Привет всем опять!
Чего-то подсел я на крякмисы с crackmes.de. Ничего не получается пока, но все равно захватывающее занятие. Сижу, дизассемблирую, туплю

Вот очередная забава http://www.crackmes.de/users/znycuk/crackme2_find_my_passw0rd/download (97кб)

Фишка в том, чтобы его сначала распаковать. Исправляем пару прыжков в середину команды и получаем что-то типа УпиКСА. Только вот джамп на ОЕР приводит к какой-то херне вроде:

00401000 DA31 FIDIV DWORD PTR DS:[ECX]
00401002 A1 19ABF9F1 MOV EAX,DWORD PTR DS:[F1F9AB19]
00401007 F1 INT1
00401008 52 PUSH EDX
00401009 F1 INT1

Причем это не единственый вариант. Мет быть и такое:

00401000 846F FF TEST BYTE PTR DS:[EDI-1],CH
00401003 47 INC EDI
00401004 F5 CMC,

короче говоря всякий мусор. Т.е. дамп снять не получается, да и вообще непонятно как работает.
И уровень крякми по ихним меркам невысокий 2 - Needs a (or luck) . То что luck у меня отсутствует это ладно, но вот отсутствие little brain очень обидно. Помогите кто-нибудь, пожалуйста.

| Сообщение посчитали полезным:

Не надо там ничего исправлять. Ставим бряк в ольке hr esp-4 и брякаемся 004046C4 JMP EBX ==JMP OEP

Особо радуют в крякмисе вещи типа
004012C0 -7F FE JG SHORT 12_.004012C0

| Сообщение посчитали полезным:

Ara, я нашел ОЕР. Только оно такого вида как я написал в первом посте. Не ОЕР, а херня какая-то. Или это только у меня такая лажа?

| Сообщение посчитали полезным:

У меня так OEP выглядит:
00401000 2BC0 SUB EAX,EAX
00401002 50 PUSH EAX
00401003 E8 5A080000 CALL <JMP.&kernel32.GetModuleHandleA>
00401008 A3 00604000 MOV DWORD PTR DS:[406000],EAX
0040100D E8 4A080000 CALL <JMP.&kernel32.GetCommandLineA>
00401012 E8 69080000 CALL <JMP.&comctl32.InitCommonControls>
00401017 6A 00 PUSH 0

| Сообщение посчитали полезным:

Sturgeon
А ты не пробовал сначала через Petools там поставить break&enter затем в айсе bpint 3 и т,д
вот тебе ссылочка на всякий случай ! http://www.exelab.ru/art/?action=view&id=206

| Сообщение посчитали полезным:

Sturgeon
У меня OEP такойже как у Veliant'a.
Sturgeon пишет:
Исправляем пару прыжков в середину команды
Ты обратно их исправлял?

| Сообщение посчитали полезным:

Не надо ничего исправлять, блин. hr esp-4 и всё.

| Сообщение посчитали полезным:

Отлично!!!!!! Все получилось!!!
Код упаковщика занимался тем, что копировал куски самого себя в ОЕР. А те нопы, которые я забивл, естественно меняли весь код. А железный бряк помог решить все проблемы!

Спасибо всем, кто помог разобраться с этой штукой.

З.Ы. А как удалить hardware break в Оле? А то она теперь тормозится на esp-4 постоянно. В доках полазил, но там вообще убогие доки.

| Сообщение посчитали полезным:

Меню Debug--->Hardware breakpoints

| Сообщение посчитали полезным:

после того как снимаешь этот Уполикс появляется Аспр 1.41))

| Сообщение посчитали полезным:

PLAYFCUK пишет:
после того как снимаешь этот Уполикс появляется Аспр 1.41))
бред

| Сообщение посчитали полезным:

просто если засунуть dumped в peid он пишет ACProtect 1.41 -> AntiCrack Software *

| Сообщение посчитали полезным: