ForumCrack

Bonjour,
J'espère que ce genre de post est autorisé, dans le cas contraire, veuillez m'excuser et me le signaler.
Voici le lien direct du logiciel: hxxp://www.omega-bot.com/Release/DEMO/Omegabot.exe

Donc je télécharge le programme, je le mets dans peid: rien de détecté
Dans RDG Packer Detector: rien non plus
Protection_id: rien non plus

Je me dis alors que le programme n'est pas packé ou que le pack est fait maison.
Je passe l'exécutable dans ollydbg: ".... entry point outside the code ... keep in mind when setting breakpoints"
Je fais ok, puis j'ai ce message: "statistical test of module 'Omegabot' reports that this section ... compressed, encrypted, do you want to continue ... ?"
Je fais oui et là je lance le programme dans ollydbg: j'arrive à l'offset 469C0D, et je vois des multitudes d'instructions "DB qqch", puis en dessous y'a marqué "access violation when reading ..."

Je redémarre ollydbg, je remets le programme, et là j'aperçois, sans toucher à rien, quelques instructions (comme tout à l'heure) et je vois un "popad"
Je vais step by step à cette instruction, je fais un step de plus, je lance lordpe (j'essaie de faire comme l'upx vu que c'est le seul truc que je sais unpack), clic droit sur le processus, dump full et là j'ai ce message d'erreur: "can't grab process memory"

J'ai fais un tour sur le chan irc, baboon m'a dit que c'était certainement un pack maison, mais je coince là vu que j'ai un très petit niveau en cracking et je vous demande ainsi conseil pour savoir par où chercher et m'améliorer.

Merci pour tous ceux qui ont eu le courage de lire jusqu'ici et à ceux qui vont tenter de s'y coller

Shp

c'est du themida
voila voila
sinon pour les DB : clic droit, analysis, remove analysis tu verras les instructions
(db veut dire que olly après analyse a conclu que ces bytes était des byte de data et non de code mais là en l'occurence il se goure)
bref

sinon pas de lien direct : hxxp (referer tout ca tout ca)

Merci beaucoup déjà d'avoir répondu
J'ai modifié l'url.

Donc je me suis penché sur le themida, je suis allé sur tuts 4 you et là j'ai trouvé quelques tutos pour trouver la version exacte de themida.
Diverses techniques m'ont été proposées (je les ai toutes testées) comme celle-ci (la plus simple):
Je lance le prog normalement (f9), je fais alors comme baboon me l'a dit (clic droit > analysis > remove analysis from selection)
Je clique droit sur l'instruction où je suis arrêté, follow in dump > selection
Puis dans le dump hexa je fais search binary string, "Exception", là je me retrouve avec des chaines de caractères compréhensibles (c'est ce qui apparait dans le message d'erreur du programme quand on bidouille un peu le truc) mais la version de themida est censée s'afficher (pour 1.9.10 - 2.0.50) ...

J'ai fais un tour via l'outil recherche sur ce forum, mais rien ne me met sur la piste.
J'en conclue donc que la version de themida n'est pas compris dans cette plage
Sur tuts 4 you y'avait quelques programmes en asm pour des versions plus élargies mais je ne suis pas branché scripts, je préfère faire à la main pour mieux comprendre le fonctionnement.

Si vous avez une idée n'hésitez pas sinon j'essaierai d'unpack même si il est recommandé de connaître la version de themida.

Shp

Ah oué ? Vraiment ?
Je serais curieux de savoir pourquoi...

Dans ton programme, la version de Themida a été effacée...
De toute façon, je ne vois pas à quoi elle pourrait te servir, sachant que tu n'as jamais unpacké de Themida...
Ne pas connaître la version de Themida n'empêche en rien de l'unpacker...

Pour finir, ton executable protégé est en .NET
En plus, c'est un bot -> les bots pour MMORPG, c'est pour les boulets .

Donc, je n'irai pas plus loin...
Bye bye.

c'est ce que j'ai lu à plusieurs reprises pour la version, par exemple ici ils la demandent: hxxp://www.forumcrack.com/forum/viewtop ... it=themida et les tutos portent le nom de la version de themida à chaque fois c'est pour ça que je la cherchais
J'ai dû mal interpréter.

Sinon pour revenir au sujet je vais donc tenter d'unpack alors et je reviens si j'ai des problèmes, merci tout de même de m'avoir sortis d'une fausse piste.

Waouh, quelle référence...
-> joli post de boulets .
Faudra m'expliquer aussi à quoi sert un hxxp sur un lien interne du forum .

Bon, pour en revenir au sujet.
Si tu avais creusé un peu, tu te serais aperçu que ton programme protégé est en .NET et que l'unpacking pour .NET n'a pas grand chose à avoir avec de l'unpacking "classique".
Et donc, si tu avais cherché, tu serais tombé sur ce tutorial :
http://www.tuts4you.com/download.php?view.2676

Maintenant, il ne te reste plus qu'à prier pour que le tool fourni par SnD marche .

Si t'appelles ça un lien interne j'applaudis.
De plus t'es pas obligé de me mépriser comme ça j'ai cherché pendant plus d'une heure, et je suis tombé sur ton tuto mais je n'étais pas sûr de la version (lire ce que j'ai mis). Et tkt je sais que tu sais, t'es pas obligé de le montrer en gueulant sur ceux qui galèrent
Bon j'arrêterai de poster car apparemment il faut s'appeler "ulysse" pour le faire.

Le jour où tuts4you portera plainte contre forumcrack pour une histoire de légalité, les poules auront des dents...


Boh, rien à avoir avec du mépris.
Juste que ça me saoule de voir des zozos, qui viennent juste ici pour leur intérêt nombrilliste, mais qui n'en ont strictement rien à foutre du cracking / reverse...

Dans ce cas la, au lieu de t'enerver toi aussi comme un boulet, tu ferais mieux de passer a cote. Cela serait carrement plus intelligent. On dirait que tu as dix ans. Putain evolue... On sait que tu es doue, on connait ton groupe et encore tu veux montrer que tu es le meilleur libre a toi mais tu etais si doue tu n'aurais pas la grosse tete.

Les mecs avant de poster reflechissez au moins pendant deux jours sur un probleme cela vous evitera un detour par ici, d'autre part, cela vous apprendra un peu a reflechir avant d'ecrire. A bon entendeur.

Venir répondre 4 mois après, pour en plus démarrer une engueulade, ce n'est pas vraiment utile.

Si tu as un compte à régler ou des choses à dire à uLysse_31, je pense que tu peux le faire en MP. D'une part ca évitera des insultes et des posts stériles, d'autre part ca évitera une polémique inutile sur la question de l'entraide, de l'autonomie personnelle et du respect.

Je clos le post. Désolé uLysse_31 pour le droit de réponse, ca se fera en MP.