Título: Tuto Publicado por: jobeto en 14 Febrero 2013, 18:18 pm Saludos:
He venido leyendo tutos sobre ingenieria inversa y estoy comenzando a hacer practicas para esto baje un programa del año 2006 lamado meindexplorer sw 3.8 el cual esta compilado en delphi.He encontrado lo siguiente Al instalarlo copia em la carpeta dos programas uno llamado mindexplorer y otro llamado ascolor organon No aparece el boton de register en ninguno de los dos programas Con resource hacker logre activar el boton register en el programa mindexplorer no lo he podido con ascolor organon Cuando introduzco los datos de register en mindexplorer la ventana desaparece sin enviar ningun mensaje. Pido por favor me ayuden a eliminar la nag inicial Que hago para registrarlo como adiciono el programa para que me ayuden a analizarlo? cordialmente Jobeto Título: Re: Tuto Publicado por: MCKSys Argentina en 14 Febrero 2013, 18:40 pm Hola!
Creo que antes de lanzarte sobre un programa, debes aprender lo básico. Te recomiendo comenzar por aquí: http://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo-t345798.0.html (http://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo-t345798.0.html) Ahora, para analizar un Delphi, lo mejor que hay es IDR: http://kpnc.org/idr32/en/ (http://kpnc.org/idr32/en/) Saludos! Título: Re: Tuto Publicado por: jobeto en 6 Octubre 2014, 20:02 pm Saludos:
Estoy comenzando a practicar como eliminar nags y para esto tengo un programa llamado mindexplorer sw 3.8. En la carpeta que crea al copiarlo en el pc aparecen además del mindexplorer otro llamado ascolororgan. El primer paso es saber en qué lenguaje está compilado, para ello utilizo rdg packer detector. Me dice que está compilado en delphi 6-7 y no está empaquetado Al picar en análisis extendido aparece posible injector (detección euristica) Estoy tratando de eliminar estas nags que aparecen al iniciar el programa MindExplorer SW 3.8 Al picar en el botón try aparece la siguiente caja como versión demo y otra llamada show Windows. Esta nag tiene deshabilitada la caja de registro así como otras funciones propias del programa. Me estoy guiando en un tutorial llamado “Como eliminar nags en programas delphi” el cual dice que: “La cosa consiste en ponerle un bp en el comienzo de la rutina que tengan en el parámetro Message un WM_CANCELMODE en la api SendMessageA, se hallen dos GetCapture, y por ultimo un ReleaseCapture.” El inicio de esta rutina la encontré en 462EA0 como muestra la siguiente gráfica Coloco los BP como indica el tutorial para saber donde retorna y esto es lo que encuentro: El retorno 45F067 me lleva a la rutina Cambio el JE por Jmp me desaparece la caja de versión demo, Aparentemente lo he logrado pero al cerrarlo esto es lo que obtengo: Por favor me pueden ayudar a encontrar el salto que evita esta fastidiosa nag. Mil gracias |