CrackMe! By Reject.

CrackMe! #1 (http://reject.jino-net.ru/crackme.rar)

Описание:
Написан на VB, компилить в p-code не стал, ибо гемор и возится наврятле кто будет ) Суть всё тажа, распаковать,найти,пропатчи ть. Но вот пожалуй и всё. Удачи.

ошибка в сабже - при вводе любого сериала выводится мессага о правильно введенном...

ответ (пат4 + верный серийник) ушол в ПМ

ошибка в сабже - при вводе любого сериала выводится мессага о правильно введенном...
хм... странно, но все же ошибку не нашел)
спасибо что уделил внимания моему крякмису)

ошибка в сабже - при вводе любого сериала выводится мессага о правильно введенном...


аналогично
выводит:

You Serial Number is Valid :)!

аналогично
выводит:

You Serial Number is Valid :)!
хехе..это я строчки оказывается не правильно связал.. всё ясно)) спасибо.

Вот новый КрякМи. Опять же не для проффесионалов, а так для тренировки. Сложноcть я думаю тут ни в нахождении правильно рег. кода, а в распаковке. =)

Скачать (http://reject.jino-net.ru/crackme2.rar) .

Серийник есть.

Серийник есть.
Молодец :) В следущий раз придумаю что-нить посложнее.. :)

Какая сложность в распаковке? quick_unpack всё распоковывает.
Ксати, спасибо что напомнил надо скачать dat для сайса. Попробую распоковать вручную, может найду сложность.
Зря убрал ошибку в сабже интересно было её править, особенно потому что не знаю vba.

Какая сложность в распаковке? quick_unpack всё распоковывает.

Хехе, ну это ясно... имелось ввиду ручками распаковать, а ни автоанпакерами :)

upx чтоли, вот еслиб ты его "ручками" запоковал врядли анпакер сработал и тогда можно былб посидеть.
Яб без проблем распоковал ручками, но никак не могу softice поставить. Дома заменял три файла.
пару сисов и один дат. А тут ничего не проходит. Может дат устарел(там должны находится сведения о системе). Задолбался камп перегружать.

upx чтоли, вот еслиб ты его "ручками" запоковал врядли анпакер сработал и тогда можно былб посидеть.
Яб без проблем распоковал ручками, но никак не могу softice поставить. Дома заменял три файла.
пару сисов и один дат. А тут ничего не проходит. Может дат устарел(там должны находится сведения о системе). Задолбался камп перегружать.
Я же написал. Распаковывать ручками надо, а ни анпакерами! Какая польза тогда от этого вообще, что ты его анпакером распаковал, ключ хранится в открытом варианте и посмотреть я думаю его не составит труда. Вообщем я всё описал ранее...

Pushad
************
Popad
Jmp Eax

4то ж тут распаковывать руками?

http://www.cracklab.ru/art/?action=view&id=206
и все дела

NEW
Вот написал еще один крякми, взять можно тут (reject.jino-net.ru/cm.rar) .
Тут я думаю будет поинтересней)

Обновил не много... лежит тут (http://reject.jino-net.ru/cm.rar).

Reject, ты решил натаскать нас в распаковке? Чтож этот пакер мне ещё не встерчался. Действительно поинтересней.

Reject, ты решил натаскать нас в распаковке? Чтож этот пакер мне ещё не встерчался. Действительно поинтересней.
хехе, ну так решил попробывать, там я еще отключил функцию "антидебагинга"... ты её распаковал ? там дальше интересней будет)

Нет попозже, так быстро просмотрел. Ща времени нет, типовики и начерталка давят мне на психику ( а я еще регистрацию не делал =) ), какбы не выперли с универа.
Решу эти основные проблемы и приступлю к исследованию.

Нет попозже, так быстро просмотрел. Ща времени нет, типовики и начерталка давят мне на психику ( а я еще регистрацию не делал =) ), какбы не выперли с универа.
Решу эти основные проблемы и приступлю к исследованию.
Ок, буду ждать результатов)

Лан хрен с ними - типовиками, надо отдыхать!! =)
Если кто-нибудь знает какой-нибудь тутор по распаковке этого протектора, киньте ссылочку.
Извини что выкладываю ответ, но чёт никто ничего не пишет.

Запускаем программу и мы тут:
004050D4 > EB 01 JMP SHORT CrackMe_.004050D7

трассируем по f9.

программа запускается после вот этого:
004001C1 FFFF ??? ; Unknown command
004001C3 FFFF ??? ; Unknown command
004001C5 FFFF ??? ; Unknown command
004001C7 FFFF ??? ; Unknown command

Как всегда, ставим бряк на esp-4, доходим до этого места, Shift-F9, и мы тут:
00406ADA F7D2 NOT EDX ; ntdll.KiFastSystemCallRet
00406ADC 39C2 CMP EDX,EAX
00406ADE F7C0 74E7F921 TEST EAX,21F9E774
00406AE4 0FACC2 48 SHRD EDX,EAX,48 ; Shift constant out of range 1..31

Т.к. я знаю на чем ты кодишь(это тоже важная инфа), мне показался подозрительным следующий код:
00406B14 31C2 XOR EDX,EAX
00406B16 68 6A1E3E44 PUSH 443E1E6A
00406B1B 812C24 4E05FE43 SUB DWORD PTR SS:[ESP],43FE054E
00406B22 68 2C6B4000 PUSH CrackMe_.00406B2C
00406B27 -E9 A6A6FFFF JMP CrackMe_.004011D2 ; JMP to MSVBVM60.ThunRTMain

Чтобы убедится, что я прав распаковываем твой старый крякмис. И смотрим начало.
004011A4 68 78224000 PUSH CrackMe!.00402278
004011A9 E8 F0FFFFFF CALL CrackMe!.0040119E ; JMP to MSVBVM60.ThunRTMain
004011AE 0000 ADD BYTE PTR DS:[EAX],AL
004011B0 0000 ADD BYTE PTR DS:[EAX],AL
004011B2 0000 ADD BYTE PTR DS:[EAX],AL
Чтож так оно и есть. MSVBVM60.ThunRTMain должен находится в начале программы.
Я не сталкивался с этим потектором и подумал, что это спёртые байты(возможно так оно и есть).
Дошёл до JMP CrackMe_.004011D2 и зашёл в него.
Я оказался тут:
004011C0 .-FF25 58104000 JMP DWORD PTR DS:[401058] ; MSVBVM60.EVENT_SINK_QueryInterface
004011C6 .-FF25 40104000 JMP DWORD PTR DS:[401040] ; MSVBVM60.EVENT_SINK_AddRef
004011CC .-FF25 50104000 JMP DWORD PTR DS:[401050] ; MSVBVM60.EVENT_SINK_Release
004011D2 .-FF25 88104000 JMP DWORD PTR DS:[401088] ; MSVBVM60.ThunRTMain
004011D8 00 DB 00
004011D9 00 DB 00
004011DA 00 DB 00
004011DB 00 DB 00
004011DC 00 DB 00
004011DD 00 DB 00
004011DE 00 DB 00
004011DF 00 DB 00
Таблица импорта сразу понял я.

Поднявшись выше, я увидел:
00401166 $-FF25 44104000 JMP DWORD PTR DS:[401044] ; MSVBVM60.__vbaStrCmp
Хм, гдет я это видел =)

Ставим бряк на доступ.

снимаем бряк с esp-4, и по f9.
Прога запустилась.

Вводим в эдитконтрол "Я крут" =). И на кнопку.

00401166 $-FF25 44104000 JMP DWORD PTR DS:[401044] ; MSVBVM60.__vbaStrCmp

Смотрим в окошко пониже:
DS:[00401044]=660E8A03 (MSVBVM60.__vbaStrCmp)
Local call from 004026CA

Идём на 004026CA

Видим следующие строки:

004026BC . 50 PUSH EAX
004026BD . E8 B6EAFFFF CALL CrackMe_.00401178 ; JMP to MSVBVM60.__vbaHresultCheckObj
004026C2 > FF75 E8 PUSH DWORD PTR SS:[EBP-18]
004026C5 . 68 0C234000 PUSH CrackMe_.0040230C ; UNICODE "Unicode"
004026CA . E8 97EAFFFF CALL CrackMe_.00401166 ; JMP to MSVBVM60.__vbaStrCmp
004026CF . 8BF8 MOV EDI,EAX
004026D1 . 8D4D E8 LEA ECX,DWORD PTR SS:[EBP-18]
004026D4 . F7DF NEG EDI
004026D6 . 1BFF SBB EDI,EDI
004026D8 . 47 INC EDI

Чтож должен признаться UNICODE "Unicode" усыпило моё внимание, но не надолго.

1. vbaStrCmp - это единственный вызов.
2. гдет читал про троян, который шифрует файлы по их адресам(адрес в смысле путь).

Короче Unicode - это и есть пасс.

Registred!

Не плохо так все расписал... спасибо. Работал под Softice'ом ?
дальше прошу продолжить разговор здесь (http://forum.antichat.ru/thread28371.html) .