elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  CrackMe05 by x4uth
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: [1] 2 3 4 Ir Abajo Respuesta Imprimir
Autor Tema: CrackMe05 by x4uth  (Leído 15,363 veces)
x4uth

Desconectado Desconectado

Mensajes: 88


Ver Perfil
CrackMe05 by x4uth
« en: 3 Marzo 2008, 01:18 am »

Objetivos:
- Encontrar una clave valida
- Escribir un tutorial
Compilador:
MS VC++ 2005
Descarga:
CrackMe05.rar

Solucionado por susanalic el 24/08/08 (tutorial)
« Última modificación: 28 Agosto 2008, 23:07 pm por x4uth » En línea

karmany
Moderador
***
Desconectado Desconectado

Mensajes: 1.615


Sueñas que sueñas


Ver Perfil WWW
Re: CrackMe05 by x4uth
« Respuesta #1 en: 5 Marzo 2008, 22:42 pm »

Muchas gracias x4uth por tu siempre colaboración.
Ya he añadido tu crackme en "Crackmes y tutoriales" y he guardado el Crackme05.

A ver si alguien se anima.
Un saludo
En línea

R6ID

Desconectado Desconectado

Mensajes: 9



Ver Perfil
Re: CrackMe05 by x4uth
« Respuesta #2 en: 6 Marzo 2008, 13:23 pm »

Muy buen crackme y muy dificil:

*Proteccion(por lo menos lo que yo he visto): Usa el UPolyX v0.5 y antidebugger bastante potente ya que he probado muchos plugins para oculta el olly y me sigue detectando.

Despues de probar haber que hacia he conseguido quitar el UPolyX o por lo menos eso dice el PEID. Aunque no me atrevo a asegurarlo...
No se saltarme el antidebugger y sin eso no avanzo haber si alguien lo consigue y me ayuda un poco.

« Última modificación: 6 Marzo 2008, 13:25 pm por R6ID » En línea

x4uth

Desconectado Desconectado

Mensajes: 88


Ver Perfil
Re: CrackMe05 by x4uth
« Respuesta #3 en: 6 Marzo 2008, 14:28 pm »

no esta empaquetado con nada, el Peid no reconoce los compiladores nuevos x eso te pone eso ... el antidebug   que tiene es bastante sencillo, eso si .. como tu bien dices los plugins no sirven para nada pues es una proteccion poco habitual
En línea

solidcls

Desconectado Desconectado

Mensajes: 72


Ver Perfil
Re: CrackMe05 by x4uth
« Respuesta #4 en: 6 Marzo 2008, 14:42 pm »

Les doy una pista para hacerlo correr en Olly, en esta direccion:

00401122    FF15 A4324300   CALL DWORD PTR DS:[<&KERNEL32.VirtualAll>; kernel32.VirtualAlloc
00401128    8BC8            MOV ECX,EAX
0040112A    894D E8         MOV DWORD PTR SS:[EBP-18],ECX
0040112D    C601 C3         MOV BYTE PTR DS:[ECX],0C3                ; <-- Cambiar el 0C3  por  90
00401130    C641 01 EB      MOV BYTE PTR DS:[ECX+1],0EB


hay qeu cambiar el MOV BYTE PTR DS:[ECX],0C3
por:
MOV BYTE PTR DS:[ECX],90

de esta forma evitamos pasar por el ret que nos tira afuera

luego damos RUN y en lugar de parar en el RET parara en el NOP, luego SHIFT+F9 y sale corriendo sin problemas ;)
ese truco lo uso mi amigo YODA en NTKrnl PROTECTOR

suerte.
solid.
En línea

Solid [CrAcKsLaTiNoS]
R6ID

Desconectado Desconectado

Mensajes: 9



Ver Perfil
Re: CrackMe05 by x4uth
« Respuesta #5 en: 6 Marzo 2008, 15:12 pm »

Ok gracias tios la verdad es que siempre se aprenden cosas nuevas yo creia que me podia fiar del PEID para el tema de saber como estan empakados. De todas formas gracias a los 2 por vuestra ayuda. ;D ;D

Una cosa tambien podria cambiar ese ret por un nop ya que el resultado sera el mismo no???
« Última modificación: 6 Marzo 2008, 15:21 pm por R6ID » En línea

pERICOTE

Desconectado Desconectado

Mensajes: 131



Ver Perfil
Re: CrackMe05 by x4uth
« Respuesta #6 en: 17 Marzo 2008, 02:58 am »

Por ser vispera de semana santa, les dare una pista para que se salten la proteccion antidebug de una buena vez y no estar lidiando con excepciones ni lastimando los dedos de tanto shif+f9 para acceder a la dichosa ventanita.  ;D ;D ;D

00401199  |.  FF55 E8       CALL DWORD PTR SS:[EBP-18]   ;  cambiar a jmp 004011bd
004011D8   .  807A 09 68    CMP BYTE PTR DS:[EDX+9],68    nopear
004011DC   .  75 07         JNZ SHORT CrackMe0.004011E5  ;  nopear

Guardan los cambios y listo, reabren el nuevo archivo y ya tienen el exe limpio de esas cosillas que dan dolor de cabeza a veces.  ;D ;D ;D saludos.

En línea

pERICOTE

Desconectado Desconectado

Mensajes: 131



Ver Perfil
Re: CrackMe05 by x4uth
« Respuesta #7 en: 17 Marzo 2008, 03:06 am »

Ok gracias tios la verdad es que siempre se aprenden cosas nuevas yo creia que me podia fiar del PEID para el tema de saber como estan empakados. De todas formas gracias a los 2 por vuestra ayuda. ;D ;D

Una cosa tambien podria cambiar ese ret por un nop ya que el resultado sera el mismo no???

Reconozco que el PEID es muy bueno, pero sin las nuevas signaturas sirve de muy poco. Usen el Exeinfope en primer lugar y el RDG packer detector.

Por otro lado, en el crackme de marras si puedes cambiar directamente el ret por un nop, sin embargo no puedes parchear asi el exe porque el ret esta en una zona blanca de memoria.
En línea

pERICOTE

Desconectado Desconectado

Mensajes: 131



Ver Perfil
Re: CrackMe05 by x4uth
« Respuesta #8 en: 12 Abril 2008, 02:51 am »

Nadinga, nadinga... vamos gente.
 ;D ;D ;D
En línea

x4uth

Desconectado Desconectado

Mensajes: 88


Ver Perfil
Re: CrackMe05 by x4uth
« Respuesta #9 en: 12 Abril 2008, 02:54 am »

Nadinga, nadinga... vamos gente.
 ;D ;D ;D


eso , por lo menos postear en que os quedaisteis, seguramente alguien os podra ayudar
En línea

Páginas: [1] 2 3 4 Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines