Форум АНТИЧАТ - CrackMe! by Reject.

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Реверсинг (https://forum.antichat.xyz/forumdisplay.php?f=94)

- - CrackMe! by Reject. (https://forum.antichat.xyz/showthread.php?t=26998)

CrackMe! by Reject.

CrackMe! By Reject.

CrackMe! #1

Описание:
Написан на VB, компилить в p-code не стал, ибо гемор и возится наврятле кто будет ) Суть всё тажа, распаковать,найти,пропатчи ть. Но вот пожалуй и всё. Удачи.

ошибка в сабже - при вводе любого сериала выводится мессага о правильно введенном...

ответ (пат4 + верный серийник) ушол в ПМ

Цитата:

Сообщение от ProTeuS

ошибка в сабже - при вводе любого сериала выводится мессага о правильно введенном...

хм... странно, но все же ошибку не нашел)
спасибо что уделил внимания моему крякмису)

Цитата:

Сообщение от ProTeuS

ошибка в сабже - при вводе любого сериала выводится мессага о правильно введенном...

аналогично
выводит:

You Serial Number is Valid :)!

Цитата:

Сообщение от freddi

аналогично
выводит:

You Serial Number is Valid :)!

хехе..это я строчки оказывается не правильно связал.. всё ясно)) спасибо.

Вот новый КрякМи. Опять же не для проффесионалов, а так для тренировки. Сложноcть я думаю тут ни в нахождении правильно рег. кода, а в распаковке. =)

Скачать .

Серийник есть.

Цитата:

Сообщение от zeppe1in

Серийник есть.

Молодец :) В следущий раз придумаю что-нить посложнее.. :)

Какая сложность в распаковке? quick_unpack всё распоковывает.
Ксати, спасибо что напомнил надо скачать dat для сайса. Попробую распоковать вручную, может найду сложность.
Зря убрал ошибку в сабже интересно было её править, особенно потому что не знаю vba.

Цитата:

Сообщение от TAHA

Какая сложность в распаковке? quick_unpack всё распоковывает.

Хехе, ну это ясно... имелось ввиду ручками распаковать, а ни автоанпакерами :)

upx чтоли, вот еслиб ты его "ручками" запоковал врядли анпакер сработал и тогда можно былб посидеть.
Яб без проблем распоковал ручками, но никак не могу softice поставить. Дома заменял три файла.
пару сисов и один дат. А тут ничего не проходит. Может дат устарел(там должны находится сведения о системе). Задолбался камп перегружать.

Цитата:

Сообщение от TAHA

Я же написал. Распаковывать ручками надо, а ни анпакерами! Какая польза тогда от этого вообще, что ты его анпакером распаковал, ключ хранится в открытом варианте и посмотреть я думаю его не составит труда. Вообщем я всё описал ранее...

Pushad
************
Popad
Jmp Eax

4то ж тут распаковывать руками?

http://www.cracklab.ru/art/?action=view&id=206
и все дела

NEW
Вот написал еще один крякми, взять можно тут .
Тут я думаю будет поинтересней)

Обновил не много... лежит тут.

Reject, ты решил натаскать нас в распаковке? Чтож этот пакер мне ещё не встерчался. Действительно поинтересней.

Цитата:

Сообщение от TAHA

хехе, ну так решил попробывать, там я еще отключил функцию "антидебагинга"... ты её распаковал ? там дальше интересней будет)

Нет попозже, так быстро просмотрел. Ща времени нет, типовики и начерталка давят мне на психику ( а я еще регистрацию не делал =) ), какбы не выперли с универа.
Решу эти основные проблемы и приступлю к исследованию.

Цитата:

Сообщение от taha

Ок, буду ждать результатов)

Лан хрен с ними - типовиками, надо отдыхать!! =)
Если кто-нибудь знает какой-нибудь тутор по распаковке этого протектора, киньте ссылочку.
Извини что выкладываю ответ, но чёт никто ничего не пишет.

Запускаем программу и мы тут:

Код:

004050D4 > EB 01 JMP SHORT CrackMe_.004050D7

трассируем по f9.

программа запускается после вот этого:

Код:

004001C1   FFFF             ???                                      ; Unknown command

004001C3   FFFF             ???                                      ; Unknown command

004001C5   FFFF             ???                                      ; Unknown command

004001C7   FFFF             ???                                      ; Unknown command

Как всегда, ставим бряк на esp-4, доходим до этого места, Shift-F9, и мы тут:

Код:

00406ADA   F7D2             NOT EDX                                  ; ntdll.KiFastSystemCallRet

00406ADC   39C2             CMP EDX,EAX

00406ADE   F7C0 74E7F921    TEST EAX,21F9E774

00406AE4   0FACC2 48        SHRD EDX,EAX,48                          ; Shift constant out of range 1..31

Т.к. я знаю на чем ты кодишь(это тоже важная инфа), мне показался подозрительным следующий код:

Код:

00406B14   31C2             XOR EDX,EAX

00406B16   68 6A1E3E44      PUSH 443E1E6A

00406B1B   812C24 4E05FE43  SUB DWORD PTR SS:[ESP],43FE054E

00406B22   68 2C6B4000      PUSH CrackMe_.00406B2C

00406B27  -E9 A6A6FFFF      JMP CrackMe_.004011D2                    ; JMP to MSVBVM60.ThunRTMain

Чтобы убедится, что я прав распаковываем твой старый крякмис. И смотрим начало.

Код:

004011A4   68 78224000      PUSH CrackMe!.00402278

004011A9   E8 F0FFFFFF      CALL CrackMe!.0040119E                   ; JMP to MSVBVM60.ThunRTMain

004011AE   0000             ADD BYTE PTR DS:[EAX],AL

004011B0   0000             ADD BYTE PTR DS:[EAX],AL

004011B2   0000             ADD BYTE PTR DS:[EAX],AL

Чтож так оно и есть. MSVBVM60.ThunRTMain должен находится в начале программы.
Я не сталкивался с этим потектором и подумал, что это спёртые байты(возможно так оно и есть).
Дошёл до JMP CrackMe_.004011D2 и зашёл в него.
Я оказался тут:

Код:

004011C0   .-FF25 58104000  JMP DWORD PTR DS:[401058]                ;  MSVBVM60.EVENT_SINK_QueryInterface

004011C6   .-FF25 40104000  JMP DWORD PTR DS:[401040]                ;  MSVBVM60.EVENT_SINK_AddRef

004011CC   .-FF25 50104000  JMP DWORD PTR DS:[401050]                ;  MSVBVM60.EVENT_SINK_Release

004011D2   .-FF25 88104000  JMP DWORD PTR DS:[401088]                ;  MSVBVM60.ThunRTMain

004011D8     00             DB 00

004011D9     00             DB 00

004011DA     00             DB 00

004011DB     00             DB 00

004011DC     00             DB 00

004011DD     00             DB 00

004011DE     00             DB 00

004011DF     00             DB 00

Таблица импорта сразу понял я.

Поднявшись выше, я увидел:

Код:

00401166 $-FF25 44104000 JMP DWORD PTR DS:[401044] ; MSVBVM60.__vbaStrCmp

Хм, гдет я это видел =)

Ставим бряк на доступ.

снимаем бряк с esp-4, и по f9.
Прога запустилась.

Вводим в эдитконтрол "Я крут" =). И на кнопку.

Код:

00401166 $-FF25 44104000 JMP DWORD PTR DS:[401044] ; MSVBVM60.__vbaStrCmp

Смотрим в окошко пониже:

Код:

DS:[00401044]=660E8A03 (MSVBVM60.__vbaStrCmp)

Local call from 004026CA

Идём на 004026CA

Видим следующие строки:

Код:

004026BC   . 50             PUSH EAX

004026BD   . E8 B6EAFFFF    CALL CrackMe_.00401178                   ;  JMP to MSVBVM60.__vbaHresultCheckObj

004026C2   > FF75 E8        PUSH DWORD PTR SS:[EBP-18]

004026C5   . 68 0C234000    PUSH CrackMe_.0040230C                   ;  UNICODE "Unicode"

004026CA   . E8 97EAFFFF    CALL CrackMe_.00401166                   ;  JMP to MSVBVM60.__vbaStrCmp

004026CF   . 8BF8           MOV EDI,EAX

004026D1   . 8D4D E8        LEA ECX,DWORD PTR SS:[EBP-18]

004026D4   . F7DF           NEG EDI

004026D6   . 1BFF           SBB EDI,EDI

004026D8   . 47             INC EDI

Чтож должен признаться UNICODE "Unicode" усыпило моё внимание, но не надолго.

1. vbaStrCmp - это единственный вызов.
2. гдет читал про троян, который шифрует файлы по их адресам(адрес в смысле путь).

Короче Unicode - это и есть пасс.

Registred!

Не плохо так все расписал... спасибо. Работал под Softice'ом ?
дальше прошу продолжить разговор здесь .