2curso PDF
2curso PDF
2curso PDF
(LECCIN ONCE)
Qu cuernos es ARMADILLO?
Es una proteccin comercial que ya lleva varias versiones, la del programa que nos ocupa
es la versin 1.83.
COMO NOS DAMOS CUENTA QUE ENTRE TANTAS PROTECCIONES QUE HAY
ES ARMADILLO LA QUE USA EL PROGRAMA VICTIMA?
Bueno como primer paso, para ver algo con el SOFTICE tendremos que sortear las
protecciones ANTI-SOFTICE que tiene el armadillo, estas son tres tipos de proteccin, se
pueden desbloquear a mano, pero es muy laborioso y si tenemos la ultima versin del
FROGS-ICE pasara todas las protecciones perfectamente y sin que aparezcan pantallas
azules ni nada, como si no estuviera el SOFTICE.
Les recomiendo abiertamente bajar la ltima versin del FROGSICE pues ha mejorado
muchsimo e inclusive se puede utilizar el SYMBOL LOADER que en versiones anteriores
no se poda.
Pues entonces cargo el FROGSICE 1.085b que hasta hoy creo que es la ultima versin que
hay y como por default aparece desactivado entro al men y pongo ENABLE SOFTICE y
listo.
Ahora ejecuto el programa RELAX 1.1 que esta protegido con ARMADILLO 1.83 y
arranca perfectamente sin enterarse de que el SOFTICE esta all.
BUENA POR EL FROGSICE.
Ahora aparece una ventana de que el programa va a ser utilizado por siete das y despus
vencer y una opcin REGISTER donde entro y veo que me pide un numero de serie y una
clave.
Pongo narvaja y 989898 como siempre y me aparece una messagebox que dice que no que
no que no.
Bah que esta mal la clave.
Voy al SOFTICE y all pongo un BPX MESSAGEBOXA y vuelvo a al ventana y pongo
OK y PUFFF dentro del SOFTICE.
Ahora, si nos habamos tomado la molestia de mirar el archivo RELAX con el Wdasm
vemos que aparecen STRING REFERENCES y ninguna como la que nos dice que la clave
no es buena, lo mismo que no hay STRINGS que digan nada de VENCIDO o algo de eso.
Hmmm, pensemos
Volvamos al softice despus de haber cado all por el messageboxa y aprieto F12 para que
aparezca el mensaje de error y hago clic en ACEPTAR y de nuevo en el SOFICE, lo
primero que vemos es que el nombre el archivo es ARM... lo cual nos da la idea de que
aqu hay algo raro ya que el archivo RELAX es el nico que se puede ejecutar en el
directorio del programa y no hay otro por all, y sin embargo aqu se realiza la verificacin
de la clave en un archivo ARM .... que encima si busco un poco mas arriba puedo ver un
CALL, un TEST AL,AL y un salto que pasa por encima del messageboxa, y si invierto el
salto me dice que La clave es correcta que la va a GUARDAR, hmmm, y cuando arranca de
nuevo el programa esta de nuevo desregistrado.
Bueno, donde esta el BENDITO archivo ese ARM..., voy a INICIO-BUSCAR y all pongo
arm* y entre otras cosas me aparece un ARM seguido de un numero .TMP por ejemplo
ARM1025.TMP.
Bueno entonces el protector crea un archivo temporal donde ocurre la registracin,
entonces si quitamos la proteccin del ARMADILLO, que pasara con el programa
RELAX?
CHA CHAN CHA CHAN
Les digo que hay una forma de quitar el armadillo MANUAMENTE pero al existir un
programa que lo hace perfectamente y funciona bien, para que nos vamos a matar.
Ese programa es el ARMADILLO KILLER 1, y se consigue en las mejores casa del ramo,
hasta la versin 1.83 del armadillo la hace PURE.
Lo abro y me pide que ponga el ejecutable protegido con ARMADILLO, lo busco al
RELAX y lo abro, espero un poquito y me dice donde lo quiero guardar, lo guarda.
Ahora lo busco y lo ejecuto, SORPRESA, no aparece mas la ventana que dice que es una
versin de prueba ni la pantalla para registrarse ni nada, ni tampoco la proteccin
antisoftice , ni la de que el programa te retaba cuando adelantabas el reloj, nada quedo el
programa pelado y funcionando y parece que bien.
Adelanto un mes el reloj y sigue funcionando, todo parece estar bien, y el programa
crackeado, por ahora cumplimos con nuestro objetivo, si al pasar el tiempo surge alguna
novedad, (LO QUE NO CREO PUES TODA LA PROTECCIN ESTABA EN EL
ARMADILLO) seguiremos con el tema, por ahora.
PROGRAMA CRACKEADO.
Ricardo Narvaja
DESCARGADO GRATUITAMENTE DE
http://visualinformatica.blogspot.com
UNA NUEVA HERRAMIENTA QUE NSO PUEDE AHORRAR TIEMPO Y
ESFUERZO EN MUCHAS TAREAS AUXILIARES DEL CRACKER
(LECCION DOCE)
PUPE
Como ya avise en mails anteriores vamos a comenzar a estudiar esta excelente herramienta
auxiliar llamada PUPE que fue escrita por crackers a diferencia de muchas de las otras
herramientas que podemos encontrar, adems est totalmente en CASTELLANO ya que
fue hecha por crackers Hispanos, se puede bajar de la pagina de uno de sus autores CRACK
EL DESTRIPADOR, en.
http://teleline.terra.es/personal/guillet/
Seccin Herramientas.
Esta herramienta en sus primeras versiones fue un parcheador de la memoria pero le fueron
agregando mas utilidades y prometen agregarle mas todava con lo que esta herramienta
puede llegar a convertirse en una gran ayuda para nosotros, voy a tratar de describir un
poco algunas utilidades que pueden llegar a ser muy importantes y que nos pueden ahorrar
tiempo y esfuerzo en nuestras tareas de crackear.
All podemos ver los procesos que estn ejecutndose en este momento en la computadora,
una gran ventaja que tiene PUPE es que no es reconocido por la mayora de los
descompresores (YO DIRIA QUE POR NINGUNO) por lo que pasa completamente
desapercibido, inclusive, uno puede arrancar el programa a crackear primero y una vez que
ya arranco y no realiza mas verificaciones, arrancar el PUPE despus con lo que su
identificacin es prcticamente imposible.
Esto de la identificacin del programa es muy importante sobre todo con las ltimas
versiones de compresores como el ASPACK 2000 y 2001, que cuando arranca el programa
tienen triple proteccin ANTISOFTICE (AUNQUE CON EL ULTIMO FROGSICE SON
EVITADAS) pero tambin desactivan el REGMON, FILEMON y cualquier parcheador
que existe hasta hoy como nuestro RISC PROCESS PATCHER que no funciona con esos
compresores, adems como la descompresin y que salga el archivo funcionando es
complicadsima, para esos casos puede utilizarse el PUPE para parchear en memoria siendo
que es el nico que no es detectado por esos compresores.
Una vez que arranca nuestro programa vctima, va a aparecer en la lista de procesos que
vimos anteriormente, all seleccionamos el nombre del proceso sobre el cual vamos a
trabajar y hacemos clic derecho y all nos aparecen varias opciones.
Si queremos utilizar el PUPE como parcheador solamente, elegimos entre estas opciones
que aparecen, PARCHEAR y en una ventana de dialogo como la que vemos a
continuacin, colocamos la direccin que averiguamos con el SOFTICE o el WDASM que
necesitamos parchear, cuantos Bits deseamos parchear y el valor de estos bits y listo, sern
reemplazados en memoria inmediatamente
Esta funcin de parcheador en memoria directamente, puede evitarnos mucho tiempo ya
que si vimos algn salto sospechoso en el WDASM y antes de intentar con el SOFTICE
poniendo BPX y todo eso aqu podemos probar directamente lo que queremos cambiar y
ver si funciona, sin tanta historia, muchas veces necesitamos verificar varios saltos y esto
nos puede ahorrar muchsimo tiempo, adems que como dijimos en algunos compresores
como ASPACK 2000/ 2001 hasta hoy es la nica herramienta capaz de hacerlo.
Bueno aqu ya entramos a trabajar con nuestro programa directamente, aparece una lista de
todos los mdulos que utiliza el programa, y aunque casi siempre elegiremos el ejecutable,
el programa nos da la opcin de trabajar con cualquiera de los mdulos que utiliza el
mismo (MUY BUENA OPCION EN CIERTOS CASOS).
Elegimos el nombre del ejecutable o modulo sobre el cual vamos a trabajar y lo
ingresamos haciendo clic derecho hasta que aparece el nombre en donde dice MODULO
SELECCIONADO.
Ahora tenemos aqu varias herramientas que pueden ser de mucho inters. Hasta ahora para
descomprimir un ejecutable era muchas veces bastante complicado segn el compresor que
sea, aqu podemos obtener un ejecutable descomprimido que aunque puede no funcionar,
nos permite rpidamente poder visualizar con el WDASM las STRING REFERENCES sin
tener que perder horas descomprimiendo a mano.
Vemos a la derecha la opcin VOLCADOR TOTAL y tenemos dos alternativas, podemos
probar cual de las dos es la que funcionara pero si es un compresor moderno, usaremos la
segunda opcin, podemos probar pues tarda un segundo en realizar la tarea.
Una vez que tenemos el ejecutable nos queda solamente verificar con el PROCDUMP (O
CON EL MISMO PUPE SEGN VEREMOS MAS ADELANTE) si hay que cambiar la
proteccin ANTIDESENSAMBLADO de C000040 u otro valor a E0000020 como vimos
en las lecciones de descompresin y listo, un ejecutable para poder ver con el WDASM en
menos que canta un gallo, y sin rompernos mucho la cabeza.
Esta opcin de VOLCADOR TOTAL funciona con CUALQUIER COMPRESOR QUE
EXISTE y el resultado es un archivo para ser analizado con el WDASM, muchas veces el
ejecutable que descomprimimos asi funciona perfectamente, otras hay que trabajar un poco
para que funcione, pero, es muy til listar en el WDASM las STRING REFERENCES de
un programa comprimido en segundos, y adems poder parchearlo aqu mismo.
Si cuando seleccionamos el mdulo a utilizar nos dice que es muy largo entonces hay que
colocar la tilde en FORZAR PROYECCIN para poder trabajar sobre el mismo.
Ricardo Narvaja
DESCARGADO GRATUITAMENTE DE
http://visualinformatica.blogspot.com
COMO CRACKEAR EL MORPHINK 99 trial
UN PROGRAMA PROTEGIDO CON VBOX
Existe una utilidad para limpiar esta proteccin comercial que se llama
VBOX Unwrapper [uCF] by MAK & EinZtein in 2000
O sea que solo funciona en WINDOWS 2000, ay a quien se le ocurre hacer una
herramienta solo para WIN2000 y que no funciona en WIN98, y es as la prob y se cuelga
en WIN 98.
Bueno lo que si tenemos es una gran herramienta como es el nuevo PUPE que fue
programado por crackers y es evidente que es de gran utilidad, por lo menos para m,
grande MARMOTA, CRACK EL DESTRIPADOR Y COMPANIA sin PUPE no se que
habra hecho.
Arranco el programa y espero que aparezca la ventana que dice cuantos das me quedan,
(QUE HORROR), antes de poner TRY o cualquier otra cosa arranco el PUPE, y all elijo el
proceso del MORPHINK y all entro a la CAJA DE HERRAMIENTAS, y elijo el modulo
que segn los tutoriales es autor de todo el desastre
VBOXT401.DLL y elijo VOLCADO TOTAL y alinear y lo guardo.
Lo abro con el WDASM y me aparece perfecto con FUNCIONES IMPORTADAS y
STRING REFERENCES, lo que no sera posible si lo buscara en el rgido y lo abriera con
el WDASM ya que esta comprimido.
Para saltear la proteccin ANTI SOFTICE veo la parte siguiente
Ese CALL me devuelve un cero si no est el SOFTICE y me devuelve un uno cuando est
presente as que hay que poner un BPMB 7006F5F justo cuando despus de pasar el
CALL y all poner r eax=0 entonces pasa la proteccin.
Miramos las STRING REFERENCES del dll maldito.
All en las STRING REFERENCES veo algo que me llama la atencin, dos cadenas
UNLIMITED TRIAL y TRIAL EXPIRED, hmmm sospechoso y hay un salto en
70117a2 que me tira a TRIAL EXPIRED y si no salta va a UNLIMITED TRIAL, mmm
que lindo esta esto.
O sea que testea Al con 10 y all decide si seguir el camino TRIAL EXPIRED o
UNLIMITED TRIAL.
Abro el SYMBOL LOADER y all una vez que cargo el ejecutable y para cuando se inicia
le pongo un BPMB 701179f x , un poquito antes del salto.
Pongo BREAKPOINTS DE EJECUCIN en memoria en vez de BPX porque el programa
detecta si pones BPX y te dice que tens un debugger activo y no funciona.
Una vez que para all, ya que compara AL con 10 y segn eso salta o no y ya que AL no es
igual a 10 lo que va a hacer que vaya por la zona de TRIAL EXPIRED CHICO MALO,
entonces con
R AL=10
Una vez que resete la mquina el programa se volvi a desregistrar. La verdad que el
programa me haya engaado ya me haba subido la presin, as que decid no parar hasta no
limpiarlo completamente y dejarlo como un archivo suelto sin necesidad de dlls Vbox ni
nada.
Ahora prob que si el programa esta arrancado y vuelvo a arrancarlo sin haberlo cerrado
antes, esta segunda vez arranca sin poner la pantalla de TRY o sea de probar, arranca
directamente.
Fijndome en las funciones importadas del archivo VBOXP410.dll encuentro
BPX GETPROCESSADDRESS
siempre con el programa abierto y trabajando sobre una segunda apertura simultanea del
mismo, o sea siempre dejo minimizado el programa ya abierto y trabajo ahora como si no
estuviera abierto, ejecutndolo por segunda vez.
Una vez que empieza a arrancar despus de un rato para, me fijo abajo a la derecha que esta
parada corresponda al proceso MORPHINK y una vez que aparece all MORPHINK (OJO
NO EN LA LINEA VERDE SINO BIEN ABAJO A LA DERECHA), entonces borro todo
con BC*
y vuelvo con F12 hasta que aparezco en VBOXP410.
All veo que el modulo VBOXP410 se ejecuta en direcciones superiores a 5.000.000, lo que
puedo ver tambin con el WDASM, y el programa MORPHINK se ejecuta en direcciones
apenas superiores a 400.000, esto lo comprob tambin cuando al tener arrancado del todo
el programa veo que al poner un BPX hmemcpy y tocar cualquier cosa y entrar en el
SOFTICE el programa tiene direcciones apenas superiores a cuatrocientos mil, mientras
que el VBOX se ejecuta por encima de los cinco millones.
Entonces volviendo al punto en que estoy en el softice dentro del VBOXP410 supongo que
en algn momento el archivo este va a dejar de trabajar y pasar el control al programa
MORPHINK.
Por eso de aqu hago como en la leccin de descompresin manual y tecleo a ojo sin
calcular valores
BPR 400000 500000 r if (eip>=400000) && (eip<=500000)
Para que el programa pare en la primera sentencia del MORPHINK que debe estar a ojo
entre esos valores 400000 y 500000. Pongo a correr el programa y para en
Y vuelvo con X a WINDOWS. Ahora lo nica diferencia con el mtodo que usamos en la
leccin de descompresin manual es que aqu no funciona el PROCDUMP, as que yo abr
el PUPE y eleg el proceso MORPHINK y el ejecutable Morphink.exe e hice un volcado
total con la opcin ALINEAR activada.
Lo guarde en el escritorio con el nombre MOCO.exe.
Ahora con el ULTRAEDIT modifico los valores que tuve que cambiar para lograr el LOOP
INFINITO o sea busco
EB FE EC 6A FF 68 D0
Ahora tengo el archivo moco sobre el escritorio, cierro todas las instancias de
MORPHINK, reseteo la mquina para que no me vuelva a engaar lo ejecuto all mismo en
el escritorio y ABRE PERFECTAMENTE Y FUNCIONA, otra proteccin que pudimos
vencer no sin bastante trabajo.
Gracias a VESPERS que cuando yo me equivoque me ayudo, la verdad que ya es un
cracker a todo trapo y estoy contento de que aunque sea yo con mis lecciones haya
colaborado un poquito con algo de todo lo que aprendi.
Otra cosa que quiero destacar es la utilidad del PUPE, la verdad una muy linda herramienta,
de inapreciable valor.
Ricardo Narvaja
DESCARGADO GRATUITAMENTE DE
http://visualinformatica.blogspot.com
UNA LECCIN PARA RELAJARSE Y CRACKEAR ALGO FCIL
(LECCION CATORCE)
Ricardo Narvaja
DESCARGADO GRATUITAMENTE DE
http://visualinformatica.blogspot.com
UN NUEVO WINOMEGA (5.15.13)
(LECCION QUINCE)
A veces cuando sale una nueva versin de un programa que ya crackee es lindo ver los
cambios que se han realizado en la proteccin que uno ya conoce y comparar si ha
mejorado, en ese sentido.
Este es el caso del nuevo WINOMEGA 5.15 (el anterior era 5.12) que se puede bajar de
www.winomega.com
Una vez desinstalada la versin anterior para que no tome registros de antes, procedemos a
mirar la nueva, parece bastante similar aunque tiene una decoracin NAVIDEA por las
fiestas y un poquito mejorada la interfase, ahora vamos a lo nuestro.
En la versin anterior el ejecutable lo descomprimimos con PROCDUMP utilizando
WWPACK32 II y ahora vemos con el WDASM que esta comprimido tambin, probemos
con el mismo descompresor a ver que pasa y VOILLAAA, funcionaaaaa.
Hasta aqu todo igual, pero no es todo igual, reemplazo el ejecutable descomprimido y
arranca el programa, proteccin ANTISOFTICE no tiene, esperaremos la prxima versin
para esto, as que vamos a AYUDA - REGISTRARSE y ponemos cualquier numero por
ejemplo 99999999999 y nos sale PIN INCORRECTO, que parecido que es hasta aqu..
Bueno arranco el SOFTICE y pongo BOX MESSAGEBOXA y pongo un numero falso y
no para all o sea que no usa MESSAGEBOXA, busco en el WDASM la STRING PIN
INCORRECTO y no aparece, mmmm, esto se comienza a complicar, pongo BPX
HMEMCPY y trato de volver al ejecutable a ver que pasa, da mil vueltas y no se llega a
nada, es un despiole, parece que en algo mejoro, han cerrado algunas puertas un poco
mejor.
Sera muy piola decir fui aqu y hice esto, pero la verdad es que tuve que intentar bastante
para abrir esta puerta esta vez, prueba que te prueba, a veces los crackers ganamos por
cansancio o nos ganan a veces por cansancio a nosotros.
Bueno despus de muchos intentos infructuosos, me fui a abrir con el DEDE para ver si el
ejecutable descomprimido estaba hecho en DELPHI, dada la cantidad de vueltas que da el
programa, y si, est escrito en DELPHI y el DEDE lo abri perfectamente.
Bueno, sabemos que con el DEDE solo podemos trabajar con ejecutables descomprimidos
si no, no funciona, as que puesto el ejecutable descomprimido en el lugar del original, lo
abri perfectamente.
Bueno una vez all vamos a PROCEDURES y all buscamos algo y all esta
REGISTERFRM o sea algo que tenga que ver con REGISTRO.
Aclaremos que creo que aqu sin el DEDE nos volveramos japoneses o chinos buscando
entre vueltas y vueltas de DELPHI, as que su ayuda es invaluable.
Bueno haciendo clic en REGISTERFRM-EVENTS aparecen los EVENTOS que hay que
mirar, hay varios botones y un poco por intuicin y otro poco por mirar un poquito los otros
y no encontrar nada interesante, me incline por el primero que es el OK BUTTON, descarte
el HELP button ya que no creo que un botn de help te registre y en el FORM BUTTON no
hay comparaciones y saltos interesantes, adems el REGBUTTON parece empezar donde
termina el OK BUTTON o sea que primero parece ejecutarse el OKBUTTON.
Bueno la cosa estaba entre el OKBUTTON Y EL REGBUTTON ya que el OKBUTTON
est primero lo vamos a estudiar primero.
Despus de probar salto por salto con el SOFTICE a ver qu pasaba (NO SON TANTOS
SON CINCO O SEIS), di en el clavo con el salto de 5E136A, ESE CUANDO CAMBIE
EL VALOR DE BL PARA INVERTIR EL SALTO ME DIJO QUE ESTABA
REGISTRADO, al reiniciar el programa me desregistro de nuevo as que debe haber al
igual que en la versin anterior un CALL antes del salto que es llamado a comparar la clave
y lo hace antes del salto 5e136a y lo llama a ese CALL cuando comienza el programa, ese
CALL es
5e1326 CALL 662020
y si lo vemos con el WDASM podemos ver que viene de otro lugar en REFERENCED BY
A CALL AT
64f43e CALL 662020 (CUANDO ARRANCA EL PROGRAMA)
As que ahora solo queda poner un BPX en 64f43e para que pare cuando arranque invertir
ese salto, y queda registrado para siempre, se pueden realizar los cambios con el ULTRA
EDIT y NOPEAR el salto que hay despus de 64f43e as siempre te acepta tu registro y no
te desregistra.
Parece fcil una vez ya hecho pero el hecho de no tener referencias claras en las STRINGS
y de no ser ventanas fcilmente localizables, hacen que sea un poco mas difcil, encontrar
los saltos, otra cosa que se puede ver que si seguimos el salto 5e136a y vamos a la parte de
CHICO MALO enseguida haciendo F10 varias veces encontramos cual es el CALL de la
famosa ventana de PIN INCORRECTO, ya que en DELPHI las ventanas son casi siempre
CALLS enteros y esta lo es.
Ricardo Narvaja
DESCARGADO GRATUITAMENTE DE
http://visualinformatica.blogspot.com
COMPRESORES MALDITOS
(LECCION DIECISEIS)
La verdad esta historia de los compresores a veces lo saca a uno de quicio, y este es el caso,
vamos a abreviar, esto esta comprimido todava no s con qu, pero no se puede
descomprimir, por lo menos con las herramientas clsicas, el PROCDUMP cuando lo lee se
cuelga, el WDASM tambin el PUPE lo vuelca pero el archivo resultante es una porquera
que no se puede abrir con nada, una verdadera basura.
Este tema de los nuevos compresores que existen por ah es bastante molesto, ya tuve
experiencia con el ASPROTECT que es ms difcil que este que vamos a ver hoy da y
todava no le encuentro la vuelta de cmo descomprimirlo, a este tampoco, pero eso no
quiere decir que no lo vamos a poder crackear, lo haremos usando la nica herramienta que
nos permite este compresor que es el SOFTICE, aunque tambin tiene trampa anti-
debugger, si modificamos el ejecutable del SOFTICE con el BACKDOOR KEEPER y
usamos el nuevo FROGSICE , podemos hacer algunas cosas, otras no, pero igual lo
haremos.
Esto es como crackear con una mano atada y sin ver pero lo ms importante en este crack
es ser creativos y usar un camino que inventemos aunque no sea el ms recorrido en los
tutoriales de crack, por suerte este compresor permite parchear en memoria con el RISC
PROCESS PATCHER, cosa que el ASPROTECT no permite, as que tiene esa pequea
puertita abierta, donde nos vamos a tratar de meter para crackearlo, la verdad es que fue
difcil, muy difcil, tarde ms de una semana en hacerlo, aunque aqu parezca breve ya que
muchos intentos frustrados yo no los transcribo y parece fcil entonces.
Bueno manos a la porquera esta, jaja, chiste.
Probemos que nos deja hacer y que no con el SOFTICE.
Arrancar el programa: SI SE PUEDE siempre que tengas el SOFTICE modificado con el
BACKDOOR KEEPER y el nuevo FROGSICE, arranca perfectamente.
Con el SYMBOL LOADER: arranca el programa y no para cuando se inicia, o sea que no
sirve para nada arrancarlo de aqu, no para porque en las caractersticas de las secciones que
le con el PE BUILDER (EL UNICO QUE SE DIGNO A ABRIRSE), me dice que todas
las secciones son C0000040 lo que hace que no pueda ser desensamblado ni pare cuando
arranca con el SYMBOL LOADER, si le cambio a E0000020, el programa para con el
SYMBOL LOADER pero no arranca ya que se testea a si mismo y al verse modificado sale
un mensaje de error.
Si le modifico a E0000020 tambin se desensambla con el WDASM pero no aparece nada
interesante ya que esta comprimido y no aparecen STRIGS ni IMP FN ni nada.
Es un acorazado, por donde lo podemos atacar?
Si pongo un BPX antes de que arranque el programa vamos a ver que pasa:
Si es MESSAGEBOXA me sale DEBUGGER DETECTED y no arranca, paciencia amigo
ya lo vamos a destripar, probemos con BPX GETVERSION es un BPX que usan la
mayora de los programas cuando se inician, ya que as saben la versin de WINDOWS que
tens en tu maquina y ajustan el programa a eso.
Entonces BPX GETVERSION, para en el SOTICE (ACLARACIN SI EN LA ESQUINA
INFERIOR DERECHA QUE ES DONDE APARECE EL NOMBRE DEL PROCESO
QUE LLAMA A LA FUNCION APARECE EXPLORER EN VEZ DE WEBCLIKER,
HAGO X HASTA QUE APAREZCA ALLI WEBCLICKER no en la lnea verde sino en el
ngulo inferior derecho de la pantalla) pongo BC* y X a ver si arranca, ARRANCA, bueno
ya tenemos una forma de entrar, vamos despacito.
Probemos buscar el punto de inicio del programa descomprimido para ver si pasa:
Pero antes tenemos que volver al ejecutable, tenemos que borrar el BPX que habamos
puesto sino va a aparecer DEBUGGER DETECTED, y para volver si hacemos F12 no
sirve, a mi se me cuelga as que tengo apretada la tecla F10 hasta que en la lnea verde
aparezca el nombre del EJECUTABLE WEBCLICKER y ah suelto.
Segn los datos que obtuve con el PEBUILDER y aplicando el mtodo de descompresin
manual que vimos en la LECCIN 6, escribo
BPR 401000 473000 R if (eip>=401000) && (eip<=473000)
Bueno algo tenemos ahora veamos la lnea de razonamiento que segu para crackear esto.
Mire el programa cuando arranca y vi en la ventana del mismo por varios lugares la palabra
SHAREWARE, y adems sabemos que el programa se registra ONLINE as que debe
haber algn lugar que testee si estas REGISTRADO o no y segn eso haga aparecer la
palabra SHAREWARE en pantalla si no estas REGISTRADO y si estas REGISTRADO
no tiene que aparecer.
Eso vamos a buscar la decisin de que aparezca la palabra SHAREWARE en la ventana o
que no aparezca, como eso tiene que ver con que si estas REGISTRADO o no puede ser
algo que nos lleve a la solucin (O NO).
All en el punto de INICIO del programa uso la sentencia que tiene el SOFTICE para
buscar CADENAS DE TEXTO
S 0 L FFFFFFFF 'SHAREWARE'
ASI CON MAYUSCULAS como aparece en la ventana.
La sentencia de buscar texto es as y si quieren buscar otra vez ya que as sale solo la
primera SHAREWARE que encuentra tiene que volver a escribir
S XXXXXX L FFFFFFFF 'SHAREWARE'
y adems tener en cuenta que el SOFTICE aqu acepta como comillas no las comillas
dobles estas " , sino las comillas simples estas ' .
Bueno apareci en 470b8b, entonces pongamos un BPR all para ver cuando el programa la
usa a esa palabra. Primero borro los BP anteriores con BC* y escribo.
cosa que cuando el programa se decida a utilizar la palabra SHAREWARE pare all el
SOFTICE,y estaremos en la zona de CHICO MALO, y tendremos que buscar la decisin en
una comparacin y un salto anterior para llegar a la ZONA DE CHICO BUENO o
REGISTRADOS.y que evite que use la palabra SHAREWARE.
403d40
El CALL que est justo antes en
403d3b CALL 402828 que era adentro de donde yo estaba y donde el programa trabaja la
palabra SHAREWARE es para m la ZONA de CHICO MALO, tengo que tratar de saltear
ese CALL de alguna forma para que no caiga all. Pruebo poniendo BPX en los saltos que
estn arriba del CALL y reiniciando todo para que caiga all pero no funcionan, entonces
como veo otro RET me doy cuenta que estoy en otro pequeo CALL todava y hago lo
mismo para salir haciendo F10 hasta el RET y caigo en la sentencia posterior a:
O sea que este CALL tambin es la ZONA DE CHICO MALO ya que dentro de el esta el
otro CALL 402828 que sal primero, o sea que si caigo en 470960 voy a parar a la palabra
SHAREWARE, miro arriba del CALL y encuentro algo interesante bastante arriba:
en 470815 jz 47094b
es un salto que si no salta, al seguir traceando con f10 veo que sigue lnea por lnea hasta
470946 jmp 4709e4 que saltea el CALL maldito, y si el salto en 470815 salta, al esquivar el
JMP ya que cae despus del mismo, nos lleva directo al CALL SHAREWARE, quiere
decir que ese salto no debera saltar para que no caiga en SHAREWARE, probemos.
Pongo un BPX en 470815 y reinicio todo (TENGO QUE HACER TODOS LOS PASOS
QUE HICE ANTES PARA QUE PARE SI NO PASA DE LARGO), bueno cuando paro
all, veo que el SOFTICE me avisa que va a saltar y mandarme a SHAREWARE, invierto
el salto con
r eip=47081b
y luego hago X y PROGRAMA REGISTRADO, oh que maravilla no solo esquivo
SHAREWARE sino que agarro por el camino de CHICO BUENO directo, igual queda un
detalle que es que a veces aparece el cartel ese blanco diciendo que nos tenemos que
registrar a pesar que en el PROGRAMA nos dice que ya estamos registrados, eso se arregla
fcil veamos que compara antes del salto.
a
mov byte ptr [eax],01
con lo que pasa el flag a ser uno y nunca ms aparece el cartel blanco ese y para el
programa estamos perfectamente registrados.
Luego hacemos el cargador con el RISC PROCESS PATCHER cuyo script sera el
siguiente:
; WEBCLICKER
$ ;end of script
En la primera lnea P cambio la sentencia comparar a MOVER como vimos antes y en la
segunda para no nopear tantos bites directamente cambio el salto por un JMP 47081b, sino
tendra que poner muchos NOPs, lo hago al parche lo copio en la carpeta del programa, lo
ejecuto, y arraaaaancaaaa perfectamente registrado.
En resumen le hicimos morder el polvo a una dificilsima proteccin sin siquiera
descomprimir el ejecutable, jaja, pero fue muuuy duro realmente.
El programa Webclicker estar en el freedrive, para bajarlo.
Ricardo Narvaja
DESCARGADO GRATUITAMENTE DE
http://visualinformatica.blogspot.com
ALGO SUUUPER FACIL
EL CRACK DE LA ACTUALIZACION DE VIRUS DEL NORTON
(LECCION DIECISIETE)
Bueno como ustedes sabrn si no se les cuento, nuestro amigo NORTON nos dejaba
actualizar un ao por medio de su LIVE UPDATE las definiciones de virus, y cuando se te
venca ese ao (QUE PARECE QUE DURA UNOS MESES SOLAMENTE), podas
seguir bajando las actualizaciones de la pagina de SYMANTEC
http://www.symantec.com/avcenter/cgi-bin/navsarc.cgi
o
http://www.sarc.com/avcenter/cgi-bin/navsarc.cgi
y no haba problema, bajabas el archivito que tiene un nombre as 0825i32.exe que quiere
decir que es la actualizacin del 25 del ocho o sea de agosto, bueno todo era hermoso, hasta
que se le ocurri, limitar tambin el archivo que podes bajar, o sea que una vez que lo
ejecutas, testea si te venci ese ao y si ya paso la fecha no te deja actualizarlo y te pide que
pagues una suma para poder actualizar los virus.
Bueno les comento que crackear ese archivito es muy sencillo, desde hace dos meses todos
los archivitos de actualizacin tienen la misma proteccin y en el mismo lugar, o sea que al
da de hoy 10 de enero del 2001, lo que explico en esta leccin es vlido, si llegara a
cambiar de lugar la proteccin, el mtodo es muy sencillo y seguro va a ser el mismo
aunque en otro lugar, pero hasta hoy parece que va a seguir igual.
Abrimos el archivo con el WDASM y vemos las STRINGS REFERENCES y all aparece
la cadena de texto YOUR VIRUS SUSCRIPCION.... parece que NORTON no tena ganas
de molestarse mucho, hacemos doble clic en esa STRING REFERENCE y vemos que
corresponde a un solo lugar 4042af (hasta hoy) , y que viene de un
REFERENCED BY A CALL AT 401dff
Vamos a 401dff y vemos un poquito ms arriba que hay dos saltos, probamos ambos si
queremos con el SOFTICE, pero es el primero de los dos el que funciona bien esquivando
el CALL que nos lleva al cartelito maldito.
aqu si salta pasa por encima del CALL as que reemplazamos 75 por EB para hacer que
salte siempre, pero no lo vamos a hacer con el ULTRA EDIT porque si no cada archivo que
bajemos vamos a tener que editarlo, vamos a hacer un cargador con el RISC PROCESS
PATCHER para cargar el archivo de actualizacin, como el RISC busca el nombre del
ARCHIVO lo nico que vamos a tener que hacer cuando bajemos uno, es cambiarle el
nombre a NORTON.exe y listo.
El SCRIPT es el siguiente.
; NORTON UPDATE
$ ;end of script
Esta LECCIN fue como un oasis de descanso despus de la 16 que fue dificilsima, no?
Ricardo Narvaja
DESCARGADO GRATUITAMENTE DE
http://visualinformatica.blogspot.com
SIGAMOS CON LA ONDA LIGHT
CRACK DEL ATAMA 1.8
(LECCION DIECIOCHO)
Bueno vamos a seguir la onda light con cracks fciles ya que el verano y el calor estn
haciendo estragos en nuestras neuronas para complicarnos mucho. Este programa es
supuestamente sobre HOMEOPATIA de lo cual yo no s nada ni tampoco de medicina, si
esta ciencia sirve o no , yo no puedo opinar, debera preguntar alguien ms versado sobre el
tema como el famoso Doctor Theumann que de esto sabe, jaja, pero bueno, igual nos va a
servir para practicar un poco .
Supuestamente el programa dice segn la dolencia cual es el remedio que hay que usar, es
como un inventario sobre Homeopata, y bueno quizs a alguien le sirva, se baja de
http://www.abouthomeopathy.com/
43D043 y 43D050
Que parecen ser dos comparaciones una despus de otra, y en cualquiera que salta a esta
zona de chico malo nos aparece el cartelito maldito, habr que evitar el cartelito maldito.
Vamos a ver en el WDASM que hay en 43d043 , En GOTO - GOTO CODE LOCATION,
ponemos 43DO43 y nos muestra
Aqu vemos el salto crtico y dos renglones ms abajo hay otro que es el de 43d050 que nos
tira a chico malo tambin.
Si arranco el programa y voy a la ventana de registro y pongo cualquier numero y antes de
ACEPTAR entro en el SOFTICE y pongo BPX HMEMCPY y hago clic en REGISTER,
rompe en el SOFTICE pero si quiero volver al ejecutable con F12 hago como treinta veces
F12 y nunca aparezco en el ejecutable, me aparece el cartelito de INVALID, como entro en
el ejecutable para poner los BPX en los puntos que ya hallamos (43D043 y 43D050)?
Vuelvo a poner el BPX HMEMCPY y cuando rompe en el SOFTICE hago F12 hasta que
llego al archivo de VISUAL BASIC MSVBVM60 y a partir de all tengo apretada F10
hasta que me aparece en la lnea verde ATAMA, que es cuando llegamos al ejecutable, ufff.
Una vez all borro los BPX viejos con BC* y pongo BPX 43D043 y BPX 43D050 y hago
X, parara en 43D043, si no para porque se haban pasado de esa sentencia y vuelven a
poner cualquier numero en la ventana de registro y ahora si parara all en 43D043.
Vemos que el SOFTICE indica que en el salto 43D043 va a saltar a la ZONA DE CHICO
MALO (JUMP) o sea que podemos hacer r eip=43D056 as salteamos los dos saltos que
nos llevan a CHICO MALO, hacemos X y vemos que nos sale el cartelito DEMO HAS
BEEN CONVERTED TO SHAREWARE o sea que el programa dejo de ser una versin
de prueba, que bien.
Aqu est el parche hecho en el RISC PROCESS PATCHER para que no caduque ms,
(LA ELIMINACIN DE LA VENTANA NO ESTA AQU EN ESTE PARCHE)
;ATAMA
$ ;end of script
Hasta la prxima
Ricardo Narvaja
DESCARGADO GRATUITAMENTE DE
http://visualinformatica.blogspot.com
OTRO EN VISUAL BASIC PERO MAAAS DIFCIL
(LECCION DIECINUEVE)
http://www.kmcsonline.com/rcompare.htm
Es un programa que permite tomar como una instantnea del registro y despus de instalar
un programa volver a tomar otra para ver cules fueron las modificaciones en el mismo, yo
para eso uso el programa ART ADVANCED REGISTRY TRACER que es ms detallado y
te dice que entradas fueron agregadas, cuales fueron borradas y en cuales fueron cambiados
algn valor.
El ART se baja de
http://www.elcomsoft.com/art.html
y el crack de ASTALAVISTA y algunos se preguntaran porque no crackeamos el ART, en
vez del Registry Compare, lo que pasa es que el ART ya lo crackee y no tiene algo
interesante para ensear pero el REGISTRY TRACER nos puede ensear dos o tres cosas,
o sea vamos a usar el ART para detener el conteo de 14 veces de prueba del REGISTRY
COMPARE dndole un trago de su propia medicina, o sea con el mismo mtodo que utiliza
el programa. (14 veces para probar un programa, MISERABLE. ja,ja)
Primero bajo el ART y lo instalo, bajo el crack de ASTALAVISTA y una vez que hice todo
eso, tomo la primera foto del registro antes de instalar el REGISTRY COMPARE o sea en
el ART voy a SCAN REGISTRY y me toma una instantnea con fecha y hora del registro.
Una vez que termino eso, instalo el REGISTRY COMPARE y una vez instalado, lo ejecuto
una vez y lo cierro, supuestamente ya se crearon las entradas en el registro donde guarda la
informacin de las veces que lo usaste, asi que vuelvo a abrir el ART y de nuevo SCAN
REGISTRY y una vez que termina, marco la primera de las dos fotos que tome , para que
compare a partir de all, y en el men elijo COMPARE FROM HERE o sea COMPARE
DESDE AQU.
Como ahora queremos ver las nuevas entradas que cre el programa al instalarse, entonces
vamos a la pestaa ADDED que son las entradas agregadas para ver qu hay de nuevo en el
REGISTRO despus de haber instalado el REGISTRY COMPARE.
Vemos que en added hay tres nuevas entradas. Las tres nuevas entradas son:
1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninst
all\KMCS Registry Compare_is1
2)HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explore
r\MenuOrder\Start Menu\&Programs\KMCS Computer Software
3)HKEY_USERS\.DEFAULT\Software\VB and VBA Program
Settings\KMCS\REGCOMPARE
Bueno ahora voy a INICIO - EJECUTAR -REGEDIT y all busco cada una de las cadenas
estas y cuando estn completamente abiertas y muestran los datos en la parte derecha,
entonces voy al men REGISTRO y all EXPORTAR ARCHIVOS DEL REGISTRO y
exporto un archivo por cada entrada que agrego el programa las copio en un lugar que tenga
a mano.
Ejecuto un par de veces el REGISTRY COMPARE para que consuma un par de veces
ahora me dice que me quedan doce veces para utilizar.
Cierro el programa REGISTRY COMPARE y ejecuto uno por uno los archivos que cree
del registro para inyectar los datos como estaban originalmente, al ejecutar me dice si
quiero ingresar datos al registro y pongo que si, arranco el REGISTRY COMPARE y me
dice que me quedan 14 veces para probar, juuuuy, ya descubr como volverlo para atrs,
jajaja.
Esto es muy importante porque me da tiempo para descubrir el crack y si quiero lo puedo
seguir utilizando as, ya que cuando llegue a que me quedan cinco veces vuelvo a ejecutar
los tres archivos del registro y me vuelve la cuenta atrs a 14 de nuevo, iuuupi.
Ahora podemos trabajar tranquilos pero no voy a abundar mucho en como crackear esto, ya
que para m lo importante era que vean como se hace en programas que vencen despus de
varias veces y guardan la informacin en el registro.
Si por esas casualidades (QUE NO ES ESTE CASO), al realizar estos pasos con otro
programa y restaurar el registro a los valores que tenia al momento de instalar el programa
este no vuelve atrs es posible que guarde la informacin en un archivo, ejemplo de lo cual
veremos ms adelante, pero les adelanto que utilizando el FILE MON vemos que filas usa y
las copiamos en otro lado y cuando usamos un par de veces el programa, volvemos a copiar
las filas esas que guardamos en algn lugar encima de las del programa y podemos lograr
que vuelva atrs y si utiliza una fila en C tambin la podemos detectar con el FILEMON y
reemplazarla por una copia despus de usar el programa un par de veces.
Ricardo Narvaja
DESCARGADO GRATUITAMENTE DE
http://visualinformatica.blogspot.com
COMO QUITAR EL CARTELITO MOLESTO Y REGISTRAR EL ATAMA
(LECCION VEINTE)
Sinceramente esta semana no pensaba realizar ninguna leccin dado que tuve muchsimo
trabajo y no tuve tiempo, pero dado que no hubo soluciones sobre como quitar el cartelito
del ATAMA de la LECCIN 18 vamos a quitarlo y de paso REGISTRARNOS, en una
leccin breve, ya que no tuve mucho tiempo esta semana.
Dado que el ATAMA no tiene trucos ANTISOFTICE lo arranco desde el SYMBOL
LOADER y realizo este procedimiento:
Apenas arranca encuentra un CALL que si lo ejecutamos arranca el programa y no para
mas, volvemos a arrancarlo y entramos dentro de ese CALL, y as seguimos traceando F10
y tomamos la precaucin de antes de pasar por encima de un CALL poner un BPX all cosa
de que si arranca el programa, podemos reiniciar y parar all, realizamos este procedimiento
y cuando encontramos un CALL que arranca el programa y nos hace aparecer el cartelito
maldito, volvemos a arrancar y como habamos puesto un BPX vuelve a parar all y ahora
en vez de pasar por encima del CALL entro con T y sigo traceando con F10, cada CALL
que encuentro antes de pasarle por encima borro todos los BREAKS anteriores con BC* y
pongo un BPX en el ultimo CALL este, si paso por encima y no sale el cartelito maldito,
sigo hasta el otro CALL, y all repito el procedimiento, entrando con T en los CALLs que
me hacen aparecer el cartelito y salteando los CALLS que cuando los paso por encima no
paso nada.
As me voy acercando cada vez mas al lugar donde el cartel principal de ATAMA tenga un
CALL y el cartelito maldito otro CALL separado esto ocurre en:
Es seguro que en el programa registrado el primer cartel que dice ATAMA aparece y el
segundo cartel no, por lo tanto entre los dos CALLs debe haber una comparacin y un salto
que evita el segundo cartel y que puede registrarnos ya que seguimos el camino del CHICO
BUENO en ese salto.
La comparacin y el salto estn a partir de 417FCF ya que all compara si el valor que hay
en 459090 es cero y segn esa comparacin salta evitando el cartelito molesto.
Puedo probar a ver qu pasa si coloco a mano en 459090 un uno haciendo d 459090 y
despus E con lo que puedo escribir el primer nmero y cambiarlo de 00 a 01, quedndome
ahora el valor de 459090 en uno, ejecuto la comparacin y el salto y arranca el programa
sin aparecer el cartelito maldito y cuando voy a ABOUT me dice REGISTERED, jaja,
pudimos con l.
Para asegurarme que en 459090 quede el valor uno que me asegura que este registrado voy
a cambiar la sentencia
417FCF CMP WORD PTR [459090],00
Lo que va a colocar en 459090 el valor uno para que quede registrado y ahora modifico el
salto que viene despus para que salte siempre pongo
Y listo Puedo ir al Ultra Edit, buscar la cadena y cambiarla sin miedo ya que este
programa no est protegido contra esos cambios.
Ricardo Narvaja
DESCARGADO GRATUITAMENTE DE
http://visualinformatica.blogspot.com