Mensajes

AnalizeThis hace lo mismo que el analizador de Olly (en realidad USA el analizador de Olly). El otro no se.

Creo que el plugin, toca la parte del context donde esta el listado de modulos cargados y agrega la direccion de la ventana de CPU (la que analizas). Asi, Olly cree que es una parte del modulo y permite el analisis.

No estoy seguro, pero me parece que es asi...

PD: estaria bueno que explicaras como hiciste para obtener el 2do, 3er y 4to check.

En Olly, seleccionar desde 402BAD hasta 402DAA. Hacer Binary Copy.
En Cryptool, pegar con Hex Decoding. Luego "Analysis"-"Aymmetric Encryption (classic"-"Ciphertext-Only"-"XOR-Vernam".
En la ventana que sale, colocar Derived key length en 32 y Expexted most common character en FF.
Asi, la clave sale sola. De la ventana de resultado, copiar todo como Hex encoding y en Olly hacer Binary Paste.

El codigo se muestra descifrado...  

Saludos!

si puedes has un tutorial y te felisito

No tengo tiempo. Voy posteando a medida que tengo tiempo, pero para un tute no llego... 

Perfecto, una duda más como funciona esto? me refiero a como trabaja el pluguins y por qué olly no lo hace sin pluguins?

Saludos

PD:ando muy curioso 

Reversea el codigo del plugin.... 

Yo tengo la 0.1. No creo que haga falta una nueva... 

Clave desencriptadora: 1B1C1D1F00402BAD00402DB411FFFFFF

Esta clave es la que se le pasa a la funcion que se encarga de descifrar el codigo (402CF1)

Los primeros 8 bytes (1B1C1D1F) los da el proggie (resultado que hay que obtener en EAX luego del CALL a 4028AF)
Los 8 bytes siguientes (00402BAD) son el resultado a obtener en la misma funcion anterior (2do check)
Los 8 bytes siguientes (00402DB4) son el resultado a obtener en la misma funcion (3er check)
Los ultimos 8 bytes (11FFFFFF) son el resultado a obtener en la misma funcion (4to check)

Todo esto sale gracias al analisis criptografico.

Como dije antes, ahora solo es cuestion de reversear la funcion 4028AF (o bruteforcearla) para que de los resultados expuestos (en base al serial de reg.txt).

Saludos!

PD: Las direcciones estan tomadas del EXE corregido.  

PD2: Ah!! El mensaje que sale es: CONGRATULATIONS!!! YOU COMPLETED THE CRACKME NOW WRITE A TUTORIAL 

Ni fasm ni masm compilan  Ensamblan.

Buehhh... ensamblan. A buen entendedor, pocas palabras.. 

Saludos!

Yo también añado que desde la Web oficial de Ricardo Narvaja no hay ningún virus. Puedes descargarlos sin problema.

+1

La funcion que descifra es alzanzada luego de los chequeos del serial.

Para el analisis anterior, usé IDA (ademas de Olly). Esta herramienta siempre debe estar presente!

Debo admitir que Fasm compila distinto a MASM, por eso se puede complicar un poco a la hora de analizar el inicio/fin de las funciones.

Noté que el compilador usa JMPs, aunque no se porque hace eso...

Sobre cryptool, no hara falta, dentro del bloque encryptado hay cadenas de texto... y sabiendo que son caracteres hexa... las posibilidades son muy pocas, manaualmente con un poco de tiempo se pueden deducir.

Asi es, el problema es el factor tiempo (o la falta de él  )

Saludos!

Bajate el plugin AnalizeThis, asumiendo que uses Olly 1.

Saludos!

Podrias tratar de meter la IAT dentro de la sección idata. Con un script de Olly, deberas redireccionar la tabla de saltos de la IAT a esa sección y, por supuesto, corregir los saltos de esta.

Invalid or compressed Image Export Directory

Fijate con LordPE que hay en el Export directory. Recuerda que siempre puedes meter secciones del exe original en el tuyo... 

Saludos!