaño del form, y otras cosas mas y no da resultado, al juego le deshabilite la protexion y no lo detecta al CE mientras este "inactivo", recien lo detecta cuando selecciono el proceso del juego, osea detecta alguna dll que se inyecta o algo asi :P y supongo que el juego aparte de la proteccion que le desactive (X-Trap) tiene el Themida y la proteccion propia del juego... xD

no, lo que debe detectar es cuando el CE intenta tener acceso a la memoria del juego (lo más probable es una protección por driver: ntprotectvirtualmemory, ntreadvirtualmemory), puedes probar lo siguiente: utiliza algún programa como process hacker o el process explorer para suspender el proceso del juego, luego trata de descargar el driver mediante el RU y recién ahí intenta usar el CE (puedes probar tb sin descargar el driver).

S2

oks ahora pruebo haber si puedo.. grax ;) enseguida les comento :P
------------------
Probe suspendiendo el proceso pero sigue igual, y como es eso de descargar el driver por medio del RU? Gracias por la ayuda :)

:/ alguna idea...?

Oye amigo resolviste el problema de desepaquetar themida¿?, estoy atorado ahi con un programa :-(, saludos