Наткнулся как то на этот крэкми в надежде отреверсить. Однако Олли вываливается на нем, да еще как! Сразу после первой команды. Может есть какие идеи по поводу отладки, ато сайса под рукой нету щас.

a794_22.11.2007_CRACKLAB.rU.tgz - Bustme4.exe

| Сообщение посчитали полезным:

smex
А на тлс посмотреть не судьба?

З.Ы.:
CAT-QuickHeal 9.00 (Suspicious) - DNAScan
Sunbelt 2.2.907.0 VIPRE.Suspicious
Webwasher-Gateway 6.0.1 Win32.EPO.gen (suspicious)
Может я и параноик...

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

А не проще запустить и приAttachица, bp на GetDlgItem и изучать.

-----
Сотрудник DHARMA

| Сообщение посчитали полезным:

Оттачиццо оно тоже что то не очень... При нажатит на "Valid" Оля падает...

И вот еще что я нашол:

004020C0 Jesus loves
00402100 you, but only in a purely platonic way. I'm sure..XRB3-GHTP-XXC
00402140 D-DD54-OPBJ-TYP1.Solved.You solved the crackme.

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

решаем )))) единственное, что я могу сказать, - с юмором у автора крякми все в порядке. Один я заметил
это, или вы тоже?

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

KingSise пишет:
При нажатит на "Valid" Оля падает
А у мну молчит...

Crawler
Все зацениле)

Кто мне объяснит нахрена этот изврат?

00409194 FF15 1E314000 CALL DWORD PTR DS:[<&KERNEL32.GetCommand>; kernel32.GetCommandLineA
0040919A 83F8 00 CMP EAX,0
0040919D 74 16 JE SHORT Bustme4.004091B5
0040919F 50 PUSH EAX
004091A0 68 52944000 PUSH Bustme4.00409452 ; ASCII "Teeth_In_The_Grass"
004091A5 FF15 C6304000 CALL DWORD PTR DS:[<&KERNEL32.lstrcmp>] ; kernel32.lstrcmpA
004091AB 83F8 00 CMP EAX,0

В ЕАХе полюбому никогда не будет второй строки...
Мож он вмазался, когда кодел?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

просто у него "Зубы_В_Стакане"

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

в траве

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Неа, у него зубы_в_траве )))))

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Assass1n, опередил )))

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Spirit пишет:
Кто мне объяснит нахрена этот изврат?

посмотри ниже по коду, он второй раз запускает сам себя с параметром "Teeth_In_The_Grass" и выходит


004091D9 6A 00 PUSH 0
004091DB 6A 00 PUSH 0
004091DD 68 52944000 PUSH 00409452 ; ASCII "Teeth_In_The_Grass"
004091E2 68 F6914000 PUSH 004091F6 ; ASCII "D:\_poligon\Bustme4.exe"
004091E7 FF15 16314000 CALL DWORD PTR DS:[<&KERNEL32.CreateProcessA>; kernel32.CreateProcessA
004091ED 6A 00 PUSH 0
004091EF FF15 C2304000 CALL DWORD PTR DS:[<&KERNEL32.ExitProcess>] ; kernel32.ExitProcess


Spirit пишет:
В ЕАХе полюбому никогда не будет второй строки...

вот при таком запуске через CreateProcessA как раз и будет

| Сообщение посчитали полезным:

кто нибудь нашел серийнек?
Без патча можно обойтись?
Возможно я не там копаю, просьба поправить.
XRB3-GHTP-XXCD-DD54-OPBJ-TYP1
Это по ходу должен быть хеш от серийника. Подобрал значения серийника- хеш совпадает.
далее идет проверка на длину хеша
в ЕАХ длина хеша
CMP EAX,5
JL SHORT Bustme4.0040117F
CMP EAX,0A
JG SHORT Bustme4.0040117F

т.е. длина хеша должна быть от 5 до 10 символов
если хеш убирается в этот диапазон, попадаем на процедуру проверки значений хеша.
Хеш сверяется с XRB3-GHTP-XXCD-DD54-OPBJ-TYP1,
как он может убраться в диапазон от 5 до 10?
Если пропатчить выше приведенную процедуру, серийнек проходит.

| Сообщение посчитали полезным:

Assass1n
Crawler
ага, букву перепутал

Кстати в IDA прога летает, поч в olly вываливается?
Как поправить?


Еще в бинарнике нарыл это:

int main(int argc, char *argv[])

{

HWND phstart;

POINT ptWnd = {15, GetSystemMetrics(SM_CYSCREEN)-15 };

phstart = WindowFromPoint(ptWnd);

SetWindowText(phstart,"fuck");

return 0;

}

Вопрос: что в скомпиленном файле делает сишная функция???

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

Как всегда в сетке с инетом траблы. Почти не поучаствовал в дискуссии. ПРосто самое интрересное про что я говорил как оно вываваливается - прямо сразу же после первой команды. Как это автор так замутил нада буит еще в иде посмотреть. Но походу сюда серийник не подбереш - используется как я понял хэш...

ЗЫ: Кстати кто нить замечал что виндовый канкулятор Xor выполняет не так как проги на асме - он выдает совсем другой результат. Тут или у меня руки кривые или майкрасофт снова решила отличиться. В аттаче еще 1 совсем простеньки кракми, кому интересно поробуйте подобрать серийник с помощью виндового канкулятора.

bf97_24.11.2007_CRACKLAB.rU.tgz - password.exe

| Сообщение посчитали полезным:

кстати Spirit может тупой вопрос, но поясни в двух словах что такое тлс.

| Сообщение посчитали полезным:

--> что такое тлс <-- http://wasm.ru/print.php?article=tls

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Ничаво себе уже через 2 минуты ответ, спасибо большое, пойду читать

| Сообщение посчитали полезным:

Кто нибудь может что нибудь сказать по поводу поста "obfuskator" чуть выше? То ли это просто обманка и серийник в другом месте проверяется, то ли нужно найти серийник, да еще и пропатчить проверку длины..
Если нужно, могу привести всю инфу,что накопал, если вдруг кто захочет взглянуть на крякмис, для помощи

| Сообщение посчитали полезным:

tempread
если меняю проверку длины хеша
с CMP EAX,0A
на CMP EAX,1E (XRB3-GHTP-XXCD-DD54-OPBJ-TYP1)
то мой серийник прокатывает, хотя может там что то более хитрое

| Сообщение посчитали полезным:

obfuskator
Я тоже сгенерил себе серийник,который подходит,если снять ограничение по длине. Я уж думал,может кто подсунул подправленный крекми, но качал из других источников - там такие же. Думал,может, кто на форуме уже разбирался с этим крякми

| Сообщение посчитали полезным:

tempread пишет:
Думал,может кто на форуме уже разбирался с этим крякми
Может кто отпишется.
Крекми интересный.
smex
ты откуда его скачал?

| Сообщение посчитали полезным:

У меня есть мысль,как можно попробовать добить крякми. Но "влет" проэксплуатировать уязвимость(может специально оставленную?) не получилось, а к сожалеию,много выделять времени пока не могу. Дело в том, что длина вводимого кода не проверяется при копировании в память, и там присутствует переполнение буфера. Можно было бы использовать это, и посредством серийника подправить мешающие нам проверки. Таким образом, используя только серийный номер крякми был бы взломан

| Сообщение посчитали полезным:

obfuskator пишет:
ты откуда его скачал?

www.reversing.be/article.php?story=20061204013057671&query=Bustme%2B%25234
вообще там очень много на чем можно потренироваться...

| Сообщение посчитали полезным:

Я в этом крякмисе одной вещи не понимаю. Ну создал он процесс самого себя с параметром "Teeth_In_The_Grass" и вышел, новый процесс прошёл проверку строки Teeth_In_The_Grass и выполняет переход:

004091B0 - E9 F7FAFFFF JMP Bustme4.00408CAC

А по этому переходу ещё переход, и ещё, и так несколько раз, потом вот такой кусок:

004033B5 6A FF PUSH -1
004033B7 EB 01 JMP SHORT Bustme4.004033BA

а потом прыжок на ф-цию SetUnhandledExceptionFilter и получается, что -1 это адрес возврата из функции. Так вот, чего я не пойму: почему при отладке происходит прыжок на -1 в памяти => ошибка, а когда запускаешь экзешник он нормально работает?

| Сообщение посчитали полезным:

это антиотладка =) advanced olly умеет чинить эту фичу

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

Rascal пишет:
advanced olly умеет чинить эту фичу
А какие галочки там нужно юзать, чтобы экзешник запустился под олей, и где именно в крякмис включена эта антиотладка?

| Сообщение посчитали полезным:

SetUnhandledExceptionFilter - когда прога под отладчиком управление не передаётся ориг. обработчику,
поэтому прога падает под ольгой Поможет любой плагин для скрытия, конкретно в адв. олли
UnhandledExceptionFilter

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Спасибо, Hellspawn, а есть что-нибудь покурить по этой теме? (всмысле про UnhandledExceptionFilter)

Я поставил галочку в Olly advanced'e, нажимаю F9, дохожу до исключительной ситуации, написано "...use shift+F7/F8/F9", Shift+F7 Shift+F8 - ошибка выскакивает, а если нажать Shift+F9 программа останавливается после функции RtlRaiseExiption и в строке состояния написано "System debugging error (RIP event) 475C2506 (type -7145C2506)". Это тоже антиотладочная фича? Если да, то что можно покурить по этой теме и как это обойти? И почему не работают Shift+F7 Shift+F8 ? Как заглянуть в обработчик исключительных ситуаций?

| Сообщение посчитали полезным:

[poly] glot пишет:
Как заглянуть в обработчик исключительных ситуаций?
Под олей: View - SEH chain, ставишь бряки на обработчики, потом Shift + F9 и вывыливаешся в нем.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

там в цикле вызывается RaiseExiption и засекается GetTickCount

-----
[nice coder and reverser]

| Сообщение посчитали полезным: