небольшой CrackMe ifolder.ru/3337645

| Сообщение посчитали полезным:

Archer
C0TJWLXD
Анпачить можно и в QuickUnpack, надо только ОЕП выбрать самому. Парочка проверок на модификацию кода, лишний тред, но это никак делу не мешает и ключ легко фишиццо. Наг смотреть было чисто лень, ибо код уже распакован и патч не должен занять много времени.
В общем и целом 2 из 10.

| Сообщение посчитали полезным:

Archer
так этот CrackMe и не претендует на звание самого злосного...
а вообще молодца...

| Сообщение посчитали полезным:

Archer
OEP=00412F7B ?

-----
Программист SkyNet

| Сообщение посчитали полезным:

Хороший кряк ми...
OPE вроде тут:
00403458 55 PUSH EBP

а вот тут 004086F0 Олли падает... Антиотладка? С созданием нового процесса, к которому нельзя подконектится - хорошо придумано...

Сама проверка вроде начинается тут: 00408408

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Bokiv
CFZRW08=

С помощю:
bp SetWindowTextA

В стёке серийник светится.

Или ещё:
процедура проверки
00408529 CALL 00403B08
Встаём на неё и смотрим регистры:

EAX 008905BC ASCII "CFZRW08="
ECX 00000000
EDX 008905D4 ASCII "111111"

| Сообщение посчитали полезным:

Все то оно понятно, процедуру найти не проблема... А вот подконнектится к процессу я так и не смог... В чем проблема не знаю, у бокива проблем не возникло, а у меня то оля падает, то крякми выгружается...

З.Ы. Пообщался с bokiv в аське, пробовал повторить: запускаем крякми, тыкакем ОК, затем аттачмися... Результаты к нас разные...

У кого то еще такая проблема есть?

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise фантом решит все твои проблемы...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus, при чём тут фантом то? Крякмис нормально пашет под олей без фантома и оллиадванседа (и аттачится к процессу стало быть тоже нормально).
KingSise может быть стоит попробовать другую сборку ольги поюзать?

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

FrenFolio пишет:
OEP=00412F7B ?
с этим ОЕР QU распаковывает но файл не фурычит...
KingSise пишет:
OPE вроде тут:
00403458 55 PUSH EBP
это вообще не из этой оперы...

ОЕР = 00408C9E (+восстановить столен байты!!!)

Все кто нашел серийник в памяти, конечно молодцы, но это самое слабое место в данном CrackMe, кто заинлайнит?

| Сообщение посчитали полезным:

KingSise пишет:
У кого то еще такая проблема есть?
Не знаю, у меня нормально аттачится. Сборка DeFixed 2.0. Причем проверил и с включенными опциями плагина Phantom и с Olly Advanced, и без них вовсе. Даже проверил и на оригинальной Ольке без всяких плагов...
Хотя на самом деле, можно даже и не распаковывать. Я делал так.
После того, как приаттачились, переходим к секции кода RVA=401000. Ищем референс на строку ASCII "!!!REGISTER!!!" - надпись появится в случае правильно введенных рег данных. Значит, функция 408408 обрабатывает введенные данные.
00408459 PUSH 40A9BC ; ASCII "FrenFolio" - считывается при помощи GetWindowText введенное имя.
0040848A PUSH 40AA40 ; ASCII "12345" - аналогично, введенный серийник.
Чуть ниже видим
00408529 CALL 00403B08
0040852E JNZ SHORT 00408542 - переход, если серийник неверный.
Ставим хард бряк на 00408529 и в окне регистров видим в EDX введенный серийник "12345", а в EAX - эталонный (настоящий) - "DETLXH9EXLBE"!
DIMAIN
Честно говоря, наг тут не в тему совершенно. Для этого требуется распаковка или инлайнить. А здесь у тебя по сути KeygenMe. К тому же, надо было бы сделать, чтобы наг автоматически "отваливался" при введении правильных рег данных. Но это так, пожелание. В принципе, неплохо.

-----
Программист SkyNet

| Сообщение посчитали полезным:

DIMAIN пишет:
ОЕР = 00408C9E (+восстановить столен байты!!!)
Может быть, все-таки ОЕР = 00408CAE ?
DIMAIN пишет:
QU распаковывает но файл не фурычит...
Там проверка на распакованность.
Archer пишет:
Наг смотреть было чисто лень, ибо код уже распакован и патч не должен занять много времени.
Ищем текст - ASCII "!!!NAG!!!":
004083D6 . E8 E5FBFFFF CALL 00407FC0 - вызов нага (MessаgeBox)
Занопить его, да и все дела.

-----
Программист SkyNet

| Сообщение посчитали полезным:

я проще делал)) атачиться было лень, распаковал в ольге, ничё кста не вылетает

004085E6 |. 68 A8864000 PUSH 111_2.004086A8 ; /AtomName = "_SET_DUMP"
004085EB |. E8 50C2FFFF CALL <JMP.&kernel32.GlobalFindAtomA> ; \GlobalFindAtomA
004085F0 |. 8BD8 MOV EBX,EAX
004085F2 |. 66:85DB TEST BX,BX
004085F5 |. 0F85 83000000 JNZ 111_2.0040867E // тут нада прыгнуть

тогда крекми не будет перезапускать себя

00408AE1 > \B8 04844000 MOV EAX,111_2.00408404
00408AE6 . BA 90010000 MOV EDX,190
00408AEB . E8 58F5FFFF CALL 111_2.00408048
00408AF0 . 3D 6712A65B CMP EAX,5BA61267
00408AF5 . 74 05 JE SHORT 111_2.00408AFC
00408AF7 . E8 60ABFFFF CALL <111_2.@System@@Halt0$qqrv>

проверка крк оконной процедуры

на счёт кегена:
имя ксорится со строкой 129 (на самом деле получается что с 129129129 - до длинны имени)

00408103 |. 8A0C0E |MOV CL,BYTE PTR DS:[ESI+ECX]
00408106 |. 32D1 |XOR DL,CL
00408108 |. E8 83B8FFFF |CALL <111_2.@System@@LStrFromChar$qqrr17System@AnsiStringc>


дальше идёт чтото похожее на басе64...
по 409291 лежит алфавит

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

FrenFolio пишет:
Может быть, все-таки ОЕР = 00408CAE ?
нет, именно = 00408C9E, просто на то место ставиш MOV EAX,xxxxxxxx

FrenFolio пишет:
Для этого требуется распаковка или инлайнить.
наверно автор это и подразумевал... т.к. серийник найти пара пустяков...

еще один CrackMe (старый), но у него один большой косяк в том что, не на всех компах пашет, должен пойти на ВМваре + Вин2000 или ВинХР сп1 но не сп2... автор делал его давно и глюки так и не исправил...
проверил сечас на реальном компе ХРсп1 (не ВМваре) в режиме совместимости ВИН2000, пашет...

!ССЫЛЬ! (fixed version) http://ifolder.ru/3393368

| Сообщение посчитали полезным:

DIMAIN пишет:
кто заинлайнит?
Во, заинлайнил - filesurf.ru/15199
Заменил переход с конца стаба распаковщика PECompact 2.xx на ближайшее свободное место кода

00412F3A EB 62 JMP SHORT 00412F9E

Собственно, сами патчащие иструкции (нопим 5 байт по адресу 004083D6 E8 E5FBFFFF CALL 00407FC0 - это вызов нага, как я написал выше)

00412F9C 90 NOP
00412F9D 90 NOP
00412F9E C605 D6834000 9>MOV BYTE PTR DS:[4083D6],90
00412FA5 C605 D7834000 9>MOV BYTE PTR DS:[4083D7],90
00412FAC C605 D8834000 9>MOV BYTE PTR DS:[4083D8],90
00412FB3 C605 D9834000 9>MOV BYTE PTR DS:[4083D9],90
00412FBA C605 DA834000 9>MOV BYTE PTR DS:[4083DA],90
00412FC1 ^ EB B4 JMP SHORT 00412F77
00412FC3 90 NOP

Вот и все, собственно. Теперь никакого дурацкого нага.

-----
Программист SkyNet

| Сообщение посчитали полезным:

FrenFolio
а какже проверки
Archer пишет:
Парочка проверок на модификацию кода
че не убрал, да и чтоб всегда писало на любой серийник - РЕГИСТЕР...

глянь другой CrackMe, мож разберешся...

| Сообщение посчитали полезным:

DIMAIN пишет:
а какже проверки
Проверки, по ходу дела, относятся только к уже распакованному файлу.
DIMAIN пишет:
че не убрал, да и чтоб всегда писало на любой серийник - РЕГИСТЕР...
На фига? Наг тут является как бы дополнительной целью, поэтому его можно убирать любым способом (раз не оговорено в условии). Да и вообще, главное что работает.
DIMAIN пишет:
глянь другой CrackMe, мож разберешся...
Сейчас скачал, глянул. К сожалению, не запускается у меня (WIN XP SP2), а виртуалки не использую. Так что чего-нибудь еще другое выкладывай.

-----
Программист SkyNet

| Сообщение посчитали полезным:

FrenFolio пишет:
а виртуалки не использую
а че так??? кстати зря... вдруг кто вирь подсунет... (не я конешно ) но всякое бывает в т.ч. и на ентом форуме...

FrenFolio пишет:
К сожалению, не запускается
DIMAIN пишет:
в режиме совместимости ВИН2000
ты пробовал???

кста там какойто прикол с QU, ФорсеОЕП находит такое ОЕП = 7607601E

| Сообщение посчитали полезным:

HandMill пишет:
KingSise может быть стоит попробовать другую сборку ольги поюзать?

Я пробовал уже все версии... осталось только предпологать, что виной тому двухядерный AMD 64x, который соит на обычной ХР...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

DIMAIN
Да, в режиме совместимости работает! Там висит UPX и дальше еще несколько инструкций - OEP = 01058690.
Пропатчить нужно 2 перехода:
1. 01056407 7F 17 JG SHORT 01056420 - изменить на безусловный переход
2. 0105647C 75 21 JNZ SHORT 0105649F - занопить
После патча при вводе любого серийника выводится сообщение об успешной регистрации.
FrenFolio пишет:
а виртуалки не использую
DIMAIN пишет:
а че так???
Да так, первый шаг к резиновой женщине. Шутка.
Обычно нет большой необходимости. Хотя в отношении некоторых товарищей, любящих засовывать вирусняк в свои творения, в том числе и здесь, ты прав, тоже встречал. Не опасаюсь потому, что никаких важных данных по сути на компе нет. Да и комп не особо жалко будет, по большому счету.

-----
Программист SkyNet

| Сообщение посчитали полезным:

FrenFolio пишет:
Да, в режиме совместимости работает!
ОК... а то я уже стал думать что он только у меня пашет, я кста так и не понял почему ему нужна совместимость? автор молчит как рыба

FrenFolio пишет:
никаких важных данных по сути на компе нет. Да и комп не особо жалко будет, по большому счету.
а ну тогда понятно... 0_o

FrenFolio пишет:
Пропатчить нужно этот переход
нет, в личку глянь...

| Сообщение посчитали полезным:

такое ощущение что никто второй CrackMe кроме FrenFolio не ковырял... поидее везде запускается с совместимостью, даж на ХРсп2...

| Сообщение посчитали полезным:

DIMAIN
О, все заломал! В архиве проинлайненный файл filesurf.ru/15268

-----
Программист SkyNet

| Сообщение посчитали полезным:

FrenFolio пишет:
О, все заломал!
чет хня, какая-то получается, вводиш имя, кей, наж. регист. выскакивает сообщение и прога завершается...
кста. ты непонял почему в QU ФорсеОЕП находит такое ОЕП = 7607601E...
попробуй теперь KeyGen...

| Сообщение посчитали полезным:

Да чо вы так привязались все к форсеоп моему Ну на сигнатурах он, да, иногда может выдать бред, даже не похожий на оригинал, потому что сигнатурный. А вот остальные оеп-файндеры динамически ищут оеп по ходу выполнения.

| Сообщение посчитали полезным:

Archer пишет:
может выдать бред
просто я такое первый раз вижу... чтоб он такое выдавал...
и как он мог добраться до сис. библиотек???

| Сообщение посчитали полезным:

FrenFolio пишет:
О, все заломал!
блин ты опять, не то ломанул, я ж тебе в лички писал...

| Сообщение посчитали полезным:

DIMAIN пишет:
блин ты опять, не то ломанул, я ж тебе в лички писал...
А что еще надо? При введении любого номера появляется надпись, что зарегано.
DIMAIN пишет:
попробуй теперь KeyGen...
Кейген делать не буду. Слишком долго. А так, пусть кто-нибудь еще выложит свой патч. Может, я действительно что-то недоглядел.

-----
Программист SkyNet

| Сообщение посчитали полезным:

во первых, прога не должна вырубаться после введенного серийника... во вторых вот скрин реального мессейдж бокса ifolder.ru/3358383

| Сообщение посчитали полезным:

DIMAIN пишет:
вторых вот скрин реального мессейдж бокса --> Link <--

Странно, а у меня никакого сообщения нет...

Крякми все тот же?

________________

KingSise
EVBUVWPYQVW=

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным: