CrackMe05 by x4uth

Iniciado por x4uth, 3 Marzo 2008, 01:18 AM

0 Miembros y 1 Visitante están viendo este tema.

x4uth

Objetivos:
- Encontrar una clave valida
- Escribir un tutorial
Compilador:
MS VC++ 2005
Descarga:
CrackMe05.rar

Solucionado por susanalic el 24/08/08 (tutorial)

karmany

Muchas gracias x4uth por tu siempre colaboración.
Ya he añadido tu crackme en "Crackmes y tutoriales" y he guardado el Crackme05.

A ver si alguien se anima.
Un saludo

R6ID

#2
Muy buen crackme y muy dificil:

*Proteccion(por lo menos lo que yo he visto): Usa el UPolyX v0.5 y antidebugger bastante potente ya que he probado muchos plugins para oculta el olly y me sigue detectando.

Despues de probar haber que hacia he conseguido quitar el UPolyX o por lo menos eso dice el PEID. Aunque no me atrevo a asegurarlo...
No se saltarme el antidebugger y sin eso no avanzo haber si alguien lo consigue y me ayuda un poco.


x4uth

no esta empaquetado con nada, el Peid no reconoce los compiladores nuevos x eso te pone eso ... el antidebug   que tiene es bastante sencillo, eso si .. como tu bien dices los plugins no sirven para nada pues es una proteccion poco habitual

solidcls

Les doy una pista para hacerlo correr en Olly, en esta direccion:

00401122    FF15 A4324300   CALL DWORD PTR DS:[<&KERNEL32.VirtualAll>; kernel32.VirtualAlloc
00401128    8BC8            MOV ECX,EAX
0040112A    894D E8         MOV DWORD PTR SS:[EBP-18],ECX
0040112D    C601 C3         MOV BYTE PTR DS:[ECX],0C3                ; <-- Cambiar el 0C3  por  90
00401130    C641 01 EB      MOV BYTE PTR DS:[ECX+1],0EB


hay qeu cambiar el MOV BYTE PTR DS:[ECX],0C3
por:
MOV BYTE PTR DS:[ECX],90

de esta forma evitamos pasar por el ret que nos tira afuera

luego damos RUN y en lugar de parar en el RET parara en el NOP, luego SHIFT+F9 y sale corriendo sin problemas ;)
ese truco lo uso mi amigo YODA en NTKrnl PROTECTOR

suerte.
solid.
Solid [CrAcKsLaTiNoS]

R6ID

#5
Ok gracias tios la verdad es que siempre se aprenden cosas nuevas yo creia que me podia fiar del PEID para el tema de saber como estan empakados. De todas formas gracias a los 2 por vuestra ayuda. ;D ;D

Una cosa tambien podria cambiar ese ret por un nop ya que el resultado sera el mismo no???

pERICOTE

Por ser vispera de semana santa, les dare una pista para que se salten la proteccion antidebug de una buena vez y no estar lidiando con excepciones ni lastimando los dedos de tanto shif+f9 para acceder a la dichosa ventanita.  ;D ;D ;D

00401199  |.  FF55 E8       CALL DWORD PTR SS:[EBP-18]   ;  cambiar a jmp 004011bd
004011D8   .  807A 09 68    CMP BYTE PTR DS:[EDX+9],68    nopear
004011DC   .  75 07         JNZ SHORT CrackMe0.004011E5  ;  nopear

Guardan los cambios y listo, reabren el nuevo archivo y ya tienen el exe limpio de esas cosillas que dan dolor de cabeza a veces.  ;D ;D ;D saludos.


pERICOTE

Cita de: R6ID en  6 Marzo 2008, 15:12 PM
Ok gracias tios la verdad es que siempre se aprenden cosas nuevas yo creia que me podia fiar del PEID para el tema de saber como estan empakados. De todas formas gracias a los 2 por vuestra ayuda. ;D ;D

Una cosa tambien podria cambiar ese ret por un nop ya que el resultado sera el mismo no???

Reconozco que el PEID es muy bueno, pero sin las nuevas signaturas sirve de muy poco. Usen el Exeinfope en primer lugar y el RDG packer detector.

Por otro lado, en el crackme de marras si puedes cambiar directamente el ret por un nop, sin embargo no puedes parchear asi el exe porque el ret esta en una zona blanca de memoria.

pERICOTE

Nadinga, nadinga... vamos gente.
;D ;D ;D

x4uth

Cita de: pERICOTE en 12 Abril 2008, 02:51 AM
Nadinga, nadinga... vamos gente.
;D ;D ;D


eso , por lo menos postear en que os quedaisteis, seguramente alguien os podra ayudar