CrackMe One by n0sEcReT

Iniciado por - n0sEcReT -, 17 Abril 2006, 11:50 AM

0 Miembros y 3 Visitantes están viendo este tema.

- n0sEcReT -

Objetivo: Crackear proteccion contra el chequeo de la fecha.

http://www.freeuploader.com/view.php/149882.zip

» Hacer tutorial !

Este es mi primer CrackMe
espero que les guste.El CrackMe
no esta protegido a fondo, solo
tiene unas protecciones como
AntiDebugger usando la llamada
al Kernel32 IsDebuggerPresent para
detectar al Olly y demas Debuggers.
Tiene una proteccion usando un
sistema de codificacion de cadenas
,esta comprimido,y tiene un sistema
de deteccion para ver si
la fecha del sistema a sido
vuelta a atras,entre otros trucos
que espero que si los detectan
los escriban en el tutorial,porque
decirselos ahora seria de mucha ayuda :P.

Salu2!

n0sEcReT
HAVE FUN !

SOLUCIONES :


Por  x4uth  : http://www.freeuploader.com/view.php/150483.rar


Por OberonCracker : http://www.freeuploader.com/view.php/150874.rar


Por  tena :

www.freeuploader.com/view.php/151448.zip

R!sc Process Patcher para el tuto por si no lo tienen:

www.freeuploader.com/view.php/151449.zip




x4uth

#1
tuto rapido:

el PEiD nos dice que esta empacado con "PECompact 2.x -> Jeremy Collake", le pongo algunos plugins de Anti-AntiDebug a mi olly, uso el metodo del HB en el stack cuando guarda los registros (en 479EC2   PUSH EBP) para llegar al OEP
paso las exepciones y caigo en
479F52  JMP NEAR EAX
ese es el salto final del packer, dando F8 llegamos al OEP, ahi se puede dumpear y arreglar la IAT, la IAT no me dio problemas pero aun asi me dio error despues.
Como soy muy vago yo y ya teniendo el OEP no voy a complicarme... voy a trabajar ahi mismo, busco las apis que trabajan con la fecha que usa el programa y se deduce facilmente q el salto decisivo es  470A69   JE 470CAF, se soluciona cambiadolo por un JMP  470CAF
como estoy trabajando con el programa packado lo ideal seria hacer un loader pero en este caso esa rutina se ejecuta al iniciar el programa asi que no me vale con un programa externo, miro que el salto final del packer esta ya en el codigo antes de ejecutar asi que voy a utilizar el propio packer como loader
cambio el   JMP NEAR EAX por
JMP 479F76 (xk me fije que hay unos bytes abajo q si cambian)
para agregar ahi mi injerto
luego en 479F76

479F76   MOV DWORD PTR DS:[0470A69h],0241E9h //cambia el JE por JMP
479F80   JMP NEAR EAX //salta al OEP

pongo el año 2009, pruebo y todo OK , crackeado

http://www.freeuploader.com/view.php/150483.rar


saludos

OberonCracker


OberonCracker

#3
Por cierto x4uth he tratado de desrarear (deszipear) tu crackme parcheado en la carpeta correspondiente pero no lo he conseguido...  :huh:   (o tal vez si pero no consigo visualizarlo)

Por otro lado, pediria a una alma caritativa que explique porque aparentemente desaparece el jodido crackme cuando uno acaba de ejecutarlo...  :-X

x4uth

#4
.

- n0sEcReT -

CitarPor otro lado, pediria a una alma caritativa que explique porque aparentemente desaparece el jodido crackme cuando uno acaba de ejecutarlo...

Primero y en principal el CrackMe no es jodido xDD y segundo OberonCracker  tienes razon el crackme al ejecutarse se pone como  atributos de "solo lectura" y "oculto" y como seguramente tu tienes la opcion "No mostrar archivos ocultos " en "Opciones de Carpeta" no lo ves... ese era otros de los truquitos molestos xD.

En fin buen trabajo y estaria mejor si hubieses explicado como lo hiciste  ;)

Salu2 !  ::)



OberonCracker

Tienes razon con relación al crackme que no es ningun jodido, estuvo muy bueno, y por su nivel de dificultad de cero a diez le pondria ocho. Lo realmente jodido es no saber en detalle que hace el crackme, por ejemplo a pesar de lo que has señalado (ya que tengo activado la funcion mostrar archivos ocultos) no he podido visualizar aun el crackme parcheado de nuestro amigo x4hut.
Bueno saludos y de todos modos haber si para la proxima nos sorprendes con otro buen crackme, pero esta vez que no tenga el complejo istrionico de hombre invisible he... ja, ja, ja.

tena

Bueno que yo tambien quiero aportar con un tuto, tambien es medio igual pero que le vamo a hacer, solucion al fin como dice Oberon.

Solucion:
www.freeuploader.com/view.php/151448.zip

R!sc Process Patcher:
www.freeuploader.com/view.php/151449.zip

Buen Trabajo nOsEcReT.

x4uth

hombre tena el problema de hacerlo con ese process parcher es que no sabes cuando va a tardar en cargar, eso puede variar dependiendo de la velocidad del pc de cada uno, ese debe ser mi caso porque a mi no funciona ese de tu tuto, de cualquier manera yo lo hize así porque por alguna razon no me funciona despues de desempacar pero ya si lo tienes desempacado funcionando bien pos como que no es necesario el loader.

saludos

x4uth

#9
Cita de: OberonCracker en 20 Abril 2006, 02:01 AM
.....a pesar de lo que has señalado (ya que tengo activado la funcion mostrar archivos ocultos) no he podido visualizar aun el crackme parcheado de nuestro amigo x4uth.....
http://www.freeuploader.com/view.php/151791.rar
ahi ta el crackme sin attributos, esto se hace en el cmd 
attrib CrackMex4.exe -H -S -R -A

aunque si tienes puesto "mostrar todos los archivos" y no tienes lo de "ocultar archivos del sistema" debes verlo =, yo me entere leyendolo aca despues que estaba oculto xk ni me habia fijado, como no tiene icono no sale ni semitrasparente

saludos