|
1081
|
Programación / Ingeniería Inversa / Re: como puedo desempaquetar UPolyX v0.5?
|
en: 13 Mayo 2011, 06:00 am
|
upolyx en su tiempo era un ofuscador normalmente usado para proteger un upx, en tiempos anormales, serian solo saltos y llegar al oep pero en tiempos de uso de signaturas falsas puede ser cualquier cosa..hasta execryptor
yo creo que lo mejor es que uses ollydbg y leas bien los tutoriales, no va en el packer, va en como eres capaz de desprotegerlo
saludos Apuromafo
|
|
|
1082
|
Programación / Ingeniería Inversa / Re: Ayuda para desempacar exe protegido con ASPack v2.12
|
en: 5 Mayo 2011, 23:35 pm
|
una consulta 001B2001" ==> "0003C94
cuanto es tu imagebase? que muestra tu oep? pd: despues que llego al oep, pues intenta borrar el bp en access, piensa cuidar un poco al pc xD
**
a import rec siempre se le agrega el rva , no suelo usar esos automáticos a menos que sea extremo.
aver luego del oep, intentas bajar al primer call y con f7 entras, con f8 pasarias de largo, no el f7 entras y veras , y ves algo como
jmp dword prt (direccion) /call dword ptr, no recuerdo como sale normalmente pero le das para seguir en el dump esa direccion tiene algo asi
direccion:nombre de la api o bien un numero normalmente mayor a 70000000 le das formato long adress, luego tendras mas ordenadito
ahora siendo mas explicito, luego de aquel direccion se ve el inicio..subiendo mas o menos esta en los escritos, cuando tienes que enCONTRAR y entender la iat a MANO.. normalmente seria algo asi
402000 7777756...... 402004 7777757...... 402008 00000000000
en un caso hipotetico, la iat comenzaria en 402000, y terminaria en 402008, por ende deberia tener un tamaño de 8 y el RVA hay que probar si ya es 402000 o simplemente 2000, no recuerdo si se le configuraba en import rec o en otra tool (no tengo ni el depurador, ni nada a mano, estoy comentandote al aire la idea)
revisa bien los escritos sugeridos, y echale un look, no creo que sea dificil si sigues leyendo, pero antes de desempacar aspack hace el intento con un upx, que es el primer unpack que todos o casi todos suelen explicar paso por paso..
ahora bien pensemos que es un dumped?, es como un programa que copiaste de la memoria en una direccion especifica, que no tiene alineado su tabla de iat, o bien su entrypoint, luego de asignar el oep, o entrypoin, busca las direcciones virtuales a modo de reservar las apis, que estan en la sección de la iat, establecida en la sección de recursos y luego buscar si existe esa dll y esa api
saludos ...vuelvo a casa a ver si pillo algun depurador y un ejemplo simple para comprimir con aspack
saludos Apuromafo
|
|
|
1083
|
Programación / Ingeniería Inversa / Re: Ayuda para desempacar exe protegido con ASPack v2.12
|
en: 4 Mayo 2011, 18:12 pm
|
aver si no olvido, es pushad bp en access dword en stack , popad, luego se crea en runtime un push oep+ret, luego al pasar el ret, estas en el OEP(original entry point) aveces pueden haber mas de un packer, pero vamos ,luego de aquello hay que verificar si hay overlay, despues de utilizarlo le paso nuevamente RDG Packer Detector y me da esta info PowerBASIC/Win 8.00 Nada despues uso la opcion M-B y depues detecta Microsoft Visual Foxpro pero lo has abierto el unpacked? recuerda que es necesario que el unpacked, derrepente tenga ciertos permisos en las secciones, o bien que tenga su overlay aver busquemos ejemplos de tutoriales de aspack (supongo ya leiste los escritos de ricardo, esta desde el primer chincheta comentado que esta en ricardonarvaja.info veamos: aspack+upx http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/201-300/294-ASpack%26UPX_by_%2BNCR.raraspack solo http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/201-300/262--ASpack212_CoolFolder40_by_%2BNCR.rarhttp://ricardonarvaja.info/WEB/CONCURSOS%20VIEJOS/CONCURSOS%20MAS%20ANTIGUOS/REQUETECONCURSOS%20NUEVOS/CONCURSO%2044/RQT44%20Nivel%202%20-%20Desempacado%20de%20ASPack%20%28por%20DeAtH%29.rarhttp://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/101-200/111-%20Desempacado%20del%20programa%20ASpack_211d%20por%20arapumk.ziphttp://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/101-200/154-UN%20ASPACK%20programa%20Taskman%20por%20AnsGaryYunllet.ziphttp://ricardonarvaja.info/WEB/OTROS/COLABORACIONES/COLABORACIONES/Mekatrix%2031.-%20Jugando%20con%20las%20Apis%20Aspack%202.11%20y%202.00.rarhttp://ricardonarvaja.info/WEB/OTROS/COLABORACIONES/COLABORACIONES/01-UnpackingASPackv2.12%5BACEHIGH%5D.ziphttp://ricardonarvaja.info/WEB/OTROS/AKIRA%20TODO/2.%20Estudio%20completo%20del%20empaquetador%20Aspack%202.12.rarhttp://ricardonarvaja.info/WEB/CONCURSOS%202009/CONCURSO%2018/SolucionASPack2.2Concurso18.dochttp://ricardonarvaja.info/WEB/CONCURSOS%202009/CONCURSO%2018/unaspack_c18_CarpeDiem.pdfaspack /realmente asprotect (todo referia que era aspack pero era asprotect) http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1101-1200/1172-Desempacando%20al%20protegido%20de%20aspack%201.1.pdf.7zaspack+armadillo http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1026-Armadillo%2Baspack_por%20solid.rarhttp://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1001-1100/1028-armadillo%2Baspack_parte%202%20solid.rarsaludos Apuromafo
|
|
|
1084
|
Programación / Ingeniería Inversa / Re: ollydbg
|
en: 3 Mayo 2011, 19:16 pm
|
Advertencia - mientras estabas leyendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje. yo recuerdo que ricardo lo explica en las opciones era algo de mostrar long jumps o algo asi, sugiero que veas bien los escritos, sobre todo el de formato pdf, que es mas rapido para lectura quizas pueda ser hasta doble click al lado del salto , pero igual es como confuso si tienes ofuscación, aveces debes usar otras tools ej: codedoctor entre otros. 2) si es por mas detalles, ollydbg 1.1 se implementaron plugins y mods, entre ellos el que te sugieren, fue creado por shaddy (shadow and dark) y de ahi, cambio el find windowA y algunos recursos estéticos (icono negro ) y entre otras cosas, igual es conciente decir que todos los depuradores son importantes, pero tenerlo configurado para x situación puede orientarte 3) el escrito de ricardo es una guía completa, sugiero como bien dice de las primeras, revisa el escrito original del autor y tambien el uso de ollydbg por The POPE, en si 4) si necesitas ayuda en lo que vas viendo, hacelo, pero estoy mas que seguro que lo que preguntas, esta en el escrito 5) de analisis de algoritmos y procedimientos seria lo ideal que vieras de a poco, los saltos, las comparaciones, las apis mas importantes, como se van formando las cadenas, como van tomando los valores en eax, ebx, y los diversos registros, como van acumulando en el stack etc es algo que IDA no te dara tan claro, a menos que estes seguro de lo que haces animo en todo y sigue asi hay unas chinchetas con paginas, sugiero revises bien algunas yo tengo un apunte guardado, no se mediafire.com/apuromafo en la carpeta ingenieria inversa, algo debe haber por ahi otra pagina si sabes ingles te sugiero www.tuts4you.com ahi en la sección de descargas encontraras ese mod y otros , ademas de script y algunos tutoriales saludos Apuromafo CLS/Snd/at4re/ y mxos más
|
|
|
1085
|
Programación / Ingeniería Inversa / Re: Hola A todos, Espero que puedan ayudarme.
|
en: 3 Mayo 2011, 19:09 pm
|
pude bajarlo, pero el antivirus lo borro, y no me dejo copiarlo (no tengo internet en mi casa, asi que no me sera posible copiarlo,
como esta el entrypoint?, porque no vamos paso a paso analizando, luego , logras ver algunas referencias?, que pasa si colocas bp en la sección de code, logras ver alguna indicacion de PDAta en las secciones?
analisis, de a poco ..seria la unica cosa de idea si realmente necesitas apoyo..realmente esto va con el tiempo y no por x packer o x proteccion
aveces se han crackeado protecciones con 20 o mas protecciones, y al final con 1 byte cae, en este caso es como complejo, quizas despues de desempacado hay que buscar algun chequeo..si no sabes que tienes porque lo hiciste, menos lo haras pidiendo ayuda,
saludos Apuromafo
|
|
|
1088
|
Programación / Ingeniería Inversa / Re: Crackear programa
|
en: 28 Abril 2011, 19:41 pm
|
"Con un poco de ingeniería inveras y sacarás rápido la medicina. Está desarrollado en VB6, un poco de numega smartcheck, paciencia y voilá." pero se perdio ** lo mas probable es que por ser visual basic lo monitorea con smartcheck, en los tutoriales de ricardo, dentro de las primeras explica el uso y tambien presenta un ejemplo , yo suelo ser mas grave, con los vb, decompilarlos, verificar las comparaciones en las apis mas comunes en vb(tambien estan en los tutoriales) y luego cambiar y forzar saltos, cambiar estilos o no se.. link: la web de ricardo http://ricardonarvaja.info/WEB/INTRODUCCION%20AL%20CRACKING%20CON%20OLLYDBG%20DESDE%20CERO/coloca en : http://ricardonarvaja.info/WEB/buscador.phpcara individual en cada caso: "smart" "visual basic" "vb" te serviran despues de leer los escritos de ricardo <http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS PRIVADAS/L-M-N-O-P/NuMega.SmartCheck.v6.2.RC2> SmartCheck.v6.2.RC2.r00 SmartCheck.v6.2.RC2.r03 SmartCheck.v6.2.RC2.r02 SmartCheck.v6.2.RC2.rar SmartCheck.v6.2.RC2.sfv SmartCheck.v6.2.RC2.r01
<http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS PRIVADAS/L-M-N-O-P/NuMega.SmartCheck.v6.03> SmartCheck.v6.03.sfv SmartCheck.v6.03.zip
<http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS PRIVADAS/Q-R-S-T-U/SOFTICE LITE 3.2 (EXTRAIDO DEL DRIVE STUDIO 3.2 FUNCIONA EN XP mas SP2)> SmartCheck.v6.03.Full_Serial_Re-Pair.Patch.rar
<http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/Q-R-S-T-U/Stud_PE 2.0.0.1> Smartcheck portable.rar Recuerda leer luego de lo de ricardo asi sabras que no es tan complejo aveces visual basic saludos Apuromafo
|
|
|
1089
|
Programación / Ingeniería Inversa / Re: nuevo, necesito ayuda, y no puedo leer
|
en: 28 Abril 2011, 19:24 pm
|
la peticion de cracks esta prohibida, no veo avances y no se que lograras, asi, pero bueno aclarando ideas: pues, si, la verdad me seria mas facil hacer eso, pero es que estoy en un sitio publico y es ilegal hacer esolo ilegal es que abuses y no compres nada, aveces igual es bueno comprar software que te es util,sobre todo en lo laboral, ejemplo no se un office, un windows, etc. me ven me expulsarian, ya que no tengo internetyo no tengo internet en mi casa, si es por navegar, aveces intento usar un tiempo un equipo y si es algo urgentisimo voy al ciber, no creas que todo es asi como tan facil, crackear un rar aveces pueden pasar meses como tambien pueden pasar 1 dia, y guardar el proyecto es una idea de seguir portablemente, ideas cualquieras de cambios de ip podria ser que teniendo internet uses Ultrasurf, es gratuito y asigna una ip de proxie, osea anonima me bajado el tutorial ese de AIO de crackeando desde 0 con ollydebugger, y al mirar los tutoriales 13, 14, 15 y algunos mas no me deja, dice que no lo encuentra, que penala pagina de ricardo es ricardonarvaja.info/WEB/ si necesitas leer alguno especifico, lo buscas en la carpeta y debe estar ahi, yo lo lei ya sabiendo cracking, luego que lo termino (normalmente en el 2006 llegue a compartir cosas), pero ya bien , recien estoy comenzando a tener una buena idea , pues bien te decia, nadie nace sabiendo en la carpeta http://ricardonarvaja.info/WEB/INTRODUCCION%20AL%20CRACKING%20CON%20OLLYDBG%20DESDE%20CERO/ahi tienes varias opciones, yo te sugiero leas todo la version pdf y luego individual por .doc, recuerda que fue hecho en xpsp2 y lleva tiempo el escrito, ahora se comparten teorias y escritos gracias a todos esos aportes, debido a que no solamente es posible hacer eso, sino muchisimo mas provado directamente el del isdebuggerpresent es una api, si fuera de ollydbg modificados, como el snd2.0 o bien otras como puedes encontrar en tuts4you.com , hay varios ollydbg para agregar algun plugin o algo, archivo rar contiene un juego, que no me acuerdo donde me lo descargue ni me acuerdo de la password, con el rar password recovery me tarda muchoaveces es mas facil encontrar denuevo el juego que el pass del rar, o bien pueden ser sitios de foros, bien es bueno tener una bitacora o agenda rar password recovery me tarda mucho , el bruteforce es probar todas las claves posibles, obviamente tardara, no es facil, aveces no solamente estan en la web las cosas, hay torrents y otras vias como irc en algunos lugares para compartir informacion como piratearlo para sacarle la password directamente que me diga como xDD, un saludo si encriptas con una clave 1, y cambias los saltos para que acepte cualqueir clave, se desencriptara, pero incorrecto, por eso son los crc, y por lo mismo tienen un formato, aveces igual medita, que pueden colocar hasta 800mb en 1mb en compresiones altas,asi que no es tampoco al achunte. por cierto para licenciar los programas que necesito, uso el RDG packer, el olly debugger, el wdasm32, el Aspack die 1.41, un unpacker execryptor, otros 2 unpackers de armadillo, cheat engine, dede, guipex, resource hacker, hiew, etc, en fin, y me solucionan algunas cosas pero no todasexacto, pueden servir, para automatizar, pero realmente es bueno que sepas el porque lo usas, no es tampoco estar gritando uso esta tool y no funciona, realmente debes saber donde usarlo y cuando por ejemplo rdg detecta signaturas, criptografias, compresion, y aveces el lenguaje programado, tambien el PID, el exeinfope, tambien peid, Ollydbg, es uno de los mejores, pero no unico, realmente hay IDA, hay windbg , y diversos segun el tipo de .exe, porque hay para x86 y x64 y tambien para linux (gbd) y para MAC, si bien la tecnica es aplicable a todo, no significa que sera facil, debes aprender y leer y buscar y practicar, si fuera tan facil , por algo algunos se animan a escribir tutoriales, no todo es abre la tool y listo. ejemplo de busqueda del crack en taringa por google http://www.taringa.net/posts/downloads/9183703/Recovery-Toolbox-For-Rar-_full_patch_megaupload_.htmlo bien el enlace http://www.megaupload.com/?d=DP21U4GJyo preferiria revisarlo personalmente, pero tiempo no tengo, no se si olvidare bien, pero en algunas versiones suelen comprimir con packers con virtualizacion, al quitarle, pues luego hay comparaciones por valores similares a 1,2,3,4 segun el tipo de licencia y suelen omitir entre registrado y no registrado, asi que es eso, normalmente segun recuerdo(hay muchas tools , las use una vez en un reto de yashira para quitar el pass a un compreso, pero bueno historias del recuerdo saludos Apuromafo
|
|
|
1090
|
Programación / Ingeniería Inversa / Re: nuevo, necesito ayuda, y no puedo leer
|
en: 27 Abril 2011, 15:57 pm
|
1)leer y buscar bien, con respecto al programa de winrar bien sabes que solo sabiendo la clave basta y sobra, el mejor servicio que he visto son los de riddler, que usan tablas con todas las combinaciones posibles, y dan siempre al valor
2) si necesitas un programa full , basta buscar el programa+crack o programa full en sitios warez, sitios taringa o bien otras partes
3) si el tema es aprender ingenieria inversa, seria bueno que siguieras leyendo y practicando con los escritos de ricardo, crackear un programa no es solo decompilarlo y desempacarlo, debe verse si es posible aveces volverlo registrado o no
y asi, bueno animo, revisa bien el foro, y si no sabes nada, pues nadie nacio sabiendo, lee bien las CHINCHETAS
saludos Apuromafo
|
|
|
|
|
|
|