Foro de elhacker.net

Programación => Ingeniería Inversa => Mensaje iniciado por: manakagruya en 13 Diciembre 2013, 00:10 am



Título: Integrity check failed! This file has been modified. Reason might be a possible.
Publicado por: manakagruya en 13 Diciembre 2013, 00:10 am
He abierto este programa con el resource hacker, he cambiado solo un dato para ver como se comportaba, lo he compilado... y al ejecutarlo me sale esto.

Tambien otra cosa, le he pasado el rdg packer detector... echo en borland delphi 6 o 7, y empacado con telock, he bajado un desempacador de telock, y el .exe pasa de 1.5m el original a 5.5, al intentar ejecutar el desempacado sin olly y debugeando con olly no arranca me da fallos en direcciones de memoria, el original empacado va bien con y sin olly, agradeceria cualquier ayuda.


Título: Re: Integrity check failed! This file has been modified. Reason might be a possible.
Publicado por: MCKSys Argentina en 13 Diciembre 2013, 01:29 am
Y si lo desempacas a mano, te sale el mismo mensaje?

Saludos!


Título: Re: Integrity check failed! This file has been modified. Reason might be a possible.
Publicado por: .:UND3R:. en 13 Diciembre 2013, 02:18 am
Cómo puedes ver en el ejecutable tiene una comprobación CRC, puede ser por el tamaño del ejecutable, comprobación checksum, etc, para ello debes encontrar la bifurcación entre el original y el modificado, saludos.


Título: Re: Integrity check failed! This file has been modified. Reason might be a possible.
Publicado por: manakagruya en 13 Diciembre 2013, 13:17 pm
el mensaje no es por desempacarlo es por modificar datos con recource hacker y compilarlo, por desempacarlo no va ni solo ni con olly.

Alguna idea para empezar a buscar esa bifurcacion de la comprobacion CRC q hace?


Título: Re: Integrity check failed! This file has been modified. Reason might be a possible.
Publicado por: MCKSys Argentina en 13 Diciembre 2013, 16:25 pm
el mensaje no es por desempacarlo es por modificar datos con recource hacker y compilarlo, por desempacarlo no va ni solo ni con olly.

Alguna idea para empezar a buscar esa bifurcacion de la comprobacion CRC q hace?

Si tiene un packer, es logico que tenga comprobacion de codigo/datos; por eso la idea es desempacarlo para hacer cambios en la sección de recursos.

Ahora, si la herramienta que usas desempaca mal telock, el exe no te funciona. Por eso te pregunte si lo habias hecho "a mano".

De todas formas, usando el buscador de la web de ricardo y poniendo "telock" (sin las comillas), te saldran varios tutoriales sobre este packer.

Buscador de la Web de ricardo: http://ricardonarvaja.info/WEB/buscador.php (http://ricardonarvaja.info/WEB/buscador.php)

Saludos!

PD: Se puede saber qué programa estás intentando modificar?


Título: Re: Integrity check failed! This file has been modified. Reason might be a possible.
Publicado por: manakagruya en 13 Diciembre 2013, 16:48 pm
Es un editor de nba 2k14, un ruso lo cobra el tio ademas bien caro, desde el 2k10, empeze a intentarlo hace años, cursos de ricardo, de caos reptante, pero desisti.. ahora he vuelto a intentarlo
q me recomiendas para desemapacar el telock? en su dia intente varias cosas pero nada


Título: Re: Integrity check failed! This file has been modified. Reason might be a possible.
Publicado por: MCKSys Argentina en 13 Diciembre 2013, 16:56 pm
q me recomiendas para desemapacar el telock? en su dia intente varias cosas pero nada

Los tutoriales que te mencioné en el post anterior...

Saludos!


Título: Re: Integrity check failed! This file has been modified. Reason might be a possible.
Publicado por: manakagruya en 13 Diciembre 2013, 17:24 pm
estan todos los enlaces mal, pero muchas gracias, creo q en su dia los intente pero nada...
he probado otra cosa... y el mensaje cambia,
1ºlo desempaque con un desempacador q baje googleando, y me daba el mensaje del titulo.
2º con el winhex he comparado el original con el desempacado, y en los primero bloques cambian varios datos hexadecimales, he copiado solo los que cambian del original al desempacado y este es el mensaje q sale ahora....

SOLO SE COMPLETO UNA PARTE DE UNA PETICION READPROCESSMEMORY o WRITE PROCESS MEMORY... Siento q esto avanza porq cambia la cosa,


Título: Re: Integrity check failed! This file has been modified. Reason might be a possible.
Publicado por: MCKSys Argentina en 13 Diciembre 2013, 19:26 pm
estan todos los enlaces mal

Los enlaces que devuelve el buscador me funcionan perfectamente...  :huh:

he probado otra cosa... y el mensaje cambia,
1ºlo desempaque con un desempacador q baje googleando, y me daba el mensaje del titulo.
2º con el winhex he comparado el original con el desempacado, y en los primero bloques cambian varios datos hexadecimales, he copiado solo los que cambian del original al desempacado y este es el mensaje q sale ahora....

SOLO SE COMPLETO UNA PARTE DE UNA PETICION READPROCESSMEMORY o WRITE PROCESS MEMORY... Siento q esto avanza porq cambia la cosa,

Bueno, despues de esto te recomiendo leer el FAQ (http://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo-t345798.0.html) del foro. Ahi encontraras un enlace para bajar el curso de ricardo narvaja, el cual deberias terminar.

En Ing. Inversa no hay soluciones magicas. Debes esforzarte...

Saludos!

PD: Solo para aclararte: Haz hecho un diff entre el header de un exe empacado y el supuesto desempacado. Es logico que sean distintos.

Y luego, copiar los bytes sin saber que representa cada uno, no es algo recomendable. Obtendras cualquier cosa, excepto un ejecutable funcional...

Necesitas leer y aprender sobre el tema. En estas cosas no hay escapatorias...


Título: Re: Integrity check failed! This file has been modified. Reason might be a possible.
Publicado por: .:UND3R:. en 14 Diciembre 2013, 01:44 am
Efectivamente, te recomiendo que realices un unpack de forma manual, con esto podrías evadir la protección de chequeo de CRC, pero no necesariamente el causante puede ser el packer, quizás puede ser el mismo programa que realiza la comprobación, si es así, estás obligado a desempaquetar, para luego comenzar a editar el código, pero debes ir por parte:
- Unpack del programa (toda la teoría de unpack).
- Si vez que luego del unpack sigue el error de CRC, hay dos causas posibles:
Quedó algún dumpleado del packer en donde se realiza algún tipo de comprobación CRC, o el ejecutable "original" (unpack) verifica la integridad del ejecutable, aunque esto lo veo más difícil, ya que no sabría como generar un checksum sin saber el valor final de el, olvídalo.

Saludos y suerte


Título: Re: Integrity check failed! This file has been modified. Reason might be a possible.
Publicado por: manakagruya en 14 Diciembre 2013, 15:04 pm
Muchas gracias por todo, solo entro para ver las ideas, el finde estoy con mis sobrinos y la novia y no tengo tiempo, pero deseando de que llegue lunes.
Otra cosa las claves son cadenas larguisimas, creo q voy a priorizar el objetivo, q sera intentar encontrar donde ve el serial y lo compara y saltarlo.


Título: Re: Integrity check failed! This file has been modified. Reason might be a possible.
Publicado por: .:UND3R:. en 14 Diciembre 2013, 15:24 pm
Tienes dos caminos para la solución (son nombres que les doy yo, es para que te guíes):
- El método ordinario (modificar saltos).
- El método elegante (reversear el ejecutable, entender el algoritmo de validación).

Ambos cumplen la finalidad, a mi criterio hay que utilizar el método de acuerdo a la facilidad de entendimiento del código, tiempo, si el programa es de suma importancia, etc.

En fin la idea es creackear para divertirse :)


Título: Re: Integrity check failed! This file has been modified. Reason might be a possible.
Publicado por: manakagruya en 17 Diciembre 2013, 02:22 am
Buuffff, crackear este pogramilla no es para newbies, para lo poco que entiendo... me basta para saber que este es para profesionales.

He probado todo lo que me habeis dicho, he seguido al pie de la letra muchos manuales, para desempacar manualmente, nopear saltos...
lo ultimo a sido probar con EXCPHOOK pero cuando lo ejecuto sobre RED_MC(el programa que quiero crackear), se queda completamente colgado el ordenador.
Este tio es ruso, ukraniano... no se, del este, y sabe lo que hace, da la sensacion al ir debugeando y viendo codigo.

http://www.mediafire.com/download/r2vr4rqrtls4u2c/setup_RED_MC_v.2.1.0.2.exe.
Os dejo un enlace para descargar el programa si os enrollarais y le echais un ojo, desde luego os vais a entretener


Título: Re: Integrity check failed! This file has been modified. Reason might be a possible.
Publicado por: apuromafo CLS en 18 Diciembre 2013, 01:28 am
la peticion de cracks está prohibida

muestra tus avances, oep, iat, script usados, que has hecho?

donde crees que está el crc check, usando firmas de ida o bien otras herramientas criptográficas

honestamente es pérdida de tiempo cuando veo que hablan como profesionales y no hacen nada.


por otro lado si quisieran realmente avanzar lo primero es esto
1) desempacar el packer y reparar correctamente las apis
2) quitar protección antidebug que posee el programa
3) registrar a partir de bp según se estime necesario
pd:yo fui capaz de desempacar, matar el antidebug, pero ni aún asi, no tengo idea para que sirve el programa, asi que mas allá no llegaré xD