Objetivo: Crackear proteccion contra el chequeo de la fecha.
http://www.freeuploader.com/view.php/149882.zip
» Hacer tutorial !
Este es mi primer CrackMe
espero que les guste.El CrackMe
no esta protegido a fondo, solo
tiene unas protecciones como
AntiDebugger usando la llamada
al Kernel32 IsDebuggerPresent para
detectar al Olly y demas Debuggers.
Tiene una proteccion usando un
sistema de codificacion de cadenas
,esta comprimido,y tiene un sistema
de deteccion para ver si
la fecha del sistema a sido
vuelta a atras,entre otros trucos
que espero que si los detectan
los escriban en el tutorial,porque
decirselos ahora seria de mucha ayuda :P.
Salu2!
n0sEcReT
HAVE FUN !
SOLUCIONES :
Por x4uth : http://www.freeuploader.com/view.php/150483.rar
Por OberonCracker : http://www.freeuploader.com/view.php/150874.rar
Por tena :
www.freeuploader.com/view.php/151448.zip
R!sc Process Patcher para el tuto por si no lo tienen:
www.freeuploader.com/view.php/151449.zip
tuto rapido:
el PEiD nos dice que esta empacado con "PECompact 2.x -> Jeremy Collake", le pongo algunos plugins de Anti-AntiDebug a mi olly, uso el metodo del HB en el stack cuando guarda los registros (en 479EC2 PUSH EBP) para llegar al OEP
paso las exepciones y caigo en
479F52 JMP NEAR EAX
ese es el salto final del packer, dando F8 llegamos al OEP, ahi se puede dumpear y arreglar la IAT, la IAT no me dio problemas pero aun asi me dio error despues.
Como soy muy vago yo y ya teniendo el OEP no voy a complicarme... voy a trabajar ahi mismo, busco las apis que trabajan con la fecha que usa el programa y se deduce facilmente q el salto decisivo es 470A69 JE 470CAF, se soluciona cambiadolo por un JMP 470CAF
como estoy trabajando con el programa packado lo ideal seria hacer un loader pero en este caso esa rutina se ejecuta al iniciar el programa asi que no me vale con un programa externo, miro que el salto final del packer esta ya en el codigo antes de ejecutar asi que voy a utilizar el propio packer como loader
cambio el JMP NEAR EAX por
JMP 479F76 (xk me fije que hay unos bytes abajo q si cambian)
para agregar ahi mi injerto
luego en 479F76
479F76 MOV DWORD PTR DS:[0470A69h],0241E9h //cambia el JE por JMP
479F80 JMP NEAR EAX //salta al OEP
pongo el año 2009, pruebo y todo OK , crackeado
http://www.freeuploader.com/view.php/150483.rar
saludos
Aqui les va mi solucion, igual pero solucion al fin...
http://www.freeuploader.com/view.php/150874.rar
Por cierto x4uth he tratado de desrarear (deszipear) tu crackme parcheado en la carpeta correspondiente pero no lo he conseguido... :huh: (o tal vez si pero no consigo visualizarlo)
Por otro lado, pediria a una alma caritativa que explique porque aparentemente desaparece el jodido crackme cuando uno acaba de ejecutarlo... :-X
.
CitarPor otro lado, pediria a una alma caritativa que explique porque aparentemente desaparece el jodido crackme cuando uno acaba de ejecutarlo...
Primero y en principal el CrackMe no es jodido xDD y segundo OberonCracker tienes razon el crackme al ejecutarse se pone como atributos de "solo lectura" y "oculto" y como seguramente tu tienes la opcion "No mostrar archivos ocultos " en "Opciones de Carpeta" no lo ves... ese era otros de los truquitos molestos xD.
En fin buen trabajo y estaria mejor si hubieses explicado como lo hiciste ;)
Salu2 ! ::)
Tienes razon con relación al crackme que no es ningun jodido, estuvo muy bueno, y por su nivel de dificultad de cero a diez le pondria ocho. Lo realmente jodido es no saber en detalle que hace el crackme, por ejemplo a pesar de lo que has señalado (ya que tengo activado la funcion mostrar archivos ocultos) no he podido visualizar aun el crackme parcheado de nuestro amigo x4hut.
Bueno saludos y de todos modos haber si para la proxima nos sorprendes con otro buen crackme, pero esta vez que no tenga el complejo istrionico de hombre invisible he... ja, ja, ja.
Bueno que yo tambien quiero aportar con un tuto, tambien es medio igual pero que le vamo a hacer, solucion al fin como dice Oberon.
Solucion:
www.freeuploader.com/view.php/151448.zip (http://www.freeuploader.com/view.php/151448.zip)
R!sc Process Patcher:
www.freeuploader.com/view.php/151449.zip (http://www.freeuploader.com/view.php/151449.zip)
Buen Trabajo nOsEcReT.
hombre tena el problema de hacerlo con ese process parcher es que no sabes cuando va a tardar en cargar, eso puede variar dependiendo de la velocidad del pc de cada uno, ese debe ser mi caso porque a mi no funciona ese de tu tuto, de cualquier manera yo lo hize así porque por alguna razon no me funciona despues de desempacar pero ya si lo tienes desempacado funcionando bien pos como que no es necesario el loader.
saludos
Cita de: OberonCracker en 20 Abril 2006, 02:01 AM
.....a pesar de lo que has señalado (ya que tengo activado la funcion mostrar archivos ocultos) no he podido visualizar aun el crackme parcheado de nuestro amigo x4uth.....
http://www.freeuploader.com/view.php/151791.rar
ahi ta el crackme sin attributos, esto se hace en el cmd
attrib CrackMex4.exe -H -S -R -Aaunque si tienes puesto "mostrar todos los archivos" y no tienes lo de "ocultar archivos del sistema" debes verlo =, yo me entere leyendolo aca despues que estaba oculto xk ni me habia fijado, como no tiene icono no sale ni semitrasparente
saludos
claro pues tienes razon x4uth, no me habia percatado de eso. Bueno que tal lo voy a tener en cuenta para otra ocasion.
Gracias por la aclaracion.
TENA
Bueno os felicito tios, por lo que veo tres han sido las formas magistrales de parcheo del crackme. Sin embargo me intriga la forma como lo habra hecho el majo de oberon, haber si dejas soltar un tuto al respecto...
;D ;D ;D
Bueno me alegro que les alla gustado mi primer CrackMe , va en realidad habia hechos otros sistemas de proteccion pero no pensados para ser CrackMes :) .Me gustaron mucho los tutos que hicieron ya que siempre se aprende algo mas en cada tutorial .
Respectos a los truquillos como ponerse atributos de "Solo lectura" y "Oculto" lo hice en verdad mas por el atributo de "Solo lectura" para que cuando intente parchear el CrackMe salga el tipico error de que no se pudieron escribir los cambios ,que no es cosa muy dificil de darse cuenta y sobre el atributo "Oculto" fue para hacerlo renegar a Oberon ;D... naa solo fue para una molestia mas :D
, despues como pueden ver hay una libraria llamada n0sEcReT.DLL,esa libreria en realidad como creo que ya se han dado cuenta es la MSVBVM60.DLL , nada mas que esta comprimida con PE Compact para que el tamaño de la misma sea menor ... de 1.32 MB original a 654 KB compactada y tambien tiene algunas modificaciones estupidas,pues tambien lo hice para confundirlos pero veo que no son tontos ;).La codificacion de string siempre es util , la llamada IsDebuggerPresent al kernel32 puede que en algo ayude .
Estoy trabajando en el CrackMe Two ,con un sistema de proteccion anticracking Tool's mas fuerte que el anterior pero con la proteccion de limitar el uso del programa a un determinado numero de ejecuciones.
Hasta luego y Happy Cracking ! ;)
es mejor tarde que nunca :D
de donde puede descargar esos pluings para el olly?
gracias
como q hace mucho q se termino el tema jaja llegaste un poco tarde....aca tenes una pagina. hay unos cuantos :D
http://www.openrce.org/downloads/browse/OllyDbg_Plugins