Мой первый CrackMe. Зацените плиз. Может ругаться антивирус Касперского что типа вирь. Там просто упаковщик FSG. У меня стоит Avast, он не ругается на мой крякмис.

| Сообщение посчитали полезным:

agentru пишет:
А вм там нету...
Ну а вот это безобразие [EAX*4+462400]: таблица "дури" на 256 входов ?!

00454A9E Main PUSH DWORD PTR DS:[EAX*4+462400] ESP=0012F430
00454AA5 Main RETN ESP=0012F434
00454CDB Main MOVZX EAX,BYTE PTR DS:[ESI] EAX=00000057

00454A9E Main PUSH DWORD PTR DS:[EAX*4+462400] ESP=0012F458
00454AA5 Main RETN ESP=0012F45C
00462800 Main MOV EAX,DWORD PTR DS:[ESI] EAX=48A5DADC

00454A9E Main PUSH DWORD PTR DS:[EAX*4+462400] ESP=0012F454
00454AA5 Main RETN ESP=0012F458
00453FBF Main POP EDX EDX=D89EE311, ESP=0012F45C

00454A9E Main PUSH DWORD PTR DS:[EAX*4+462400] ESP=0012F458
00454AA5 Main RETN ESP=0012F45C
00454C30 Main PUSH ESP ESP=0012F458

00454A9E Main PUSH DWORD PTR DS:[EAX*4+462400] ESP=0012F454
00454AA5 Main RETN ESP=0012F458
00454BBA Main POP EDX EDX=0012F45C, ESP=0012F45C

00454A9E Main PUSH DWORD PTR DS:[EAX*4+462400] ESP=0012F454
00454AA5 Main RETN ESP=0012F458
00453F56 Main POP EDX EDX=448C7D58, ESP=0012F45C

00454A9E Main PUSH DWORD PTR DS:[EAX*4+462400] ESP=0012F458
00454AA5 Main RETN ESP=0012F45C
00454B80 Main MOV AL,BYTE PTR DS:[ESI] EAX=0000006A
00454B82 Main ADD AL,BL EAX=000000ED

| Сообщение посчитали полезным:

Блин, даже не знаю. Но вм не было....

| Сообщение посчитали полезным:

agentru пишет:
В смысле?
Просто порченные имена секций и странные прыжки навели на мысль о хитром вирусе. C именами секций и заголовком(PE) разобрался - релоки нельзя отсекать при использовании upack
Нашел я библиотеку, которую ты использовал : tplockbox. Про таблицу JUMP - есть подозрение, что это Борланд так что-то скомпилил. Жалко текст ты потерял - поискал бы WINHEX-ом по фри-секторам. Я так нашел свой бинарный патч Предлагаю перенести разговор в приват - больше вроде никто не заинтересовался. Попробую две вещи - сигнатуры на библу и анализ алгоритма. Нашел я проверку/JMP на правильный хеш MD5 для key1 и естественно нашел, где анализируется key2 - осталось понять, как эти проверки устроены и не сойти с ума при этом

| Сообщение посчитали полезным:

tundra37 пишет:
больше вроде никто не заинтересовался.

Для остальных слишком сложно

tundra37 пишет:
осталось понять, как эти проверки устроены и не сойти с ума при этом

Там все очень даже не сложно. Эксепшены возникают как раз при проверке 2 ключа, если он будет правильный то ..... Кстати ключ2 отличаеться в пакованной и распакованной версиях.. Это типа подсказка...

| Сообщение посчитали полезным:

agentru пишет:
Эксепшены возникают как раз при проверке 2 ключа,
На коротких ключах( 11111/22222) возникает другой эксепшн -
Access violation when reading [000056CE] При правильном key1 и длинном key1
этот адрес 0EEDFADE, правда в том место, где первый эксепшн
004549CD Main MOV DL,BYTE PTR CS:[ECX]
прога не попадает. Первый эксепшн под олли пройти нельзя - без олли все пашет
=============================================
Нашел еще читаемый хекс - 0EEFFACE. Попытка подсунуть его провалилась.
Попали опять на любимый переключатель. Арифметика там сложная - видимо определяется попадает ли номер переключателя в число допустимых. Все-таки буду искать способ исправить заголовок, чтобы Дельфи был виден.

| Сообщение посчитали полезным:

tundra37 пишет:
00454CDB 0FB606 MOVZX EAX,BYTE PTR DS:[ESI]
00454CDE 00D8 ADD AL,BL
00454CE0 C0C0 07 ROL AL,7
00454CE3 34 E1 XOR AL,0E1
00454CE5 C0C0 06 ROL AL,6
00454CE8 46 INC ESI ; crackme_.004710D7
00454CE9 FEC0 INC AL
00454CEB 00C3 ADD BL,AL
00454CED 8F0487 POP DWORD PTR DS:[EDI+EAX*4]
00454CF0 ^ E9 98FDFFFF JMP crackme_.00454A8D
00454CF5 AC LODS BYTE PTR DS:[ESI]
00454CF6 00D8 ADD AL,BL
00454CF8 FEC8 DEC AL
00454CFA F6D0 NOT AL
00454CFC F6D8 NEG AL
00454CFE C0C8 03 ROR AL,3
00454D01 00C3 ADD BL,AL
00454D03 66:59 POP CX
00454D05 884C87 01 MOV BYTE PTR DS:[EDI+EAX*4+1],CL
00454D09 ^ E9 7FFDFFFF JMP crackme_.00454A8D
Кто-то божился, что VM нет. А что же это такое ?!
Ну протрассирую я на автомате это безобразие. Где соль-то ?!

Компетентно заявляю что это vmprotect причем не самая свежая версия (скорее всего < 1.21).

| Сообщение посчитали полезным:

dermatolog пишет:
Компетентно заявляю что это vmprotect причем не самая свежая версия (скорее всего < 1.21).
Бугага. Ну и крякмисы лепят

| Сообщение посчитали полезным:

dermatolog пишет:
Компетентно заявляю что это vmprotect причем не самая свежая версия (скорее всего < 1.21).


Нихрена себе..... Какой вм???!!!!! Пипец, я что сам уже не помню то писал полгода назад?????!!!!!!!

| Сообщение посчитали полезным:

agentru пишет:
Нихрена себе..... Какой вм???!!!!! Пипец, я что сам уже не помню то писал полгода назад?????!!!!!!!

Полгода назад как раз и была версия 1.2 )

Если ты полностью сам писал своя крякмикс, то с легкостью сможешь сейчас рассказать что делает этот код:
00454A43 56 PUSH ESI
00454A44 9C PUSHFD
00454A45 53 PUSH EBX
00454A46 52 PUSH EDX
00454A47 57 PUSH EDI
00454A48 51 PUSH ECX
00454A49 50 PUSH EAX
00454A4A 55 PUSH EBP
00454A4B 52 PUSH EDX
00454A4C 68 00000000 PUSH 0
00454A51 8B7424 28 MOV ESI,DWORD PTR SS:[ESP+28]
00454A55 FC CLD
00454A56 BA 00E04500 MOV EDX,crackme.0045E000
00454A5B FF15 3C914500 CALL DWORD PTR DS:[45913C] ; kernel32.GetCurrentThreadId
00454A61 89C3 MOV EBX,EAX
00454A63 B9 00010000 MOV ECX,100
00454A68 89D7 MOV EDI,EDX
00454A6A F2:AF REPNE SCAS DWORD PTR ES:[EDI]
00454A6C 74 0D JE SHORT crackme.00454A7B
00454A6E B8 00010000 MOV EAX,100
00454A73 91 XCHG EAX,ECX
00454A74 89D7 MOV EDI,EDX
00454A76 F2:AF REPNE SCAS DWORD PTR ES:[EDI]
00454A78 895F FC MOV DWORD PTR DS:[EDI-4],EBX
00454A7B 89FD MOV EBP,EDI
00454A7D 29D7 SUB EDI,EDX
00454A7F D1E7 SHL EDI,1
00454A81 8DBCFA C0030000 LEA EDI,DWORD PTR DS:[EDX+EDI*8+3C0]
00454A88 89F3 MOV EBX,ESI
00454A8A 033424 ADD ESI,DWORD PTR SS:[ESP]

2 tundra37:
vmprotect был навешан с опцией "Контроль целостности исполнителя ВМ" (в 1.2 это называлась именно так) - поэтому с софтовыми брекпоинтами на исполнителе вы получаете "непонятные" ошибки )

| Сообщение посчитали полезным:

dermatolog

Всё извиняюсь, действительно наверное по пьяни навесил вмпротект, только теперь внимательно посмотрев понял.

Крякмис через недельку перепишу.... есно без всяких упаков и вмпротектов

to all
Еще раз сорри.....

| Сообщение посчитали полезным:

agentru пишет:
есно без всяких упаков
Повторюсь : если не использовать опцию "удалять релоки", то упак заголовок не портит.
Я даже нашел "депакер", который секции по божески оформляет. Но фишка в том, что распакованный вдвое больше оригинала Все метОды распаковки с нормальной длиной пока дают неработающий экзешник

| Сообщение посчитали полезным:

tundra37
Всё не парся

Я переписал, запаковал упх. Защита в принципе такая же, но писал по памяти так что....
Ах да и убрал мд5.
Так что теперь 1) Найти 1(легче) и 2(сложнее) коды,
ну если не получится то пропатчить хотя желательнее всё таки найти ключи.

7c0d_15.06.2006_CRACKLAB.rU.tgz - crackme.exe

| Сообщение посчитали полезным:

Могло не запускатся на 98, исправил...

3b8d_16.06.2006_CRACKLAB.rU.tgz - crackme.exe

| Сообщение посчитали полезным:

Key1: 0004544627, Key2: Верно!

| Сообщение посчитали полезным:

KViNTO пишет:
Key1: 0004544627, Key2: Верно!

Прикол, даже я такой фишки не просёк
Только при правильных ключах должно выводится: "Congrulatation! Keys are valid!"

| Сообщение посчитали полезным:

agentru
Анализируем. Придется все-таки про эксепшены читать - иначе не понятно, как работает проверка.

| Сообщение посчитали полезным:

tundra37
читаемый хекс - 0EEFFACE
http://www.exelab.ru/f/action=vthread&forum=1&topic=4539&p age=0#8

| Сообщение посчитали полезным:

agentru пишет:
ну если не получится то пропатчить хотя желательнее всё таки найти ключи
Ну ключи особо не искал, а вот патч там совсем простой
agentru пишет:
Только при правильных ключах должно выводится: "Congrulatation! Keys are valid!"
Она теперь и вообще без ключей выводится

4bef_24.06.2006_CRACKLAB.rU.tgz - Crackme2.zip

| Сообщение посчитали полезным: