No que va, es un trial y el fileinspector me dice que esta comprimido con private exe.

Y no tengo ni idea de como va ese compresor, no hay info sobre el en google.

Weno seguiremos estudiando y observando los registros.

Saludos.

Hola compañeros llevo 15 dias leyendo y tratando de ocultar el sice, para que la proteccion antisice no lo detecte.

He probado de todo Bang, Iceghost, frogsice, icepatch etc... muchos creedme.

resulta que quiero mirar un programilla, pero estoy ya por tirar la toalla, " Mentira nunca la tirare jajaj ".

pero estoy de los nervios, el fileinspectorXL me dice que esta empacado con private exe 2.0a -2.2, el resto como peid etc.. no reconocen el sistema de empacado, solo el xl me da este dato.
El programa esta echo en Visual C++ 7.0, y claro para tracear la rutina de comprovacion del serial, como ya sabeis si no lo ejecuto na de na.

Me ha dicho un compañero muy bueno, conocido por todos que todo lo que llega de Norton es Ring0, asi que olly descartado, aunque lo probe en win2000, que era el unico SO que me dejaba saltarme el DebugBreak del ntdll.dll, me da excepciones tras saltar el antiolly.

Asi que ya veis, alguien podria ayudarme incluso prestarse online con MSN o algo asi para debugear este programa y mirar de pasar el maldito chekeo antisice?

Necesito una mano, de verdad, yo no tengo un ekipo detras de programadores y cerebritos del ASM, aunque mi interes por el ASM crece cada dia mas.

Una mano porfavor Gracias a todos. Saludos

Ta bien,, supongo que tardare unos meses, ya que me voy fuera 5 o 6 semanas.

Si lo consigo ya dire algo.

No se puede "hook" la funcion DebugBreak es un int3, asi que na.

Me instale el win2000 y con los plugins pertinentes la salte, pero como me dijo Narvaja esta mañana por mail, este programa es ring0, asi que con olly nada, tendre que aprender sice.

Saludos.

Bueno ante todo gracias por tu ayuda, sigo intentando pasar el debugbreak.


No se ejecuta con un exe, lo ejecuta un archivo extension NSI, la cual cosa conlleva que no pueda ser cargado directamente, pero cualquier ejecucion una vez en marcha, puede ser cargada desde el olly, haciendo archivo/attach, que la palabra attach ingles/español seria mas o menos agregar


Las dll las puedes debugear sin problemas con el olly 1.10, lleva un complemente que permite la carga y posterior ejecucion.

Trata de ejecutar primero el programa y llama al plugin, despues con olly carga el plugin de esta manera Archivo/Attach,, y elige el plugin entre los procesos que te mostrara el olly, que son las aplicaciones que estan ejecutandose en el momento que que hagas attach, creo que lo entenderas cuando lo pruebes.

Saludos y gracias.

ops editado...

Weno toy intentando saltarme esa llamada, al Kernel32.

Uso el olly bajo win 98, porke con win xp, concretamente este programa que quiero debugear, no se inicia con un exe, y solo puedo attacharlo.

En win xp me da error al querer atacharlo, pero win98 me deja.

El problema es bien claro, despues de probar infinidad de plugins etc... para esconder el olly ( incluso empaque el olly como comento Ricardo en un hilo que lei, lo copie renombre y vovli a ponerlo n su sitio etc... ). No me funciona lo de esconder el olly me lo detecta siempre.

Asi que mi recurso es tracear la API y buscar donde le dice al programa, que estoy usando un debugger, y no salte a EXIT.

El frogsice me pone esto cuando attacho el programa:

=> Nmain       
** SOFTICE DETECTION **  code 00, at  0197:BFF768A0     
Interrupt:03h  eax=CFDC1F70h  ebx=006EE128h  ecx=C1646560h
                     edx=BFFC9490h  esi=00000000h  edi=817762E4h  ebp=006EE0DCh

SEH proc address at cs:6B1BD565

Como se puede saltar esta proteccion debugeando la API, ya toy loco llevo 4 dias buscan info, y no veo nada.

Saludos a todos espero poder ayudaros yo a vosotros otra dia .

editado...