Очень интересный крякми.... Но вот проблема - под отладчиком никак не запустить... IsDebuggerPresent нету... Под отладчиком сразу Exception. может кто глянет?

b775_crackme.rar

| Сообщение посчитали полезным:

Тоже мне - классический SEH типа как у ASProtect...
4012dd
401200
Адреса, ignore на Access Violation(0) для Olly и всё, в SEH уже собственно и MessageDlg...

| Сообщение посчитали полезным:

О! Стоп машина. Простите, а можно для тупых Попроще,
1. Как это сделано
2. Почему и как работает
3. Как обойти

Заранее благодарю

| Сообщение посчитали полезным:

Помогите, пожалуйста, кто-нибудь, очень хочется хоть на немного больше узнать...

| Сообщение посчитали полезным:

XPiS пишет:
Помогите, пожалуйста, кто-нибудь, очень хочется хоть на немного больше узнать...
Долго это объяснять, проще сделать.
Проанализируй отличия, посмотри как с SEH'ами работать...
ЗЫ А если честно, я и сам наугад натыкал .



9871_crackme_2.rar

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

Спасибо! а может кто-нибудь еще документации какой подкинет? на английском тоже хорошо....

| Сообщение посчитали полезным:

Bitfry

Ну заткнул ты NOP-ами два вызова SEH - а толк ?
в этих SEH что-то делалось ведь наверняка ?
А так оконная процедура не работает как надо (кнопочка Check не обрабатывается)

| Сообщение посчитали полезным:

ага! дайте пожалуйста кто-нить линк где почитать можно.... или может кто умный знает общий под
ход

| Сообщение посчитали полезным:

XPiS
h**p://www.softera.ru/literature/visual/1/head25.htm

| Сообщение посчитали полезным:

XPiS пишет:
дайте пожалуйста кто-нить линк где почитать можно

"Об упаковщиках, часть 2", и тут и на васме лежит. Посмотри, там про сехи была инфа.
И ещё какая то отдельная статья на васме про сехи была, не помню уж как называется.
GO TO -> WASM

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

там кнопка действительно перестала работать

| Сообщение посчитали полезным:

так это же Рихтер! спасибо, уже нашел на васме

| Сообщение посчитали полезным:

xDriver пишет:
Ну заткнул ты NOP-ами два вызова SEH - а толк ?
в этих SEH что-то делалось ведь наверняка ?
А так оконная процедура не работает как надо (кнопочка Check не обрабатывается)
Человек попросил, чтоб под отладчиком запускалось, вот я и сделал
А если серьёзно, то вся суть выделена нопами.

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

посмотрел я это чудо, ничего особенного (даже на запаковано), используется SetUnhandledExceptionFilter (обработчик прерываний), внутри процедуры обработчика проверяется код исключения, вот немного теории:


When exception happens, Win2K/XP gives control to NTDLL!KiUserExceptionFilter,
which in turn calls KERNEL32!UnhandledExceptionFilter. This function checks if
faulty software is being debugged. If not, UnhandledExceptionFilter calls
softwares' exception handler.


поэтому программа не запускается

ps. в seh-обработчике обрабатывается структура EXCEPTION_POINTERS, которая в дальнейшем и управляет программой

| Сообщение посчитали полезным:

Че то походу из трех вызовов рубать надо тока два: 401227 и 4012BD, т.к снятие имени и пароля висит на обработке INTEGER_DIVIDE_BY_ZERO. А что Olly'я никак эти места пропустить мимо ушей не может - пусть прога сама свой косяк обработает а потом как нить взять ее на обработчике DIV 0?

| Сообщение посчитали полезным:

Чуток на руском :
Финальный обработчик исключений вызывается системой, если ни один из внутрипоточных обработчиков установленных для потока вызвавшего исключение (если таковые имеются) не обработал исключение. Поскольку этот обработчик является процессно-зависимым, то он вызывается, независимо от того, какой поток в процессе вызвал исключение.

Установка финального обработчика исключений

Обычно, он устанавливается в первичном потоке, как можно ближе к точке входа программы, вызовом API-функции SetUnhandledExceptionFilter. Таким образом, он защищает всю программу от этой точки и до конца

| Сообщение посчитали полезным:

по адресу 401469 та самая установка обработчика: push crackme.004012DD (адрес процедуры обработчика, туда гляди и внимательно смотри как обрабатывается структура EXCEPTION_POINTERS, она будет указывать на новое место перехода после исключения)

| Сообщение посчитали полезным:

Так что на счет Ольки? Никак не отмазать ее от такой вещи?

| Сообщение посчитали полезным:

cust пишет:
Так что на счет Ольки? Никак не отмазать ее от такой вещи?
можно отмазать... юзай плагин HideDebugger.

| Сообщение посчитали полезным:

4013FC - меняем je на jmp, программа запускается (при это конечно нужно поставить все галки в Debugging Options -> Exceptions + добавить в список C0000005)

ps. на обработчике C0000094 (DIVISION BY ZERO) идёт дешифрация процедуры проверки валидности серийника - обычный xor (адрес самой дешифрации 4012F5, адрес начала процедуры 409000)

| Сообщение посчитали полезным:

Mario555
можно отмазать... юзай плагин HideDebugger.
Че то такое странное очучение что исключения не по этой части (IsDebuggerPresent)

| Сообщение посчитали полезным:

HideDebugger тут не поможет, тут ничего не поможет кроме временного патча (если кейген собрался писать), что патчить уже сказано в прошлом моём посте

ps. длина серийника 29 символов, вида "xxxxx-xxxxx-xxxxx-xxxxx-xxxxx"

| Сообщение посчитали полезным:

А как на счет такого: вместо DIV ecx=0 прописать CALL 4012DD и в параметры ему дать указатель на собранный EXCEPTION_POINTERS для DIVIZION BY ZERO? А про первый exception вместо MOV BYTE PTR DS:[ESI],1 -->> mov ecx,110 чтоб до DIV ecx=0 спокойно дойти

| Сообщение посчитали полезным:

Av0id пишет:
HideDebugger тут не поможет, тут ничего не поможет кроме временного патча
nocomments...
PS не шарите - не спорьте =)

| Сообщение посчитали полезным:

А ты присоединяйся, не откажемся от дельного совета.
Я и правда не совсем догнал как HideDebugger поможет в этом случае. М.б. поведаеш тайну?

| Сообщение посчитали полезным:

Mario555 пишет:
PS не шарите - не спорьте =) - так объяснил бы народу про seh

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

4 15 ночи ) Надо бы чаю... А вы думайте думайте

| Сообщение посчитали полезным:

Mario555 пишет:
PS не шарите - не спорьте =)
Категорически не согласен .
Если со знающими людьми не спорить, полезных знаний и умений не будет вообще.
Вы ведь даже на спор с трудом реагируете.

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

Во-первых посмотрите на опции HideDebugger, во-вторых почитайте про SEH. Всё станет ясно.

DrFits
cust
Bitfry
Прекращайте флейм!

-----
once you have tried it, you will never want anything else

| Сообщение посчитали полезным:

этому крякми HideDebugger всё равно что псу пятая нога

cust пишет:
А как на счет такого: вместо DIV ecx=0 прописать CALL 4012DD и в параметры ему дать указатель на собранный EXCEPTION_POINTERS для DIVIZION BY ZERO? А про первый exception вместо MOV BYTE PTR DS:[ESI],1 -->> mov ecx,110 чтоб до DIV ecx=0 спокойно дойти

о мой бох, зачем так сложно, самый простой способ пропатчить зашифрованную процедуру (там всего лишь убогий xor-байт), но для того чтобы программа нормально работала под отладчиком нужно изменить всего один jump (как уже было сказано: 4013FC - меняем je на jmp)

| Сообщение посчитали полезным: