Tinkipinki v1.0,v2.0,v3.0

Dificultad:1 (1 de 10)
Video tutorial por Tinkipinki:
Descargar Video

V1.0
al abrirlo nos muestra lo siguiente:


-le damos F9 y nos aparece:


-Si introducimos un serial falso nos muestra:


Presionamos la letra M y presionamos click derecho search o Control+B

buscamos la string del mensaje que nos muestra:



-se detiene aquí:


-si subimos un poco nos aparecerá lo siguiente:


Podremos observar que hay dos MessageBox y un else entre medio y además que hay una comparación (=)

=444 MSG1(correcto) else MSG2(incorrecto)



por lo que 444 es el serial correcto

---

v2.0
Realizamos los mismos pasos y vemos:



Si introducimos lo que está sombreado nos mostrará:

---

v3.0


Si realizamos los mismos pasos nos mostrará lo siguiente:


notamos que hace una comparación con F
0D=variable


Aquí el 6to valor debe ser F

Hola, saben tengo problemas con buscar las referencias Ctrl+R cuando lo hago no me aparece nada, en toda la IAT aunque esté empaquetado en UPX nada de nada, estoy seguro que debe ser alguna configuración que generó ese problema ya que antes me funcionaba, si alguien sabe se lo agradeceré saludos

Crackeando DrDepth
Programa:DrDepth V4.0.10
Instalador:drd4p0p10_PCsetup.exe
Página:http://www.drdepth.se
Objetivo:Parchear
Autor:UND3R

-Conociendo el programa:
Una vez instalado, lo primero que se debe hacer, es saber con qué tipo de programa se está trabajando(Crackeando),es decir el lenguaje en cual está programado y si está empaquetado, para eso utilizamos: RDG Packer detector,tras realizar el análisis, este nos muestra lo siguiente:


(*Recordamos que RDG Packer tiene dos tipos de detecciones una es por código y otra por análisis heurístico)



Luego de haberlo analizado iniciamos DrDepth desde Ollydbg y lo primero que nos mostrará será lo siguiente:



Por curiosidad intentaremos colocar un BP en la API:

Aclaramos que esta API se encarga de almacenar aquellos caracteres que han sido introducidos en un control o cuadro de diálogo

Introducimos un serial falso:


Y si presionamos aceptar,el debugger no se detiene en la API y nos muestra el siguiente mensaje:


Por lo que al aparecer el mensaje se podría utilizar la API:

Reiniciemos y coloquemos un BP en dicha API:


al dar aceptar si vemos la PILA o STACK desde Olly,Notaremos hacia donde retornará (address) una vez lanzada esta, en este caso 0053CCB1 como lo muestra la imagen:



Nos dirigimos hacia ella presionando Control+G y colocamos la dirección de retorno de la API:


Nos aparecerá:


Si seguimos subiendo llegamos hasta el inicio en intentaremos colocar un bp ahí,reiniciamos y colocamos un BP para saber si en esa zona se puede observar que el programa ya realizó la comprobación:


al detenerse, si observamos a EAX, notaremos que el programa ya ha comprobado nuestro serial falso:


Si miramos la Pila:

Notaremos por así decirlo algo interesante y es que nos muestra el punto de retorno de la call anterior(última call) antes de que se detuviera, por lo que dirijámonos hacia ella, una vez que ya lo hemos hecho, subiremos hasta el final,anotemos el inicio, reiniciamos y colocamos un bp (53D0E4)



y al darle RUN(F9) si nos fijamos en EAX, notaremos que el programa de nuevo ya ha comprobado nuestro serial falso, por lo que nos volveremos a fijar en nuestra PILA:

00452963

la retorno nos lleva:


si nos fijamos vemos una string llamativa, un poco familiar en todo este tutorial:



Pero si seguimos subiendo, notaremos lo siguiente:


y un salto muy Interesante:


reiniciemos y NOPIEMOS (NOP)



si guardamos los cambios y si le damos RUN nos mostrará lo siguiente:


--------------------------------------------------------

crackme.de está offline si alguien me lo puediera pasar, Gracias

Hola a todos, bueno les comento utilizando CFF Explorer este me muestra la estructura de un .net pero me gustaría entenderla más detallada los datos que me muestra como:

cb
MajorRuntimeVersion
MinorRuntimeVersion
MetaData Rva
MetaData size
....
.
.
.
etc

Si alguien conociera alguna documentación, se los agradecería

Muchas gracias, Saludos

Hola a todos, bueno estudiando algunos unpackme's me he topado con este que no he  podido solucionarlo incluso siguiendo al pie de la letra un tutorial e incluso un videotutorial (ambos son muy pequeños y facil de entender)

pero cuando lo termino al abrir el ejecutable (crackme del tutorial), me aparece un error:


y si intento abrirlo con ollydbg me aparece el mismo error, sospecho del PE header

les dejo el tutorial,video tutorial junto con el unpackme que aparece en el muy pequeño para que me digan si han podido solucionarlo:

Peso:2.51 MB

para acceder al videotutorial hay que hacer click en la página que está dentro del .rar (esta se encarga de lanzar el video .swf junto con un reproductor)

http://www.megaupload.com/?d=FB0K5Q15

Hola, tengo una pequeña duda con esta api, les cuento:

necesito que ecx me devuelva la dirección de la API ntdll.KiFastSystemCallRet

por lo que se me ocurrió saberlo con GetProcAddress, los parámetros son:

FARPROC GetProcAddress(

    HMODULE hModule,   // handle to DLL module  
    LPCSTR lpProcName    // name of function

PUSH KiFastSystemCallRet
PUSH Manejador de ntdll
Call GetProcAddress

pero el manejador tengo entendido que se obtiene con GetModuleHandle:

HMODULE GetModuleHandle(

    LPCTSTR lpModuleName    // address of module name to return handle for  
   );

pero mi duda es que pongo cuando llame a esa API?, no me quedó claro

PD:no sé ASM

Saludos jeje

edit: en palabras fáciles como obtengo el adress de ntdll.KiFastSystemCallRet desde el olly

Saludos

así es decir tengo c:/archivosdeprograma/asd/dfg.exe

cuando ejecuto dfg.exe con que api este puede saber la ruta desde donde se ha iniciado?

Saludos

Hola, saben tengo el siguiente problema cuando activo esta opción, funciona sin ningún problema cuando ollydbg se lanza sin permisos de administrador, a diferencia que si lo dejo activado como administrador cuando se genera algún error en un programa cuando pongo duperar, no se abre ollydb

a alguien le ha pasado?

Saludos