Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Реверсинг (https://forum.antichat.xyz/forumdisplay.php?f=94)
-   -   HidCrackMeImp (https://forum.antichat.xyz/showthread.php?t=30521)

hidden 04.01.2007 01:06
HidCrackMeImp
 
Вложений: 1
Вот мой новый крякми, должен быть интерестным, и не слишком простым, во всяком случае необычным ;)

Язык: fasm
Защита: Зашифрован и разшифровователь метоморфиторован.
Нововведение: Интерфейс и Импортер
Прошли:
1) ProTeuS
2) Ra$cal
3) TAHA

После егистрации в заголовке должно появится Registred

ProTeuS 04.01.2007 01:36
00401720 837d 0c 02 Cmp Dword Ptr Ss:[ebp+c],2

по видимому, проверка здесь

hidden 04.01.2007 01:41
Цитата:
Сообщение от ProTeuS
00401720 837d 0c 02 Cmp Dword Ptr Ss:[ebp+c],2

по видимому, проверка здесь
Неа... Это одработчик WM_DESTROY ;)
А вообще это не звучит как ключь или патчь ;)

ProTeuS 04.01.2007 01:48
ага, уже вижу 4то там код обработ4иком нажатий, пертастикания мыши етц

>>А вообще это не звучит как ключь или патчь
ага, мы пока обсуждаем, не вертолеты, епт )

ProTeuS 04.01.2007 01:49
>>Защита: Зашифрован и разшифровователь метоморфиторован.
хых, hidden, это называется декриптор )

ЗЫ: 4ето я там только СМК видил, никаких метаморфных мутаций...

hidden 04.01.2007 02:00
Цитата:
Сообщение от ProTeuS
ЗЫ: 4ето я там только СМК видил, никаких метаморфных мутаций...
Это потому-что у тебя только одна версия, после перекомпиляции, было бы уже подругома, хотя это не столь важно для крякми :)

ProTeuS 04.01.2007 02:04
слабо верится )
лан...

ну вроде тут какие-то замысловатые проверки

00401598 EX D0000000 JNZ HidCreck.0040166D

taha 04.01.2007 02:05
посл вот этой функции:
00401009 E8 02040000 CALL HidCreck.00401410
подгрузились новые библиотеки и я понял что нужна туды зайти

Код:
00401421  AC              LODS BYTE PTR DS:[ESI]
00401422  3C FD            CMP AL,0FD
00401424  77 33            JA SHORT HidCreck.00401459
00401426  74 2D            JE SHORT HidCreck.00401455
00401428  88C4            MOV AH,AL
0040142A  FF76 FF          PUSH DWORD PTR DS:[ESI-1]
0040142D  FF36            PUSH DWORD PTR DS:[ESI]
0040142F  57              PUSH EDI
00401430  E8 30FFFFFF      CALL HidCreck.00401365
00401435  75 07            JNZ SHORT HidCreck.0040143E
00401437  50              PUSH EAX
00401438  57              PUSH EDI
00401439  E8 77FFFFFF      CALL HidCreck.004013B5
0040143E  66:8338 8B      CMP WORD PTR DS:[EAX],0FF8B
00401442  75 03            JNZ SHORT HidCreck.00401447
00401444  83C0 02          ADD EAX,2
00401447  83E8 04          SUB EAX,4
0040144A  29F0            SUB EAX,ESI
0040144C  C646 FF E9      MOV BYTE PTR DS:[ESI-1],0E9
00401450  8906            MOV DWORD PTR DS:[ESI],EAX
00401452  AD              LODS DWORD PTR DS:[ESI]
00401453  ^EB CC            JMP SHORT HidCreck.00401421
Подгружает библиотеки и функции. Если бряк по середине поставить и жать f9 то в eax адреса функций. Просмотрел подгружаемыые апи пока ни чего подозрительного.

hidden 04.01.2007 02:11
Цитата:
Сообщение от ProTeuS
слабо верится )
лан...

ну вроде тут какие-то замысловатые проверки

00401598 EX D0000000 JNZ HidCreck.0040166D
Эти "замысловатые проверки" :) проверяют, находится ли точка внутри прямоугольника.

ProTeuS 04.01.2007 02:28
я был прав )
завтра продолжим - заодно народу поприбавится

Ra$cal 04.01.2007 04:01
Весёлый крякми. Я registred =)

taha 04.01.2007 17:09
уффух, крякнул!!
hidden's CrackMe registred

третье место моё.
уряяяяяя)))

taha 04.01.2007 22:11
hidden, если тебе интерсно, могу сказать над чем вчера бился. Думаю другим будет тоже полезно. Так вот в своём первом посте я показал где hidden ищет смещение функций, так вот он пропускает mov edi,edi. Если пронопить add eax,2h, то смещение будет к первому байту апи.
И олька будет показывать куда ведёт jmp. Бился я над автоматизацией процесса.

Таблица:
0040128A -E9 4BBB417C JMP kernel32.ExitProcess
...
00401352 -E9 404AB177 JMP GDI32.SetTextColor

Но как только я узнал, что у Протиуса уже начали вырисовываться квадратики я забил на это неблагодарное дело. И начал реверсить...

Вот теперь решил вернуться к скрипту))) Естественно улучшил его, теперь он call'ы редактирует. И теперь ненадо по ним ходить.

Код:
        var vesp
        var xx

        sti
        FINDOP eip,#E92A#
        bp $RESULT
        run
        bc $RESULT
        bp 00401BF0
        run
        bc 00401BF0
        sto
        sto
        sto
        sto
        sti
        asm 00401444,"nop"
        asm 00401445,"nop"
        asm 00401446,"nop"
        bp 0040100E
        run
        bc 0040100E
        var AddrJmp
        mov AddrJmp,0040128A
        sub AddrJmp,5
metka1:
        add AddrJmp,5
        bp AddrJmp
        cmp AddrJmp,00401352
        jne metka1
        run
back:
        mov vesp,[esp]
        bp vesp
        sto
        mov xx,eip
        sub xx,vesp
        sub vesp,4
        mov [vesp],xx
        run
        bc eip
        run
        jmp back
Адреса естественно свои должны стоять))


Время: 02:32