elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Únete al Grupo Steam elhacker.NET


  Mostrar Mensajes
Páginas: 1 2 3 4 5 6 7 8 9 10 11 12 [13] 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 ... 67
121  Programación / Ingeniería Inversa / Re: Novateando con un programa. en: 23 Julio 2010, 00:29 am
Ejecutas el programa en el olydbg....
Te vas a la ventana de registro, escribe algun pass falso, y das aceptar,
te saldra la ventana de Serial Incorrecto,
volves al ollydbg, y lo pausas, luego presionas Alt+F9,
regresas al programa y aceptas el mensaje,
el olydbg deberia parar, y estaras justo debajo de la call que te saca el mensaje malo.

Luego es cuestion de buscar por ahi arriba

slds
122  Programación / Ingeniería Inversa / Re: Consulta dividir joined /blinded archivos en: 19 Julio 2010, 03:14 am
No se muy bien lo que quieres,
pero el RDG trae incoporado un DeBinder,
si a eso es lo que va la pregunta...
123  Programación / Ingeniería Inversa / Re: Ayuda para crackear software (parking manager) con OLLYDBG en: 8 Julio 2010, 20:08 pm
no tiene ventanita de registro?
124  Programación / Ingeniería Inversa / Re: Metodo para encontrar nag en Delphi en: 7 Julio 2010, 03:19 am
Tambien podes Pausar al Olly en el momento que te aparece la Nag, luego Alt+F9, te vas a la nag y aceptas, y el olly debe saltar justo debajo de la call que te muestra la nag.
125  Programación / Ingeniería Inversa / Re: Metodo para encontrar nag en Delphi en: 7 Julio 2010, 03:05 am
En el caso del total comander, lo que hice fue cargar el map que me dio
el IDR, ver cuando muestra los formularios.

Llegue a este punto..

Código:
004E7F38  |> \E8 07220000   CALL <TOTALCMD.Nagdlg.sub_004EA144>
004E7F3D  |.  84C0          TEST AL,AL
004E7F3F  |.  74 26         JE SHORT TOTALCMD.004E7F67                          ;  SIN NAG AL =1
004E7F41  |.  A1 7C756C00   MOV EAX,DWORD PTR DS:[6C757C]
004E7F46  |.  8B40 28       MOV EAX,DWORD PTR DS:[EAX+28]
004E7F49  |.  B2 01         MOV DL,1
004E7F4B  |.  E8 88A5F5FF   CALL <TOTALCMD.StdCtrls.TControl.SetEnabled>
004E7F50  |.  C605 C81A6C00>MOV BYTE PTR DS:[6C1AC8],1
004E7F57  |.  C605 CC1A6C00>MOV BYTE PTR DS:[6C1ACC],1
004E7F5E  |.  8BC3          MOV EAX,EBX
004E7F60  |.  E8 6F03F3FF   CALL <TOTALCMD.Forms.TForm.Close>
004E7F65  |.  EB 3E         JMP SHORT TOTALCMD.004E7FA5

Si el salto no se produce, lo cierra el Formulario con Close.

Para que eso suceda Al debe valer cero, y si entramos al call...

Código:
004EA144 >/$  A0 ECC66C00   MOV AL,BYTE PTR DS:[6CC6EC]                         ;  Nagdlg.sub_004EA144
004EA149  \.  C3            RETN

Vemos que Al toma el valor de la varibale [6CC6EC], me fijo las referecias a esa variable y tengo una aqui...

Código:
004E9E47   .  881D ECC66C00 MOV BYTE PTR DS:[6CC6EC],BL
Pode nopear el salto y listo, ya no tenes la nag, pero si queres buscar el registro, entonces le seguimos buscando cuando esa variable toma el valor CERO, porque al tomar ese valor te muestra la nag.

Entonces te vas al principio de la rutina.

Código:
004E95CC >    55            PUSH EBP
004E95CD   .  8BEC          MOV EBP,ESP

y pones como condicion que pare en BL==0 y Ctrl+F8
y te para justo aqui...

Código:
004E997D   .  E8 CA90F1FF   CALL <TOTALCMD.system.@AStrCmp>
004E9982      0F84 AE000000 JE TOTALCMD.004E9A36
004E9988   .  33DB          XOR EBX,EBX                                         ;  me pone a cero ebx

Ahi sale de la call, que compara algo, y al salir y no ser igual, te pone BL a CERO.
Si invertis ese salto, ya arranca registrado, y luego se sigue como indica Tinco en su tute. Maso menos asi, pero bueno si solo queres eliminar la nag solo nopeas el salto y listo..

Luego estan las formas ahi expuestas por los amigos Mintaka y LSL

slds
126  Programación / Ingeniería Inversa / Re: Problemas para quitar nag en Delphi en: 4 Julio 2010, 01:03 am
Cita de: tincopasan en  3 Julio 2010, 22:23 pm
parece por lo que describis lo mismo que hace el totalcommander, en la pagina de Ricardo narvaja hay un tutorial de como activarlo, o sea sacando la nag (no me acuerdo el número de tutorial pero seguro es despues del 900) claro que si el que estas mirando esta empacado primero tenes que sacar el packer. ese tutorial lo escribio tincopasan jeje el titulo es algo como totalcommander para newbies

esta
http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/901-1000/978-TotalCommander7paranewbies_tincopasan.rar
127  Programación / Ingeniería Inversa / Re: W32dsm87 en windows 7 en: 26 Junio 2010, 16:06 pm
Usa el Ollydbg 1.10

http://www.ollydbg.de/

y como editor hay varios, el que uso yo es

Workshop Hex Editor

http://www.hexworkshop.com/

slds
128  Programación / Ingeniería Inversa / Re: Ing. Inversa en un Plugin de rhino??? en: 23 Junio 2010, 21:02 pm
Deberias cargar el programa del plugin en el ollydbg, y veras como se cargan en la ventana de modulos.

Por ejemplo, si queres modificar algun plugin de olly, entonces cargas al olly en otro olly y veras al dar run como se van cargando los modulos...
129  Programación / Ingeniería Inversa / Re: Ayuda con ABViewer 7 en: 12 Junio 2010, 00:42 am
Como explico en el tute, buscas ese patron de bytes y estan aqui...

Código:
0046FDA9  |> \E8 0694F9FF   CALL <JMP.&user32.GetCapture>            ; [GetCapture
0046FDAE  |.  85C0          TEST EAX,EAX
0046FDB0  |.  74 11         JE SHORT ABViewer.0046FDC3
0046FDB2  |.  6A 00         PUSH 0                                   ; /lParam = 0
0046FDB4  |.  6A 00         PUSH 0                                   ; |wParam = 0
0046FDB6  |.  6A 1F         PUSH 1F                                  ; |Message = WM_CANCELMODE
0046FDB8  |.  E8 F793F9FF   CALL <JMP.&user32.GetCapture>            ; |[GetCapture
0046FDBD  |.  50            PUSH EAX                                 ; |hWnd
0046FDBE  |.  E8 A197F9FF   CALL <JMP.&user32.SendMessageA>          ; \SendMessageA
0046FDC3  |>  E8 6497F9FF   CALL <JMP.&user32.ReleaseCapture>        ; [ReleaseCapture

Te vas al inicio de esa rutina y pones un bp

Código:
0046FD38  /$  55            PUSH EBP                                 ;  GETCAPTURE
0046FD39  |.  8BEC          MOV EBP,ESP
0046FD3B  |.  83C4 E0       ADD ESP,-20
0046FD3E  |.  53            PUSH EBX
0046FD3F  |.  56            PUSH ESI
0046FD40  |.  33D2          XOR EDX,EDX

Reinicias, das run, caes ahi y te ijas en la pila a donde retorna.

Código:
0012FE6C   00A20661  RETURN to ABViewer.00A20661
0012FE70   0012FEBC  Pointer to next SEH record
0012FE74   00A206D4  SE handler

y retornamos aqui..

Código:
00A205DE   .  A1 3839A800        MOV EAX,DWORD PTR DS:[A83938]
00A205E3   .  8338 00            CMP DWORD PTR DS:[EAX],0
00A205E6   .  75 3B              JNZ SHORT ABViewer.00A20623
00A205E8   .  8BCB               MOV ECX,EBX
00A205EA   .  B2 01              MOV DL,1
00A205EC   .  A1 E4058B00        MOV EAX,DWORD PTR DS:[8B05E4]
00A205F1   .  E8 BE07E9FF        CALL ABViewer.008B0DB4
00A205F6   .  8B15 3839A800      MOV EDX,DWORD PTR DS:[A83938]                  ;  ABViewer.00A7DC68
00A205FC   .  8902               MOV DWORD PTR DS:[EDX],EAX
00A205FE   .  A1 3839A800        MOV EAX,DWORD PTR DS:[A83938]
00A20603   .  8B00               MOV EAX,DWORD PTR DS:[EAX]
00A20605   .  8998 BC030000      MOV DWORD PTR DS:[EAX+3BC],EBX
00A2060B   .  C780 B8030000 F020>MOV DWORD PTR DS:[EAX+3B8],ABViewer.00A220F0
00A20615   .  A1 3839A800        MOV EAX,DWORD PTR DS:[A83938]
00A2061A   .  8B00               MOV EAX,DWORD PTR DS:[EAX]
00A2061C   .  B2 01              MOV DL,1
00A2061E   .  E8 9910E9FF        CALL ABViewer.008B16BC
00A20623   >  A1 3839A800        MOV EAX,DWORD PTR DS:[A83938]
00A20628   .  8B00               MOV EAX,DWORD PTR DS:[EAX]
00A2062A   .  80B8 DA010000 00   CMP BYTE PTR DS:[EAX+1DA],0
00A20631   .  0F85 E3000000      JNZ ABViewer.00A2071A
00A20637   .  80BB 62080000 00   CMP BYTE PTR DS:[EBX+862],0
00A2063E   .  0F85 97000000      JNZ ABViewer.00A206DB
00A20644   .  33C0               XOR EAX,EAX
00A20646   .  55                 PUSH EBP
00A20647   .  68 D406A200        PUSH ABViewer.00A206D4
00A2064C   .  64:FF30            PUSH DWORD PTR FS:[EAX]
00A2064F   .  64:8920            MOV DWORD PTR FS:[EAX],ESP
00A20652   .  A1 3839A800        MOV EAX,DWORD PTR DS:[A83938]
00A20657   .  8B00               MOV EAX,DWORD PTR DS:[EAX]
00A20659   .  8B10               MOV EDX,DWORD PTR DS:[EAX]
00A2065B   .  FF92 FC000000      CALL DWORD PTR DS:[EDX+FC]                     ;  NAG DE REGISTRO

Donde se ven unas cuantas variables muy interezantes..

slds
130  Programación / Ingeniería Inversa / Re: Ayuda con ABViewer 7 en: 11 Junio 2010, 23:21 pm
fijate si te sirve para lo de la nag..

http://ricardonarvaja.info/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/801-900/838-COMO_ELIMINAR_NAGS_EN_PROGRAMAS_DELPHI.rar

slds
Páginas: 1 2 3 4 5 6 7 8 9 10 11 12 [13] 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 ... 67
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines