miércoles, 19 de mayo de 2010

Parcheando el Alcohol 120% 2.0

Parcheando el Alcohol 120% 2.0




  • ¿Que se planea lograr con este parche?


    Lo que se planea es que nunca caduque el modo de prueba ( TRIAL ) .


  • Tutorial


    Lo primero que haremos y que es bueno siempre hacerlo cuando se planee crackear algún programa es ver si esta enpaquetado con algún packer , para esto utilizaremos el peid(web) .





    Como vemos en el peid esta empaquetado con el UPX , existen varias opciones para desempaquetarlo yo usare el PE Explorer (web) con este p`rograma solo abrimos nuestro exe ( el alcohol ) y este se desempaqueta automaticamente y luego lo guardamos con el nombre Alchol_UNPACK.exe .


    Ejecutamos el alchool ( el empaquetado o el desempaquetado da igual) luego cambiamos la fecha de nuestro sistema y la adelantamos un año esto lo haremos para vencer el modo de prueba , lo volvemos a ejecutar y nos saltara un mensaje como el siguiente




    Ya teniendo el exe desempaquetado lo abrimos con una muy buena modificación del olly dbg que es el Olly Shadow( DESCARGAR ) , para obtener donde dice el programa que estamos vencidos usaremos de guia el mensaje anterior por lo tanto pondremos un "BP MessageBoxW" en la barra de comandos y le damos a enter .


    Veremos que para cuando llama a MessageBoxW comprobamos que el mensaje sea el mismo que nos muestro si no es apretamos F9



    pero en el caso de ser vamos apretando F8 hasta que nos encontremos en el espacio de memoria del exe y no de la dll y llegaremos a un codigo como este



    analizamos un poco el codigo anterior al MessageBox hasta encontrarnos con unos saltos condicionales sospechosos , les pondremos un break point con F2 al test al,al y volveremos a lanzar el exe en este momento el exe parara en el BP y segurimos el anlaisis con F8 vemos que el JNZ luego del test al,al saltan al bloque cercano del codigo del MessageBox a si que cambiaremos la condición a JZ y le damos a F9 y EUREKA!!! nos muestra todo como si fuera dentro del plazo :P



    Saltos sospechosos:

    Código
    /*43A181*/  TEST AL,AL
    /*43A183*/  JNZ SHORT Alcohol_.0043A1A4
    /*43A185*/  MOV ECX,DWORD PTR SS:[EBP-134]
    /*43A18B*/  CMP ECX,0F
    /*43A18E*/  JG SHORT Alcohol_.0043A1A4
    /*43A190*/  FLD QWORD PTR SS:[EBP-13C]
    /*43A196*/  CALL Alcohol_.0063D450
    /*43A19B*/  CMP EAX,0F
    /*43A19E*/  JLE Alcohol_.0043A434



    Yo modifique el exe para saltar un poco lo que jode del modo trial que no explicare en mayoria ya que fue un proceso muy largo para analizar el exe modificado se los dejo :P

    http://www.megaupload.com/?d=GYA38W9U





SE NECESITA ELIMINAR LA CARPETA LANGS
Publicado por Marco Almonacid en 15:22 1 comentarios
Etiquetas: ,

sábado, 15 de mayo de 2010

[Tuto]Desempaquetando RunPE

[Tuto]Desempaquetando RunPE


¿Que es RunPE?

Es un modulo realizado en VB que ultimamente se utiliza mucho en la creación de crypters ( herramientas para saltarse los antivirus generalmente ) aunque este metodo para desempaquetar no es para exclusivamente este modulo si no para el metodo de inyección de exe que ocupa

Teoría


Lo que haremos es abrir el exe que contiene el programa que queremos desempaquetar con el ollydbg y simplemente irnos a la api ZwSetContextThread de la ntdll.dll y poner un BreakPoint ( Acuerdenze de analizar que el crypter no haaga nada mas que inyectar el exe o hacerlo en una VM ) luego darle F2 a el exe y cuando llegue al BreakPoint cerrar el exe y luego lo dumpearemos con un exe de fabricación casera mia :P


Acción


Paso 1

Abrimos el exe con el ollydbg luego nos vamos a la E gigante de la barra de arriba , luego vemos se le hace un click a la ntdll y despues escribimos ZwSetContextThread cuando nos encontremos en el nombre adecuado apretamos F2 cuando aparesca en rojo apretaremos F9 esperaremos y luego cerraremos


Paso 2

Con el Taskmgr rebizaremos que proceso tiene una ram extremadamente baja como 72 kb a 180kb ( generalmente es un notepad un calc.exe o el mismo exe que abrimos ) para saber en que proceso inyecto el exe y le vemos el PID (Process ID ).

Luego descargaremos mi herramienta metemos los datos necesarios y wala exe desempaquetado :P


No es el mejor tuto que fabricado pero creo que esta explicado bien :P

Saludos
SecMAM

Herramienta:

http://www.2shared.com/file/ER3Z6mGo/Dumper.html
Publicado por Marco Almonacid en 17:10 1 comentarios
Etiquetas: ,
Suscribirse a: Entradas (Atom)
 

Copyright © SecMAM. All rights reserved.

Blogger templates created by Templates Block | Wordpress theme by Design Disease