Hola a todos:
No se si este sera el foro adecuado para esta consulta pero bueno lo intentamos.

En un ejecutable quien decide todos los parametros de Image Base, Entry Point,
o sea , todos los parametros que podemos ver en el LordPE.
Mi duda es si todo debe seguir estas diractrices, o sea que fuera una configuracion estandard y que por ejemplo yo no pudiera tener un programa con una ImageBase por ejemplo en 00003000 en vez de 00400000.
Otra pregunta seria quien decide las direcciones de memoria a las que debe ir el programa al cargarse en la memoria, o sea las direcciones de memoria que nos aparecen al hacer un dump del programa.

Saludos

typedef struct _IMAGE_DOS_HEADER
{
     WORD e_magic;
     WORD e_cblp;
     WORD e_cp;
     WORD e_crlc;
     WORD e_cparhdr;
     WORD e_minalloc;
     WORD e_maxalloc;
     WORD e_ss;
     WORD e_sp;
     WORD e_csum;
     WORD e_ip;
     WORD e_cs;
     WORD e_lfarlc;
     WORD e_ovno;
     WORD e_res[4];
     WORD e_oemid;
     WORD e_oeminfo;
     WORD e_res2[10];
     LONG e_lfanew;
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

typedef struct _IMAGE_NT_HEADERS
{
     ULONG Signature;
     IMAGE_FILE_HEADER FileHeader;
     IMAGE_OPTIONAL_HEADER OptionalHeader;
} IMAGE_NT_HEADERS, *PIMAGE_NT_HEADERS;

	
struct IMAGE_FILE_HEADER

typedef struct _IMAGE_FILE_HEADER
{
     WORD Machine;
     WORD NumberOfSections;
     ULONG TimeDateStamp;
     ULONG PointerToSymbolTable;
     ULONG NumberOfSymbols;
     WORD SizeOfOptionalHeader;
     WORD Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

typedef struct _IMAGE_OPTIONAL_HEADER
{
     WORD Magic;
     UCHAR MajorLinkerVersion;
     UCHAR MinorLinkerVersion;
     ULONG SizeOfCode;
     ULONG SizeOfInitializedData;
     ULONG SizeOfUninitializedData;
     ULONG AddressOfEntryPoint;
     ULONG BaseOfCode;
     ULONG BaseOfData;
     ULONG ImageBase;
     ULONG SectionAlignment;
     ULONG FileAlignment;
     WORD MajorOperatingSystemVersion;
     WORD MinorOperatingSystemVersion;
     WORD MajorImageVersion;
     WORD MinorImageVersion;
     WORD MajorSubsystemVersion;
     WORD MinorSubsystemVersion;
     ULONG Win32VersionValue;
     ULONG SizeOfImage;
     ULONG SizeOfHeaders;
     ULONG CheckSum;
     WORD Subsystem;
     WORD DllCharacteristics;
     ULONG SizeOfStackReserve;
     ULONG SizeOfStackCommit;
     ULONG SizeOfHeapReserve;
     ULONG SizeOfHeapCommit;
     ULONG LoaderFlags;
     ULONG NumberOfRvaAndSizes;
     IMAGE_DATA_DIRECTORY DataDirectory[16];
} IMAGE_OPTIONAL_HEADER, *PIMAGE_OPTIONAL_HEADER;

Saludos! Shaddy eso de RSA no me a gustado tanto   pero vamos por intentarlo que no sea! Yo estoy dispuesto a hacer o probar lo que sea.... Podrías decirme algún método para poder copiar el disquette que al final nos de un resultado valido? porque por lo que he leído por el foro, muchos incorporan sectores erróneos y otros tipos de protecciones como seria el numero de serie del disquette....

He estado intentando usar el programa en modo evaluación por si tenia algún tipo de capado hasta el momento del registro y lo único que he podido encontrar a sido un mensaje que aparece entrando en la sección Caja - Barra y Mesas, haciendo referencia a que el programa usara los precios de una determinada manera al estar en modo evaluación (tendrá algunas funciones activas en el código mientras este en modo evaluación) Por lo demás no he podido encontrar ningún otro tipo de limitación.

Und3r saludos compañero! Efectivamente tengo la llave de registro, si te refieres al disquette llave que incorpora el numero de serie. En cuanto a la parte donde uno puede registrarse seria en la primera opción del menú superior,en hoja de registro, es justo en la primera solo que no quiero ponerte el nombre porque no queremos que en el foro aparezca ningún tipo de nombre... 

Estoy intentando recuperar el disco duro, pero esta frito...ando buscando un modelo idéntico, para cambiarle la parte eléctrica, esperando que el fallo no sea físico...

Por lo demás están son mis posibilidades...

Hola gente, estoy terminando un debugger que se encuentra en la etapa alfa, todavía falta un largo camino para competir con IDA Pro u OllyDbg, aunque tengo algunas características que ellos no tienen como debuggear multiples procesos y debuggear procesos child. Aunque posiblemente lo más entretenido es la utilidad “detour”. La desventaja en la actualidad es que solamente es y sera un debugger para software de 64 bits, pero como es un proyecto a largo plazo seguramente cuando este terminado 100% como me guste, hablar de 64 bits será algo habitual.
Bueno siendo breve la finalidad de este post, es encontrar gente que quieran testear esta versión del debugger ya que es y será una versión freeware y la ayuda de ustedes sería de gran valor.

Link: www.duxcore.com

Que y Como testear? :

-Setear un software breakpoint en cualquier función que sepan que va breakear, en ShowWindow, WriteFile, ReadFile,  o cualquier funcion que se les ocurra.
(si tienen paciencia pueden comparar el resultado desensamblado con WinDbg seteando un breakpoint, con el comando  “bp kernel32!readfile”)

-Setear un Detour, primero seleccionando en Target Function a la API que desean sobrecargar y luego seleccionan Detour Function a la función de la dll propia.
Para facilitar el testeo  se incluye la dll compilada (DuxDbgClient.dll)  (aunque obviamente se incluye el código de la dll para que puedan crear las de ustedes y hagan detour de cualquier función que se les ocurra)

Introduccion Detour (que es y para que sirve)
Un “detour” justamente es un desvio con el que podemos seleccionar una función (target) de cualquier dll, propia del sistema operativo o del software, e indicarle al debugger que cada vez que el software llame a esa función se redirija a otra función (detour) que nosotros hayamos seleccionado. Previamente vamos a tener que inyectar codigo, cargando modulos (dlls o exes)  propios.
Son 3 las dlls que vamos a tener que cargar (inyectar)
DuxDbgControl.dll   /  DuxDbgUtilities.dll
DuxDbgClient.dll (depende de las otras 2 dlls y debemos respetar el orden en que se carga)
DuxDbgClient.dll implementa una función Duxrand que nunca genera un numero aleatorio, por lo tanto si debuggeamos el buscaminas (Minesweeper) y seteamos en Target Function a la función “rand” del modulo “msvcrt.dll” y luego en Detour Function a la función “Duxrand” del modulo “DuxDbgClient.dll” deberíamos comprobar que cuando juguemos el orden de las minas no sea aleatorio.

Otro ejemplo es la función DuxWriteFile que esta implementada para que haga una copia en un archivo “D:\DuxBackUp.txt” de todo lo que el programa escriba en el disco.
Deben setear :
Target Function -> Kernel32.dll ->WriteFile
Detour Function-> DuxDbgClient.dll->DuxWriteFile.

Donde estan las dlls??
C:\Program Files\DuxCore\Visual DuxDebugger\SDK\redist

Bueno agradecería, que me informen por mail:  info@duxcore.com si tuvieron problemas con la instalación, si arranca con algún problema, etc,  como es una versión alfa obviamente hay cosas que no están implementandas, si no tuvieron ningún problema por favor también háganmelo saber.
Si sale todo bien para noviembre saldrá la versión 1.0.
Saludos y si lo testean gracias por el tiempo!

eso de reto panda suena a uno de esos concursos chinos donde debes vencer a un panda en una pelea a muerte y de regalo te dan un panda gigante de peluche xD.

Uhhh  =/, bueno amigo graziaz de todas maneras jeje... ya pude obtener un keygen, pero no tengo el program ID, ni el first String, y el last string que pide u.u , pero bueno seguire buscando, y si encuentro alguna solucion la posteo, gracias

hola amigos, pues como veran soy nuevo en el foro, y pues tengo un pequeño problema, me pasaron un programa, pero esta protegido con el pcguard, tengo el MID y el Site Code, la licencia es de UCF,  y lo que necesito es el Init Code, pero no tengo idea de como obtenerlo, si alguien me dijera como puedo obtenerlo porfavor, agradezco su apoyo. saludos

El tema es asi, luego de ejecutar Solver, obtengo:

-> Seed1=0xD545, Seed2=0xC7B0, Seed3=0x6430
-> Seed1=0xBA2A, Seed2=0x3ED0, Seed3=0x6430

Por lo cual, no se cuales son los valores correctos para generar el fst que estoy necesitando.

Alguien puede ayudarme¿?

La modad es 0x6fe6