Недавним летним деньком сел за компьютер в поисках счастья +) Открыл VB и о чудо.... назрела мысль написать крякмис, да и к тому же и линейку составляю (так сказать и свой крякмис вставить), написал.....
Все бы хорошо, но нужна помощь по анализу его кода на сложность +))

Помогите его проанализировать и выложить чуть ниже свои высказывания по поводу защиты... Слабенькая она наверное +(

Смотрите аттач....

365c_09.06.2006_CRACKLAB.rU.tgz - CrackMe ZaZa.rar

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

Нечего 2 темы создавать - одну удалил

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH
Вот-вот, я случайно честно! Спасибки +) Просто видимо сглючило что то....

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

PeSniffer сказал что ASProtect v1.23 RC1, а распаковалось Quick Unpack...
Буду взламывать...

| Сообщение посчитали полезным:

ev1l_4
К сожалению там не ASPR, тем более не 1,23, но смысл то тот, что распаковать то надо вручную +(
Ну да ладно...

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

ИМХО поверх кракми на VB5 навешен дотфикс (потом по размеру файла судят - распакован он или нет), я раньше никогда проги на VB не пытался смотреть, поэтому немогу сказать ничего, для меня например очень трудно его сломать, немогу даж найти место патча - чтоб высветилось окно ввода данных (по-моему его вообще там нет)
ЗЫЖ сильно меня не пинать

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

тем не менее почему то аж три сканера сказали что там именно ASPR Фтопку такие сканеры. А крякми интересный!

| Сообщение посчитали полезным:

ZaZa 3-4 распаковка ( не сложно ) найти валидный серийник для имени я так и не понял как ибо Basic не моя стихия

| Сообщение посчитали полезным:

crazyalex пишет:
тем не менее почему то аж три сканера сказали что там именно ASPR Фтопку такие сканеры. А крякми интересный!
У мну пеид ничего не показал, так что фтопку такие сигнатуры, сделанные кривыми руками.

| Сообщение посчитали полезным:

хорошо хоть не пи код +) ща бегло глянул...

проверка распакованности
0043935F . 81FF C0C80300 CMP EDI,3C8C0
00439365 . 7D 19 JGE SHORT 00439380
00439367 . 81EF C0C80300 SUB EDI,3C8C0
0043936D . 0F80 E3000000 JO 00439456
...
CALL DWORD PTR DS:[<&msvbvm60.__vbaObjSet>] ; MSVBVM60.__vbaObjSet
установка свойств объекта (зелёный цвет)
...
по адрессу (00452D40 это у меня) посл. 1 и 0 +) в уникоде...
я так думаю там с.н. должен быть, и должен содержать ::
0043968C . 6A 01 PUSH 1
0043968E . 8B45 D0 MOV EAX,DWORD PTR SS:[EBP-30]
00439691 . 50 PUSH EAX
00439692 . 68 6C8E4300 PUSH 00438E6C ; UNICODE "::"
00439697 . 56 PUSH ESI
00439698 . FF15 C0104000 CALL DWORD PTR DS:[<&msvbvm60.__vbaInStr>] ; MSVBVM60.__vbaInStr
0043969E . 8BF8 MOV EDI,EAX
004396A0 . 3BFE CMP EDI,ESI
004396A2 . 0F84 76100000 JE <BAD>
004396A8 . 8BCF MOV ECX,EDI
004396AA . 83E9 01 SUB ECX,1
004396AD . 0F80 62140000 JO <BAD_ER>


...
заветное место 2 (можно пропатчить неск. переходов и будем здеся =D)
0043A6A5 . 8D85 1CFFFFFF LEA EAX,DWORD PTR SS:[EBP-E4]
0043A6AB . 50 PUSH EAX
0043A6AC . FF15 58104000 CALL DWORD PTR DS:[<&msvbvm60.__vbaObjSet>] ; MSVBVM60.__vbaObjSet

объясните мне глупому, что за команда MSVBVM60.__vbaVarTstEq она там постоянно вызывается...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Красавчик! Тока найди валидный ключик на свое имя и будет ваще куль +)
Все правильно сказал...
Но ведь надо пройти все этапы так то +)))

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

ха, я вроде допёр... с.н. или имя должно быть скопировано в буфер обмена...
ща копаю дальше =D

з.ы
имя::код (вроде так)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Отлично! Все ближе, все ближе и ближе....
Памятник те надо поставить..... +))

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

Распачил руками, х.з., что за прот. Терпеть не могу бейсик, забил на разборы правильного серийника, сразу запатчил. Файло получил больше 200 Кб, сюда не аттачится. Сложность 3-4 из 10.

| Сообщение посчитали полезным:

Archer
Спасибки.... Но мне кажется, что такая оценка является не совсем правильной с точки зрения поставленной задачи.... Нужно же было еще и имечко найти! Отсюда следует, что оценка балла на 2 то должна повыситься +)

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

патчить там не интересно... =( если только патч, то 1-2 из 10...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Во, додумался РАРом пожать, вот распаченый руками и попатченый. К вечеру не соображаю чо-то. Ну а вообще патчить, конечно, обычно проще. Но работает и ладно.

9e68_09.06.2006_CRACKLAB.rU.tgz - file.rar

| Сообщение посчитали полезным:

Hellspawn
Во - во, полностью согласен! А твоя оценка?

Archer
Не в этом суть +) Флудить тока не буду...

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

Archer
А так и за это спасибки...

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

ZaZa
Епануться, а не алго =) я чуть мозг не свихнул пока дотрейсил до конца... 3 или 4 цикла со всякими тама конвертациями из хекса в аски и назад... И в конце концов туева туча vbaVarTstEq (че делает это функция ХЗ =\ так как я не программлю в VB).

Распаковать руками и пропатчить это раз плюнуть =)
На распаковку с помощью трейса и визуального контроля выхода на ОЕП ушло не более 2 минут (перед прыжком на ОЕП будет POPAD). Ну а патчинг заключается в занопливание прыжка.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

упс... файл больше 200 кил и не приатачился.

5dd3_10.06.2006_CRACKLAB.rU.tgz - unp_crk.zip

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

:^) Объясните дураку как эту хрень распаковывать
Запустил Olly -- дотрейсил до цикла :

0043E9F8 8A07 MOV AL,BYTE PTR DS:[EDI]
0043E9FA 47 INC EDI
0043E9FB 2C E8 SUB AL,0E8
0043E9FD 3C 01 CMP AL,1
0043E9FF ^77 F7 JA SHORT UnPack_a.0043E9F8
0043EA01 8B07 MOV EAX,DWORD PTR DS:[EDI]
0043EA03 3AC2 CMP AL,DL
0043EA05 ^75 F1 JNZ SHORT UnPack_a.0043E9F8

Там какие-то адреса в EDI перебираются -- а потом Olly говорит AccessViolation reading [441000] по адресу 0043E9F8. Если передать этот Exception программе -- то вываливается сообщение "Память не может быть read "
+ попробовал как говорил HEX посмотреть все POPAD, так когда Olly их находит я пытаюсь сдвинуть экран вверх/вниз и в этот момент все инструкции в окне дизасемблера почему-то меняются на другие...
Объясните плз. что да как -- очень хочется воткнуть ( и про вот этот глюк с заменой инструкций тоже плз. )

| Сообщение посчитали полезным:

я как полный неучь в распаковке делал так:
0) запуск проги
1) lordpe дамп
2) hiew->поиск vb5!->xref на строку->.40133C это oep
3) импрек, гетимпорт, не создаем новую секцию, а лучше в .ехе с конца прилепить (.43EA00)
4) вторую секцию в файле забить 0

ломать даже не стал, ибо ночь вобще-то и я сплю

839d_10.06.2006_CRACKLAB.rU.tgz - dumped_.rar

| Сообщение посчитали полезным:

Pavel_
самый быстрый способ ! Запускаешь под олькой! Открываешь секцию кода в дизасаме и делаешь
поиск FF25
004012F4 - FF25 BC104000 jmp dword ptr ds:[4010BC] ; MSVBVM60.__vbaNew2
004012FA - FF25 30104000 jmp dword ptr ds:[401030] ; MSVBVM60.__vbaStrCat
00401300 - FF25 00114000 jmp dword ptr ds:[401100] ; MSVBVM60.__vbaStrMove
00401306 - FF25 DC104000 jmp dword ptr ds:[4010DC] ; MSVBVM60.rtcFileLen
0040130C - FF25 1C114000 jmp dword ptr ds:[40111C] ; MSVBVM60.__vbaFreeObj
00401312 - FF25 34104000 jmp dword ptr ds:[401034] ; MSVBVM60.__vbaHresultCheckObj
00401318 - FF25 58104000 jmp dword ptr ds:[401058] ; MSVBVM60.__vbaObjSet
0040131E - FF25 54104000 jmp dword ptr ds:[401054] ; MSVBVM60.__vbaOnError
00401324 - FF25 90104000 jmp dword ptr ds:[401090] ; MSVBVM60.EVENT_SINK_QueryInterface
0040132A - FF25 74104000 jmp dword ptr ds:[401074] ; MSVBVM60.EVENT_SINK_AddRef
00401330 - FF25 84104000 jmp dword ptr ds:[401084] ; MSVBVM60.EVENT_SINK_Release
00401336 - FF25 E0104000 jmp dword ptr ds:[4010E0] ; MSVBVM60.ThunRTMain
0040133C 68 A4854300 push UnPack_a.004385A4
00401341 E8 F0FFFFFF call UnPack_a.00401336 ; jmp to MSVBVM60.ThunRTMain
ставишь he 0040133C и перезапускаешь!
Дампишь оллидампом с дефолтными настройками и все , на все про все секунд 30! Можно убрать пару секций с нулями!

| Сообщение посчитали полезным:

что же он там нашаманил...
vbaVarTstEq // Функция сравнения переменных в VB
уже интереснее...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Молорик, копай дальше! И ничего я не шаманил +))

HEX
Тоже молодец! Раз дошел до конца, то наверное подобрал имя и серийник, дак вставь сюда.... Я проверю!

КТО НИТЬ ТО ПОДОБРАЛ СЕРИЙНИК К СВОЕМУ ИМЕНИ????

Дайте оценку пожалуйста крякмису!

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

ZaZa
упаковка стремная! А за VB ни чего не скажу ибо не ковыряюсь без особой нужды!

| Сообщение посчитали полезным:

Что за мода пошла на крякмисы? Каждый участник этого форума почему-то считает своим обязательным долгом написать его.

Может, и мне тоже сделать?

| Сообщение посчитали полезным:

Looney пишет:
Может, и мне тоже сделать?
Конечно делай. Обязательно на VB, желательно в p-code.

| Сообщение посчитали полезным:

>Что за мода пошла на крякмисы? Каждый участник этого форума почему-то считает своим обязательным долгом написать его.
Looney
Это обязанность каждого члена тайного ордена МеГаКрЭкА. Аты не знал куда ты попал???У тебя семь дней для написания крэкми, или ..........


ZaZa
Скажи хоть в каком виде должны находится имя и сер в буфере.

-----
моя подпись!

| Сообщение посчитали полезным: