Crackme bugger3.exe

ViejoMajara · 9 Noviembre 2014, 18:34 PM

¡Hola!
Soy nuevo en el foro, es mi primer escrito y me voy a presentar.

Llevo unos cuantos años jubilado y antes ya estuve practicando con el OLLY y las explicaciones del gran Narvaja. Con objeto de no caer en el encefalograma plano he vuelto a abrir aquellos apuntes y, visto que también los recomendáis vosotros para empezar desde cero, me he animado a registrarme para poderos preguntar las pegas que me vayan surgiendo. Cuando lo haga me referiré
a la lección y el crackme del que estoy hablando, a no ser que me indiquéis que hay que adjuntarlo.

Mi SO es W7 32 bits.
Aquí va mi primer tropiezo.

Lección 21, buggers3.exe
Uso OLLY con nombre cambiado y con el pluggin Hide Debugger con IsDebuggerPresent y FindWindow/EnumWindows marcados.

Comienzo a correrlo
F8 en 401000 pone ECX a 0
F8 en 401004 DEC ECX y lo pone a FFFFFFFF
En 401005 va a poner EDX a 0000003B
Si trato de ir a esa dirección en el Dump, "No memory on specified address" en rojo.
Si le doy al F8:
Access violation when reading [0000003B]- use shift.....
Después de shift+F9
Debugged program was unable to process exception.
Y tras F9
Ventana que invita a cerrar el programa.

Si corro el programa directamente me aparece la ventana diciendo que buggers3 dejó de funcionar.
¿Será que mi buggers3.exe está mal o será por correrlo en W7? ¿Cómo podría hacer que funcionase el programa? ¿Tenéis por ahí alguno que marche bien?

Saludos.

MCKSys Argentina · 10 Noviembre 2014, 12:33 PM

Hola!

Los tutoriales de Ricardo fueron hechos en Windows XP. Te recomiendo usar ese SO, asi no tienes problemas a la hora de seguir el curso.

Ahora, para tener WinXP, puedes usar una maquina virtual (VirtualBox, VMWare, etc).

Saludos!

Mad Antrax · 10 Noviembre 2014, 12:35 PM

Cita de: MCKSys Argentina en 10 Noviembre 2014, 12:33 PM
Hola!

Los tutoriales de Ricardo fueron hechos en Windows XP. Te recomiendo usar ese SO, asi no tienes problemas a la hora de seguir el curso.

Ahora, para tener WinXP, puedes usar una maquina virtual (VirtualBox, VMWare, etc).

Saludos!

MCKSys Argentina deberías re-escribir los tutoriales de ricardo a una versión actualizada

Seguro que te lleva poco tiempo jaja

MCKSys Argentina · 10 Noviembre 2014, 12:49 PM

Cita de: Mad Antrax en 10 Noviembre 2014, 12:35 PM
MCKSys Argentina deberías re-escribir los tutoriales de ricardo a una versión actualizada Seguro que te lleva poco tiempo jaja

Mejor le digo que los rehaga él mismo. Tiene mas tiempo libre que yo, últimamente...

ViejoMajara · 10 Noviembre 2014, 20:53 PM

¡Hola!
Gracias por las prontas respuestas, pero he probado con el emulador de XP de Windows y me provoca el mismo error.

Si supiese qué valor distinto de 0 debe de aparecer en ECX tras ejecutar la línea 401000 en un bugger3 que funcione bien, sería una solución para mi. ¿Alguien me lo podría decir?

Saludos

.:UND3R:. · 11 Noviembre 2014, 16:22 PM

Y si intentas atachar el proceso?

MCKSys Argentina · 11 Noviembre 2014, 17:24 PM

Bueno, me he bajado la lección 21 del curso de ricnar y en la primer imagen se ve lo que relatas y el problema:

Si miras la imagen, en 401000 hay un MOV ECX, DWORD PTR [ESP+24]. Ahora, Olly muestra como comentario, que en esa direccion está el valor 7C816D58. Además, te dice a quién pertenece dicha dirección: kernel32.

Entonces, el programa está obteniendo una dirección de kernel en el EP. Y como has escrito:

Cita de: ViejoMajara en 9 Noviembre 2014, 18:34 PM
Comienzo a correrlo
F8 en 401000 pone ECX a 0

Ahí está tu problema. Te recomiendo nuevamente usar una VM y Windows XP. Si en SP3 no te funciona (que debería

) puedes probar con SP2.

Saludos!

ViejoMajara · 12 Noviembre 2014, 09:31 AM

¡Hola!

En efecto, lo que me pasaba era que, aunque yo pensaba que sí, no estaba utilizando correctamente la emulación de XP SP2.
He vuelto a instalarla en el PC (en el de W7 64 bits) y el buggers3 no se me atranca.

Muchas gracias a todos. Asunto SOLUCIONADO.

Saludos.

Mad Antrax · 12 Noviembre 2014, 10:44 AM

Cita de: ViejoMajara en 12 Noviembre 2014, 09:31 AM
¡Hola!

En efecto, lo que me pasaba era que, aunque yo pensaba que sí, no estaba utilizando correctamente la emulación de XP SP2.
He vuelto a instalarla en el PC (en el de W7 64 bits) y el buggers3 no se me atranca.

Muchas gracias a todos. Asunto SOLUCIONADO.

Saludos.

Dale duro pues! Por el momento te cierro el hilo ya que está solucionado, cualquier otra duda ya nos dices.

Tambien te aconsejo lo siguiente:

Los tutoriales de ricardo son excelentes, explica los conceptos basicos y no tan basicos para que cualquiera pueda empezar. Lo único que tienes qu eponerte en situación es que esos tutoriales son algo antiguos y las herramientas utilizadas a veces han quedado obsoletas y reemplazadas por versiones mucho mejores.

Es el caso de los plugins de olly, en el tutorial te enseñará un monton de plugins para defenderte prente a protecciones, a dia de hoy con un par de plugins como HideOD o phant0m obtienes mejores resultados que si utilizas la cocktelera de plugins que explica ricardo.

Te dejo ésto como TIP, si te vuelves a encontrar algún problema nos preguntas.

Suerte!