elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


  Mostrar Temas
Páginas: [1]
1  Programación / Ingeniería Inversa / Ayuda: ¿Programa que se debuggea a si mismo? en: 2 Abril 2011, 20:53 pm
Buenas:

La verdad es que llevo unos cuantos años sin tocar ni ensamblador ni ninguna herramienta de cracking, asi que ando un poco perdido en cuanto a las novedades, de momento para coger el ritmo, he empezado con el tuto de Ollydbg de Narvaja.

El caso es que estoy tratando de sacar un serial valido/registrar este programa:

http://www.mtgstudio.com/


El caso, es que el propio programa, una vez que se inicia, ejecuta 2 instancias de si mismo,



De manera que si queremos hacer "attach" con el Ollydbg, al principal (el que esta marcado con la flecha roja), nos devuelve un codigo de error:




Creo, (y esto es mi opinion, no tiene ningun fundamento que lo pruebe) que la primera instancia, es una especie de "autodebug", es decir, que ya esta haciendo debug a la segunda instancia, que es el programa en si mismo, y el que contiene el codigo de validacion de registros, de manera que no es posible hacer el "attach" con el ollydbg ya que ya se esta debuggeando.


Como hace años, me gustaba bastante y me resultaba bastante sencillo, el sistema de codigo muerto, con el W32dsam, probe a desemsamblar el codigo para probar, pero no me arroja absolutamente nada, asi que tiene tambien algun tipo de proteccion anti-desensamblado.



Le he pasado el PeId (que no le controlo mucho) y parece que no encuentra nada



He intentado entonces otro metodo, abrirle directamente con el OllyDbg, y trato de ejecutarle con F9, y entonces automaticamente se cierra con un error, y encima me devuelve el codigo de error en el OllyDbg de "exit code 1"



Entonces me he parado a pensar un poco y he ido a "Search for -> Name (label) in current module" y he encontrado esto



Entonces, he probado a capturarlo mediante un Bp IsDebuggerPresent, y en cuanto salta, me pongo encima de EBX y le doy a "Follow in Dump" y veo que entre los 4 primeros bytes hay un "1" es decir, que detecta que el OllyDbg esta ejecutandose, entonces le doy a "Binary->edit" y le pongo a "0" para engañarle, pero tras hacerme el amago de arrancar, me vuelve a dar error, y me cierra el OllyDbg, esta vez sin codigo de error.



Asi que estoy un poco perdido, y no se por donde tirar, si alguien fuese tan amable de indicarme por donde podria atacarle, o algun tutorial que podria darme alguna idea, le estaria terriblemente agradecido.


Ah, se me olvidaba, esto es la informacion que me da windows, no se si podra ser de ayuda:




Saludos y gracias por adelantado
Páginas: [1]
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines