|
382
|
Programación / Ingeniería Inversa / Re: Saber de donde es llamada una función VB
|
en: 15 Noviembre 2013, 15:18 pm
|
vb decompiler puedes crear un map, que si es importado, entonces claramente sabrás donde estás analizando vas luego al jmp y ves que comentarios o labels tienes...
que no analize el jmp es una cosa, pero que tenga analizado el donde irá es lo importante... (ahora si no quieres usarlo , entonces busca nuevos tutoriales de visualbasic hay bastantes de coco, hay varios en la lista de cls)
saludos Apuromafo
pd2: lo mejor es que te crees un archivo visual basic y lo analizes al máximo, luego testeas si te quedas con lo de IDA(map) o con el vbdecompiler(o unes ambos)
|
|
|
383
|
Programación / Ingeniería Inversa / Re: VM Protector - Help ?
|
en: 15 Noviembre 2013, 15:15 pm
|
existen packer de vmprotect para buscar, además de unpackmes de teddy rogers, es un packer que te sugeriria de forma final (es bastante dificil)
te sugiero las herramientas que estan en tuts4you.com, hay bastante material de este packer, pero de igual forma, no existe aun tutoriales para dejarlo totalmente limpio del packer, un saludo Apuromafo
|
|
|
385
|
Programación / Ingeniería Inversa / Re: Comparar dos archivos .exe
|
en: 14 Noviembre 2013, 15:10 pm
|
sin importar lo antes mencionado, creo que es muchísimo más facil que intentes aprender ingeniería (que no te robará mas de 4 horas por día y en 2 semanas sabrás lo basico), luego de intentar ver donde está lo importante
(si esta empacado, que herramientas usar, que partes de trozos son los importantes)
entonces recién irás al programa crackeado..luego podrás contrastar que ha hecho con el diffing, existen herramientas potentes de análisis forense como lo son los bindiff, pero de igual forma es recomendable no siempre confiarse de lo que hacen los demás, aveces te puedes llevar hasta impresiones que no esperas( que el supuesto exe que parchaba, no solo parchaba, instalaba un troyano en tu pc , entre otras muchas variables como que el original no estaba empacado y el crackeado si lo está) lograrás identificar si el parche lo hicieron sobre un salto, sobre un valor,sobre alguna llamada, si eliminaron algo..y te permitir hacer mas
te hago otro alcanze, me propuse crackear los programas de una carcasa de radio, estaba con execryptor, termine multiparchando todo, en un momento dado que voy con el de más opciones, apareció el otro automaticamente registrado...
en nod32 en el pasado parchabas todo, dejabas todo operativo y luego aparecian valores mágicos en regedit, que solo con eso se veía registrado...
en otros programas varios, no es solo el registro el que vale, sino lo que crea en ciertos archivos, por ejemplo adultpdf hace una confirmación de valores, aveces solo basta crear los archivos y no entrar a parchar el ejecutable... por eso aveces ciertos patch, cuando comparas el original y el patched no hay diferencias, porque la diferencia la puede hacer en regedit y archivos
te doy otro alcanze, muchisimos programas que he crackeado de vmprotect, asprotect, armadillo, corren registrado en mi máquina pero en otras no lo hacen, por eso uno hace tutoriales para ver que hacer o que pasos seguí
|
|
|
386
|
Programación / Ingeniería Inversa / Re: Tutorial CrackMe IDM & KeyGen !!
|
en: 14 Noviembre 2013, 00:52 am
|
el principio de intentar crackear algo es lo importante, que generes o no la llave válida no lleva a ser algo de mucha presión , creo que lo has analizado bien, con eso basta y sobra...
pd:el online check es el tema que siempre requiere dedicación
|
|
|
388
|
Programación / Ingeniería Inversa / Re: Duda de como modificar Nag Screen de una aplicación
|
en: 4 Noviembre 2013, 16:10 pm
|
1 = está empacado? (no es lo mismo modificar un programa que no esté empacado, del que sí lo esté) 2= tienes algun lenguaje de referencia (es .net , es visual c++, visual fox, delphi, visual basic) 3= estás viendo algùn evento de windows o del botón o de su gui según su lenguaje 4= las funciones pueden ser registradas o deben ser creadas
creo que debes pasar por el faq, y practicar, no todas las nagscreen se eliminan borrando el boton o recurso, algunas son construidas en runtimea
por ende hay que repasar y estudiar...
|
|
|
389
|
Programación / Ingeniería Inversa / Re: descifrar petite v2.3?
|
en: 4 Noviembre 2013, 15:25 pm
|
petite es un packer , si lees los tutoriales de ricardo, no deberìa ser dificil de desempacar
además considera que ya sabes que es visualbasic, puedes buscar el entrypoint sin mayores dificultades, todos los vb tienen una estructura en particular (la iat y abajo el entrypoint call a una entrada de la iat)
supongo que si lees los escritos de ricardo, no debería costarte diferenciarlos entre p-code y nativo o .net
saludos Apuromafo
|
|
|
|
|
|
|