 |
eXeL@B —› Основной форум —› CrackMe, KeygenMe, UnpackMe и т.п. |
| . 1 . 2 . 3 . 4 . 5 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 13 сентября 2007 20:28 · Личное сообщение · #1 небольшой CrackMe ifolder.ru/3337645  |
|
|
Создано: 13 сентября 2007 21:00 · Поправил: Archer · Личное сообщение · #2 Archer C0TJWLXD Анпачить можно и в QuickUnpack, надо только ОЕП выбрать самому. Парочка проверок на модификацию кода, лишний тред, но это никак делу не мешает и ключ легко фишиццо. Наг смотреть было чисто лень, ибо код уже распакован и патч не должен занять много времени. В общем и целом 2 из 10. |
|
|
Создано: 13 сентября 2007 21:15 · Поправил: DIMAIN · Личное сообщение · #3 Archer так этот CrackMe и не претендует на звание самого злосного... а вообще молодца... |
|
|
Создано: 13 сентября 2007 22:09 · Личное сообщение · #4 Archer OEP=00412F7B ? ----- Программист SkyNet |
|
|
Создано: 14 сентября 2007 00:50 · Личное сообщение · #5 Хороший кряк ми... OPE вроде тут: 00403458 55 PUSH EBP а вот тут 004086F0 Олли падает... Антиотладка? С созданием нового процесса, к которому нельзя подконектится - хорошо придумано... Сама проверка вроде начинается тут: 00408408 ----- -=истина где-то рядом=- |
|
|
Создано: 14 сентября 2007 05:40 · Поправил: Bokiv · Личное сообщение · #6 Bokiv CFZRW08= С помощю: bp SetWindowTextA В стёке серийник светится. Или ещё: процедура проверки 00408529 CALL 00403B08 Встаём на неё и смотрим регистры: EAX 008905BC ASCII "CFZRW08=" ECX 00000000 EDX 008905D4 ASCII "111111" |
|
|
Создано: 14 сентября 2007 06:37 · Личное сообщение · #7 Все то оно понятно, процедуру найти не проблема... А вот подконнектится к процессу я так и не смог... В чем проблема не знаю, у бокива проблем не возникло, а у меня то оля падает, то крякми выгружается... З.Ы. Пообщался с bokiv в аське, пробовал повторить: запускаем крякми, тыкакем ОК, затем аттачмися... Результаты к нас разные... У кого то еще такая проблема есть? ----- -=истина где-то рядом=- |
|
|
Создано: 14 сентября 2007 06:55 · Личное сообщение · #8 KingSise фантом решит все твои проблемы... ----- StarForce и Themida ацтой! |
|
|
Создано: 14 сентября 2007 10:28 · Личное сообщение · #9 Maximus, при чём тут фантом то? Крякмис нормально пашет под олей без фантома и оллиадванседа (и аттачится к процессу стало быть тоже нормально). KingSise может быть стоит попробовать другую сборку ольги поюзать? ----- все багрепорты - в личные сообщения |
|
|
Создано: 14 сентября 2007 11:10 · Поправил: DIMAIN · Личное сообщение · #10 FrenFolio пишет: OEP=00412F7B ? с этим ОЕР QU распаковывает но файл не фурычит... KingSise пишет: OPE вроде тут: 00403458 55 PUSH EBP это вообще не из этой оперы... ОЕР = 00408C9E (+восстановить столен байты!!!) Все кто нашел серийник в памяти, конечно молодцы, но это самое слабое место в данном CrackMe, кто заинлайнит? |
|
|
Создано: 14 сентября 2007 11:50 · Личное сообщение · #11 KingSise пишет: У кого то еще такая проблема есть? Не знаю, у меня нормально аттачится. Сборка DeFixed 2.0. Причем проверил и с включенными опциями плагина Phantom и с Olly Advanced, и без них вовсе. Даже проверил и на оригинальной Ольке без всяких плагов... 
Хотя на самом деле, можно даже и не распаковывать. Я делал так. После того, как приаттачились, переходим к секции кода RVA=401000. Ищем референс на строку ASCII "!!!REGISTER!!!" - надпись появится в случае правильно введенных рег данных. Значит, функция 408408 обрабатывает введенные данные. 00408459 PUSH 40A9BC ; ASCII "FrenFolio" - считывается при помощи GetWindowText введенное имя.
0040848A PUSH 40AA40 ; ASCII "12345" - аналогично, введенный серийник.
Чуть ниже видим 00408529 CALL 00403B08
- переход, если серийник неверный.
Ставим хард бряк на 00408529 и в окне регистров видим в EDX введенный серийник "12345", а в EAX - эталонный (настоящий) - "DETLXH9EXLBE"! 
DIMAIN Честно говоря, наг тут не в тему совершенно. Для этого требуется распаковка или инлайнить. А здесь у тебя по сути KeygenMe. К тому же, надо было бы сделать, чтобы наг автоматически "отваливался" при введении правильных рег данных. Но это так, пожелание. В принципе, неплохо. 
----- Программист SkyNet |
|
|
Создано: 14 сентября 2007 12:18 · Личное сообщение · #12 DIMAIN пишет: ОЕР = 00408C9E (+восстановить столен байты!!!) Может быть, все-таки ОЕР = 00408CAE ? DIMAIN пишет: QU распаковывает но файл не фурычит... Там проверка на распакованность. Archer пишет: Наг смотреть было чисто лень, ибо код уже распакован и патч не должен занять много времени. Ищем текст - ASCII "!!!NAG!!!": 004083D6 . E8 E5FBFFFF CALL 00407FC0 - вызов нага (MessаgeBox)
Занопить его, да и все дела. 
----- Программист SkyNet |
|
|
Создано: 14 сентября 2007 12:24 · Поправил: Hellspawn · Личное сообщение · #13 я проще делал)) атачиться было лень, распаковал в ольге, ничё кста не вылетает 
004085E6 |. 68 A8864000 PUSH 111_2.004086A8 ; /AtomName = "_SET_DUMP" 004085EB |. E8 50C2FFFF CALL <JMP.&kernel32.GlobalFindAtomA> ; \GlobalFindAtomA 004085F0 |. 8BD8 MOV EBX,EAX 004085F2 |. 66:85DB TEST BX,BX 004085F5 |. 0F85 83000000 JNZ 111_2.0040867E // тут нада прыгнуть тогда крекми не будет перезапускать себя
00408AE1 > \B8 04844000 MOV EAX,111_2.00408404 00408AE6 . BA 90010000 MOV EDX,190 00408AEB . E8 58F5FFFF CALL 111_2.00408048 00408AF0 . 3D 6712A65B CMP EAX,5BA61267 00408AF5 . 74 05 JE SHORT 111_2.00408AFC 00408AF7 . E8 60ABFFFF CALL <111_2.@System@@Halt0$qqrv> проверка крк оконной процедуры
на счёт кегена: имя ксорится со строкой 129 (на самом деле получается что с 129129129 - до длинны имени) 00408103 |. 8A0C0E |MOV CL,BYTE PTR DS:[ESI+ECX] 00408106 |. 32D1 |XOR DL,CL 00408108 |. E8 83B8FFFF |CALL <111_2.@System@@LStrFromChar$qqrr17System@AnsiStringc> дальше идёт чтото похожее на басе64... по 409291 лежит алфавит
----- [nice coder and reverser] |
|
|
Создано: 14 сентября 2007 12:43 · Поправил: DIMAIN · Личное сообщение · #14 FrenFolio пишет: Может быть, все-таки ОЕР = 00408CAE ? нет, именно = 00408C9E, просто на то место ставиш MOV EAX,xxxxxxxx FrenFolio пишет: Для этого требуется распаковка или инлайнить. наверно автор это и подразумевал... т.к. серийник найти пара пустяков... еще один CrackMe (старый), но у него один большой косяк в том что, не на всех компах пашет, должен пойти на ВМваре + Вин2000 или ВинХР сп1 но не сп2... автор делал его давно и глюки так и не исправил... проверил сечас на реальном компе ХРсп1 (не ВМваре) в режиме совместимости ВИН2000, пашет... !ССЫЛЬ! (fixed version) http://ifolder.ru/3393368 |
|
|
Создано: 14 сентября 2007 14:36 · Личное сообщение · #15 DIMAIN пишет: кто заинлайнит? Во, заинлайнил - filesurf.ru/15199
Заменил переход с конца стаба распаковщика PECompact 2.xx на ближайшее свободное место кода 00412F3A EB 62 JMP SHORT 00412F9E
Собственно, сами патчащие иструкции (нопим 5 байт по адресу 004083D6 E8 E5FBFFFF CALL 00407FC0 - это вызов нага, как я написал выше) 00412F9C 90 NOP
Вот и все, собственно. Теперь никакого дурацкого нага.
----- Программист SkyNet |
|
|
Создано: 14 сентября 2007 14:45 · Поправил: DIMAIN · Личное сообщение · #16 FrenFolio а какже проверки Archer пишет: Парочка проверок на модификацию кода че не убрал, да и чтоб всегда писало на любой серийник - РЕГИСТЕР... глянь другой CrackMe, мож разберешся... |
|
|
Создано: 14 сентября 2007 14:56 · Личное сообщение · #17 DIMAIN пишет: а какже проверки Проверки, по ходу дела, относятся только к уже распакованному файлу. DIMAIN пишет: че не убрал, да и чтоб всегда писало на любой серийник - РЕГИСТЕР... На фига? Наг тут является как бы дополнительной целью, поэтому его можно убирать любым способом (раз не оговорено в условии). Да и вообще, главное что работает.
DIMAIN пишет: глянь другой CrackMe, мож разберешся... Сейчас скачал, глянул. К сожалению, не запускается у меня (WIN XP SP2), а виртуалки не использую. Так что чего-нибудь еще другое выкладывай.
----- Программист SkyNet |
|
|
Создано: 14 сентября 2007 15:11 · Поправил: DIMAIN · Личное сообщение · #18 FrenFolio пишет: а виртуалки не использую а че так???  кстати зря... вдруг кто вирь подсунет... (не я конешно ) но всякое бывает в т.ч. и на ентом форуме...
FrenFolio пишет: К сожалению, не запускается DIMAIN пишет: в режиме совместимости ВИН2000 ты пробовал??? кста там какойто прикол с QU, ФорсеОЕП находит такое ОЕП = 7607601E |
|
|
Создано: 14 сентября 2007 15:54 · Личное сообщение · #19 HandMill пишет: KingSise может быть стоит попробовать другую сборку ольги поюзать? Я пробовал уже все версии... осталось только предпологать, что виной тому двухядерный AMD 64x, который соит на обычной ХР... ----- -=истина где-то рядом=- |
|
|
Создано: 14 сентября 2007 21:29 · Поправил: FrenFolio · Личное сообщение · #20 DIMAIN Да, в режиме совместимости работает! Там висит UPX и дальше еще несколько инструкций - OEP = 01058690. Пропатчить нужно 2 перехода: 1. 01056407 7F 17 JG SHORT 01056420 - изменить на безусловный переход
2. 0105647C 75 21 JNZ SHORT 0105649F - занопить
После патча при вводе любого серийника выводится сообщение об успешной регистрации.
FrenFolio пишет: а виртуалки не использую DIMAIN пишет: а че так??? Да так, первый шаг к резиновой женщине. Шутка. 
Обычно нет большой необходимости. Хотя в отношении некоторых товарищей, любящих засовывать вирусняк в свои творения, в том числе и здесь, ты прав, тоже встречал. Не опасаюсь потому, что никаких важных данных по сути на компе нет. Да и комп не особо жалко будет, по большому счету.
----- Программист SkyNet |
|
|
Создано: 14 сентября 2007 23:43 · Поправил: DIMAIN · Личное сообщение · #21 FrenFolio пишет: Да, в режиме совместимости работает! ОК... а то я уже стал думать что он только у меня пашет, я кста так и не понял почему ему нужна совместимость? автор молчит как рыба
FrenFolio пишет: никаких важных данных по сути на компе нет. Да и комп не особо жалко будет, по большому счету. а ну тогда понятно... 0_o FrenFolio пишет: Пропатчить нужно этот переход нет, в личку глянь... |
|
|
Создано: 15 сентября 2007 11:58 · Личное сообщение · #22 такое ощущение что никто второй CrackMe кроме FrenFolio не ковырял... поидее везде запускается с совместимостью, даж на ХРсп2... |
|
|
Создано: 15 сентября 2007 15:19 · Личное сообщение · #23 DIMAIN О, все заломал! В архиве проинлайненный файл filesurf.ru/15268 ----- Программист SkyNet |
|
|
Создано: 15 сентября 2007 18:37 · Поправил: DIMAIN · Личное сообщение · #24 FrenFolio пишет: О, все заломал! чет хня, какая-то получается, вводиш имя, кей, наж. регист. выскакивает сообщение и прога завершается... кста. ты непонял почему в QU ФорсеОЕП находит такое ОЕП = 7607601E... попробуй теперь KeyGen... |
|
|
Создано: 15 сентября 2007 19:09 · Личное сообщение · #25 Да чо вы так привязались все к форсеоп моему Ну на сигнатурах он, да, иногда может выдать бред, даже не похожий на оригинал, потому что сигнатурный. А вот остальные оеп-файндеры динамически ищут оеп по ходу выполнения.
|
|
|
Создано: 15 сентября 2007 19:21 · Поправил: DIMAIN · Личное сообщение · #26 Archer пишет: может выдать бред просто я такое первый раз вижу... чтоб он такое выдавал... и как он мог добраться до сис. библиотек??? |
|
|
Создано: 15 сентября 2007 20:54 · Личное сообщение · #27 FrenFolio пишет: О, все заломал! блин ты опять, не то ломанул, я ж тебе в лички писал... |
|
|
Создано: 15 сентября 2007 21:21 · Личное сообщение · #28 DIMAIN пишет: блин ты опять, не то ломанул, я ж тебе в лички писал... А что еще надо? При введении любого номера появляется надпись, что зарегано. DIMAIN пишет: попробуй теперь KeyGen... Кейген делать не буду. Слишком долго. А так, пусть кто-нибудь еще выложит свой патч. Может, я действительно что-то недоглядел.
----- Программист SkyNet |
|
|
Создано: 15 сентября 2007 21:39 · Личное сообщение · #29 во первых, прога не должна вырубаться после введенного серийника... во вторых вот скрин реального мессейдж бокса ifolder.ru/3358383 |
|
|
Создано: 15 сентября 2007 23:07 · Личное сообщение · #30 DIMAIN пишет: вторых вот скрин реального мессейдж бокса --> Link <-- Странно, а у меня никакого сообщения нет... Крякми все тот же? ________________ KingSise EVBUVWPYQVW= ----- -=истина где-то рядом=- |
| . 1 . 2 . 3 . 4 . 5 . >> |
|
eXeL@B —› Основной форум —› CrackMe, KeygenMe, UnpackMe и т.п. |
Для печати