Crackme con desempakado sorpresa

Iniciado por Tinkipinki, 6 Agosto 2011, 00:35 AM

0 Miembros y 2 Visitantes están viendo este tema.

Tinkipinki

Hola a todos:
Recientemente me decidí a programar un crackme para ir entendiendo mejor los comandos en ASM y asi poder ir practicando un poco haciendo pequeños crackme's a mis posibilidades sobre el conocimiento del cracking que es de lo mas basico.
El problema que me encuentro es el desempakado del mismo, se que es un UPX por el RDG y el compilador es Delphi. No era mi intención crear un empakado para liar la historia pero al generar el programa asi lo hace.
Siguiendo los tutoriales de desempakado del UPX reconstruyendo la AIT y todo esto, se llega a desempakar bien pues no da errores pero a la hora de ejecutarlo el programa da el error:  

http://www.mediafire.com/imageview.php?quickkey=8fctr29a81m1xba&thumb=4

Supongo que detecta que ha sido desempakado y por tanto no corre con el Olly, solo lo carga.
La idea seria encontrar la solucion para desempakrlo bien y luego poder tracearlo con el Olly y asi divertirse un rato.
Por lo demas es un simple hardcoded y que incluso pongo el serial correcto en el mismo programa.
Lo podeis bajar de aquí:

http://www.mediafire.com/download.php?q49m02iifluvjlm

Una cosa mas, no se como lo haceis para postear las imagenes, segun la ayuda deberia tener esta opcion en Opciones adicionales pero no aparece.


Saludos

.:UND3R:.

Disculpa cuando lo cargas desde ollydb crashea?

pregunto por que ya me ha estado pasando con muchas aplicaciones, empiezo a dudar de mi ollydbg  :-\

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

.:UND3R:.


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Tinkipinki

Yo usando un Olly normal y una vez desempakado solo puedo llegar a la ventana del error luego te tira fuera.
A parte del desempakado manual he probado tambien con desempakadores UPX y todos tienen el mismo efecto, desempakan bien pero cuando lo ejecutas te dael error.
Saludos

_Enko

Por lo que vi, la ejecutable desempaquetada tiene la IAT corrupta,  tendras que reparar eso.
Ademas, una vez que le sacas el UPX, la ejecutable realmente sigue empaquetada, ya que llama a VirtualAlloc varias veces para crearse un espacio de ejecucion.

Asi que tendras que dumpear la ejecutable desempaquetada, encontrar la oep  y reparar la iat.

Tinkipinki

Gracias _Enko por tu comentario ya que has dado mas luz al problema.
Recapitulando tenemos que:

   - El crackme en principio esta empakado con UPX
   - Hacemos un desempacado manual usando la tecnica del PUSHAD   
     dumpeamos con LordPE, reparamos la AIT con el  Import Reconstructor y
     este no da ningun error y para finalizar usamos el PE Editorpara restaurar el
     Base of Code.(Toda esta informacion esta sacada del magnifico tutorial de
     SHADDY) 
   - Nos queda un ejecutable que al ejecutar nos da el error:

   

     parece ser que el ejecutable no esta del todo desempakado pero los test
     de unpackers dicen que no lo esta.
   - Lo cargamos en Olly y para en


   - Vemos que este no puede ser el OEP correcto por y lo que cuenta _Enko
     se deberia volver a desempacar y reacer de nuevo la AIT.

El problema que me encuentro ahora para seguir adelante es como lo desempako de nuevo ya que el codigo no empieza en un PUSHAD y por lo tanto no puedo aplicar esta tecnica de desempakado.
He estado mirando manuales para encontrar el OEP correcto pero no he podido encontrar ninguno que explique como encontrar el OEP correcto a partir de un fichero semidesempakado por asi decirlo.

Saludos

.:UND3R:.

Cita de: Tinkipinki en  6 Agosto 2011, 00:35 AM
Hola a todos:
Recientemente me decidí a programar un crackme para ir entendiendo mejor los comandos en ASM y asi poder ir practicando un poco haciendo pequeños crackme's a mis posibilidades sobre el conocimiento del cracking que es de lo mas basico.
El problema que me encuentro es el desempakado del mismo, se que es un UPX por el RDG y el compilador es Delphi. No era mi intención crear un empakado para liar la historia pero al generar el programa asi lo hace.
Siguiendo los tutoriales de desempakado del UPX reconstruyendo la AIT y todo esto, se llega a desempakar bien pues no da errores pero a la hora de ejecutarlo el programa da el error: 

http://www.mediafire.com/imageview.php?quickkey=8fctr29a81m1xba&thumb=4

Supongo que detecta que ha sido desempakado y por tanto no corre con el Olly, solo lo carga.
La idea seria encontrar la solucion para desempakrlo bien y luego poder tracearlo con el Olly y asi divertirse un rato.
Por lo demas es un simple hardcoded y que incluso pongo el serial correcto en el mismo programa.
Lo podeis bajar de aquí:

http://www.mediafire.com/download.php?q49m02iifluvjlm

Una cosa mas, no se como lo haceis para postear las imagenes, segun la ayuda deberia tener esta opcion en Opciones adicionales pero no aparece.


Saludos

Excelente que crees crackme felicitaciones  ;-) espero verte seguido en este subforo
Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Tinkipinki

#7
Hola UND3R:
Gracias por tu comentario, yo creo que con los crackme's es donde podemos aprender mas y lo ideal es resolverlos y luego crear los tutoriales con la solucion.
A mi entender cuando empiezas con esto se te hace muy duro y el aprendizaje es muy largo pero si te encuentas con un foro como este la verdad se te hace mucho mas facil ya que hay una gente estupenda y practicamente no hay pregunta que no se conteste.

En cuanto al crackme que he posteado para tirar hacia adelante es necesario que comprendamos como se empaka, como desempakarlo y lo esencial es que la gente vaya dando ideas.
Una vez tengamos la secuencia de desempacado ya podre hacer crackme's del mismo pero con protecciones mas fuertes.
En este crackme no era mi intencion crear un empakado, me lo encontre al compilar el programa  que por defecto lo compila comprimido y aqui esta el problema >:D.

Un saludo cordial.

.:UND3R:.

Cita de: Tinkipinki en  9 Agosto 2011, 13:44 PM
Hola UND3R:
Gracias por tu comentario, yo creo que con los crackme's es donde podemos aprender mas y lo ideal es resolverlos y luego crear los tutoriales con la solucion.
A mi entender cuando empiezas con esto se te hace muy duro y el aprendizaje es muy largo pero si te encuentas con un foro como este la verdad se te hace mucho mas facil ya que hay una gente estupenda y practicamente no hay pregunta que no se conteste.

En cuanto al crackme que he posteado para tirar hacia adelante es necesario que comprendamos como se empaka, como desempakarlo y lo esencial es que la gente vaya dando ideas.
Una vez tengamos la secuencia de desempacado ya podre hacer crackme's del mismo pero con protecciones mas fuertes.
En este crackme no era mi intencion crear un empakado, me lo encontre al compilar el programa  que por defecto lo compila comprimido y aqui esta el problema >:D.

Un saludo cordial.

eso he notado como comentabas :B, claro la idea es lograr desempaquetarlo para tener la secuencia y método de como dejarlo desempaquetado, para que después tan solo hagas crackme's, la única crítica que puedo hacer de tu crackme es que muestra la contraseña, de manera directa, por lo que por consejo podrías no ponerla para tus próximas versiones de crackmes, si quieres ponerla en un .txt pero no veo el por qué de la contraseña debe estar jejeje

Saludos :D

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Tinkipinki

Ok, UND3R
Lo de la contraseña lo puse cuando decidi postear el cracme en este foro para que la gente se volcara exclusivamente a solucionar el desempacado no a buscar el serial pero que al final resulto ser mas complicado de lo que parece  :( no era esta mi intencion.
Como comente en el primer post el cracme en si es un simple hardcoded en que la contraseña es una variable estatica que incluso se la puedes localizar abriendo el ejecutable con el bloc de notas.
Mi idea inicial era que pudiera practicar con el culalquier principiante. Poniendo la solucion hace que cuando uno este traceando el codigo pueda ver como se van moviendo los registros y cuando aparece el serial correcto y no marearse analizando lineas de codigo y codigo que lo que hace es acabate de aburrir y uno acaba por dejarlo. Esto hablando para los superprincipiantes como yo y como todos hemos sido.
En estos momentos no puedo editar el ejecutable para canviarle la contraseña y hacer que no aparezca por que en este ordenador no dispongo de las herramientas necesarias pero la semana que viene te promeo que voy a reeditarlo. ;)

Un saludo cordial.