Crackme 03 by _Enko Actualizado winxpsp3 compatible

MCKSys Argentina · 17 Agosto 2011, 21:56 PM

Cita de: _Enko en 17 Agosto 2011, 21:35 PM
PD: estaria bueno que explicaras como hiciste para obtener el 2do, 3er y 4to check.

En Olly, seleccionar desde 402BAD hasta 402DAA. Hacer Binary Copy.
En Cryptool, pegar con Hex Decoding. Luego "Analysis"-"Aymmetric Encryption (classic"-"Ciphertext-Only"-"XOR-Vernam".
En la ventana que sale, colocar Derived key length en 32 y Expexted most common character en FF.
Asi, la clave sale sola. De la ventana de resultado, copiar todo como Hex encoding y en Olly hacer Binary Paste.

El codigo se muestra descifrado...

Saludos!

Cita de: Flamer en 17 Agosto 2011, 21:55 PM
si puedes has un tutorial y te felisito

No tengo tiempo. Voy posteando a medida que tengo tiempo, pero para un tute no llego... $:-\$

_Enko · 17 Agosto 2011, 22:02 PM

Citar402BAD hasta 402DAA.

Porque esas dos direcciones?
(las 100% correctas son KEY2 00402BAD KEY3 00402DB4) Te pasaste unos milimetros xD

Fuiste probando varios bloques, o simplemente tomaste primero el que estaba abajo?

MCKSys Argentina · 17 Agosto 2011, 22:06 PM

Fui hasta el final del codigo (hasta la funcion que empieza en 402DAB).

Tomé desde el primer byte "raro" despues del ret de 402BAA hasta el byte anterior a la funcion anterior (despues de todo, el CALL "final" de 402688 es a 402CF1: dentro de este rango).

Despues, sabiendo lo del XOR byte a byte, le meti todo a Cryptool.

Y listo...

_Enko · 17 Agosto 2011, 22:12 PM

Una cosa mas, porqeu el caracter frecuenta FF?

Citarstart_protect:
dd 64 dup 0xFFFFFFFF

coloca 64 ints con el valor 0xFFFFFFFF

todos los demas bloques, tienen numeros aleatorios, solamente este bloque, el cifrado le puse las FF al principio. Suponiendo que en algo ayudaria que no sea totalmente aleatorio.

pero como supiste que son FF?
Haciendo los primeros 8 bytes xor 1B1C1D1F?

MCKSys Argentina · 17 Agosto 2011, 22:45 PM

Cita de: _Enko en 17 Agosto 2011, 22:12 PM
Haciendo los primeros 8 bytes xor 1B1C1D1F?

Claro.

Aunque admito que hice 2 pruebas: con 0 y con 90 (nops). Es lo que deja normalmente un compilador en funcion y funcion.

_Enko · 17 Agosto 2011, 22:53 PM

^^
Si ponia un bloque de ints aleatorios al principio, el resultado es igual o es mas complicado?

Un ensamblador entre funcion y funcion no deja nada, al menos que el programador lo quiera xD

Por cierto, vamos a ver si alguien sabiendo ya las claves se pone a reversear el algoritmo de generacion que es interesante.

Flamer · 17 Agosto 2011, 23:26 PM

para la otra pongan una mas fácil

si se puede

saludos

_Enko · 17 Agosto 2011, 23:32 PM

MCKSys ha posteado la llave maestra que es el 90% del crack si se va a crackear.

Pero si vas a hacer un keygen, tan solo es el 50%, ahora puedes analizar mas facil la rutina y generar un serial valido.
O bien, terminar de hacer el crack.

Tinkipinki · 18 Agosto 2011, 00:03 AM

Felicitaciones a todos, asi si que se puede aprender debatiendo y rebatiendo, dando ideas, corregir errores, dialogo y mas dialogo..

saludos

_Enko · 18 Agosto 2011, 16:42 PM

Sabiendo ya la llave, alguien está intentando terminar de resolverlo haciendo un patch o keygen?