Как бы не нашел общий раздел для обсуждения Crackme, предлогаю тут обсуждать

После просмотра видеоуроков от Bad_guy по крекинду, и скачав вредварительно крэкми --> ОТСЮДА <--, возник вопрос насчет fant-cm4.zip.
Задача:
- Find a valid serial for your nick/name
- Patch the crackme to accept any input as valid serial

В ollydbg как бы вроде понял логику, но вот не хватает знания насчет "генераций" логин и пароля..
Вот мне кажется тут что -то мутится:
CPU Disasm

А после этого выполняется JE (если равно) переход на

а если условие не выполняется, то выполняется дальше:

т.е. если ZF=0, то логин и пароль подошли.
Но это второй часть, я думаю место JE написать JMP и написать переход на 00401240.
А вот с первой частью не понимаю - откуда найти логин и пароль? В видеокурсе на первом Crackme пароль была написань в самом коде, а тут уже "серьезная защита"

Подкажите пожалуйста как решать задачу? ненадо сказать логин и пароль, а скажите только на каком направлений копать. Мне явно не хватает знаний команд и не понимаю где зашифрован логин и пароль.

| Сообщение посчитали полезным:

Hellspawn
Так с обфусцированными / криптованными экзешниками не всегда работает. А так - конечно, и DEDE, и декомпиль от crypto.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

в аттаче скрипт, ставит бряки на все переходы на обработчики


b914_18.06.2013_EXELAB.rU.tgz - _Call Magicas Delphi.rar

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Показываю на примере и прикладываю в аттаче.

Превосходно! - давно смотрел на эти хэндлы в API Monitor и AutoIt Window Information Tool думал как их применить к отладке. только 1 вопрос как поставить этот брейкпоинт на хэндл??(((в какой библиотеке эти адреса, в данном случае 003F0FD5). Про кривость метода: я и не надеялся получить от этого крякми методы, просто изучаю как это делается - наверное проще было бы сделать Loader(хотя я ещё до этого не дошел) а не распаковывать какими-то ужасными скриптами.

Hellspawn пишет:
если уж на то пошло, то натравить EMS Source Rescuer хотя бы на дамп, нэ?

не работает для этого крякми(или может для всех программ нераспакованных). для дампа показала какие-то коды, пока не понял как это применить)). спасибо, мб пригодится))

SReg пишет:
в аттаче скрипт, ставит бряки на все переходы на обработчики

чёт не работает)даже после распаковки программы в памяти. для незапакованных то всё просто) можно и OllySnake(плагин) применить и сразу же найти нужную обработку, да и "офлайн" анализ в IDA мог бы помочь(с дампами IDA понятно плохо работает, хотя тоже можно что-то обнаружить)

| Сообщение посчитали полезным:

dfnsff пишет:
как поставить этот брейкпоинт на хэндл??(((в какой библиотеке эти адреса, в данном случае 003F0FD5)

В олли Ctrl+G и вписывай адрес. Этот адрес принадлежит блоку выделенной памяти, ни в какой он не библиотеке. И не на хэндл, а на хэндлер (Handler - обработчик).

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Да, да, хэндлер - указатель на обработчик окна в памяти, а не само название окна)) это я примерно понял уже. спасибо. дальше буду "ломать" эти крякми до прозрения

добавлено немного погодя: Всё получилось, полезный гайд как отлавливать обработчики в Delphi

Добавлено вечером: вобщем всё мучаюсь с крякми Hard Protect by Alexey Solodovnikov, сделал лоадер по статье Создание лоадера, но там в комментариях написано "Чтобы работало на всех машинах надо искать место патча по сигнатуре..." - это как я понял последовательность байт того места где нужно патчить. но там в листинге лоадера указываются ещё начало и размер сегмента кода(видимо чтобы сделать эти адреса записываемыми).

И теперь вопрос:Кто нибудь знает как найти в ассемблере адрес начала и резмер сегмента кода?? хочу сделать универсальный шаблон лоадера(а то эти адреса же могут меняться в зависимости от машины и программы)(код asm в аттаче)

ded4_18.06.2013_EXELAB.rU.tgz - HACKME1Loader.zip

| Сообщение посчитали полезным:

ARCHANGEL ок. тогда ещё способ

используем плагин GODUP. просто запускаем таргет:


выбираем пункт -> прочесть ресурсы


находим в ресурсах форму и палим обработчик -> двойной клк и плагин поставит бряк


удобно. новичкам самое оно.

dfnsff это секция кода, она есть в заголовке - BaseOfCode, SizeOfCode. если ты патчил код программы, то если релоков нету, адреса будут всегда одинаковые

-----
[nice coder and reverser]

| Сообщение посчитали полезным: dfnsff

Hellspawn
Ага, тут хорошо работает. А вот если ресурсы пожаты? А в непожатом можно обычным Restorator'ом посмотреть. Новички это должны уметь. В общем, гайдов надавали достаточно. Надеюсь, что новички больше не будут теряться, если им делфишная прога попадётся.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

dfnsff пишет:
И теперь вопрос:Кто нибудь знает как найти в ассемблере адрес начала и резмер сегмента кода?? хочу сделать универсальный шаблон лоадера(а то эти адреса же могут меняться в зависимости от машины и программы)(код asm в аттаче)
На rsdn.ru есть статья Форматы РЕ и COFF объектных файлов, найди ее и прочти всю. И вообще прежде чем спросить поищи как следует.

| Сообщение посчитали полезным: dfnsff

Hellspawn пишет:
используем плагин GODUP
Заодно посмотрел другие аддоны с скриншота которые используют "nice reverser-ы"))

Hellspawn пишет:
это секция кода, она есть в заголовке - BaseOfCode, SizeOfCode. если ты патчил код программы, то если релоков нету, адреса будут всегда одинаковые
Релоки - вот из-за чего меняться всё может, видимо всётаки придётся искать место нужное по последовательности байтов(т.к. видимо и код можно перемещать внутри секции)...понятно спасибо за информацию. Как раз это и интересно было, если ничего не меняется - то адрес секции можно и в программе какой-нибудь посмотреть, хотя теперь то уж лучше считать с заголовка для тренировки))

ZX-CodeR пишет:
На rsdn.ru есть статья Форматы РЕ и COFF объектных файлов, найди ее и прочти всю. И вообще прежде чем спросить поищи как следует.
если честно я слова COFF ни разу не слышал. буду приучаться к чтению...

| Сообщение посчитали полезным:

dfnsff пишет:
если честно я слова COFF ни разу не слышал.
Забей на COFF, тебе нужен PE, а там он прекрасно расписан, и про релоки и про импорт с экспортом , все это маст ноу
Для экспериментов сразу скачай PETools, и открывай екзешники через PE Editor, и исследуй те знания про которые узнаешь вновь.

| Сообщение посчитали полезным: