no se si es cosa mia, pero yo creo que no has probado todo aun

me explico
un iso es una imagen previa a grabarse
obviamente hay archivos en su interior

es como decir un hola.rar

contiene archivos en su interior

ahora bien, los iconos del iso o del cd normalmente son tomados por los famosos autorun y el famoso icono de ruta que sea establecida

me explico

si le coloco
Desktop.ini
[.ShellClassInfo]
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=7

aparecera con un icono de shell32.dll y etc
pero en lo concreto dime
como editar un exe dentro de un rar o dentro de un iso?

es como ilogico

intenta esto
1)quita todos los archivos de la iso

saca el exe, y usa el process explorer, resturner o otros para verificar el icono de este..

BMP?? como sabes que es bmp y no es .ico? si realmente es el bmp usa un simple paint y punto..

pero aver vamos a lo concreto
si cambias , editas , todo genial hasta ahi, luego tomas esos archivos y creas una imagen en formato ISO y listo , de vuelta con eso

ultra iso es una utilidad para emular o sacar los archivos, puede serte util, pero hasta ahi no mas..el otro paso es otra..
ISOBuster si estaban rayados o bien hay alguna particion o bien otra forma grabada que puede estar en el cd..disk at once, track at once.

pero bueno
1) saca los archivos del iso
2) altera el bmp con paint, o bien en el exe involucrado, o autorun involucrado etc..
si no quieres alterar el exe, puedes alterar y crear un loader para el mismo exe y ese icono puede ser usado (avanzado..)
3 vuelve a crear el iso con Nero imagen o otros..
4) lee denuevo lo que haces



los programas usan recursos, aveces se empan o protegen por lo mismo..dime
para que te servira cambiar un icono del programa, si el programa no se iniciara:!
por eso debes ser consecuente

es posible alterar el recurso, siempre y cuando el programa este desempacado o bien NO EMPACADO..

saludos y animo

aver, haz lo siguiente

vacia tu papelera..

comprime tu papelera
***si no sabes hacerlo no importa, este paso es solo para explorarlo mas tranquilo*revisa con tu programa y elimina algun destop.ini o algo que caracterize que es una papelera, cosa que quede como carpeta..()


asi que haz lo siguiente
envialo a virustotal.com (el fichero comprimido)
el fichero scvthost.exe  tambien

en cuanto a lo de recicler yo creo que sale facil

eso si te recomiendo hacer 3 movimientos antes
1) comprimir la carpeta para guardar el troyano
2) bajar unlocker (borrar programas inclusive en uso)
3) borrar la carpeta de recicled, con unlocker..

por lo especifico estas en un area de ingenieria inversa, y te comento que es posible encontrar informacion mas especifica
siempre y cuando tengas
1) el exe malicioso
2) regedit a disposicion
3) buenos apuntes

ahora bien te sugiero que pases tambien por
http://www.threatexpert.com

y envies el fichero

asi sabras a modo global que hace..



se que es un virus porque se copia cada vez al pendrive
*yo diria troyano

desactiva el autorun y despues habilita los archivos ocultos
si no puedes ver los ocultos , has el intento de revivirlos de una u otra forma
(google sabe)

asi se desactiva el autorun

ejemplos en vbs
http://www.mediafire.com/download.php?hulmoo0tt7w
para que borres el scvthost.exe y el autorun

no te deja ver archivos ocultos y esa paja..
hay herramientas para eso
hihackthis y
mediafire.com/apuromafo -> troyanos molestosos+solucion?   ->RRT.7z y tambien el exefix.reg

creeme que el antisxs tambien te puede servir para eso y el antibrontock

pero bueno

te sugiero a este punto
analizar cuanto has intentado y que seguiras haciendo

te sugiero comprimirlo, compartirlo y sobre todo, revisar esos servicios gratuitos de virustotal y otros

espero te vaya bien, y si necesitas complementar mas cosas , es porque te falta leer un poco mas en el AREA DE SEGURIDAD y no de INGENIERIA INVERsA

el area de ingenieria inversa te ayudaria a ver solamente que logra hacer o como funciona, a partir de codigo assembler

pero si no manejas el tema aun, comienza con la experiencia de los antivirus y la informacion que te pueden otorgar los servicios como virustotal y lo de threatexpert.com

saludos y animate






anexos

Pasar Antivirus Online

http://www.kaspersky.com/sp/virusscanner
http://www.ewido.net/en/onlinescan/run/
http://www.bitdefender-es.com/scan8/ie.html
http://www.pandasoftware.com/activescan
http://housecall.trendmicro.com/
http://us.mcafee.com/root/mfs/default.asp
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://www.freedom.net/viruscenter/onlineviruscheck.html

Pasar Anti-Espías Online

http://www.nanoscan.com/?Lang=es
http://www.trendmicro.com/spyware-scan/
http://www.sunbelt-software.com/dell/scan.cfm
http://www.spywareguide.com/txt_onlinescan.html
http://www.webroot.com/consumer/products/spysweeper/freescan.html

¿Saber si un fichero tiene virus?

http://www.virustotal.com/es/indexf.html
http://virusscan.jotti.org/
http://www.kaspersky.com/remoteviruschk.html
http://www.fortiguardcenter.com/antivirus/virus_scanner.html



Recuerda que la mayoría de los antivirus on-line necesitan Java:

http://www.java.com/es/download/manual.jsp

intenta con pexplorer o restuner..
creo que funciona..
esperemos eso..

la historia comenzo de tiempos antiguos , jeje yo tambien quise saber algo asi

te comento que cosas son las mas recomendables
1) maquina virtual como virtual pc o otras
2) sandiebox, asi sabes que bota o que deja en ciertas carpetas
3) paciencia, porque sin esta ,no llegaras a ningun lado

4 ) aprovechar el consejo de paginas con experiencia
ejemplo
tu programa es un virus
34 de 36 dicen que es virus..COMO NO CREERLE??..
paginas como virustotal.com

ahora bien, si la historia es saber sobre el virus en si, siempre hay que saber de unpacking o ser bien arriesgado con la ingenieria inversa

puesto que hay herramientas que son utiles, hasta cierto punto
Piensa, tienes un troyano o virus que es random..ahora esta, pero despues sera uno mas fuerte,.,y luego baja otro y etc..

los regshot y todo eso es bueno, siempre y cuando sepas usarlos.


en lo personal, te sugiero que analizes con olly, mires las referencias y leas que dice a modo global..si te parece una amenaza..(autorun.inf-- hidefiles) puedes suponer que algo se trama..pero muchas veces ni con eso logras ver que hacen
ejemplo (los troyanos de MSN..)

ahora el consejo es el de siempre
ingenieria inversa desde 0
y leer y leer

aprender un lenguaje y analizar ese lenguaje
yo comenze con un MASM y reconoci los masm
hice un delphi y lei el delphi..
hice un .net y no me sirvio el olly jeje


bueno..la historia es simple

1)mediafire.com/apuromafo

revisa solo para leer los escritos, sin importar que digan los antvirus

piensa que las amenazas de virus o troyanos aveces influye solo el nombre..
o el packer..

pero en lo global haz esto
1) para saber que es lo ultimo que ha pasado por tu pc
regshot y todo eso
2) PARA saber las rutas y todo eso
te sugiero el sandiebox.. hay hasta keygen asi que no es de estresarse..
(eso si buscar bien)
3)tener un firewall y/o antivirus decente, para detectar eso o saber cual lo reconoce
enviar el exe a virustotal.com por ejemplo..


y animo
se sabe, luego de tener experiencia en el tema..solo eso

saludos APuromafo se cuida y espero tu primera impresion del tema

pues el ollydbg
hay ahora bien, tutoriales desde 0 en el foro y explicaciones por los moderadores tb de este foro
mira este link , quizas te ayude tb en lo que buscas
http://foro.elhacker.net/ingenieria_inversa/iquesteres_nuevo_en_el_foro_lee_esto-t93855.0.html

ahora bien por la experiencia y todo. te digo que hagas un tutorial, y a partir de ello se podria ir mejorando de a poco y reforzando conocimientos

saludos Apuromafo
se que usas sice y todo el cuento, pero aveces puedes aprender a usar ollydbg y IDA que aveces dejan mayores resultados

animo en todo espero te vaya excelente

emulador hardlock

entiende, es dongle, se ha hablado decenas de veces que pasa con los dongles

revisa el foro en busca del tema de dongle, mochilas y entenderas

no se pueden emular por otros, porque seria crackear por otro
no se puede decir como hacerlo, pues seria delito, pues esas herramientas solo son posibles tenerlas 100% full con su llave y emularlas seria solo engañarte

tomas la llave y desempacas como un programa comun y corriente, lees lees, practicas cracking desde 0, tomas denuevo el programa lees el tutorial para los dongles y en menos de 1 semana lo haras si estas animado

no pidas ni exigas ayuda de otra forma , pues es imposible que alguien no lo haga por dinero, o bien por algo que va fuera de la ley

saludos , espero este dato te sirva a seguir o bien a desistir
y no mandes pm, porque no respondo temas de dongle por pm..

Solo es un consejo y guia para que no te sientas herido porque nadie responde tu pregunta..

o dime que es ilogico, gastas 200 dolares en una dongle, cobras 1000 por cada llave, viene un cracker y lo hace gratis y pierdes todo..

te imaginas?, bueno, da igual lo que pienses, pero en este caso de dongles, es un tema amplio y muchas veces discutido, basta no mas que te intereses y guies por lo que hay en el foro.. si no, puedes seguir escribiendo y tendrias un no se nad--



lee por mientras esto
http://foro.elhacker.net/ingenieria_inversa/iquestno_hay_nada_mas_actual_sobre_mochilas_hasp-t163921.0.html

mi windows es una variante de  suricata
con bloqueo de wscript y bat script y autorun.inf sin permisos de crss y algunas mas
no existe windows como este, pues esta alterado para mi uso y evitar cualquier troyano desconocido que moleste cuando estoy en estudios

ahora solo comentaba eso, pues solo dedico al cracking o ingenieria inversa unos 3 minutos y despues sigo con mis tareas y trabajos que son larguisimos
ahora bien, es un XP sp2

pero de ahi me cambio de S.O para acceder a este..
aunque no lo creas como el pc de Apuromafo no hay..

pues llevo mas de 3 años con ollydbg y quien podria resolverte esa pregunta seria RDG max

creo que integro como 40 codigos antidebug y es bien buena onda para poder hacer posible

ahora bien mis consejos en forma personal
no hay proteccion irrompible

pero te doy algunas apis de referencia

isdebuggerpresent ->solo necesita valer 0 para pasar inadvertido
outputdebugstringA como INT ->necesita 0 para pasar inadvertido
outputdebugstringA como variable->necesita 1 para pasar inadvertido
CreatefileA->necesita un valor ff o diferentes para poder verificar
processCRs o variantes para que vea si tiene privilegios para la ejecucion


las exepciones de int 2e no se ejecutan en windows vista, por eso no es posible crear antidebug con eso, ademas eso es motivo de que no exista muchas variables para impresoras o programas en windows vista

etc
creo que con la experiencia que tengo con olly pasaria minimo unos 50 antidebug y seria capaz de correrlo
por lo tanto te animo a revisar las referencias antidebug

saludos en buena
Apuromafo

saludos, creeme que ollydbg encuentra 2 cosas interesantes, antes de comenzar todo

desempacar un upx relativamente y quizas tenga alguna funcion que es comun.., no dare mayor detalle hasta ejecutarlo

ahora consejo para quienes lo vean es un vb que tiene similitud de ser vb-pcode
y que usa scripts de vbs

a mi me aparece
---------------------------
Proyecto1
---------------------------
Run-time error '429':

ActiveX component can't create object
---------------------------
Aceptar   
---------------------------
eso debe pasar porque quizas hace referencia a un vbs
 CreateObject("scripting.filesystemobject"


pero bueno, intentare en la semana encontrar un S.O con mas privilegios

Call splet()
 DoEvents
Check_KeyFile()
Exit Sub


por lo demas el clsCRC es puro algoritmo de conversiones y todo eso

creo que no tendre tiempo de verlo pero

OpenProcess
Process32Next

No es problema para el olly , con plugins
saludos Apuromafo
y mis felicidades al programador


verde /color;green
Shape1.Backcolor = RGB(CInt(crypt("1")), CInt(crypt("344")), CInt(crypt("1")))

rojo /color;red
Shape1.Backcolor = RGB(CInt(crypt("344")), CInt(crypt("1")), CInt(crypt("1")))


saludos y creeme que este es solo el primer paso para el metodo 1

aun veo si ese xor sera el metodo 2

pero para el 2 tb influye el
   Hex(CVar("edoc***" & StrReverse))
   If (var_100 = crypt("2@G8***"))

coloque 3 asteriscos ademas..

y aun nisiquiera se ejecuta en mi pc

saludos Apuromafo
lo baje hoy sabado 30/08

veamos si mañana lo veo en otro S.O.

espero este mini apunte sea util para quien tenga animos de resolverlo por el metodo 1

no existe hasta el momento tutoriales inline para winlicence que yo sepa

pero si quieres nullificar una funcion pues dale un ret justo en la dll que importaba
o bien dale el valor que necesitaba

ejemplo burdo

call isdebugpresent
vas a ver eso y encuentras jmp dword (valor )->apunta a isdebug present

puedes editar el call
hacia mov eax,0 y nopear lo que sigue, pero si algo apunta a el jmp dword como que no resulta

intenta mejor en el lugar del jmp dword de la funcion, pues que no funcione, colocandole un ret , o bien cambiandolo hacia algun injerto o codigo creado por ti..


otra cosa podria haber sido

push ebp
,,,
ret

y lo cambias en el momento en el push ebp a ret, para localizar de donde ha sido llamado y nopeas cada call que lo indexa

ahora bien, insisto no hay quien te ayude en el tema por ser complejo, tendrias a lo maximo la palabra mucho animo, pero del dicho al hecho mucho trecho

winlicence normalmente tiene estas protecciones
antidebug
antitrace
deteccion de bp
VM
limitacion de tiempo
comprobacion de CRC
emulacion de codigo
llamadas indirectas y destruccion de codigo (necesitas cargar el modulo de memoria) osea ejecuta el programa en la memoria y no en algun archivo..

etc

insisto, solo intenta en memoria virtual y para mejorar todo, intenta probar parchadores con loaders, y vas probando de a poco si todo el injerto fue bueno

hay tutoriales o manuales para el hadware dependence que tb es otro tema y para reparar o usar el programa fuera de su licencia


ahora bien
aparte de terminarlo, revisa en el mismo foro, hay temas de winlicence y creo que ya se hablo un poco del tema
las ideas y las partes creativas van en uno mismo


ahora bien la parte mas dificil es reparar un exe en un lenguaje que busca esas secciones que esten en el lugar correcto ejemplo c++ o algun borland o similar..bueno me voy animo en todo
..
complementa todo con los foros donde salga info..

se cuida