 Autor
|
Tema: CrackMe3 by tena (Leído 10,629 veces)
|
tena
 Desconectado
Mensajes: 668
|
Objetivo: 1-Eliminar la nag del comienzo 2-Encontrar el nombre y serial correcto. http://www.freeuploader.com/view.php/129403.zipEliminaron la Nag y Parchearon el salto para que de siempre Correcto:x4uth
OBERON CRACKER |
|
|
|
« Última modificación: 13 Marzo 2006, 06:47 am por tena »
|
En línea
|
|
|
|
pERICOTE
Desconectado
Mensajes: 131
|
|
|
|
|
|
En línea
|
|
|
|
anjz
Desconectado
Mensajes: 34
|
Este crackme me tiene loco. Parece como si estuviese empaquetado, pero el Peid me dice que no. Coloco algunos breakpoint, pero no me sirve de nada, por mas que pulso F8 para seguir traceando el Olly no se mueve de la linea. Y abajo el Olly me dice algo de pulsar SHIFT + F7 lo hago y la aplicación me suelta un error. ¿Que le has hecho tena????  |
|
|
|
|
En línea
|
|
|
|
OberonCracker
Desconectado
Mensajes: 46
|
Es porque tiene proteccion anti olly, por ello debes aprovisionarte de los plugins que lo ocultan para no tener problemas.
Bueno ya elimine la nag, y cambiando un solo salto lo he crackeado. Aunque debo confesar que el serial me esta costando.
Saludos
|
|
|
|
|
En línea
|
|
|
|
anjz
Desconectado
Mensajes: 34
|
He visto que el problema es por una call que llama a RaiseException
7C81EB2D FF15 0415807C CALL DWORD PTR DS:[<&ntdll.RtlRaiseExcep>; ntdll.RtlRaiseException
He probado a nopear la call y nada. Ademas que si nopeo la call e intento guardar los cambios, me sale como si estuviese modificando kernel32.dll en vez del exe.
Tengo el Plugin de IsDebugPresent, pero tampoco me lo soluciona.
¿Acaso hay otro plugin para evitar que Olly sea detectado?
Si alguien me puede decir que pasos a seguido para quitarse la Raiseexception de encima que me lo diga por favor.
|
|
|
|
|
En línea
|
|
|
|
pERICOTE
Desconectado
Mensajes: 131
|
HideDebugger v1.23f IsDebug&ExtraHide HideDBG Con estos plugins tu olly sera una muralla, jejeje, y olvidate de de la RaiseException que es una excepcion generada justamente por la deteccion del debuger. Revisa esta excelente pagina: http://www.ech2004.net/ver_noticias.php |
|
|
|
|
En línea
|
|
|
|
pERICOTE
Desconectado
Mensajes: 131
|
Tena creo que tiene que precisar si tanto el nombre como el serial son unicos, o es que el serial se genera en funcion al nombre. Ademas tambien deberias indicar si el serial es de siete digitos y si algo tiene que ver la api rtcGetTimeVar y la hora, minutos y seguntos del sistema... jejeje  |
|
|
|
|
En línea
|
|
|
|
Crack_X
Anti-War
Ex-Staff
Desconectado
Mensajes: 2.322
Peace & Love
|
Lo he mirado por arriba y aunque yo no se mucho de esto puedo decir que usa FindWindowA para ver si el ollydbg esta abierto en caso de que este ahi produce el error o el anti-dbg. Cada ves que escribes una letra en el serial o en el nombre (uno de los dos) calcula un valor y con ese valor luego se calcula otro al darle al boton de Probar.
Xor u Or, uno de esos dos operadores se esta utilizando. Lo del nag se refiere a la ventanita que aparece diciendo "esto es un nag" ?
|
|
|
|
|
En línea
|
|
|
|
anjz
Desconectado
Mensajes: 34
|
Muy buena la pagina esa que recomendaste pERICOTE, pero a pesar de tener ya todos los plugins, no hay manera.
Me sigue saltando la raiseexception esa de las narices.
He probado todos.
No se muy bien, para que son muchas cosas.
En el HideDBG, uso la opcion HideAll, y no da resultado (tambien lo he probado usando una por una todas las opciones).
En el HideDebugger, he probado seleccionando todas las posibles protecciones, y tampoco da resultado. Al final hay una que pone Detach, he probado con ella activada y sin ella.
En el IsDebuggerPresent he probado con el extrahide y tampoco resulta.
Yo simplemente cargo la aplicacion en olly aplico cualquiera de las protecciones mencionadas antes, pulso F9 y en vez de ver la aplicacion ejecutandose, se me para justo una linea por debajo de la dichosa CALL que llama a raiseexception.
Mientras escribia esto he visto que Crack_X ha publicado una respuesta diciendo que usa FindWindowA, y he vuelto a probar a usar HideDebugger con la opcion de FindWindow activada, pero nada que no hay manera.
No se que pasa. Si alguien me puede echar una mano se lo agradecería.
|
|
|
|
|
En línea
|
|
|
|
OberonCracker
Desconectado
Mensajes: 46
|
Lo que recomendaria al amigo anjz:
1.- Bajate el OllyDbg protegido (El OllyDbg protegido para no ser detectado por packers como ExeCrypt y parecidos, solo es el EXE).
Lo unico que haras es colocar el exe en el directorio del olly y alli lo ejecutas (En mi caso mi directorio se llama PepeDbg y el referido exe Parcheado 4, su funcionalidad es la misma) se supone que no debe haber ningun con los plugins, los cuales deben estar debidamente instalados.
2.- Tambien puedes probar configurando el propio olly dando click en "Options" de la barra de tareas del olly luego en "Debuggin options" y despues en "Exceptions" y alli marcar todas las opciones para que el olly no pare en nignuna excepcion.
Espero que soluciones el problemita que tienes. Saludos y suerte.
|
|
|
|
|
En línea
|
|
|
|
|
 |
