Crackme 03 by _Enko Actualizado winxpsp3 compatible

Iniciado por _Enko, 16 Agosto 2011, 06:27 AM

0 Miembros y 2 Visitantes están viendo este tema.

MCKSys Argentina

Cita de: _Enko en 17 Agosto 2011, 21:35 PM
PD: estaria bueno que explicaras como hiciste para obtener el 2do, 3er y 4to check.

En Olly, seleccionar desde 402BAD hasta 402DAA. Hacer Binary Copy.
En Cryptool, pegar con Hex Decoding. Luego "Analysis"-"Aymmetric Encryption (classic"-"Ciphertext-Only"-"XOR-Vernam".
En la ventana que sale, colocar Derived key length en 32 y Expexted most common character en FF.
Asi, la clave sale sola. De la ventana de resultado, copiar todo como Hex encoding y en Olly hacer Binary Paste.

El codigo se muestra descifrado...  :P

Saludos!

Cita de: Flamer en 17 Agosto 2011, 21:55 PM
si puedes has un tutorial y te felisito

No tengo tiempo. Voy posteando a medida que tengo tiempo, pero para un tute no llego...  :-\
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


_Enko

Citar402BAD hasta 402DAA.
Porque esas dos direcciones?
(las 100% correctas son KEY2 00402BAD KEY3 00402DB4) Te pasaste unos milimetros xD


Fuiste probando varios bloques, o simplemente tomaste primero el que estaba abajo?

MCKSys Argentina

Fui hasta el final del codigo (hasta la funcion que empieza en 402DAB).

Tomé desde el primer byte "raro" despues del ret de 402BAA hasta el byte anterior a la funcion anterior (despues de todo, el CALL "final" de 402688 es a 402CF1: dentro de este rango).

Despues, sabiendo lo del XOR byte a byte, le meti todo a Cryptool.

Y listo...  :P

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


_Enko

#43
Una cosa mas, porqeu el caracter frecuenta FF?
Citarstart_protect:
dd   64 dup 0xFFFFFFFF
coloca 64 ints con el valor 0xFFFFFFFF

todos los demas bloques, tienen numeros aleatorios, solamente este bloque, el cifrado le puse las FF al principio. Suponiendo que en algo ayudaria que no sea totalmente aleatorio.


pero como supiste que son FF?
Haciendo  los primeros 8 bytes xor  1B1C1D1F?

MCKSys Argentina

Cita de: _Enko en 17 Agosto 2011, 22:12 PM
Haciendo  los primeros 8 bytes xor  1B1C1D1F?

Claro.  ;D

Aunque admito que hice 2 pruebas: con 0 y con 90 (nops). Es lo que deja normalmente un compilador en funcion y funcion.
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


_Enko

^^
Si ponia un bloque  de ints aleatorios al principio, el resultado es igual o es mas complicado?

Un ensamblador entre funcion y funcion no deja nada, al menos que el programador lo quiera xD


Por cierto, vamos a ver si alguien sabiendo ya las claves se pone a reversear el algoritmo de generacion que es interesante.

Flamer

para la otra pongan una mas fácil :silbar:
si se puede

saludos :P

_Enko

MCKSys ha posteado la llave maestra que es el 90% del crack si se va a crackear.

Pero si vas a hacer un keygen, tan solo es el 50%, ahora puedes analizar mas facil la rutina y generar un serial valido.
O bien,  terminar de hacer el crack.


Tinkipinki

Felicitaciones a todos, asi si que se puede aprender debatiendo y rebatiendo, dando ideas, corregir errores, dialogo y mas dialogo.. ;-)

saludos

_Enko

Sabiendo ya la llave, alguien está intentando terminar de resolverlo haciendo un patch o keygen?