Pues haz una prueba, ves al a linea que tiene lo de DEMOnoseque y la seleccionas, le das a Follow in dump - select constant o algo así xD, el caso es que te mostrará el texto en la ventana de abajo a la derecha, seleccionas lo de demostracion, el texto entero y le das al espacio (o escribes directamente xD) y le metes TODO 0s, así que cuando genere la rute que la genere sin el DEMOSTRACION, a ver si no te las chafa, es posible que al mandarle ese parámetro sustituya lo que hay por esa cadena, y si dejas la cadena a 0 no chafe nada (asegurate de quitar el espacio final).

Salu2..

te dieron una solución perfecta, donde ¿está el problema?

Salu2..

Bueno, te explico. Normalmente cuando uno comienza a crackear utiliza herramientas que "modifican" partes de otros programas, cualidades de éste tipo son muy utilizadas por los virus, así como herramientas de cracking también se utilizan para indetectavilizar, tanto troyanos como virus.

Es muy normal que un antivirus te lo detecte, pero no debes tener miedo, poco a poco en cuanto vayas tomando conocimientos te irás dando cuenta de como funcionan y verás que hace exactamente.

Salu2...

Bien vale.. el tuyo lo veo, pero te digo que no hay manera de que me lo modifique... lo estoy mirando exactamente y mira, te digo que todo el rato comprueba en el arbol de raiz si esta el "aprod.dat", si está la línea esta:

00408477      0F95C0                setne al

será verdadera, es decir, hay un "aprod.dat" y por lo tanto lo muestra, una vez lo hay cuando le das a ejecutar cambios, ejecuta con una línea de comando ésto:

"csaint.exe C:\Documents and Settings\Usuario\Escritorio DEMOSTRACION_NO_FALLA_0414-4348711"

es decir, se confirma (creo) que utiliza el csaint.exe para realizar los cambios, pero ¿porque pone la cadena? si ni siquiera le indica que aprod.dat, como va a ejecutar eso ¬¬.. mira para comprobarlo dime si en esta línea:

004775BB  |.  E8 20ECF8FF           call <jmp.&kernel32.WinExec>                   ; \WinExec

te sale esa cadena al ejecutar, es decir, pones un bp con f2 en esa linea y cuando pare me pasteas la pila (la ventana de abajo a la derecha), algo así:


Salu2..

nos tienen abandonados x). .

Salu2..

Pues te digo que hice tal y como tu has dicho, y no me MODIFICA ABSOLUTAMENTE NADA, tal como tu lo pusiste ahí, yo lo he hecho, y el .DAT me lo deja igual, es más, le pase el ultra compare (de ultraedit) y no detecto ni un solo cambio.

Necesito más información.

Salu2..

Seria importante que pusieras algun link sobre el setup, o algo así.

No me creo que hayas perdido el serial, sin embargo por cultura general se puede "ayudarte".

Factory 7 me suena que encriptaba el contenido con la pass, aún así podrías utilizar el "Universal Extractor" a ver si lo desempaqueta.

Salu2..

Pues no logro ver los cambios que me dices, he cogido el .dat que tu subiste y el otro, y lo he "modificado" segun dice el programa, hice una comparacion binaria y queda igual, así que no se que es lo que modifica, tampoco tiene cadenas que digan "DEMO" y el programa si que vi zonas interesantes pero si no puedo ver que es lo que quieres hacer exactamente no sirve de nada.

Salu2..

Bueno ya que estoy haciendo esto con muchos programas que utilizo, lo hice también con el Olly que utilizo, en este caso el OllySND (con el OllyDBG lo hare despues).

¿Porque portable?

Bien, la cosa es que éste Olly carga desde cualquier lado, no hay que configurar nada e incorpora varias herramientas:

- BaseCalc
- Import Reconstructor v1.6f
- Hide Toolz
- Lord PE (DeluXe)
- Pink Panter
- Resource Hacker
- Spy
- Alguns unpackers
- y varios programas

Con ésto si tenemos una urgencia con los tan solo 7.76 MB que pesa, es posible llevarlo en cualquier lado .

La carpeta sin compresion (reducida al máximo) ocupa 20 MB, y en el .exe evidentemente queda reducida.

Los plugins que lleva son los siguientes:

OllyAdvanced
AnalizeThis
API Break Plugin
Armadillo Process Detach
Command Bar
Code Riper
Data riper
Extra copy
LCB Plugin

etc..

LINK DE DESCARGA:

http://www.savefile.com/files/1244843

espero que lo disfruteis .

Feliz puente.

Salu2..

Nota: ACTUALIZADO (Sistema de descompresión y reducido el tamaño).

Por regla general los flujos de programas siempre se resumen en una operacion booleana, por defecto:

0 - NO REGISTRADO.
1 - REGISTRADO.

Un método tradicional es buscar ese byte de la memoria que estando siempre a 1 todas las comparaciones booleanas digan que está registrado, en el caso de como ya dijo TENA, si ves una estructura con éste símil:

00405111  MOV EAX,DWORD PTR DS:[EDI+120]                 ;  <=== DEBE SER 1
00405117  MOV ECX,EDI
00405119  CMP EAX,1
0040511C  JNZ SHORT sdvdrip.00405138
0040511E  PUSH 40
00405120  PUSH sdvdrip.004C55B8                                ;  ASCII "Thanks"
00405125  PUSH sdvdrip.004C5594   ;  ASCII "Thank you for buying the software!"
   
Aqui busque referencias a esa constante [edi+120]
Address    Disassembly                               Comment
00405249   MOV DWORD PTR SS:[EBP+120],1  <===UUUUUUUUUUUUUUUUU
004052D4   MOV DWORD PTR SS:[EBP+120],0              <=== Malo

y ves que el JNZ es evaluado por la anterior instrucción CMP y que utiliza como comparador el registro EAX, entonces pasas a ver de donde viene EAX, si miras más arriba ves la línea:

00405111  MOV EAX,DWORD PTR DS:[EDI+120]

es decir, ese "1" o "0" (lo llamaremos Byte de Registro o "RegByte"), lo obtiene de la direccion de memoria EDI+120.

según leí (hice una lectura rápida ya me perdonareis ) tena busco todas las referencias en el código de instrucciones tipo:

MOV EAX, DWORD PTR DS:[EDI+120]

y salieron algunas y todas las parcheo (creo).

el caso es que tu tambien puedes quedarte con la direccion absoluta, es decir, poner un BreakPoint en esa línea y esperar a que pare, ver que valor tiene EDI y sumarle 120 (o ir al dump y hacer CTRL + G y escribes "EDI + 120"), y te quedas con ese valor, reinicias (probablemente al reiniciar esté vacío o ni siquiera exista, pero tu le metes un BreakPoint o on access o hardware on access byte (recuerda que el hardware parará una línea despues de que se haya ejecutado la violación de acceso de memoria) (un punto de ruptura on access es simplemente un cambio en las propiedades de la sección para que genere una excepcion y la devuelva así puede pararlo en esa zona), una vez lo pongas corres el programa y ves quienes lo van chafafando con 0s y tu les metes 1os.

Salu2..