CrackMe3 by tena

Iniciado por tena, 11 Marzo 2006, 03:22 AM

0 Miembros y 4 Visitantes están viendo este tema.

tena

Cita de: anjz en 12 Marzo 2006, 14:52 PMY abajo el Olly me dice algo de pulsar SHIFT + F7 lo hago y la aplicación me suelta un error.

Anj, debes configurar el ollydbg de la siguiente manera: Te vas a "Debuggins Options" y en la parte de Excepciones tenes que tildar las opciones de "Ignore Memory access", "All FPU Ecxeptions" e "Ignare also Following" y en esta ultima le tenes que agregar las excepciones: 0EEDFADE, 80000004, C0000005 y C000008F.

Con eso el programa corre sin pararse en ninguna excepcion.

tena

#11
El nombre es de longitud 9 (y puede haber mas de uno) y  el serial se genera en funcion de...... :-X.........Pericote anda cerca y Crack_X muy cerca.

Para el serial Debes Fijarte como se genera, pues talves ya lo encontraste y lo probaste ( si es que encontraste el nombre ) y te preguntaras ¿Porque me dice INCORRECTO?

Como Dije antes Pericote esta cerca y Crack_X tambien.

PD: Esta herramienta que me hice les podria ayudar para sacar un nombre. Pero aun no les dire como.
www.freeuploader.com/view.php/130371.zip

Saludos y Suerte
                              TENA

- n0sEcReT -

Pues aqui va una ayudita para los que estan tratando de crackear este crackme , lo que explico en la imagen es para que cuando ejecutemos el crackme ,este mismo no detecte el OllyDBG y se cierre.
Creo que esto lo hace usando la siguiente API para buscar la ventana del Olly:

Private Declare Function FindWindow Lib "user32" Alias "FindWindowA" (ByVal lpClassName As String, ByVal lpWindowName As String) As Long

toma el texto de Label3 y busca si alguna ventana contiene ese texto o tambien puede ser que busque en la lista de procesos,eso los abe Tena nomas xD.




Al Winvi los pueden descargar desde http://www.winvi.de/es/ como tambien pueden usar otro editor hexadecimal.

Espero que les sea de ayuda...

Salu2 ! el Agente Naranja xD



anjz

Hola, gracias a todos.
He de decir que lo de hacer que ignore las excepciones:
CitarAnj, debes configurar el ollydbg de la siguiente manera: Te vas a "Debuggins Options" y en la parte de Excepciones tenes que tildar las opciones de "Ignore Memory access", "All FPU Ecxeptions" e "Ignare also Following" y en esta ultima le tenes que agregar las excepciones: 0EEDFADE, 80000004, C0000005 y C000008F.
hace que no me salte la excepcion, pero la aplicación finaliza.(Abajo a la derecha pone Terminated).

El Ollydbg Protegido, encontre un enlace que me lleva a la FTP de Ricardo Narvaja, pero parece ser que el archivo ya no se encuentra ahí.

Y el truco de nosecret, me ha parecido muy bueno (para aplicaciones que usen este metodo para reconocer a olly).

Lo que no entiendo es porque los plugins no me han funcionado.

tena

Cita de: anjz en 13 Marzo 2006, 10:57 AM
hace que no me salte la excepcion, pero la aplicación finaliza.(Abajo a la derecha pone Terminated).

Entonces funciona bien, debes eliminar el anti olly. Puedes hacerlo como Nosecret.

tena

 :o que pacho Fenano?  :huh: 
Nadinga nadinga.

anjz

 :-( Se demasiado poco como para hacer ninguna de las dos cosas que se piden a este crackme. :-\

Intenté cargarme la nag, y en vez de cargarme la nag me cargaba el form principal, jaja.
Y a la hora de intentar aunque sea parchear para que acepte cualquier serial, el problema es que no se en que exacto momento, me dice si esta bien o está mal. Cuando salta un msgbox o algo así es facil, porque se nota perfectamente el momento en que aparece. Pero como aqui lo unico que sucede es que la propiedad visible de la imagen se pone a true, pues no se exactamente cuando sucede.

He estado intentando a ver si podía cambiar las propiedades del form de la nag, para poner la propiedad visible a false, pero me he liado mucho ya que no es una simple linea que esté a 00 y haya que ponerla a 01, creo que cambian muchas mas cosas.

Crack_X

Alguien puede explicar como saltarse el nag de que se abra el 2do form. No encuentro como quitarlo  :(
Shit loads of money spend to show us wrong from right. Say no to war


Yasser Has Things To Say
WarZone

pERICOTE

Vemos que los programas en VB empiezan por un PUSH y un CALL anotar la dirección que esta enviando al stack, en este caso 40415C.
A esa dirección hay que sumarle 4C o sea
40415C + 4C 
igual a 4041A8
Allí esta, ahora buscamos la dirección que encontramos allí en 4041A8 que es 4041F8
Busquemos dicha direccion en el dump
Vemos entradas de 50 hexa de largo, cada una corresponde a un FORM, en cada una de esas partes el byte 24 (36 decimal) nos muestra el orden que tienen las forms para aparecer, veamos
4041F8+24=40421C
Allí esta el 00 significa que esa form es la primera que aparecerá y el 01 significa que es la segunda que aparecerá, así que podemos alterar el orden.
Ahí esta ahora lo primero que aparecerá será el programa jeje y la nag segundo o nunca ya que al cerrar el programa ya se cierra y no sale una segunda form.



;D ;D ;D

anjz

o_O desconocía ese truco.
Muchas gracías, muy bueno.