Título: Corrupted Crackme By Cheater10 Publicado por: Cheater10 en 4 Octubre 2021, 21:40 pm Hola foro el hacker,
traigo para ustedes un programa donde hay que encontrar el punto magico para registrarlo. Espero que les guste. Todavia no pense en lo de los premios, pero mas adelante seguire compartiendo mas crackmes asi y vendran con premios... Cabe aclarar que esta compilado con mingw en el ide dev-c++ espero que les guste les doy una pista el punto magico se encuentra cerca de una comparacion con la sectencia test eax o cmp eax. https://www.upload.ee/files/13522717/Corrupted.exe.html Título: Re: Corrupted Crackme By Cheater10 Publicado por: apuromafo CLS en 5 Octubre 2021, 14:56 pm Mini tutorial:
al momento de descargar hay 4 bajadas: 0) la app es de 64bits, exeinfo pe refiere Citar x64 - MinGW-w64 GCC: (GNU) compiler (exe) - [v4.9.2 - no " libgcj-1.x " ] - http://mingw-w64.sourceforge.net , igual el usuario indicó que estaba hecho en "mingw en el ide dev-c++"Overlay : 2E6669... Nothing discovered 1) al abordar vía IDA pro se tiene algo así Código
esto indica que si el valor obtenido en la llamada del valor es 1, entonces será autorizado, si es otro, no será autorizado, veamos que tiene el call Código
calcula el largo y lo retorna dependiendo del formato del mismo 2)como su título indica validar números , validamos la clave "0" Citar Ingresar la llave maestra: 3) validamos la clave "1"0 Acceso no autorizado, vuelve a intentarlo. Citar Ingresar la llave maestra: 1 Bienvenido al Sistema de Cheater10 Presione una tecla para continuar . . . Con esto ya está ok Plan b: parchar 4) abrimos x64dbg sin system entrypoint, sin tls de inicio, vemos el flujo al main, y validamos donde indica la bienvenida: Citar 00000000004015 | 83F8 01 | cmp eax,1 | eax:EntryPoint comparación de eax con 1, y un salto de no ser iguales, lo cual indicaría que debemos nopear el salto o forzar que esa comparación siempre sea 100000000004015 | 75 30 | jne corrupted.4015C2 | 00000000004015 | 48:8D15 AF6A0800 | lea rdx,qword ptr ds:[488048] | rdx:EntryPoint, 0000000000488048:"Bienvenido al Sistema de Cheater10" Sea como sea la decisión de cada uno , en mi caso nopearé el salto (nop x2) patcher de x64dbg (export del parche indica: Citar >>corrupted.exe 0000000000001590:75->90 0000000000001591:30->90 para lo cual valido 5) Citar Ingresar la llave maestra: apuromafo Bienvenido al Sistema de Cheater10 Presione una tecla para continuar . . . Saludos Cordiales PD: A ratos es bueno analizarlo en una fuente de 3ros: Análisis de malware en virustotal: 0/0 https://www.virustotal.com/gui/file/7f4db208921587a1a1703ded3b6f64b2485f37a048a41522f79e50a1ae5b1b22?nocache=1 en resumen nada sospechoso: ejecuta los comandos como variable de sistema: Citar 2396 - Corrupted.exe se valida en Virustotal Windows Sandbox, indicando que todas esas peticiones no arrojan ni modifican una app de 3ro, no hay nada raro.2752 - C:\Windows\system32\cmd.exe /c Pause 2708 - C:\Windows\system32\cmd.exe /c Pause>Nul 2664 - C:\Windows\system32\cmd.exe /c Color 0a 2616 - C:\Windows\system32\cmd.exe /c Title CrackNumb - by cheater10 Se aborda a analizar su pe header: se aprecia que el checksum no está alineado Y veamos potencialidad de apis y técnicas solo para tener referencia: Potencialidad de APIS abordadas en este ejecutable de 1.8 MB (abordandolo en CAPA.exe) : Código
en resumen puede haber posibilidad de apis que puedan cargar un header, crear rutinas, inyectar y crear de forma ofuscada, pero dado el comportamiento en virustotal, de seguro debe ser todas las apis que mete el compilador de forma genérica, pero como bien aprecian hay apis o funciones que están de más. Solo comentar que no se aprecia nada irregular. Saludos Cordiales |