Eso, busqué referencias en google pero no me quedó claro
si me pudieran dar un ejemplo, sería mucho mejor

Saludos

PD:
PD2:

Bueno esa es mi pregunta y que tal?, como lo han encontrado?
otra cosa se pueden enviar invitaciones?, si es así se animan, gracias...

Hola, siguiendo el tutorial de ricardo narvaja capítulo 51 tengo problemas con econtrar el OEP en el unpackme: UnPackMe_ASProtect.2.3.04.26.a

siguiendo el tutorial se habla de hacer un Break point memory on execution a través del pluguins ollybone al intentar me aparece "Access violation when writin to [00000]:


No puedo pasar la excepción, también la añadí en la configuración de ollydbg pero no he logrado saltarla, también he intentado utilizar el pluguins de bp memory on execution pero sucede el mismo problema, he testeado bajo windows 7,xp

*He configurado ollyadvance tal como lo indican las imágenes del capítulo pero no lo he logrado.

Saludos

Hola siguiendo el tutorial de ricardo narvaja en la parte 51 hablan sobre la utilización de Ollybone un pluguins que permite poner en la sección de memoria:

set-break-on-execute (break point on execution)

bueno ricardo narvaja comenta que este es más ventajoso:


mi duda es que cuando se refiere a la velocidad este no tracea? es instantaneo como menciona cuales son las diferencias exactamente con parcheado 5?

Si alguien me pudiera aclarar eso, Gracias

otra cosa. se habla del pluguin Weasle que se encarga de reparar IAT diferencia tiene este con ImportRec?

En resumen son dos preguntas

1-Diferencia entre Ollybone y parcheado5.exe (modificación de ollydbg que hace que se detenga solo en memory on execution cuando se elige memory on access)
¿Se debe tener ollybone como segunda opción si es que no se puede encontrar el OEP?

2-Diferencia entre Weasle e ImportRec, los dos su finalidad es reparar IAT?
(Si es así me quedo con ImportRec

Gracias y saludos

Tutorial Agent Profesional 2002


Objetivo: Evadir el límite de instalaciones del programa

-Examinamos un poco:



Nos damos cuenta de que nos pide una llave tipo disquete o floppy para la instalación definitiva.

Si le damos aceptar sin tener la llave el programa se cerrará sin ningún aviso

-si insertamos la llave dada por nuestro amigo tertulia (esta debe estar en disquete en mi caso mi netbook no posee por lo que tuve que emularlo con virtual floppy drive http://sourceforge.net/projects/vfd/

en el creamos un disquete vacío e introducimos los archivos:



al iniciar el programa nos mostrará la misma alerta que la anterior:



pero luego de dar aceptar nos muestra lo siguiente:



Por lo que el programa NO nos permite la instalación pese a tener la llave, debido a que lo más probable es que cada vez que se instala o se des instala el programa deja algún tipo de registre en la llave

ya analizado el programa es turno de ollydbg:

antes de abrirlo pensamos de que manera vamos a usarlo, probemos con un BP en la alerta de mensaje de que este ya estaba instalado

al abrirlo notamos que hay dll de visual basic por ende está programado con el mismo lenguaje

por lo que nuestra API será:


Encargada de mostrar mensajes pongamosle un bp en ella

Iniciamos el programa con F9 luego de que nos apareció el primer mensaje pondremos el bp:



Ahora si lo ponemos



ahora le damos a aceptar y se nos detendrá debido a que el programa está llamando la api rtcMsgBox con la intención de avisarnos que este programa ya ha sido instalado

a nosotros en realidad no nos interesa la API si no el momento en donde es llamada al parar le damos a execute till return y se nos desaparecerá el OP code de origen, lugar en donde está detenido el debugger (en mi caso fue así) por lo que si miramos en la pila podremos saber adonde retornará la API luego luego de que fue llamada:



Notamos que es en:

01244473

Nos vamos hacia esa dirección y notamos que es la linea siguiente después de llamar a la API (Call anterior), si seguimos subiendo veremos dos saltos interesantes pero lleguemos hasta el inicio:



le pondremos un BP y bajaremos hasta encontrar nuestro primer salto JE y también le pondremos un bp



Si seguimos hacia donde nos lleva este salto notaremos que nos lleva a otro salto un poco sospechoso:



Ahora reiniciamos, si se nos borraron los 3 BP los volvemos a colocar

le damos F9 y nos aparecerá la misma alerta, le damos aceptar y se nos detendrá en los breakpoint modificamos los dos últimos por jmp:





Luego de pasar por los BP le damos RUN y nos mostrará lo siguiente:



Por lo que el objetivo está completo

durante el traceo se pueden ver datos interesantes

EDIT:



http://www.mediafire.com/?zcrhqidd6cpfcyw

Una duda como veo el seguimineto de .mdb

Hola que API debo utilizar para conectarme a una base de datos .mdb y esta me pide clave, no sé como conectarme

Gracias

eso jeje

Hola a todos, bueno les comento tengo un problema con esa parte del tutorial de introducción de ricardo narvaja, más que nada no logro arrancarlo lo vi de pasada y está muy facil no se necesita reparar IAT nada de nada, el único problema que tiene es que utiliza esta API ahí se comenta que casi todos los pluguins parchan ese problema pero el unpackme se basa de eso por lo que genera una excepción intencionada para luego marcar error y no poder continuar, el problema surge en que hay que poner un bp en esa api OutputDebugStringA pero a mi no me lo toma proble con HADWAREBreakPointOnExecution pero tampoco

otra cosa que me llama la atención es que antes de marcar la excepcción intencionada me muestra el siguiente mensaje



Por lo que no se que dice, al igual que haciendo pruebas sin abrir el ollydbg simplemente tipeando un serial falso este me muestra una alerta con los mismos caracteres extraños lo que me hace deducir que esa alerta es del programa, pero mi duda es como soluciona esa alerta y como lograr detenerme en tal api ya que luego de eso se cambia un dato en eax y se soluciona todo

Si alguien me da una mano

PD: no confundir con unpackme de la parte 45 que tiene el mismo nombre

Saludos

Este es mi primer tutorial así que espero que puedan entenderlo  
Para descargar en formato .pdf y doc gracias a apuromafo:
http://www.mediafire.com/?g7eclg6czc37vev

PosWin v8

1) Herramientas

Las herramientas que debemos usar para poder lograr el objetivo de este tutorial son las siguientes:

Ollydbg modificado/parchado conocido como PARCHEADO5 o Ollydbg normal con el pluguins Break on Execution 1.1b (este lo pueden conseguir desde esta página:http://tuts4you.com/download.php?view.3123)

2) Conociendo al target o objetivo:

Según mi metodología creo que antes de tocar algún debugger u otra herramienta se debe conocer el programa en sí, saber como trabaja desde una visión generalizada

una vez instalado nos dirigimos a la ruta de su instalación:


y abrimos el ejecutable "Acceso.exe"

al abrirlo nos muestra lo siguiente:



Nos fijamos que tenemos dos opciones, una es introducir el serial para poder contar con el programa sin ninguna limitación o probar la versión demo

si en este instante abrimos el administrador de procesos obviamente notaremos que se está ejecutando Acceso.exe

ahora le damos click a la DEMOSTRACIÓN y se nos abrirá un submenú



si elegimos cualquiera en mi caso Hostelería (que es el primero y me ahorro de mover el mouse )

Nos carga el programa y si nos dirigimos a acerca de nos mostrará que es la versión demo cerramos todo

3) Manos a la obra:

-Abrimos Ollydbg y seleccionamos Acceso.exe nos damos cuenta al analizar los llamados a las dll que estas son de visualbasic por lo que por eso se debe utilizar el PARCHEADO5 o el pluguins ya que estos se encargan de que cuando nos dirijamos a MEMORY (botón de Ollydbg con la letra M) si colocamos un "Memory on Access" este solo se detendrá cuando haya un "Memory on execution", no cuando haya un "on acces" o un "on write" (con el pluguins antes se debe activar desde el menú de pluguins)

lo iniciamos, al estar cargado completamente:



Tipeamos un serial falso y nos vamos a M y colocamos un Memory on Access (execution) en la sección code

luego de detenerse y tracear un buen momento, vemos que se hace un llamado a otro proceso llamado "PosWin.exe" ubicado en la misma ruta que el ejecutable Acceso

este hace el llamado a través de la API CreateProcess por lo que intentar debuggear a este ejecutable no servirá


-Si intentamos ahora abrir a PosWin.exe desde Olly notaremos que nos muestra una Alerta diciendo que se debe abrir desde Acceso por lo que este método tampoco funcionará


Solución:
-Debemos configurar a OllyDbg con la opción:
Just in time debugging, que se encarga de que cada vez que un programa no pueda soluccionar algún error este es atachado por Olly

¿y para que sirve esto?
Sencillo para poder generar un error en PosWin.exe para que cuando sea llamado por Access.exe Ollydbg tome el control

para configurarlo hacemos lo siguiente:





*Si presionan "Attach without confirmation"
su Sistema Operativo NO les preguntará si desean debuggearlo con ollydbg, este lo hará de manera automática

luego de configurar nuestro ollydbg generaremos nuestro forzado error  

Abrimos PosWin.exe con Olly

y modificamos el primer OP que es PUSH 476E48 por un INT3 y esto nos quedará así:



guardamos los cambios de PosWin:



*Lo guardamos con el mismo nombre

Luego de esto cerramos todo y abrimos Acceso.exe e introducimos un serial falso, luego elegimos algún servicio del submenú y nos aparecerá un error:



le damos a duperar si es que no pusieron "Attach without confirmation"

al abrirlo debemos reparar el error para su buen funcionamiento:



luego de esto le damos F9 y nos vuelve a mostrar el cartel:



ahora buscamos referencias de texto, nos dirigimos al modulo de PosWin:



y luego:



ahora esperamos un buen tiempo ya que el programa tiene mucha referencias de textos y luego de esperar nos aparece lo siguiente:



y si buscamos detalladamente encontraremos algo muy interesante:



Por lo que si ahora nos dirigimos ahí con click derecho en ->follow to dissambler



Notaremos más arriba algunos saltos interesantes, anotemos el más lejano y sospechoso, en este caso:

01155167

Cerramos todo e iniciamos Acceso normalmente y seleccionamos la opción DEMO ya que deducimos que en la parte de comprobación de licencia pasa de todas formas por demo ya que esta tiene dos opciones entre las más importantes DEMO:PRN NO o está REGISTRADO

-nos mostrará el error por lo que tendremos que repararlo nuevamente, luego de esto nos dirigiremos a 01155167 y colocaremos los Breakpoint a los saltos cercanos incluyendo 01155167

luego presionamos F9, tendremos que pasar por varias excepciones hasta que nos aparezca la siguiente ventana:



Le damos aceptar y se detiene en el salto 01155167:



Si presionamos follow (click derecho-> follow) nos daremos cuenta que si saltara se dirigirá a REGISTRADO

por lo que debemos reemplazarlo por un jmp para que siempre salte:



luego si traceamos de nuevo notaremos otra comprobación por lo que esta deberemos eliminarla con NOPS:



y si guardamos los cambios al iniciar nos dirigimos a acerca de nos quedará más o menos así:



4) Ajustes:

!!Cada vez que queramos Iniciar el programa, por obligación debemos iniciar Acceso pero cada vez nos aparecerá la opción de usar demo o introducir el serial  para solucionar este problema estético, visual haremos lo siguiente:

-Abrimos Acceso.exe, luego abrimos ollydbg y le damos a attach
selececcionamos obviamente a Acceso

-Esperamos un poco que carguen los módulos y luego de esperar apretamos F7

-nos dirigimos a M y le damos "Memory on Access" a la sección code

y presionamos el boton usar demo y se nos detendrá en un opcode antes de un jump, este jump se encarga de lanzar el programa

-anotamos el jump



-Ahora reiniciamos Access con Ollydbg (Cntrl+F2)
y nos dirigimos a la dirección de ese jump y colocamos bp en el y en todos los jmp cercanos y luego le damos RUN parará en donde muestra la imagen:



por lo que el primer JMP en que se detuvo fue:

00403D5B

luego si presionamos nuevamente F9 se detiene en:

00403DB6

y si presionamos F9 otra vez se detiene en el jump encargado de lanzar el programa, por lo que deberemos reiniciar Acceso otra vez y poner un BP en el anterior JMP que lanza el programa, con la finalidad de tracearlo hasta su último return y modificarlo por un jump a 00403D34:





guardamos los cambios y al iniciar Acceso nos aparecerá:



en el cual podremos elegir el servicio que necesitemos

pero al elegir uno de ellos este vuelve constantemente a preguntar que servicio queremos elegir por lo que hicimos un bucle por causa de nuestra modificación del RETN 4 por lo que deberemos hacer un jmp condicional tal como lo muestra la imagen:



este salto se dirige a hacer lo siguiente:



-realiza una comparación entre ECX y 12F3CC (12F3CC es el primer valor que toma ECX cuando pasa por RETN 4 y es en ese momento en donde se debe colocar el salto) si este no es 0 retoma el programa normalmente y si es 0 saltará directamente a los servicios

*De todas formas sigue presentando un problema y es que luego de seleccionar el servicio nos muestra normalmente el siguiente cartel:



pero deberemos darle click 3 veces





5) Datos Anexos:

La ubicación en donde se encuentra el serial cuando se quiere registrar de manera legal está en el acceso directo, este es:


En donde /S: es el serial que se ha digitado en Acceso, por lo que PosWin corrobora si este se ejecutó o no desde Acceso por los parámetros que lo acompañan a través de la API


por lo que si se crea un acceso directo como mencioné anteriormente este no necesita pasar por Acceso
También dentro del análisis habían muchas APIS que se podrían detallar la forma en que trabajan pero fue un bosquejo rápido

6) Agradecimientos:

apuromafo,MCKSys Argentina,_Enko

Que me han dado muy buenas orientaciones,se han tomado el tiempo de explicar detalladamente mis preguntas y me han alentado en este largo camino

EDIT:

Adjunto Parche



Instrucciones:

-hacer doble click en poswin.v8.1-patch

-presionar patch si no encuentra los archivos se deben elegir de manera manual

-luego ir al directorio en donde se instaló y abrir Acceso.exe

y a Disfrutar

http://www.mediafire.com/?wmpc9be44kywhh9

*el link lo he colocado para que aquellos que no lo lograron puedan sin problemas y por comenté en otros post por si hay gente de esfuerzo que está emprendiendo