http://www.indetectables.net/viewtopic.php?f=80&t=53966
bueno para descargarlo tendrán que estar registrados, pero sino se quieren registrar lo pueden descargar desde Aqui
ya que tenemos el crackme descargado lo abriremos con el ollydbg dando clic en el icono de la carpetita y luego elegimos el crackme así
ahora buscaremos las string dando clic derecho y seleccionamos lo siguiente
y nos muestra lo siguiente
y como ven hay dos string que disen "Muy bien" y una llamada a la api vbaStrCmp que es una api de visual basic que se encarga de comparar 2 string y creo que es la que comparara la clave que ingresemos con la clave correcta, así que daremos doble clic al string "Muy bien" que se encuentra por debajo de dicha api y nos lleva hasta aquí
como ven la api esta en la linea 00401E23 y mas abajo esta un salto JE y unas lineas mas abajo el mensaje "Muy bien" asi que si las string o sea las claves son iguales no salta y si son diferentes nos manda al cartelito incorrecto.
bueno asi que pondremos un breakpoint con F2 en la linea 00401E23 y damos F9, para luego ingresar como serial "123456" y presionamos el boton "ya lo tengo" para luego detenernos en la linea donde pusimos el breakpoint
como ven en el stack se alcanza a ver nuestro serial "123456" que es el argumento 2 y creo que por lógica el argumento 1 es el serial correcto y para visualizar la clave solo daremos clic derecho y después en FOLLOW IN DUMP así como en la imagen
luego después de esto la clave se mostrara en la parte del DUMP del ollydbg aqui
bueno ya sabemos que la clave es "]õõ[.-2*[ó´?"
ahora si queremos usar ollyscript para extraer dicha clave, primeramente tendremos que tener el plugin del ollyscript, lo pueden descargar Aqui Versión 2.0.1
ya que lo tengan descargado el archivo DLL lo ponen en su carpeta de plugins y reinician el ollydbg y tendra que apareserles asi en el ollydbg
NOTA: Estoy usando OllyDbg 2.01 y Windows 8.1
bueno ahora si queremos extraer el contenido de la dirección 00401B60 que es donde se encuentra la clave usaremos el comando DM asi
DM dirección , tamaño, archivo
y nos quedaria asi:
DM 00401B60,18,"C:\Users\Flamer\Desktop\dump.txt" // NOTA: cambian Flamer por su nombre
esto lo escribiremos en el bloc de notas y lo aguardaremos con la extencion .osc yo lo llamare Script.osc y lo almacenare en el escritorio
y para ejecutarlo lo aremos así
y buscamos nuestro script en el lugar donde lo aguardamos
y al seleccionarlo automáticamente nos creara el archivo dump.txt en el escritorio con la contraseña
ahora si no queremos extraer la contraseña solo lo queremos crackear el salto, usaremos el comando
REPL dirección, búsqueda, reemplazo, longitud
el cual remplazara el salto JE por un JNZ y para ejecutarlo usaremos el comando RUN y quedaria así
REPL 00401E63, #74#, #75#, 1
RUN
aguardamos los cambios y lo ejecutamos igual
al presionar el botón "Ya lo tengo" nos muestra el cartelito correcto
bueno aquí tienen un script un poco mas amplio
Bueno amigos eso es todo y espero le halla gustado
Saludos Flamer