Si necesitas más herramientas o es posible que algún link esté roto, puedes visitar esta fantástica página web (en links interesantes está puesta) donde encontrarás muchísimas herramientas:
http://www.ech2004.net/

Sin lugar a dudas el mejor es VB Reformer. Su página web es la siguiente:
http://www.decompiler-vb.net/

Un saludo

Como veo que nadie se ha interesado por este crackme y viendo que el crackme no está bien compilado ya que tira más de un error, dejaremos este tema apartado de Crackmes y Tutoriales.

Sólo quiero comentar que yo encontré este simple serial válido:
123456

Un saludo

¿Has incluído user32.dll? sólo veo un include CrackMe 1 - Erik.inc, tal vez lo hayas incluído ahí...
GetDlgItemText --> user32.dll
MessageBoxA --> user32.dll

Hace unos meses que desapareció desde su antiguo enlace:
http://arteam.accessroot.com/home.html

Sin embargo, gracias al trabajo del administrador: Shub-Nigurrath, el foro ya está operativo de nuevo.
http://www.accessroot.com/arteam/forums/index.php

Hay que destacar que poco a poco se irán mejorando nuevas cosas ya que el foro no está todavía al 100%.

PD. He encontrado de casualidad esta página donde tienen todas sus herramientas, tutoriales, etc...
http://xchg.info/ARTeam/Tutorials/

que va... porque no admite letras, como he explicado. La clave que se ve en el OllyDBG no vale por lo tanto.
Entonces, hay que encontrar una clave que sea sólo números... aquí está la dificultad...

Claro, fíjate bien...

Él en su tuto dice que te pares justo en 0040A7D8 y tú estás parado en 409756. Por eso no te sale.
Es muy sencillo, ejecuta el crackme desde OllyDBG, pon un Breakpoint en 0040A7D8 e introduce un ID y password y verás cómo para en 0040A7D8 contodo correcto.

Enlace del tutorial original del que habla Erik#:
http://foro.elhacker.net/ingenieria_inversa/tutorial_renascense_1_by_skapunky-t181151.0.html

Como habéis comentado alguno, varios de los enlaces a los crackmes ya no existen y por la red tampoco están.

No os preocupéis porque como tenemos varias copias de seguridad  en breve los subiremos a algún sitio donde puedan permanecer algún tiempo más.

Un saludo

PD. Hablo de los crackmes de esta sección:
Crackmes y tutoriales

No pasa nada! Dejaremos el post porque se me ocurre que podemos sacar partido de este crackme.
1.- Da error ya que sólo admite números. Es muy fácil ver el error ya que utiliza la función vbar8Str que significa que va a transformar una cadena (string) en un valor double (r8-valor real doble). Es lógico por lo tanto que al introducir cualquier letra de error.

2.- He descubierto que con sólo números se puede encontrar el serial del crackme.

Yo he encontrado un valor. A ver si alguien se anima y encuentra cualquier otro valor o el mismo.

Hace unos meses, MadAntrax hizo un crackme curioso, en el que el registro se hacía mediante un keyfile. Como nadie más parece haberse interesando en él, publico ya el tutorial que hice entonces.

Dicho autor es moderador del subforo de Visual Basic y yo he descargado varias de sus colaboraciones, con lo que ya me imaginaba que este crackme iba tener bastante complejidad.

El crackme está compilado con Visual Basic en P-Code, así que este tutorial puede resultar de utilidad para saber analizarlos.
El post original de este crackme es el siguiente:
http://foro.elhacker.net/ingenieria_inversa/madcrack_crackme_v1_by_madantrax-t225985.0.html




La verdad que los programas compilados en Visual Basic con P-Code suelen ser más difíciles de analizar. Voy a mostrar cómo examiné este primer crackme de MadAntrax y seguro que para muchos P-Code puede ayudar.

Si utilizamos RDG Packer Detector 0.65 vemos que está empacado con UPX y nos muestra que ha sido compilado con Visual Basic. Si se ejecuta el crackme vemos que aparece un archivo oculto llamado "iexplore.exe" y tenemos un cuadrado de color rojo que para que esté crackeado tiene que estár de color verde, según el autor.

Descompilar UPX es sencillo y en Crackmes y tutoriales hay un link de cómo descomprimir UPX para ReNewbies, realizado por Shaddy.

Yo descomprimí UPX pero al ejecutarlo ví que el archivo "iexplore.exe"(que no le gusta OllyDBG) no aparece y algunas cosas más que no voy a comentar, así que debe de hacer algo el crackme para saber que ha sido descomprimido. Por este motivo sólo debuggeé el crackme directamente desde OllyDBG con un simple plugin para ocultarlo. El OEP es muy sencillo de descubrir: 401130

Por otro lado, como ya tengo el crackme descomprimido con UPX, lo analicé con P32Dasm v2.3 y lo desensambla perfectamente, y se obtiene muchísima información:


El autor nos deja mucha información.
Hay muchas cosas interesantes, por ej.

Es muy fácil de entender. Primero toma la ruta del crackme. Después de una cadena "edocyek\" hace la inversa (StrReverse) obteniendo "\keycode" y lo une a la ruta. Después con ese archivo hace unas determinadas operaciones y finalmente tenemos un salto (BranchF) que nos pone el cuadrado rojo o verde.

La dificultad de P-Code es que se trabaja con opcodes y puede resultar muy lioso pero con un poco de práctica se entiende todo fácilmente.

Voy a hacer un ejemplo. La subrutina que nos interesa es la que nos pone el cuadrado verde o rojo. Esta subrutina es la Form1 1.8 (Check_KeyFile-->nombre muy llamativo jeje) y comienza en 00003DA0.
He mostrado que nos da la ruta de un archivo denominado "keycode". Y después de esto viene lo más difícil, aparece lo siguiente:


Lo más difícil es saber qué hace la función VarLateMemCallLdRfVar. Ni P32Dasm ni VB Decompiler nos da información, así que tiene que ser OllyDBG quién nos tenga que ayudar.
Como se observa, la función comienza por los opcodes FF3E y está en el offset 3E4D. Voy a cargar el crackme original en el OllyDBG.
Como el OEP es 401130 pongo un Hardware Breakpoint allí y pulso F9. Ahora estoy parado en el OEP.
Ahora tengo que parar antes de VarLateMemCallLdRfVar que está en 3ED4, por lo tanto como la image base está en 400000 pues la dirección final es 403ED4.
Parado en el OEP, voy a la ventana de dump, botón derecho goto --> 403ED4 (ahí tienes que ver ya los bytes FF 3E) y pongo un Breakpoint --> memory on access. Pulso F9 y se detiene en un

MOV AL,BYTE PTR DS:[ESI+2]

que está dentro de MSVBVM60.dll. Estamos justo antes de la llamada a VarLateMemCallLdRfVar.

Ahora simplemente hay que ir traceando con F7 hasta llegar a una Call ... y si miramos la pila observaremos algo parecido a esto:


Como se observa, la función a la que hace referencia es a "CalculateFile"

Ya he mostrado cómo acceder desde el OllyDBG a cualquier opcode que nos muestre VB Decompiler Lite, así que cada uno ya puede examinar el código que quiera. Se pierde bastante tiempo sabiendo lo que hace cada cosa... también me ha costado a mi.

Si vamos ahora a VB Decompiler veremos que "CalculateFile" llama a la subrutina "CalculateBytes" y ésta última a su vez llama a la subrutina "AddBytes", que es la importante que interesa.

Ésta (AddBytes) tiene una función muy conocida y muy curiosa:

loc_4039A9: ImpAdCallFPR4 CallWindowProc(%x1, %x2, %x3, %x4, %x5)

A la que se le pasan 5 parámetros.
Ya sabéis parar antes de esta CallWindowProc, así que vamos a hacerlo.

Cuando estéis ahí, poner un BP en CallWindowProcA, F9 y mirar la pila:

Hay que observar ese interesante PrevProc = 0016E130, así que vamos en la ventana de desensamblado a esa dirección y nos encontramos con lo siguiente:


Éste es todo el código que utiliza para obtener un CRC del archivo "keycode". Después hace ya una última operación que es un NOT.

¿Y con qué se compara?
Bueno, es también bien fácil...

Subrutina Check_KeyFile
...

Con toda esta explicación pienso que ya están destripadas las entrañas del crackme, espero que se entienda.
Yo a partir de este momento creé un programa en ensamblador que fuera examinando CRC's y descubrí que si el archivo keycode tiene los siguientes caracteres: "4R)@" queda el cuadrado perfectamente de color verde... objetivo logrado.


Un saludo
karmany
09 - septiembre - 2008