Quiero compartir con uds este tute sobre Armadillo con debugblocker Import Table Elimination, nanomites y code splicing que acabo de hacer....

http://rapidshare.com/files/81256813/armadillo_debugblocker_ITE_nanomites_codesplicing_por_tena.zip.html

y aca pongo los scripts que use

http://rapidshare.com/files/81258698/script_del_tute.zip.html

Saludos
y buen año a todos

tena

¿Guardaste los cambios?

Saludos
tena

Feliz regrezo jeje

sldos
tena

No porque uno ponga un mensaje el otro estara obligado a responder...

Si quieres ver con que esta empacado y compilado un programa puedes usar el RDG Packer Detector.. El link de descarga lo puedes obtener desde aqui, en la sección Herramientas:
     http://foro.elhacker.net/index.php/topic,183012.0.html

Ahi puedes encontrar muchas herramientas....

Una vez que sepas con que esta empacado puedes optar por dos caminos, desempacarlo manualmente con ollydbg o desempacarlo automaticamente con alguna tool que desempaque dicho packer...

Saludos
tena

ummm...
Pasale el RDGPacker en modo M-B y decinos que te dice..

De todas formas no haria falta desempacarlo, lo podes parchear directamente desde el exe una vez que la dll este cargada en memoria, claro deberias averiguar en donde parchear a la dll para que no te muestre la ventanita..

tena

Bueno lo estuve viendo, y la nag de registro te sale porque se fija en el registro de windows si esta registered, como no es asi te sale la ventanita.

Bueno si solo quieres eliminar esa nag, pues hice lo que te indique, y a mi me paro en el lugar correcto, justo aca:

00410AB1  JNZ sdvdrip.00410B58      ==> Cambiar a JMP
00410AB7  PUSH ESI
00410AB8  LEA ECX,DWORD PTR SS:[ESP+1A4]
00410ABF  CALL sdvdrip.00404E70
00410AC4  MOV EAX,DWORD PTR DS:[ESI+388C]
00410ACA  MOV DWORD PTR SS:[ESP+12E8],0
00410AD5  TEST EAX,EAX
00410AD7  JNZ SHORT sdvdrip.00410AFD
00410AD9  LEA ECX,DWORD PTR SS:[ESP+1A0]
00410AE0  CALL <JMP.&MFC42.#2514>           ;  Ventana de Registro

Solo cambias el salto a Jmp y chau nag....

Pero ya que estaba lo parche para que quede full....
1- Le puse un bp conditional log a la api TranslateMessage con la condicion MSG==202 para que al presionar el boton de registrar pare en el olly..

2- Busque mi serial en memoria con ctrl+b y le puse un bpm

3- Siguiendo el serial llegue aqui:
00405111  MOV EAX,DWORD PTR DS:[EDI+120]                 ;  <=== DEBE SER 1
00405117  MOV ECX,EDI
00405119  CMP EAX,1
0040511C  JNZ SHORT sdvdrip.00405138
0040511E  PUSH 40
00405120  PUSH sdvdrip.004C55B8                                ;  ASCII "Thanks"
00405125  PUSH sdvdrip.004C5594   ;  ASCII "Thank you for buying the software!"
   
Aqui busque referencias a esa constante [edi+120]
Address    Disassembly                               Comment
00405249   MOV DWORD PTR SS:[EBP+120],1  <===UUUUUUUUUUUUUUUUU
004052D4   MOV DWORD PTR SS:[EBP+120],0              <=== Malo

y les puse bps...

4- Al dar registrar caigo en:
004052D4  MOV DWORD PTR SS:[EBP+120],0                         ;  <=== malo

y veo que aqui se llega desde:
00405218  CALL sdvdrip.00407070
0040521D  ADD ESP,24
00405220  TEST EAX,EAX
00405222  JE sdvdrip.004052D4                                  ;  salta a  malo
00405228  LEA ECX,DWORD PTR SS:[ESP+10]
0040522C  LEA EDX,DWORD PTR SS:[ESP+C]
00405230  PUSH ECX                                             ; /pDisposition
00405231  PUSH EDX                                             ; |pHandle
00405232  PUSH 0                                               ; |pSecurity = NULL
00405234  PUSH 0F003F                                          ; |Access = KEY_ALL_ACCESS
00405239  PUSH 0                                               ; |Options = REG_OPTION_NON_VOLATILE
0040523B  PUSH 0                                               ; |Class = NULL
0040523D  PUSH 0                                               ; |Reserved = 0
0040523F  PUSH sdvdrip.004C54D4                                ; |Subkey = "Software\x2VCD"
00405244  PUSH 80000002                                        ; |hKey = HKEY_LOCAL_MACHINE
00405249  MOV DWORD PTR SS:[EBP+120],1    <=UUUUUUUUUUUUUUUUU

Entro al call y me fijo que hay dos referencias a ella, pues nada, lo parcheo asi
mov eax,1
retn

y guardo los cambios... Con eso ya esta registered y no salen las nag...

Saludos
tena

Hola xAnubisx
-- Para hacer que caiga justo debajo de la llamada a la ventana de registro intenta hacer esto:

 ** En el oly ejecutas el programa hasta que te salga la ventanita de registro,
una vez que te salga la ventanita te vas al oly y lo pones en pausa con F12, luego presiona ALT+F9 para que se ejecute hasta que encuentre codigo del exe..
 
 ** Despues de esto te vas a la ventanita de registro (posiblemente va a tener un retraso en aparecer) y le das al boton "seguir" para que aparezca el programa..
 
 ** Ollydbg deberia saltar justo debajo de la llamada a la ventana...

SAludos
tena

Ten en cuenta que los programas se actualizan, y es posible que haya cambiado de version...

y no se, preguntale a Hendrix que version uso y ya esta...

tena

Muchas gracias tena, pero ¿como pudiste cargarlo en SmartCheck? Tengo el 6.03 y cuando intento correrlo me da un error: "Invalid read from 00040034". He intentado configurarlo de mil maneras y nada....
[/quote]

Tengo la misma version..
Hoy mismo la instale y la configure asi:
Program>Sttings > Error Detection *** tildo todas las casillas ***
                                    Advanced *** tildo todas las casillas ***
                          > Reporting   ***Tildo todas menos la del evento MouseMove***

Saludos
tena
                           

¿Pero el programa vino con el tute de hendrix o lo bajaste vos?

Saludos
tena