CrackMe05 by x4uth

x4uth · 3 Marzo 2008, 01:18 AM

Objetivos:
- Encontrar una clave valida
- Escribir un tutorial
Compilador:
MS VC++ 2005
Descarga:
CrackMe05.rar

Solucionado por susanalic el 24/08/08 (tutorial)

karmany · 5 Marzo 2008, 22:42 PM

Muchas gracias x4uth por tu siempre colaboración.
Ya he añadido tu crackme en "Crackmes y tutoriales" y he guardado el Crackme05.

A ver si alguien se anima.
Un saludo

R6ID · 6 Marzo 2008, 13:23 PM

Muy buen crackme y muy dificil:

*Proteccion(por lo menos lo que yo he visto): Usa el UPolyX v0.5 y antidebugger bastante potente ya que he probado muchos plugins para oculta el olly y me sigue detectando.

Despues de probar haber que hacia he conseguido quitar el UPolyX o por lo menos eso dice el PEID. Aunque no me atrevo a asegurarlo...
No se saltarme el antidebugger y sin eso no avanzo haber si alguien lo consigue y me ayuda un poco.

x4uth · 6 Marzo 2008, 14:28 PM

no esta empaquetado con nada, el Peid no reconoce los compiladores nuevos x eso te pone eso ... el antidebug que tiene es bastante sencillo, eso si .. como tu bien dices los plugins no sirven para nada pues es una proteccion poco habitual

solidcls · 6 Marzo 2008, 14:42 PM

Les doy una pista para hacerlo correr en Olly, en esta direccion:

00401122 FF15 A4324300 CALL DWORD PTR DS:[<&KERNEL32.VirtualAll>; kernel32.VirtualAlloc
00401128 8BC8 MOV ECX,EAX
0040112A 894D E8 MOV DWORD PTR SS:[EBP-18],ECX
0040112D C601 C3 MOV BYTE PTR DS:[ECX],0C3 ; <-- Cambiar el 0C3 por 90
00401130 C641 01 EB MOV BYTE PTR DS:[ECX+1],0EB

hay qeu cambiar el MOV BYTE PTR DS:[ECX],0C3
por:
MOV BYTE PTR DS:[ECX],90

de esta forma evitamos pasar por el ret que nos tira afuera

luego damos RUN y en lugar de parar en el RET parara en el NOP, luego SHIFT+F9 y sale corriendo sin problemas

ese truco lo uso mi amigo YODA en NTKrnl PROTECTOR

suerte.
solid.

R6ID · 6 Marzo 2008, 15:12 PM

Ok gracias tios la verdad es que siempre se aprenden cosas nuevas yo creia que me podia fiar del PEID para el tema de saber como estan empakados. De todas formas gracias a los 2 por vuestra ayuda.

Una cosa tambien podria cambiar ese ret por un nop ya que el resultado sera el mismo no???

pERICOTE · 17 Marzo 2008, 02:58 AM

Por ser vispera de semana santa, les dare una pista para que se salten la proteccion antidebug de una buena vez y no estar lidiando con excepciones ni lastimando los dedos de tanto shif+f9 para acceder a la dichosa ventanita.

00401199 |. FF55 E8 CALL DWORD PTR SS:[EBP-18] ; cambiar a jmp 004011bd
004011D8 . 807A 09 68 CMP BYTE PTR DS:[EDX+9],68 nopear
004011DC . 75 07 JNZ SHORT CrackMe0.004011E5 ; nopear

Guardan los cambios y listo, reabren el nuevo archivo y ya tienen el exe limpio de esas cosillas que dan dolor de cabeza a veces.

saludos.

pERICOTE · 17 Marzo 2008, 03:06 AM

Cita de: R6ID en 6 Marzo 2008, 15:12 PM
Ok gracias tios la verdad es que siempre se aprenden cosas nuevas yo creia que me podia fiar del PEID para el tema de saber como estan empakados. De todas formas gracias a los 2 por vuestra ayuda.

Una cosa tambien podria cambiar ese ret por un nop ya que el resultado sera el mismo no???

Reconozco que el PEID es muy bueno, pero sin las nuevas signaturas sirve de muy poco. Usen el Exeinfope en primer lugar y el RDG packer detector.

Por otro lado, en el crackme de marras si puedes cambiar directamente el ret por un nop, sin embargo no puedes parchear asi el exe porque el ret esta en una zona blanca de memoria.

pERICOTE · 12 Abril 2008, 02:51 AM

Nadinga, nadinga... vamos gente.

x4uth · 12 Abril 2008, 02:54 AM

Cita de: pERICOTE en 12 Abril 2008, 02:51 AM
Nadinga, nadinga... vamos gente.

eso , por lo menos postear en que os quedaisteis, seguramente alguien os podra ayudar