CrackMe02 by x4uth

Iniciado por x4uth, 3 Marzo 2006, 03:06 AM

0 Miembros y 1 Visitante están viendo este tema.

pERICOTE

SUPER MINITUTE CRACKME02 BY x4uth

Bueno sabemos que la api que permite anticiparnos a la detección de la unidad de CD es la api GetDriveTypeA, asi que colocamos los BPs respectivos

Al dar RUN caemos aquí

7C911231    C3              RETN

Ejecutamos el RETN y caemos en este lado, una sesion antidebug que es el contenido de la call 00404F35 la cual nos hecha fuera

00401040  |    55             PUSH EBP         ; AQUI ENSAMBLO UN RET
00401041  |.  8BEC         MOV EBP,ESP
00401043  |.  6A FF         PUSH -1
00401045  |.  68 30954100   PUSH CrackMe0.00419530
0040104A  |.  68 58404000   PUSH CrackMe0.00404058                   
0040104F  |.  64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
00401055  |.  50            PUSH EAX
00401056  |.  64:8925 00000>MOV DWORD PTR FS:[0],ESP
0040105D  |.  83EC 08       SUB ESP,8
00401060  |.  53            PUSH EBX
00401061  |.  56            PUSH ESI
00401062  |.  57            PUSH EDI
00401063  |.  8965 E8       MOV DWORD PTR SS:[EBP-18],ESP
00401066  |.  C745 FC 00000>MOV DWORD PTR SS:[EBP-4],0
0040106D  |.  FF15 60924100 CALL DWORD PTR DS:[<&KERNEL32.DebugBreak>; [DebugBreak
00401073  |.  6A 00         PUSH 0                                   ; /ExitCode = 0
00401075  \.  FF15 64924100 CALL DWORD PTR DS:[<&KERNEL32.ExitProces>; \ExitProcess

Ensamblo un RET en 00401040 para que toda las instrucciones consecutivas nunca se ejecuten

Luego doy RUN y caigo ahora si en el BP

0040220C  |.  8B2D 08924100 MOV EBP,DWORD PTR DS:[<&KERNEL32.GetDriv>;  kernel32.GetDriveTypeA
00402212  |.  8B3D 0C924100 MOV EDI,DWORD PTR DS:[<&KERNEL32.GetVolu>;  kernel32.GetVolumeInformationA
00402218  |>  56            /PUSH ESI
00402219  |.  FFD5          |CALL EBP
0040221B  |.  83F8 05     |CMP EAX,5   ; COMPARACION CLAVE
0040221E  |.  75 1E         |JNZ SHORT CrackMe0.0040223E
00402220  |.  6A 0A         |PUSH 0A
00402222  |.  6A 00         |PUSH 0
00402224  |.  6A 00         |PUSH 0
00402226  |.  6A 00         |PUSH 0
00402228  |.  8D4C24 20     |LEA ECX,DWORD PTR SS:[ESP+20]
0040222C  |.  51            |PUSH ECX
0040222D  |.  6A 0C        |PUSH 0C
0040222F  |.  6A 00         |PUSH 0
00402231  |.  56               |PUSH ESI
00402232  |.  FFD7          |CALL EDI
00402234  |.  817C24 10 8C2>|CMP DWORD PTR SS:[ESP+10],37B52C8C     
0040223C      75 29         JE SHORT CrackMe0.00402267              ;  SALTO CLAVE

Invierto el salto clave para que se ejecute si no son iguales y de esta manera hacemos creer al programa que el CD esta insertado.

Buen trabajo x4uth. Saludos a los newbies que aun no concilian sueño a pesar de los dias trascurridos...
;D ;D ;D

x4uth

buen trabajo, aunque no entiendo que hiciste para caer en 7C911231

CitarAl dar RUN caemos aquí

7C911231    C3              RETN

a mi la proteccion antidebug me cierra el Olly sin parar en ningun sitio

OberonCracker

Tambien cai en el mismo lugar, era porque en mi caso habia utilizado los plugins que ocultan el ollydbg ( el hideod, el IsDebug&ExtraHide y el HideDebugger123f ). Espero que no nos prepares un anti anti anti ollydbg, seria faltal,  ::).

pERICOTE


Ninja27

Oberon...man, donde puedo encontrar todos esos Hides para el Olly? y como los instalo?
Desde ya muchisimas gracias, y si ...me toy dando el "mate" contra la pared!!!

OberonCracker

Aqui esta, no solo puedes encontrar los plugins mas importantes del ollydbg sino tambien otras herramientas mas.

http://www.ech2004.net/ver_noticias.php

Para instalarlo puedes crear una carpeta dentro del directorio del olly, llamado plugins y colocas alli todos los plugins que te interesen, y para que el olly te lo reconozca tienes que configurarlo asi: Options - Appearance - plugins patch, y le das la ruta del subdirectorio plugins.Espero que te sirva.

Ninja27

Perfecto man! gracias! :D