Activación por internet-Soccer Teampágina:
www.soccer-trainer.esDescarga:
http://www.mediafire.com/?sjncwg12u933xyrversión:3.03
objetivo:activar el programa
autor:Und3r
Imagen de carátula:
Herramientas:-Ollydbg
-RDG Packer detector
-
Firewall*Se necesita por obligación un firewall en que notifique cada vez que un programa intente tener acceso a internet
-Debemos tener configurado nuestro firewall para que nos notifique en cada momento, en este tutorial usaré
keiro firewall (algo antiguo) compatible con windows xp
(con windows 7 no arranca)
-Realizamos un análisis con
RDG Packer detector y nos aparece lo siguiente:
Solo comenta que se hace referencia al
CD-ROM (esto se debe a que en una alerta del programa aparece tal string pero esta
no afecta en nada. Por lo que en resumen está limpio
-cargamos el programa desde ollydbg
-Damos
F9 o
Run y nos aparece la alerta del firewall
-si notamos la ventana que crea el programa:
notaremos que ya ha notificado que no se puede conectar ha Internet, por lo que no se alcanza poner "Permitir" en el firewall ya que no da tiempo
-Modificamos nuestro firewall's para que permita el acceso a Internet automáticamente a Soccer Trainer
y nos quedará:
por lo que si reiniciamos ollydebugger
(Control+F2) si le damos
RUN ahora nos aparecerá lo siguiente:
-Ahora volveremos a modificar nuestro firewall para que nos notifique como al comienzo para ver si esta ves el programa nos da tiempo para hacer algo:
-Probamos con un correo cualquiera:
notaremos que el programa intenta nuevamente conectarse a Internet:
sin elegir una opción del firewall nos dirigimos al ollydbg y presionamos
F12 o
Pausenos aparecerá el siguiente mensaje por parte de ollydbg que si le damos a
SI nos volverá a aparecer en los siguientes 5 segundos y si presionamos
NO ollydbg dejará de debuggear el proceso:
esto en resumen nos trata de decir que el programa no está respondiendo,
pero esto se debe a que
el que está interviniendo es el firewall ya que no hemos tomado ninguna opción este mantiene detenido al programa
por eso ahora
SI presionamos
permitir a todas las alertas que nos muestre el firewall:
-una vez permitidas todas las conexiones nos dirigimos al
stack o
pila:
notaremos que retornará a una dll (Winsock, encargada de realizar la conexión)
pero nosotros debemos encontrar el momento
en donde retorna al programa ya con información obtenida es decir si el email es válido o nosi bajamos notaremos más retornos pero ninguno al programa:
*hay un solo retorno, pero este
no es llamativo ya que debajo de el no se han pusheado nada interesante
pero si seguimos bajando notaremos lo siguiente:
-dirijámonos en del disambler
(Control+G):
-pongamos un
BP en el:
-si seguimos traseando veremos un salto que en un op codes más nos lleva a un
call-si lo ejecutamos nos aparecerá lo siguiente:
cerrándonos el programa sin ningún aviso:
-Realicemos los pasos de nuevo esta ves dejando el firewall habilitado debido a que ya tenemos el punto de retorno con un bp:
-le damos
F9 y para en el
BP, seguimos hasta el salto y luego lo nopeamos guardamos los cambios
(de aquí en adelante ya tenemos registrado el programa):
-seguimos traceando y notamos que está pushando datos a la pila y luego nos detenemos en un call:
si miramos la pila notaremos lo siguiente:
notaremos que está guardando algo en el registro, lo más probable es que sea el código de activación
-si ahora le damos
F9 o
Run veremos que nuestro programa corre sin limitaciones:
-Comprobemos si agrego la ruta que vimos cuando traceabamos,vamos a la ruta que agregó el programa:
-efectivamente está creada, si la borramos:
cerramos el programa y lo iniciamos nuevamente notaremos que no está registrado:
por lo que para que esté registrado, se debe crear de nuevo el registro que acabamos de borrar: para eso creamos un documento de texto y agregamos lo siguiente:
guardamos los cambios y renombramos el documento por
.reg.txt a
.reg,ahora si lo abrimos con
privilegios de administrador si todo ha salido bien nos mostrará lo siguiente:
una ves esto
el programa está nuevamente registradopor lo que hemos encontrado la forma de registro
en resumen tenemos dos formas:
1)agregando el
.reg al regedit:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\System]
"Elctca"="iufdsdfi"
2)ejecutando el parche soccer trainer modificado (salto nopeado)
Descargar parche:
http://www.mediafire.com/?bddmxc7s512753z