| |
 Mostrar Mensajes
|
|
Páginas: 1 [2] 3
|
|
11
|
Programación / Ingeniería Inversa / Re: En serio nadie puede ayudarme??? programa desempacado q se cierra en olly
|
en: 6 Febrero 2012, 22:56 pm
|
|
hola de nuevo, gracias eres el unico que aunque sin soluciones, ni ninguna teoria para poner en prueba me estas echando una mano.
Explicate por favor, porq no entiendo lo q quieres decir.
Por lo que veo es que SIN DESEMPACAR corre bien el programa tanto en olly como sin el, y una vez que LO DESEMPACO se cierra y me abre ventanas de MIS DOCUMENTOS tanto en olly como sin el.
Vale, vale.... lo entendi ahora mismo.
Entonces en caso de que el PROGRAMA DESEMPACO detecte que esta DESEMPACADO como hago para que el PROGRAMA DESEMPACADO no lo sepa, o no lo vea.
|
|
|
|
|
12
|
Programación / Ingeniería Inversa / Re: En serio nadie puede ayudarme??? programa desempacado q se cierra en olly
|
en: 6 Febrero 2012, 21:24 pm
|
|
Fuera del olly pasa exactax lo mismo q en olly, el exe original va bien, el desempacado (estaba empacado con telock y lo desempaque con VMUnpacker) y ha subido unos 3 megas de tamaño, se cierra, y me abre un monton de ventanas de mis documentos, a veces 2 o 3, otras veces entra en bucle y tengo q cerrar el programa para q pare de abrir mas ventanas. Igual q en olly, el original bien, el desempacado se cierra. He probado con HideOd, phantom, pero nada.
|
|
|
|
|
17
|
Programación / Ingeniería Inversa / Re: Necesito ayuda con un serial bastante complejo, que esta desempacado con Telock
|
en: 1 Febrero 2012, 17:22 pm
|
|
ah por cierto, acabo de descubrir el DEDE, he estado trasteando con el, el archivo original (empacado) no hace nada, el unpacker si, veo muchisimos datos, y pasa exactamente igual q con olly, se cierra el programa, (no el DEDE) y abre 2 o 3 ventanas, q son las de MIS DOCUMENTOS, exactax igual q pasa en olly, buscare algun manual de DEDE.
|
|
|
|
|
18
|
Programación / Ingeniería Inversa / Necesito ayuda con un serial bastante complejo, que esta desempacado con Telock
|
en: 1 Febrero 2012, 16:58 pm
|
|
Hola a todos, pues eso, llevo bastante tiempo ya con este programa, es un editor del nba 2k11/12 (a los que le guste el basket lo conoceran). El tio, lo ha creado y lo cobra, en mi vida he visto un editor de un juego q se cobre (o al menos muy pocos). No sabia nada de ingenieria inversa hasta hace dos meses, he estudiado los manuales de ricardo narvaja, y varias cosas mas, pero creo q este es de nivel 10.
Lo primero, le pase Pescan331, peid 0.95 y rdg packer detector, los 3 me decian que empacado con Telock unos, 0.90, 0.98, y otro 0.99. Y me indicaban un OEP (el mismo) distinto de despues de desempacarlos.
Lo desempaque con GUnPacker 0.4 y VMUnpacker creandome 3 archivos nuevos del ejecutable, uno que llamo REDITORII_unpacked.exe (con mas tamaño),una copia de seguridad BAK, y uno con extension .dump(imagino q dumpeado), le volvi a pasar pescan, peid y rdg y ya no detectaba ningun packer, me decia el lenguaje Borland delphi 6 o 7 en el que esta escrito, y el OEP distinto a antes de desempacarlo, y el mismo en los tres casos.
Cuando abro el original en olly y lo ejecuto todo bien, pero cuando abro el desempacado y lo ejecuto, se cierra y me abre unas cuantas ventanas, olly no se cuelga. He puesto varios plugins en olly hideod, phantom, pero sigue igual.
Si alguien me puede ayudar en este punto estaria encantado.
Y por otro lado he seguido este manual 102-Tutorial_Delphi parte 1 por The_Chameleon.rar y bien, veo como coge el serial q meto falso y como uno a uno lo va moviendo, etc, pero me pierdo, vi creo q por casualidad una string del q podria ser un serial valido(no lo era), y tenia cerca de 70 caracteres.
Nada lo dicho cualquier ayuda sera bien recibida. Un saludo para todos.
|
|
|
|
|
19
|
Programación / Ingeniería Inversa / Re: Reditor. Imposible para un novato
|
en: 2 Abril 2011, 15:50 pm
|
|
Hola tena, gracias de nuevo por tu ayuda desinteresada, bien sabe dios (aunq no creo en el, solo es la expresion) q si hay algun conocimiento, o algo que tenga en mi mano q necesites es tuyo.
Solo quiero asegurarme de a lo q te refieres...
Entro en el call 005B9A84 |. E8 9B8BECFF CALL REDitor.00482624 pulsando F7, para verlo por dentro y a donde me lleva, bueno a donde me lleva sera a 00482624, y ensambla esta linea, te refieres a q yo la creo como parte de codigo nuevo?? siendo [LOCAL.2] el registro q sea??? aun asi voy a probar a ver q tal, gracias.
|
|
|
|
|
20
|
Programación / Ingeniería Inversa / Re: Reditor. Imposible para un novato
|
en: 1 Abril 2011, 22:36 pm
|
|
Esta es la primera parte, podeis ver el The key is invalid y el "Valido" el PUSH EBP de la direccion 005b93d4 (la primera linea del codigo) tiene dos llamadas locales segui las dos y en la segunda llamada (005b9a11) siguiendola llegue al salto q os muestro despues de esta sección de codigo.
005B93D4 /$ 55 PUSH EBP
005B93D5 |. 8BEC MOV EBP,ESP
005B93D7 |. 83C4 DC ADD ESP,-24
005B93DA |. 33C9 XOR ECX,ECX
005B93DC |. 894D DC MOV [LOCAL.9],ECX
005B93DF |. 894D E8 MOV [LOCAL.6],ECX
005B93E2 |. 894D E4 MOV [LOCAL.7],ECX
005B93E5 |. 894D E0 MOV [LOCAL.8],ECX
005B93E8 |. 8955 F8 MOV [LOCAL.2],EDX
005B93EB |. 8945 FC MOV [LOCAL.1],EAX
005B93EE |. 8B45 FC MOV EAX,[LOCAL.1]
005B93F1 |. E8 22E2E4FF CALL REDitor.00407618
005B93F6 |. 8B45 F8 MOV EAX,[LOCAL.2]
005B93F9 |. E8 1AE2E4FF CALL REDitor.00407618
005B93FE |. 33C0 XOR EAX,EAX
005B9400 |. 55 PUSH EBP
005B9401 |. 68 3F955B00 PUSH REDitor.005B953F
005B9406 |. 64:FF30 PUSH DWORD PTR FS:[EAX]
005B9409 |. 64:8920 MOV DWORD PTR FS:[EAX],ESP
005B940C |. 8B45 FC MOV EAX,[LOCAL.1]
005B940F |. 8B55 F8 MOV EDX,[LOCAL.2]
005B9412 |. E8 89E9E4FF CALL REDitor.00407DA0
005B9417 |. 0F9445 F7 SETE BYTE PTR SS:[EBP-9]
005B941B |. 807D F7 00 CMP BYTE PTR SS:[EBP-9],0
005B941F |. 0F85 C9000000 JNZ REDitor.005B94EE
005B9425 |. C745 F0 05000>MOV [LOCAL.4],5
005B942C |. 8B45 F0 MOV EAX,[LOCAL.4]
005B942F |. F7D8 NEG EAX
005B9431 |. 83C0 02 ADD EAX,2
005B9434 |. 8945 F0 MOV [LOCAL.4],EAX
005B9437 |. 8D45 FC LEA EAX,[LOCAL.1]
005B943A |. 8B55 F8 MOV EDX,[LOCAL.2]
005B943D |. E8 42E2E4FF CALL REDitor.00407684
005B9442 |. 8B45 FC MOV EAX,[LOCAL.1]
005B9445 |. 8B55 F8 MOV EDX,[LOCAL.2]
005B9448 |. E8 53E9E4FF CALL REDitor.00407DA0
005B944D |. 74 07 JE SHORT REDitor.005B9456
005B944F |. C745 F0 65030>MOV [LOCAL.4],365
005B9456 |> 8D45 E8 LEA EAX,[LOCAL.6]
005B9459 |. 50 PUSH EAX
005B945A |. B9 0E000000 MOV ECX,0E
005B945F |. BA 01000000 MOV EDX,1
005B9464 |. 8B45 F8 MOV EAX,[LOCAL.2]
005B9467 |. E8 9CE9E4FF CALL REDitor.00407E08
005B946C |. FF75 E8 PUSH [LOCAL.6]
005B946F |. 8D55 E4 LEA EDX,[LOCAL.7]
005B9472 |. 8B45 F0 MOV EAX,[LOCAL.4]
005B9475 |. E8 52B3E5FF CALL REDitor.004147CC
005B947A |. FF75 E4 PUSH [LOCAL.7]
005B947D |. 8D45 E0 LEA EAX,[LOCAL.8]
005B9480 |. 50 PUSH EAX
005B9481 |. B9 07000000 MOV ECX,7
005B9486 |. BA 0F000000 MOV EDX,0F
005B948B |. 8B45 F8 MOV EAX,[LOCAL.2]
005B948E |. E8 75E9E4FF CALL REDitor.00407E08
005B9493 |. FF75 E0 PUSH [LOCAL.8]
005B9496 |. 8D45 F8 LEA EAX,[LOCAL.2]
005B9499 |. BA 03000000 MOV EDX,3
005B949E |. E8 3DE7E4FF CALL REDitor.00407BE0
005B94A3 |. 33C0 XOR EAX,EAX
005B94A5 |. 8945 F0 MOV [LOCAL.4],EAX
005B94A8 |> 8D45 F8 /LEA EAX,[LOCAL.2]
005B94AB |. BA 5C955B00 |MOV EDX,REDitor.005B955C ; UNICODE "The Key is Invalid!"
005B94B0 |. E8 CFE1E4FF |CALL REDitor.00407684
005B94B5 |. FF45 F0 |INC [LOCAL.4]
005B94B8 |. 837D F0 06 |CMP [LOCAL.4],6
005B94BC |.^ 75 EA \JNZ SHORT REDitor.005B94A8
005B94BE |. 8B45 FC MOV EAX,[LOCAL.1]
005B94C1 |. BA 5C955B00 MOV EDX,REDitor.005B955C ; UNICODE "The Key is Invalid!"
005B94C6 |. E8 D5E8E4FF CALL REDitor.00407DA0
005B94CB |. 75 21 JNZ SHORT REDitor.005B94EE
005B94CD |. B8 90955B00 MOV EAX,REDitor.005B9590 ; UNICODE "The program has been successfully registered to "
005B94D2 |. E8 F9D8EDFF CALL REDitor.00496DD0
005B94D7 |. 8D55 EC LEA EDX,[LOCAL.5]
005B94DA |. 8B45 FC MOV EAX,[LOCAL.1]
005B94DD |. E8 56EFF4FF CALL REDitor.00508438
005B94E2 |. 84C0 TEST AL,AL
005B94E4 |. 74 08 JE SHORT REDitor.005B94EE
005B94E6 |. 8D45 FC LEA EAX,[LOCAL.1]
005B94E9 |. E8 52F3FFFF CALL REDitor.005B8840
005B94EE |> 8D45 FC LEA EAX,[LOCAL.1]
005B94F1 |. BA 90955B00 MOV EDX,REDitor.005B9590 ; UNICODE "The program has been successfully registered to "
005B94F6 |. E8 89E1E4FF CALL REDitor.00407684
005B94FB |. 8D55 DC LEA EDX,[LOCAL.9]
005B94FE |. 8B45 F0 MOV EAX,[LOCAL.4]
Aqui en este salto (perdon por no haber quitado el analisis del modulo, me refiero a lo de [LOCAL.2]etc, si es importante lo quito para q observeis los registros, lo es?
005B9A11 |. E8 BEF9FFFF CALL REDitor.005B93D4
005B9A16 |. 83E0 7F AND EAX,7F
005B9A19 |. 8945 F8 MOV [LOCAL.2],EAX
005B9A1C |. 8D4D D8 LEA ECX,[LOCAL.10]
005B9A1F |. BA 01000000 MOV EDX,1
005B9A24 |. 8B45 F4 MOV EAX,[LOCAL.3]
005B9A27 |. 8B18 MOV EBX,DWORD PTR DS:[EAX]
005B9A29 |. FF53 0C CALL DWORD PTR DS:[EBX+C]
005B9A2C |. 8B45 D8 MOV EAX,[LOCAL.10]
005B9A2F |. 50 PUSH EAX
005B9A30 |. 8D45 D4 LEA EAX,[LOCAL.11]
005B9A33 |. E8 34F4FFFF CALL REDitor.005B8E6C
005B9A38 |. 8B45 D4 MOV EAX,[LOCAL.11]
005B9A3B |. 5A POP EDX
005B9A3C |. E8 C7FBFFFF CALL REDitor.005B9608
005B9A41 |. 8945 F8 MOV [LOCAL.2],EAX
005B9A44 |. FF4D F8 DEC [LOCAL.2]
005B9A47 |. FF45 F8 INC [LOCAL.2]
005B9A4A |. FF4D F8 DEC [LOCAL.2]
005B9A4D |. FF4D F8 DEC [LOCAL.2]
005B9A50 |. 8345 F8 02 ADD [LOCAL.2],2
005B9A54 |. 68 6E010000 PUSH 16E ; /Timeout = 366. ms
005B9A59 |. E8 1A2AE6FF CALL <JMP.&kernel32.Sleep> ; \Sleep
005B9A5E |. 8B45 F4 MOV EAX,[LOCAL.3]
005B9A61 |. E8 BABAE4FF CALL REDitor.00405520
005B9A66 |. 8B45 F8 MOV EAX,[LOCAL.2]
005B9A69 |. C1E0 02 SHL EAX,2
005B9A6C |. 85C0 TEST EAX,EAX
005B9A6E 79 03 JNS SHORT REDitor.005B9A73
005B9A70 |. 83C0 03 ADD EAX,3
005B9A73 |> C1F8 02 SAR EAX,2
005B9A76 |. 8945 F8 MOV [LOCAL.2],EAX
005B9A79 |. 33D2 XOR EDX,EDX
005B9A7B |. 8B45 FC MOV EAX,[LOCAL.1]
005B9A7E |. 8B80 AC030000 MOV EAX,DWORD PTR DS:[EAX+3AC]
005B9A84 |. E8 9B8BECFF CALL REDitor.00482624
005B9A89 |. 8B45 F8 MOV EAX,[LOCAL.2]
005B9A8C |. 2B45 F8 SUB EAX,[LOCAL.2]
005B9A8F |. 0345 F8 ADD EAX,[LOCAL.2]
005B9A92 |. 83C0 04 ADD EAX,4
005B9A95 |. 83E8 02 SUB EAX,2
005B9A98 |. 83E8 02 SUB EAX,2
005B9A9B |. 8945 F8 MOV [LOCAL.2],EAX
005B9A9E |. 837D F8 00 CMP [LOCAL.2],0
005B9AA2 74 31 JE SHORT REDitor.005B9AD5
Este salto q esta cambiado es el que os dije que pasaba de decirme THE KEY IS INVALID A q reinicie el programa, y sigue igual
005B9AA4 |. 8D45 D0 LEA EAX,[LOCAL.12]
005B9AA7 |. E8 94EDFFFF CALL REDitor.005B8840
005B9AAC |. 8B55 D0 MOV EDX,[LOCAL.12]
005B9AAF |. A1 D8D15D00 MOV EAX,DWORD PTR DS:[5DD1D8]
005B9AB4 |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
005B9AB6 |. 8B80 8C030000 MOV EAX,DWORD PTR DS:[EAX+38C]
005B9ABC |. E8 936EEFFF CALL REDitor.004B0954
005B9AC1 |. A1 D8D15D00 MOV EAX,DWORD PTR DS:[5DD1D8]
005B9AC6 |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
005B9AC8 |. 8B10 MOV EDX,DWORD PTR DS:[EAX]
005B9ACA |. FF92 10010000 CALL DWORD PTR DS:[EDX+110]
005B9AD0 |. E9 EF000000 JMP REDitor.005B9BC4
005B9AD5 |> 8D55 CC LEA EDX,[LOCAL.13]
005B9AD8 |. 8B45 FC MOV EAX,[LOCAL.1]
005B9ADB |. 8B80 8C030000 MOV EAX,DWORD PTR DS:[EAX+38C]
005B9AE1 |. E8 366EEFFF CALL REDitor.004B091C
005B9AE6 |. 8B55 CC MOV EDX,[LOCAL.13]
005B9AE9 |. 8B45 FC MOV EAX,[LOCAL.1]
005B9AEC |. 8B80 A0030000 MOV EAX,DWORD PTR DS:[EAX+3A0]
005B9AF2 |. E8 5D6EEFFF CALL REDitor.004B0954
005B9AF7 |. 8B45 FC MOV EAX,[LOCAL.1]
005B9AFA |. 8B80 A0030000 MOV EAX,DWORD PTR DS:[EAX+3A0]
005B9B00 |. 8B40 64 MOV EAX,DWORD PTR DS:[EAX+64]
005B9B03 |. BA 080000FF MOV EDX,FF000008
005B9B08 |. E8 63FCE9FF CALL REDitor.00459770
005B9B0D |. 8B45 F8 MOV EAX,[LOCAL.2]
005B9B10 |. 2D 80000000 SUB EAX,80 ; Switch (cases 80..800)
005B9B15 |. 74 10 JE SHORT REDitor.005B9B27
005B9B17 |. 2D 80010000 SUB EAX,180
005B9B1C |. 74 1E JE SHORT REDitor.005B9B3C
|
|
|
|
|
|
| |
|
