[Tutorial]Crack Tinkipinki v4.0 

Analizamos el crackme con RDG packer detector, y nos aparece lo siguiente:


por lo que para desempaquetarlo utilizaremos UPX:
http://upx.sourceforge.net/#downloadupx

una vez descargado y descomprimido en el escritorio, debemos abrir la consola CMD y dirigirnos hasta la ruta con el comando cd

EJ: C:\User\und3r

luego cd Desktop

C:\User\und3r\Desktop

cd upx307w

una vez localizado en la dirección de UPX desde cmd, anotaremos lo siguiente:


en donde upx.exe es el programa a ejecutar
-d comando de upx.exe que descomprime
Tinkipinki4.exe es el ejecutable a descomprimir, en este caso está en la misma carpeta que el UPX si no lo estubiera, se debería colocar la ruta completa
EJ: C:\User\Und3r\Desktop\Tinkipinki4.exe

Presionamos ENTER, si todo sale bien, nos debería salir lo siguiente


Una vez descomprimido lo iniciamos desde OllyDBG y le damos RUN, nos aparecerá los Siguiente:


Notaremos el siguiente mensaje, busquemos serial en la memoria M (botón de OllyDBG), hacemos click derecho y seleccionamos Search (Control+B)


Se detiene aquí y notaremos una comprobación con el caracter: TSK3R2


Probemos con ese serial:

Post dañado

Hola a todos tengo esa duda ahora me topé con un programa .NET, este al debuggearlo en el OllyDBG,No hay EP tengo entendido que Olly no Debuggea .NET, bueno si es así que debugger se debe utilizar?,es muy distinto a Olly?, que por referencia sea el mejor en .NET

Gracias y saludos

CrackMe1 de Karcrack
Autor: Karcrack
Nombre: #1 Crackme
Fecha: 27 de diciembre de 2008
Tamaño: 24,0 KB
Compilador y/o Packer: Visual Basic
Objetivos:Encontrar una clave valida
Dificultad: 2/3 (1-10)
Descarga del crackme:http://karcrack.funpic.de/1CrackMe.rar
Autor de Tutorial:UND3R

Noté que no había ningún tutorial, por eso decidí realizar uno
Descarga del tutorial en .doc: http://www.mediafire.com/?00a114mb1eagtti

-Colocamos el crackme en el la ruta:
-Cargamos el crackme con OllyDBG y buscamos referencias de texto:


encontramos algunas interesantes, parecen PATH, comprobemos


Las PATH son variables de rutas o datos que posee windows como por ejemplo

Para ver las path de nuestro sistema operativo, nos vamos a Inicio->Ejecutar->CMD una vez cargada la consola de windows tecleamos el comandoSET y luego enter:



Si buscamos un poco podremos corroborar con set que son path:


Por lo que nos dirigimos a la string con doble click


y colocamos un BP en ella:


Si traceamos un poco llegaremos hasta 0040274C, si lo pasamos
EAX retornará el valor de HOMEDRIVE


Sigamoslo en el dump


Pasando:
0040275E   .  FFD7          CALL EDI
EAX=retornará el valor de HOMEPATH





Veamos el valor en el dump:


Si seguimos traceando llegaremos hasta esta API:


en donde concatenará (juntará) el valor del HOMEDRIVE con el HOMEPATH en EAX


Veamoslo en el dump:


Si seguimos traceando mucho más abajo llegaremos a la siguiente API que se encarga de Pasar a Mayúsculas las string's:

 en este caso la concatenación





una vez ejecutada la API, podremos ver en el DUMP el HOMDRIVE+HOMEPATH en mayúsculas


Sigamos traceando aquí vemos la llamda de una API muy importante:


InStr (Función, Visual Basic)

Devuelve un entero que especifica la posición inicial de la primera aparición de una cadena dentro de otra.

Parámetros





En este caso retornó 0 EAX



Luego toma valor obtenido en EAX y lo mueve a ESI:


Luego testea ESI, a través de la tabla AND:
1 AND 1= 1
1 AND 0= 0
0 AND 1= 0
0 AND 0= 0

Por lo que al ser TEST SI,SI existen una posibilidad que de 0 y es si SI=0

1 AND 1= 1
0 AND 0= 0


Si le damos F9 la primera condición no se dará debido a que cuando se llamó la API EAX=retorno 0

por lo que si ponemos el crackme en la ruta:
  de ahí en adelante, cuando se pasa por la API InStr esta devolverá lo siguiente:


Ahora al momento de dar RUN la primera condición se cumple, ahora vamos por la otra


Si buscamos referencias, encontraremos otro PATH




vallamos hacia el y pongámosle un BP



Coloquemos un número en el serial:


Se dentendrá en USERNAME:


Si seguimos traceando llegaremos hasta la siguiente API:


en la que retornará el valor de USERNAME:


vayamos al dump:




Si seguimos traceando notaremos que compara la cantidad de caracter que se colocaron al serial con 6, cantidad de caracteres de mi USERNAME, algo sospechoso si este es mayor automáticamente la condición dos no se cumple


Si seguimos traceando llegaremos aquí:


Luego de pasar por esta API toma la primera letra de mi username V que en hexadecimal es 56 y le suma 1 transformándolo en F7 es decir en W



Pongamos un BP en tal API y demos RUN


Notaremos que vuelve a detenerse ahí y continúa haciendo lo mismo con los otros caracteres de mi USERNAME:


Probemos colocar mi USERNAME sumandole uno a cada string como mi serial:


Notaremos que lo hemos logrado, por lo que por conclusión:

1-Condición se debe tener el crackme dentro de C:\Users\Victor\ Puede ser cualquier subcarpeta, pero debe tener como base tal ruta

2-el serial correcto es el USERNAME (Nombre de nuestra cuenta) y sumarle 1 a cada string

Eso  , Saludos

crackeando DeepView Publisher 3.0

Tamaño: 2.97 MB
Version: 3.0
Página de descarga: www.deepvision.se/download.htm
Dificultad: 2 (1-10)

-Abrimos el programa sin debuggear:



Notamos que lo primero que nos muestra un mensaje de alerta diciendo que el archivo de licencia no ha sido encontrado



Luego nos aparece el programa en si, por lo que deducimos que la comprobación se genera antes de cargar la aplicación


-Cargamos el programa desde ollydbg:



luego buscamos referencias de texto:


Nos aparecerá lo siguiente:


Si subimos hasta el inicio:


Notaremos string importantes como el que aparece al iniciar el programa "Lincense file...
hacemos doble click en la string (401C5A)

En el disambler nos aparecerá lo siguiente:


Si seguimos más arriba notaremos el salto que envía la alerta


Pongamos un BP en el salto


Presionamos F9 (Run) y se detendrá en el BP:


Por lo que para evitar que no salte, cambiamos el OP code JNZ por JMP


Si seguimos traceando (F7), notaremos otro salto:


Si seguimos el salto (click derecho-Follow o Enter),Notaremos que empieza a pushear la string DVPubNoC 2.x en donde NoC significa:
Not Comercial


Por lo que ese salto no nos sirve, nopiemoslo (llenar con NOP)


Luego de Nopear si seguimos traceando llegaremos a otro salto:


Si seguimos el salto (Click derecho-Follow o Enter)
Notaremos que se llama a la string "License: Pro"
Por lo que nos hace saber que este salto nos lleva a la validación de la licencia:


Remplacemos el salto JG SHORT por JMP SHORT:



Si seguimos traceando llegaremos hasta 00401D09:


Notaremos que más abajo se pushea la string Expires, lo que quiere decir que la Licencia pro, Tiene fecha de caducación por lo que se deberá tener cuidado al momento en que sea llamada, ya que lo más probable es que esté la fecha por defecto (fecha más mínima posible), si miramos el valor de EDX notaremos string en formato de fecha:



Por lo que haremos un injerto encargado de modificar la fecha, vallamos al último OP Code del desemblador, y busquemos un espacio en mi caso probaré el address 56AF25:



Una vez elegida la ubicación en donde se realizará el injerto, comprobaremos si esta ubicación existe en el ejecutable o es creada en tiempo de ejecución
(API VirtualAlloc)

Para verificarlo nos vamos a:


Notaremos que existe, por lo que se podrá injertar sin problema alguno:



Estando en la ubicación:
00401D09 realizaremos un salto a nuestro espacio para injertar (56AF25)



*Una vez creado el salto al injerto notaremos que se pierden OP codes por lo que tendremos que colocarlos en nuestro injerto para evitar que el programa genere errores

Llegamos a nuestro injerto:



Notaremos que en la pila también está el valor que tiene EDX


El injerto completo quedará así:


Explicación del injerto:


Una vez realizada todas estas modificaciones guardamos los cambios, si iniciamos DeepView Modificado nos aparecerá lo siguiente:



Notaremos que poseemos la Licencia PRO y nuestra fecha de espiración es la mismo que modificamos nostros

ADJUNTO:
DeepView Publisher 3.0 Crackeado:
http://www.mediafire.com/?934wy3b4pea6lq6

Hola a todos, bueno tengo un problema y es que cuando intento debuggear un programa cada vez que escribo una letra me aparece, debug string abajo de ollydbg y me aparece un MessageBox en blanco, tengo entendido que con ollyadvance evita que se sobre colapse olly pero si me está enviando una alerta cada vez es casi lo mismo

Saludos xD

Activación por internet-Soccer Team
página:www.soccer-trainer.es
Descarga:http://www.mediafire.com/?sjncwg12u933xyr
versión:3.03
objetivo:activar el programa
autor:Und3r

Imagen de carátula:


Herramientas:
-Ollydbg
-RDG Packer detector
-Firewall


-Debemos tener configurado nuestro firewall para que nos notifique en cada momento, en este tutorial usaré keiro firewall (algo antiguo) compatible con windows xp
(con windows 7 no arranca)

-Realizamos un análisis con RDG Packer detector y nos aparece lo siguiente:



Solo comenta que se hace referencia al CD-ROM (esto se debe a que en una alerta del programa aparece tal string pero esta no afecta en nada. Por lo que en resumen está limpio

-cargamos el programa desde ollydbg


-Damos F9 o Run y nos aparece la alerta del firewall


-si notamos la ventana que crea el programa:


notaremos que ya ha notificado que no se puede conectar ha Internet, por lo que no se alcanza poner "Permitir" en el firewall ya que no da tiempo

-Modificamos nuestro firewall's para que permita el acceso a Internet automáticamente a Soccer Trainer



y nos quedará:



por lo que si reiniciamos ollydebugger (Control+F2) si le damos RUN ahora nos aparecerá lo siguiente:



-Ahora volveremos a modificar nuestro firewall para que nos notifique como al comienzo para ver si esta ves el programa nos da tiempo para hacer algo:



-Probamos con un correo cualquiera:



notaremos que el programa intenta nuevamente conectarse a Internet:



sin elegir una opción del firewall nos dirigimos al ollydbg y presionamos F12 o Pause

nos aparecerá el siguiente mensaje por parte de ollydbg que si le damos a SI nos volverá a aparecer en los siguientes 5 segundos y si presionamos NO ollydbg dejará de debuggear el proceso:



esto en resumen nos trata de decir que el programa no está  respondiendo,
pero esto se debe a que el que está interviniendo es el firewall ya que no hemos tomado ninguna opción este mantiene detenido al programa

por eso ahora SI presionamos permitir a todas las alertas que nos muestre el firewall:



-una vez permitidas todas las conexiones nos dirigimos al stack o pila:



notaremos que retornará a una dll (Winsock, encargada de realizar la conexión)
pero nosotros debemos encontrar el momento en donde retorna al programa ya con información obtenida es decir si el email es válido o no

si bajamos notaremos más retornos pero ninguno al programa:


*hay un solo retorno, pero este no es llamativo ya que debajo de el no se han pusheado nada interesante

pero si seguimos bajando notaremos lo siguiente:



-dirijámonos en del disambler (Control+G):



-pongamos un BP en el:



-si seguimos traseando veremos un salto que en un op codes más nos lleva a un call





-si lo ejecutamos nos aparecerá lo siguiente:



cerrándonos el programa sin ningún aviso:


-Realicemos los pasos de nuevo esta ves dejando el firewall habilitado debido a que ya tenemos el punto de retorno con un bp:



-le damos F9 y para en el BP, seguimos hasta el salto y luego lo nopeamos guardamos los cambios
(de aquí en adelante ya tenemos registrado el programa):



-seguimos traceando y notamos que está pushando datos a la pila y luego nos detenemos en un call:



si miramos la pila notaremos lo siguiente:



notaremos que está guardando algo en el registro, lo más probable es que sea el código de activación

-si ahora le damos F9 o Run veremos que nuestro programa corre sin limitaciones:

---

-Comprobemos si agrego la ruta que vimos cuando traceabamos,vamos a la ruta que agregó el programa:



-efectivamente está creada, si la borramos:



cerramos el programa y lo iniciamos nuevamente notaremos que no está registrado:



por lo que para que esté registrado, se debe crear de nuevo el registro que acabamos de borrar: para eso creamos un documento de texto y agregamos lo siguiente:



guardamos los cambios y renombramos el documento por .reg

.txt a .reg,ahora si lo abrimos con privilegios de administrador si todo ha salido bien nos mostrará lo siguiente:



una ves esto el programa está nuevamente registrado
por lo que hemos encontrado la forma de registro

en resumen tenemos dos formas:

1)agregando el .reg al regedit:

2)ejecutando el parche soccer trainer modificado (salto nopeado)



Descargar parche:
http://www.mediafire.com/?bddmxc7s512753z

Intentando desempacar un programa al intentar lanzarlo me aparece un mensaje de alerta algo como file size is too small, viendo los log me aparece esto:
  Import Lookup Table outside .idata


Saludos

pues así es, mi duda es como hago para que aparezca siempre, pues tengo entendido que solo desaparece cuando ya se ha analizado por ende pongo remove analize y vuelvo a analizar pero en este caso tampoco está remove analize

Saludos