Congratulaciones OberonCracker y x4uth, por mi parte tire toalla porque me vi en frente de un espejismo elevado a la decima y multiplicado por mil. Buen trabajo Karmani esperamos otro crackme para divertirnos o traumarnos, cualquiera vale.

 

Bueno, en tanto salen nuevos crackmes de nuestro queridos amigos Tena, x4uth, Benru y Apocalipse, aqui le dejo como legado el siguiente tutorial:

http://rapidshare.de/files/16191613/Tutorial_Blaze_Video_Magic_2.0.zip.html

reciendo salidito del horno, dedicado a nuestro amigos los newbies para que adentren un poco mas en el tema de los BPs y el uso de las dlls de registro, que son muy elementales para esta epoca.

Saludos...
   

SUPER MINITUTE CRACKME02 BY x4uth

Bueno sabemos que la api que permite anticiparnos a la detección de la unidad de CD es la api GetDriveTypeA, asi que colocamos los BPs respectivos

Al dar RUN caemos aquí

7C911231    C3              RETN

Ejecutamos el RETN y caemos en este lado, una sesion antidebug que es el contenido de la call 00404F35 la cual nos hecha fuera

00401040  |    55             PUSH EBP         ; AQUI ENSAMBLO UN RET
00401041  |.  8BEC         MOV EBP,ESP
00401043  |.  6A FF         PUSH -1
00401045  |.  68 30954100   PUSH CrackMe0.00419530
0040104A  |.  68 58404000   PUSH CrackMe0.00404058                   
0040104F  |.  64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
00401055  |.  50            PUSH EAX
00401056  |.  64:8925 00000>MOV DWORD PTR FS:[0],ESP
0040105D  |.  83EC 08       SUB ESP,8
00401060  |.  53            PUSH EBX
00401061  |.  56            PUSH ESI
00401062  |.  57            PUSH EDI
00401063  |.  8965 E8       MOV DWORD PTR SS:[EBP-18],ESP
00401066  |.  C745 FC 00000>MOV DWORD PTR SS:[EBP-4],0
0040106D  |.  FF15 60924100 CALL DWORD PTR DS:[<&KERNEL32.DebugBreak>; [DebugBreak
00401073  |.  6A 00         PUSH 0                                   ; /ExitCode = 0
00401075  \.  FF15 64924100 CALL DWORD PTR DS:[<&KERNEL32.ExitProces>; \ExitProcess

Ensamblo un RET en 00401040 para que toda las instrucciones consecutivas nunca se ejecuten

Luego doy RUN y caigo ahora si en el BP

0040220C  |.  8B2D 08924100 MOV EBP,DWORD PTR DS:[<&KERNEL32.GetDriv>;  kernel32.GetDriveTypeA
00402212  |.  8B3D 0C924100 MOV EDI,DWORD PTR DS:[<&KERNEL32.GetVolu>;  kernel32.GetVolumeInformationA
00402218  |>  56            /PUSH ESI
00402219  |.  FFD5          |CALL EBP
0040221B  |.  83F8 05     |CMP EAX,5   ; COMPARACION CLAVE
0040221E  |.  75 1E         |JNZ SHORT CrackMe0.0040223E
00402220  |.  6A 0A         |PUSH 0A
00402222  |.  6A 00         |PUSH 0
00402224  |.  6A 00         |PUSH 0
00402226  |.  6A 00         |PUSH 0
00402228  |.  8D4C24 20     |LEA ECX,DWORD PTR SS:[ESP+20]
0040222C  |.  51            |PUSH ECX
0040222D  |.  6A 0C        |PUSH 0C
0040222F  |.  6A 00         |PUSH 0
00402231  |.  56               |PUSH ESI
00402232  |.  FFD7          |CALL EDI
00402234  |.  817C24 10 8C2>|CMP DWORD PTR SS:[ESP+10],37B52C8C     
0040223C      75 29         JE SHORT CrackMe0.00402267              ;  SALTO CLAVE

Invierto el salto clave para que se ejecute si no son iguales y de esta manera hacemos creer al programa que el CD esta insertado.

Buen trabajo x4uth. Saludos a los newbies que aun no concilian sueño a pesar de los dias trascurridos...
 

Asi es, no te equivocas es el mejor junto con el peid. Creo que debes bajarlo de la pagina de un buen cracklatino http://www.ech2004.net/ver_noticias.php

Excelente tutorial, lo estoy practicando para seguir aprendiendo...
Saludos.
 

Es una cojonuda excepcion, normalmente se genera cuando el programa esta falluco y no sirve, pero ahora lo estan usando mucho como proteccion anticracker...
 

Vemos que los programas en VB empiezan por un PUSH y un CALL anotar la dirección que esta enviando al stack, en este caso 40415C.
A esa dirección hay que sumarle 4C o sea
40415C + 4C 
igual a 4041A8
Allí esta, ahora buscamos la dirección que encontramos allí en 4041A8 que es 4041F8
Busquemos dicha direccion en el dump
Vemos entradas de 50 hexa de largo, cada una corresponde a un FORM, en cada una de esas partes el byte 24 (36 decimal) nos muestra el orden que tienen las forms para aparecer, veamos
4041F8+24=40421C
Allí esta el 00 significa que esa form es la primera que aparecerá y el 01 significa que es la segunda que aparecerá, así que podemos alterar el orden.
Ahí esta ahora lo primero que aparecerá será el programa jeje y la nag segundo o nunca ya que al cerrar el programa ya se cierra y no sale una segunda form.

 

 

Tena creo que tiene que precisar si tanto el nombre como el serial son unicos, o es que el serial se genera en funcion al nombre.
Ademas tambien deberias indicar si el serial es de siete digitos y si algo tiene que ver la api rtcGetTimeVar y la hora, minutos y seguntos del sistema... jejeje
 

 HideDebugger v1.23f
 IsDebug&ExtraHide
 HideDBG 
Con estos plugins tu olly sera una muralla, jejeje, y olvidate de de la RaiseException que es una excepcion generada justamente por la deteccion del debuger.
Revisa esta excelente pagina: http://www.ech2004.net/ver_noticias.php

A por la nag.... y por el ....