Foro de elhacker.net

.

Hola!

El exe está compilado sin soporte para XP. Como tengo pocas tooles en la VM con Seven, me da 989898 mirarlo ahí. Podrías darle soporte para XP?  :P

Saludos!

Claro!

Acabo de compilar, y lo he probado en mi VM con XP SP3 x86.

https://mega.co.nz/#!ZZFHzCpa!jJRLsVRPSvh6ebO7lBpkCz2yt_Fl3FkJhlgL0mbfRO0 (https://mega.co.nz/#!ZZFHzCpa!jJRLsVRPSvh6ebO7lBpkCz2yt_Fl3FkJhlgL0mbfRO0)

Hola!

Gracias por la recompilada. Voy a tratar de mirarlo este finde, si hago tiempo. Ya veremos de qué se trata...  ;)

Saludos!

EDIT: Me hice un tiempito y lo miré. Con un HBP quitamos la proteccion antiVM de Enigma y podemos correr el soft sin problemas (no hace falta desempacar).

Dejo mi programa que cifra en python (no hago el descifra por falta de tiempo y F1ACA):

#!/usr/bin/env python
 
import sys
import os
import random
import struct
 
def randdw ():
    return struct.pack('<B',random.randrange(0,255)) + struct.pack('<B',random.randrange(0,255)) + struct.pack('<B',random.randrange(0,255)) + struct.pack('<B',random.randrange(0,255))
 
def checksum (cadena):
    i = 0
    chksum = 0
    for x in cadena:
        chksum *= 101
        chksum += ord(x)
    return struct.pack('<L', chksum & 0xFFFFFFFF)
 
def encrypt(fin, fout):
    f = open(fin, 'rb')
    buff = f.read()
    f.close()
    dw1 = randdw()
    dw2 = randdw()
    largo = len(buff)
    resto = largo % 8
    if resto != 0:
        buff += '\x00' * (8-resto)
    chksum = checksum(buff)
    i = 0
    buff2 = ''
    for j in range (0, len(buff)):
        n1 = (ord(dw1[i]) ^ 0xFF)# - 1
        n2 = (ord(buff[j]) ^ 0xFF)# - 1
        buff2 += struct.pack('<B',n1 ^ n2)
        i += 1
        if i == 4:
            i = 0
    i = 0
    buff3=''
    for j in range (0, len(buff2)):
        n1 = (ord(dw2[i]) ^ 0xFF) #- 1
        buff3 += struct.pack('<B',ord(buff2[j]) ^ (n1 ^ ord(dw1[i])))
        i += 1
        if i == 4:
            i = 0
    header = dw1 + dw2 + chksum + struct.pack('<L', largo)  #Estructura del archivo: Header + Data
    finalheader = ''
    for j in range (0, 16):
        sar = (0xABCDEF00 >> (8 * (4 - ((j + 1) % 4)))) & 0xFF
        finalheader += struct.pack('<B', ord(header[j]) ^ ord(struct.pack('<B', sar)))
    f = open(fout, 'wb')
    f.write(finalheader + buff3)
    f.close()
    print fin + ' encrypted into ' + fout
 
def decrypt(fin, fout):
    print 'Too much 989898. This should decrypt ' + fin + ' into ' + fout
    print "It's the oposite of encrypt anyway ;)"
 
def usage():
    print 'Usage:'
    print 'hkfuzzer.py [option] fileIN fileOUT'
    print 'option values:'
    print '    e : Encrypt fileIN into fileOUT. If fileOUT exists, will be overwritten.'
    print '    d : Dencrypt fileIN into fileOUT. If fileOUT exists, will be overwritten.'
    print 'Sample 1: Encrypt a.txt into b.txt'
    print '        hkfuzzer.py e a.txt b.txt'
    print 'Sample 2: Dencrypt b.txt into c.txt'
    print '        hkfuzzer.py d b.txt c.txt'
 
if __name__ == '__main__':
    args=[]
    brutus = False
    largs = sys.argv
    for x in largs:
        args.append(x.lower())
    brutus &= len(largs) != 4
    brutus &= (args[1] != 'e') or (args[1] != 'd')
    brutus &= os.path.exists(args[2]) and os.path.isfile(args[2])
    if brutus:
        usage()
    else:
        if (os.path.exists(args[3]) and os.path.isfile(args[3])):
            os.remove(args[3])
        if args[1] == 'e':
            encrypt(args[2], args[3])
        else:
            decrypt(args[2], args[3])
 

.

Abrí el exe con Olly (y un par de plugines) en una VM con XP.

Lo primero fue hacer que corra enigma en una VM, lo cual se soluciona cambiando el valor de compara al momento de detectar VMWare (la técnica del "IN").

Una vez que el EXE corría, sólo basta con ver el ASM. Es bastante straightforward la cosa.

Incluso, para corroborar algunas cosas, desempaque el exe (a medias, pues la IAT no estaba 100% terminada), pero para ver las funciones importantes en IDA fue suficiente.

De todas formas, el algoritmo lo saqué desde Olly. IDA sólo lo usé para ver "cómo se veía" decompilado.

Saludos!

Excelente trabajo...

Si fueses tú el que pone el reto, qué habrías cambiado para hacerlo más difícil?

Creo que el nivel de "maldad" en un crackme depende directamente del tiempo empleado en el mismo. Mayor tiempo = mayor dificultad.

Por lo pronto, creo que hacer la rutina mucho mas larga, compleja (y tediosa) haría una gran diferencia.

Siempre hay que tener en cuenta que la finalidad no es hacer algo incrackeable, sino que sea lo suficientemente "hostil", aburrido y tedioso como para tomarse el tiempo en resolverlo.

Por supuesto, si hay determinación, no hay mucho por hacer (así se han roto los packers más complejos, no?)  :P

Saludos!

Entonces...

Mi próximo crackme estará escrito en asm, así puedo pasar del asm genérico que genera VS2013, y le dedicaré más tiempo, a ver si así al menos no está chupado de crackear. Gracias por el consejo.

Saludos!

MCKSys es un monstruo, yo le he retado en varias ocasiones con crackmes y me los resuelve todos practicamente. Te aconsejo que trabajes un buen crackme con alguna rutina de generación de serial o keyfile. Añadas alguna protección antidebug (las más jodidas son las basadas en ticks o timming) y luego lo enmascares todo con una buena VM y/o Packer.

Suerte!

Ya, ya me he revisado algunos de sus posts (y también hubo algún crackme tuyo), y veo que no se le resiste nada...

Así que nada, gracias por el consejo, pero antes de hacer crackmes, aprenderé a crackearlos (mi nivel de unpacker es... muy bajo). Así tendré claro qué es lo más jodido que hay, y podré hacer crackmes buenos.

Saludos!

MCKSys Argentina, por cierto a que te refieres con "IN" podrías explicar este truco?

SHOUT: No creo que sea muy entretenido un packer muy difícil, entretenido es la habilidad del reversing ya que muchos se aburren intentando desempaquetar por lo cual prefieren no aceptar el reto, saludos y excelente reto  ;-).

Sería algo como esto (detección del Hypervisor de VMWare):

function IsInsideVMware: Boolean;
begin
  Result := True;
 
  try
    asm
      push edx;
      push ecx;
      push ebx;
 
      mov eax, 'VMXh';
      mov ebx, 0;
      mov ecx, 10;
      mov edx, 'VX';
 
      in eax, dx;
 
      cmp ebx, 'VMXh';
      setz [Result];
 
      pop ebx;
      pop ecx;
      pop edx;
    end;
  except
    Result := False;
  end;
end;
 

Lo que se busca es el 'VMXh' o el 'VX'. En el caso de Enigma, copia el string 'VMXh' en la sección .data y luego lo compara con lo devuelto por el comando IN. Creo que hace eso para ocultar la comparación. De todas formas, entre una cosa y otra hay varias instrucciones, lo que te permite buscar el valor en memoria, cambiarlo y chau detección...  :P

Saludos!

EDIT:

Me olvidé de decir que esta detección se puede quitar desde el mismo VMWare (editando el .vmx): click (http://sanbarrow.com/vmx/vmx-advanced.html).

Pero como te jode las VMTools (te quita el copy/paste entre OS host y OS emulado), no las uso (excepto con VMProtect  :P ).

Increíble estuve investigando el cómo funcionaba esto y no tengo nada que decir, increíble  eres un genio ;-)