CrackMe3 by tena

tena · 11 Marzo 2006, 03:22 AM

Objetivo:
1-Eliminar la nag del comienzo
2-Encontrar el nombre y serial correcto.

http://www.freeuploader.com/view.php/129403.zip

Eliminaron la Nag y Parchearon el salto para que de siempre Correcto:
x4uth
OBERON CRACKER

pERICOTE · 11 Marzo 2006, 04:00 AM

A por la nag.... y por el ....

anjz · 12 Marzo 2006, 14:52 PM

Este crackme me tiene loco.
Parece como si estuviese empaquetado, pero el Peid me dice que no.
Coloco algunos breakpoint, pero no me sirve de nada, por mas que pulso F8 para seguir traceando el Olly no se mueve de la linea.
Y abajo el Olly me dice algo de pulsar SHIFT + F7 lo hago y la aplicación me suelta un error.
¿Que le has hecho tena????

OberonCracker · 12 Marzo 2006, 19:58 PM

Es porque tiene proteccion anti olly, por ello debes aprovisionarte de los plugins que lo ocultan para no tener problemas.

Bueno ya elimine la nag, y cambiando un solo salto lo he crackeado. Aunque debo confesar que el serial me esta costando.

Saludos

anjz · 12 Marzo 2006, 23:11 PM

He visto que el problema es por una call que llama a RaiseException

7C81EB2D FF15 0415807C CALL DWORD PTR DS:[<&ntdll.RtlRaiseExcep>; ntdll.RtlRaiseException

He probado a nopear la call y nada. Ademas que si nopeo la call e intento guardar los cambios, me sale como si estuviese modificando kernel32.dll en vez del exe.
Tengo el Plugin de IsDebugPresent, pero tampoco me lo soluciona.
¿Acaso hay otro plugin para evitar que Olly sea detectado?

Si alguien me puede decir que pasos a seguido para quitarse la Raiseexception de encima que me lo diga por favor.

pERICOTE · 12 Marzo 2006, 23:30 PM

HideDebugger v1.23f
IsDebug&ExtraHide
HideDBG
Con estos plugins tu olly sera una muralla, jejeje, y olvidate de de la RaiseException que es una excepcion generada justamente por la deteccion del debuger.
Revisa esta excelente pagina: http://www.ech2004.net/ver_noticias.php

pERICOTE · 12 Marzo 2006, 23:38 PM

Tena creo que tiene que precisar si tanto el nombre como el serial son unicos, o es que el serial se genera en funcion al nombre.
Ademas tambien deberias indicar si el serial es de siete digitos y si algo tiene que ver la api rtcGetTimeVar y la hora, minutos y seguntos del sistema... jejeje

Crack_X · 13 Marzo 2006, 01:09 AM

Lo he mirado por arriba y aunque yo no se mucho de esto puedo decir que usa FindWindowA para ver si el ollydbg esta abierto en caso de que este ahi produce el error o el anti-dbg. Cada ves que escribes una letra en el serial o en el nombre (uno de los dos) calcula un valor y con ese valor luego se calcula otro al darle al boton de Probar.

Xor u Or, uno de esos dos operadores se esta utilizando. Lo del nag se refiere a la ventanita que aparece diciendo "esto es un nag" ?

anjz · 13 Marzo 2006, 01:21 AM

Muy buena la pagina esa que recomendaste pERICOTE, pero a pesar de tener ya todos los plugins, no hay manera.
Me sigue saltando la raiseexception esa de las narices.
He probado todos.
No se muy bien, para que son muchas cosas.

En el HideDBG, uso la opcion HideAll, y no da resultado (tambien lo he probado usando una por una todas las opciones).

En el HideDebugger, he probado seleccionando todas las posibles protecciones, y tampoco da resultado. Al final hay una que pone Detach, he probado con ella activada y sin ella.

En el IsDebuggerPresent he probado con el extrahide y tampoco resulta.

Yo simplemente cargo la aplicacion en olly aplico cualquiera de las protecciones mencionadas antes, pulso F9 y en vez de ver la aplicacion ejecutandose, se me para justo una linea por debajo de la dichosa CALL que llama a raiseexception.

Mientras escribia esto he visto que Crack_X ha publicado una respuesta diciendo que usa FindWindowA, y he vuelto a probar a usar HideDebugger con la opcion de FindWindow activada, pero nada que no hay manera.

No se que pasa. Si alguien me puede echar una mano se lo agradecería.

OberonCracker · 13 Marzo 2006, 03:46 AM

Lo que recomendaria al amigo anjz:
1.- Bajate el OllyDbg protegido (El OllyDbg protegido para no ser detectado por packers como ExeCrypt y parecidos, solo es el EXE).
Lo unico que haras es colocar el exe en el directorio del olly y alli lo ejecutas (En mi caso mi directorio se llama PepeDbg y el referido exe Parcheado 4, su funcionalidad es la misma) se supone que no debe haber ningun con los plugins, los cuales deben estar debidamente instalados.
2.- Tambien puedes probar configurando el propio olly dando click en "Options" de la barra de tareas del olly luego en "Debuggin options" y despues en "Exceptions" y alli marcar todas las opciones para que el olly no pare en nignuna excepcion.
Espero que soluciones el problemita que tienes. Saludos y suerte.