Muchas gracias Apuromafo,

Buen trabajo.

con tu permiso yako-_-, lo subo a otro server.

Amerikano, mira si te viene bien este upload (además sin tiempos de espera)


http://www.myupload.dk/showfile/56808456749.exe/

Cuando buscas en memoria el text de un mensaje, este puede estar en formato ACII ó en formato UNICODE, para buscarlo en formato unicode lo debes escribir en la ventana de busqueda en el apartado de unicode, pero en memoria siempre está sino no lo verias en pantalla.
Si no encuentras el texto completo, busca el titulo de la ventana, alguna palabra suelta, etc.

Si el texto no está en memoria puede ser que el mensaje en si sea una imagen prediseñada tipo bmp por ejemplo.

muchas gracias yako-_-

buen trabajo,

como las referencias a las string están en inglés, prueba a configurar el programa para que se muestre en ingles, en vez de traducido al español, así te será mas facil localizar los mensajes originales.

Si no puedes configurarlo en su idioma natural, busca los mensajes en memoria con Alt+M, Control+Inicio y Control+B (para buscar), una vez localizado el texto, le pones un "Breakpoint > Memory on access".

yako,

Regla 10.014, no te creas siempre todo lo que te digan los analizadores, y más en modo super avanzado que buscan todo lo posible que se le parezca.

Ante la duda, siempre el mejor es el OllyDbg que te va a decir si está empacado o con el EP fuera de la sección de costumbre. Y en este caso no dice nada, así que libre de todo packer.

tal como bien te dice ctlon, hay que distinguir dos cosas, hay programas demos capados en cuento a funciones de las que no dispone en el código y por eso no están activas, y otros programas demos que si son programas completos pero que activan ciertas funciones cuando introduces un serial o un archivo llave.

Para el primero no hay nada que hacer, salvo conseguir por el medio que sea un programa completo, en el segundo de los casos, si se puede aplicar la ingenieria inversa, y en este caso mas que un tuto generico, en cada programa hay que improvisar alguna de las tecnicas ó improvisar según los mensajes que estamos recibiendo de que se trata de una versión en periodo de prueba.

Si nos pasas algun link de descarga podremos ver el caso concreto y si se nos ocurre alguna cosa al respecto.

Si, es la solución para la versión de registrado, pero si te fijas, un poco más



el valor que se mueve a EAX para luego compararlo con el de la dirección fija de 4308C0, es el valor que se encuentra en la dirección 71A0F4, y ahí es donde deberiamos tener el mismo valor que hay en 4308C0 para que la comparación posterior devuelva en EAX el valor 0, para que en el TEST EAX,EAX al ser igual a  0 active el flag Zero con 1 y esto produzca el salto JE.

Por qué hay que fijarse en esto ?.
Porque si buscamos mas lugares donde se utiliza el valor que debe tener en la dirección 71A0F4 para realizar otras posibles comparaciones o utilizarlas en el codigo del programa, vemos que existen y tambien tendriamos que arreglar él resto de ese código para no tener problemas mas adelante.



Así que vamos a aprovechar el lugar donde nos encontramos, para matar varios pajaros de un solo tiro.
Para cambiar el código de un programa tenemos que tener cuidado de no machacar código necesario para la ejecución correcta del mismo, y como necesitamos algo mas de lugar para mover valores entre dos direcciones fijas, vamos a utilizar parte del lugar que ocupan los bytes del codigo de la api de comparación, que realmente no nos hace falta ejecutarla, pues ya sabemos lo que el programa necesita, así que vamos a modificar el código para mover a la direccion 71A0F4 el valor de la dirección 4308C0 que es el que deberiamos tener en caso de estar registrado en versión ilimitada, NOPeamos la llamada a la función de comparación que ya no nos sirve y además esta incompleta en cuanto a valores suministrados, y ademas vamos a poner a 0 el valor de EAX y activar el flag Zero para que se produzca el salto JE, (estos tres pasos lo obtenemos siempre con un simple XOR, en vez del TEST),

puedes añadir que ignore el siguiente rango de excepciones
poniendo desde la 00000000 hasta la FFFFFFFF
asi evitas que se dentenga el olly montones de veces.

pero si afina un poco mas con lo expuesto en el tercer párrafo, es el propio programa el que se encarga de poner el valor 0, además de otros valores que lo hacen ilimitado ("Illimitata" teniendo en cuenta que el programa es italiano)