небольшой CrackMe ifolder.ru/3337645

| Сообщение посчитали полезным:

KingSise пишет:
А почему сам автор крякми сюда не заходит?
да заходит он изредка, но не зареген (я уже писал в другой теме)

| Сообщение посчитали полезным:

пофиксинная версия CrackMeM1_Fixed http://ifolder.ru/3393368

| Сообщение посчитали полезным:

DIMAIN, ну это совсем другое дело! Теперь все запускается, и Олли не вылитает...

Теперь к делу...

Введенный код как я понял, проверяется в нескольких местах, даже после сообщения что введенный код не верен, идет еще одна проверка...


MOV EAX, DWORD PTR SS:[EBP-10] - заносим введенные данные
CALL 010046A0
MOV EBX, EAX
LEA EDX, DWORD PTR SS:[EBP-14]
MOV EAX, DWORD PTR DS:[105AD18]
MOV EAX, DWORD PTR DS:[EAX+2FC]
CALL 01032FD8
MOV EAX, DWORD PTR SS:[EBP-14]
CALL 010046A0 что то проверяем
ADD EAX, 26
CMP EBX, EAX сравниваем....
JG L040 прыгаем, если все правильно, или даем ошибку, что код неверный...


,,,_______________________

Далее вот тут интересный момент:

01055DDE /75 27 JNZ SHORT 01055E07
01055DE0 |6A 40 PUSH 40
01055DE2 |8B45 F8 MOV EAX, DWORD PTR SS:[EBP-8]
01055DE5 |E8 AEEAFAFF CALL 01004898
01055DEA |8BD0 MOV EDX, EAX
01055DEC |B9 C05E0501 MOV ECX, 1055EC0 ; ASCII "Registration"
01055DF1 |A1 108F0501 MOV EAX, DWORD PTR DS:[1058F10]
01055DF6 |8B00 MOV EAX, DWORD PTR DS:[EAX]
01055DF8 |E8 9FCBFFFF CALL 0105299C
01055DFD |E8 AEFEFFFF CALL 01055CB0
01055E02 |E8 45FBFFFF CALL 0105594C



Если тут не прыгаем 01055DDE, нам пишут спасибо за регестрацию...

Однако вот тут CALL 01055CB0 программа падает....

Вобщем если первый переход на джмап сменить, второй занопить, а заодно и call где порога падает занопить, то программа нас поздравит с регестрацией и не закроется... (patchedEXE если нужно - приаттачу)

Закейгенить пока не могу, если что найду - отпишусь...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise пишет:
Однако вот тут CALL 01055CB0 программа падает....
прога падать не должна при "правильной" регистрации, это однозначно, ты чет влез не туда...

вообще при нормальном стечении обстоятельств, надпись UNREGISTERED должна смениться на противоположную... и кнопка регистрации становиться не активной!!!

| Сообщение посчитали полезным:

Кто нить смотрел вот этот кусок:
01056FBF |83F8 46 cmp eax, 46 - проверка длинны ключа
01056FC2 |7E 58 jle short 0105701C - если больше то не прыгаем
01056FC4 |33C0 xor eax, eax
01056FC6 |55 push ebp
01056FC7 |68 EC6F0501 push 1056FEC
01056FCC |64:FF30 push dword ptr fs:[eax]
01056FCF |64:8920 mov fs:[eax], esp
01056FD2 |A1 38AD0501 mov eax, [105AD38]
01056FD7 |E8 2818FBFF call 01008804
01056FDC |8945 FC mov [ebp-4], eax
01056FDF |FF55 FC call [ebp-4] - пытаеццо вызвать какуюто процедуру по 8-ми последним символам нашего регкода предварительно переведя его в hex

добавил:
пасхальное яйЦцо
имя любое
сериал - 111111111111111111111111111111111111111111111111111111111111111117137350


| Сообщение посчитали полезным:

Sn00pY пишет:
пытаеццо вызвать какуюто процедуру по 8-ми последним
молодца!!!, уже хороший результат... осталось только закейгенить...

вопрос: возможно ли найти последние восемь символов (адрес-код) методом перебора??? стоит ли пытаться???

| Сообщение посчитали полезным:

гыгы... Универсальный ключег
111111111111111111111111111111111111111111111111111111111111111117130672


| Сообщение посчитали полезным:

Sn00pY пишет:
Универсальный ключег
хоть бы написал как ты этот адрес нашел...

| Сообщение посчитали полезным:

DIMAIN пишет:
хоть бы написал как ты этот адрес нашел
достаточно легко: сначала я нашол процедуру проверки ключа в непофиксеном crackme (там она выглядела как обычный call), а так как автор пофиксил эту тему на 01056FDF |FF55 FC call [ebp-4], те переходом по последним строкам серийника, пришлось вручную эту же процедурку поискать. Начинается она отсюда 01056A50. Далее:
01056AA2 E8 3DDDFAFF call 010047E4 - тут сравнивается 01004811 39D9 cmp ecx, ebx ...
01056AA7 /75 24 jnz short 01056ACD - ....если не прыгаем...
01056AA9 E8 AAEEFFFF call 01055958
01056AAE E8 A5EEFFFF call 01055958
01056AB3 E8 98EEFFFF call 01055950
01056AB8 2BC3 sub eax, ebx
01056ABA 3D E8030000 cmp eax, 3E8
01056ABF 72 05 jb short 01056AC6 - ... а вот тут наоборот если прыгаем то...
01056AC1 E8 32D8FAFF call 010042F8
01056AC6 E8 E5F9FFFF call 010564B0 - ....здесь поздравят с правильно введенными кодом.

| Сообщение посчитали полезным:

Люди, я новичок и не знаю с чего начать. Нужен кейген и программе, в природе нет, нужно писать самому. Помогите написать. Не бесплатно. Ключ генерируется на основе 8 или 10 цифр. Сам ключ состоит из 20 символов. Без ковыряния в программе нельзя никак проследить последовательность? С чего начать. Помогите!!!

| Сообщение посчитали полезным:

alexey_k_v
Начни с того, что перестань торопиться. Четко формулируй вопросы.
Кейген написать тебе помогут, но т.к. экстрасенсы в отпуске (сс), то создавай новый топик, либо обращайся в Запросы на взлом и выкладывай саму программу, или ссылку на нее.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Если ещё кому-то актуально.... забрутил ...
Name: meowth
Identification Key: 381CA7DC0DC314E9CAC744D17C3081A9
License Key: ad3e4683147f56f392d6ab0c3b4566c2237719d821aebc3a4be200aeb90ebba4171321 12

| Сообщение посчитали полезным:

новый UnpackMe >>>>>>> link <<<<<<< http://ifolder.ru/3681925
з.ы. надо убрать надпись "ДЕМО"

| Сообщение посчитали полезным:

надпись чтоб убрать можно и не анпакать

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler пишет:
надпись чтоб убрать можно и не анпакать
в принципе ДА, заинлайнить, или у тебя есть другое решение?

з.ы. убрать надпись "ДЕМО", это дополнительное задание...

| Сообщение посчитали полезным:

я еще не смотрел, щас возможности нет, вечером покопаю

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

DIMAIN
не запускается твой анпакми - ни под отладчиком, ни без него

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
не запускается
я его тестил под ХР, ХРсп1, ХРсп2 - везде запускался, да и автор тож тестил, незнаю че там у тебя....

| Сообщение посчитали полезным:

DIMAIN
У мня запускается, но проц грузит на 60% (это потому что 2хядерник). Не расскажешь почему? Запакован кстати PESpin, йа такое распаковывать не умею. Мож кто просвятит? (тока не посылайте искать)

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler пишет:
проц грузит на 60%... Не расскажешь почему?
я заметил это, но у меня 40% цп, а ты не заметил что там два потока и они могут так грузить проц, непрерывно "общаясь" меж собой... хотя мож и другая причина...

| Сообщение посчитали полезным:

Дома запустился, надо же.
Судя по изгаженному определенным образом импорту и пустому каллбэку с существующим адресом - это действительно PE_Spin, надпись демо вообще в ресурсах лежит, OEP:
05009004 55 PUSH EBP
05009005 8BEC MOV EBP,ESP
05009007 83C4 F0 ADD ESP,-10
0500900A 53 PUSH EBX
0500900B 56 PUSH ESI
0500900C 57 PUSH EDI
0500900D B8 7C8F0005 MOV EAX,XXLUnpac.05008F7C
05009012 E8 15030000 CALL XXLUnpac.0500932C
05009017 EB 01 JMP SHORT XXLUnpac.0500901A
05009019 - E9 EB01E9E8 JMP EDE99209
0500901E CA FEFF RETF 0FFFE ; Far return
05009021 FFEB JMP FAR EBX ; Illegal use of register
05009023 01E9 ADD ECX,EBP
05009025 B8 AC8E0005 MOV EAX,XXLUnpac.05008EAC
0500902A E8 45B6FFFF CALL XXLUnpac.05004674

прожка на делфи без вцл, криво реализованные потоки оттого и тормоза - у меня на ахп 3200 - до 90% загрузки, скрипт для импорта на спина у себя не нашёл, писать самому влом, сталобыть и дальнейшая распаковка туда же. Инлайнить же ресурсы - до такого изврата я еще не докатился
ЗЫ: забыл добавить - аффтар наебенил еще crypt (clear) маркеров, так что молодец, sdk читать умеет, только известными протами свои анпакми какой смысл защищать ? Я с таким же успехом могу кейгенми сделать, на процедуру и подпроцедуры генерации повесить VM фемиды с максимальной виртуализацией и выложить - типа закейгеньте

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

DIMAIN
Если хочешь - то лично для тебя могу выложить крэкми с задачей - перевернуть алго взад, т.е. вводишь слово - оно побуквенно копируется в отдельное поле, задача - чтобы оно копировалось наоборот (несложно вроде) и навесить на это алго свой маркер (от Elemental Protector'а) - думаю ломать ты будешь долго и нудно

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
надпись демо вообще в ресурсах лежит
чет я не нашел...

Smon пишет:
только известными протами свои анпакми какой смысл защищать
я думаю что PE_Spin здесь не основной гемор...

Smon пишет:
Если хочешь - то лично для тебя могу выложить крэкми
зачем же лично, выложи для всех...

| Сообщение посчитали полезным:

DIMAIN
Может выложишь че попроще, для таких как я например?

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler пишет:
Может выложишь че попроще, для таких как я например?
я уже выкладывал этот UnpackMe в другой теме, все кто распаковывал сказали, что для новичков >>>>> Link <<<<< http://ifolder.ru/3185922
можеш еще глянуть CrackMe которые я в этой теме выкладывал...

| Сообщение посчитали полезным:

Smon пишет:
т.е. вводишь слово - оно побуквенно копируется в отдельное поле, задача - чтобы оно копировалось наоборот (несложно вроде) и навесить на это алго свой маркер (от Elemental Protector'а)
гыы, конечно давай! плз
Кстати вы там с фантомко сговорились чтоле, чтобы он дырочку в PEB->NtGlobalFlag == 0 оставил?

| Сообщение посчитали полезным:

Smon
Где вы там увидели спин? по адресу 18000000 длл запакованая чет типа Nspaka распаковаыется запускаеться Эта же фигня была в одном из топиков выложена только Pec был навешанSmon пишет:

[i]Smon пишет:
скрипт для импорта на спина у себя не нашёл
могу дать не так давно делал ;)

| Сообщение посчитали полезным:

pavka пишет:
Где вы там увидели спин? по адресу 18000000
Спин лежит на самом анпакми, то что это он - я даже не сомневаюсь, ибо все признаки его - пустой тлс с левым адресом, редирект импорта мусором и частями функций, регион с crypt маркером - это он. А то что сам защищенный стаб подгружает длл запаченную NSPack'ом - это вполне возможно, я очень пристально не вглядывался

pavka пишет:
могу дать не так давно делал ;)
кинь если не сложно, а то встретил вот редкого зверя, а скрипта то и нет

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon
лови там два скрипта для PESpin 1.3 и PESpin 1.304 востанавливают табличку и убирают эламинейшн

| Сообщение посчитали полезным:

атачи не цепляюься

| Сообщение посчитали полезным: