RE FORUM
[REVERSE ENGINEERING] => Newbie => Topic started by: pr0p4g4nd4 on June 29, 2007, 10:10:52 AM
-
Dobry den,
na fore je opat mrtvo tak som sa rozhodol ze sa poobzeram po nejakom tom cmecku(bohuzial nie je moje). Nasiel
som toto cmecko od nejakeho maniaka menom nObOdy0190. Obtiaznost cmecka vyzera byt tak akurat(neviem presne lebo
som to cmecko neskusal :D) pre newbies. Pre istotu, aby nebolo to cmeko priliz lahke rozhodol som sa ze vam to trochu
stazim, tym ze som cmecko zabalil SLVc0deProtector-om. Rozbalit tento protector nie je velmi tazke(tak akurat)..
Takze, rieste, piste keygeneratory, piste tutorialy..
PS: Cmecko by malo fungovat na winXP ale nefunguje na win2000(ostatne neviem). Tu (http://tuts4you.com/download.php?view.354) je tutorial na unpacking SLV..
Nazov: ra_crckm2-nob
Autor: nObOdy0190 (ROYAL ACCEZZ CREW)
Jazyk: Microsoft Visual C++ 6.0
Pack: SLVc0deProtector v0.61
Typ: Crackme (Kgme)
-
No, tak po neúspe?nom unpacku som si k tomu sadol a zistil som, čo sa deje. Plugin Olly Advanced 1.26 Beta 10 mi nejako neprotektuje FindWindow, tak?e pokiaľ je pou?itá táto API funkcia s parametrom "OllyDbg", tak protektor uspeje.
Aspoň som si SLV pre?iel krok po kroku a mohol tak zistiť, aké paranoidné rutiny sa v ňom volajú. V prípade aktívnych niektorých aplikácií, kedy nemusí byť target vôbec nimi skúmaný, no i tak sa ukončí, to si autor mohol odpustiť.
Inak potom som si pozrel ten haagarov tutorial, ktorý si dodatočne nalinkoval a borec to celkom stručne celé popísal, je tam spomenuté takmer v?etko, na čo som narazil, av?ak určite by som to newbiekom do rúk e?te nedával.
-
Taky sem koukal na zatim jeste neuspesny unpack.No je to torchu tezsi,nez sem myslel.
-
No, tak po neúspe?nom unpacku som si k tomu sadol a zistil som, čo sa deje. Plugin Olly Advanced 1.26 Beta 10 mi nejako neprotektuje FindWindow, tak?e pokiaľ je pou?itá táto API funkcia s parametrom "OllyDbg", tak protektor uspeje.
Aspoň som si SLV pre?iel krok po kroku a mohol tak zistiť, aké paranoidné rutiny sa v ňom volajú. V prípade aktívnych niektorých aplikácií, kedy nemusí byť target vôbec nimi skúmaný, no i tak sa ukončí, to si autor mohol odpustiť.
Inak potom som si pozrel ten haagarov tutorial, ktorý si dodatočne nalinkoval a borec to celkom stručne celé popísal, je tam spomenuté takmer v?etko, na čo som narazil, av?ak určite by som to newbiekom do rúk e?te nedával.
No ja pouzivam staru verziu Olly Advanced(mam dojem ze je to verzia 1.25 beta 26 alebo tak nejak). Takze v tomto pripade stacilo dat bp na .data sekciu a nasledne na .text sekciu - OEP - rebulid importy a bolo to.
Inac som aj skusil unpacknut target uplne bez Olly Advanced pluginu a musim povedat, ze som tam brutalne zatuhol na jednom loope(mam dojem, ze to je decryptovaci loop hned po tom ako sa deli nulou..).. postupne sa mi docryptuje kod, ibaze loop mi potom dojde na adresu, ktora neexituje a tym padom mi to cele padne. Hm, musim sa s tym este trochu pohrat.. :)
-
Ja som na problémy nenarazil a dostal som sa krokovaním a? po skok na OEP. Ak nepou?íva? Adv, tak potom pozor na niektore ďal?ie antidebug triky, av?ak v?etky sa dajú ofajčiť i bez tohto plugina, av?ak nepríjemný je RVA hack, preto?e ?mejd si jeho pôvodnú hodnotu neskor?ie kontroluje, teda i ostatné súčasti PE hlavičky.
Mňa teraz na?tvalo, ?e mám nefunkčný unpack executable. Nejako neviem zistiť, čo sa Win loaderu nepáči a zahlási mi chybu pri spustení. Inak importy som nechal pôvodné, tie mi sedia, no nie je vylúčené, ?e je problém v nich, musím to e?te prehnať ImpRec-om, čo to povie.
// updated
Tak, u? som na to do?iel a vôbec nie je potrebné pou?ívať ImpRec. Problém bol v zlej hodnote PE hlavičky v polo?ke Machine, preto?e tá by mala byť (podľa iných Microsoft Visual C++ 6.0 executables) 014C a nie 00FE. Po dodatočnej úprave je unpacknutý target funkčný. A pre pokoj v du?i je dobré upraviť hodnotu SizeOfCode z F na 31000.
Aktualizoval som si verziu Advanced pluginu a taktie? je FindWindow nefunčkný, tak?e detekciu cez túto API funkciu musím eliminovať ručne... prepísal som prvé opcodes in?trukciami mov eax, eax a ret 8.
Čo sa týka samotného CM, tak level 1 je vhodný pre newbies. :rolleyes: Inak som si v?imol, ?e je tam pou?itá miracl kni?nica, omfg. No, nič, dám pár levelov a popí?em aspoň ten unpack. :o
-
Ja se prave taky sekl na importech nebo lepe receno na tom,ze mi to hazi chybu pri spusteni.Nevim proc,ale zda se mi,ze mam nejak malo importu.Mam tam wf cosi,kernel a user :/
-
Ja som na problémy nenarazil a dostal som sa krokovaním a? po skok na OEP. Ak nepou?íva? Adv, tak potom pozor na niektore ďal?ie antidebug triky, av?ak v?etky sa dajú ofajčiť i bez tohto plugina, av?ak nepríjemný je RVA hack, preto?e ?mejd si jeho pôvodnú hodnotu neskor?ie kontroluje, teda i ostatné súčasti PE hlavičky.
Mňa teraz na?tvalo, ?e mám nefunkčný unpack executable. Nejako neviem zistiť, čo sa Win loaderu nepáči a zahlási mi chybu pri spustení. Inak importy som nechal pôvodné, tie mi sedia, no nie je vylúčené, ?e je problém v nich, musím to e?te prehnať ImpRec-om, čo to povie.
// updated
Tak, u? som na to do?iel a vôbec nie je potrebné pou?ívať ImpRec. Problém bol v zlej hodnote PE hlavičky v polo?ke Machine, preto?e tá by mala byť (podľa iných Microsoft Visual C++ 6.0 executables) 014C a nie 00FE. Po dodatočnej úprave je unpacknutý target funkčný. A pre pokoj v du?i je dobré upraviť hodnotu SizeOfCode z F na 31000.
Aktualizoval som si verziu Advanced pluginu a taktie? je FindWindow nefunčkný, tak?e detekciu cez túto API funkciu musím eliminovať ručne... prepísal som prvé opcodes in?trukciami mov eax, eax a ret 8.
Čo sa týka samotného CM, tak level 1 je vhodný pre newbies. :rolleyes: Inak som si v?imol, ?e je tam pou?itá miracl kni?nica, omfg. No, nič, dám pár levelov a popí?em aspoň ten unpack. :o
Uz som zistil v com bola chyba - ja som totiz to delenie integera nulou vyNOPoval lebo som si nevsimol ze toto delenie ma nasledne suvis aj s decryptaciou kodu. :o
No jo, mas pravdu L1 je dost lahky. Ale L2 je uz nieco uplne ine - akym sposobom si poriesil L2??? Ja som to poriesil odcitavanim..
Hm, ako si zistil ze je tam MIRACL? Ja som skusal na to KANAL(+ jeden dalsi tool od nejakeho typka menom x3chun) a nic mi nenaslo. Kurna ale tymto sa to cme ale brutalne ztazuje - teda aspom pre mna lebo mne tie crypto shity nic nehovoria.. No co, tak sa musime spolahnut na to, ze toto cme poriesia nasi fesaci z T4C.. ;)
-
Ja se prave taky sekl na importech nebo lepe receno na tom,ze mi to hazi chybu pri spusteni.Nevim proc,ale zda se mi,ze mam nejak malo importu.Mam tam wf cosi,kernel a user :/
No, tak to má? správne, a ako hovorím, s importami netreba nič robiť.
ja som totiz to delenie integera nulou vyNOPoval
No, tá výnimka je tam dôle?itá a pokiaľ je vyvolaná, tak sa zavolá obsluha SEH a to je zámer autora.
akym sposobom si poriesil L2?
No, ja som si napísal rutinu, ktorá mi generuje správne hodnoty, či?e bruteforce generátor. :)
Hm, ako si zistil ze je tam MIRACL?
Je tam linkovaná daná kni?nica a dá sa to zistiť podľa reťazcov.
-
A jak to teda opravit? Zkousel sem rebuild v lordpe a nezabralo.
-
Je tam linkovaná daná kni?nica a dá sa to zistiť podľa reťazcov.
Uz som si to vsimol aj ja ked som si pozeral REFERENCED TEXT STRINGS. Vsimol som si tam su aj nejake PRIMES(si neviem co je to) a aj nejake dalsie hexadecimalne cisla(su tam kratsie ale nasiel som aj 512bitove{alebo bajtove??} - ked som skusal dat faktorizovat to s velkostou 512 tak mi tool vypisal ze faktorizacia bude trvat velmi dlho..) >>> Kurna, ja sa v tom crypto absolutne nevyznam.. :o :mad: :confused:
Problém bol v zlej hodnote PE hlavičky v polo?ke Machine, preto?e tá by mala byť (podľa iných Microsoft Visual C++ 6.0 executables) 014C a nie 00FE.
Hm, a tu polozku MACHINE kde mas? v LordPE?
-
Hm, a tu polozku MACHINE kde mas? v LordPE?
No, dá sa tam nájsť, no nedá sa editovať. Na to musí? pou?iť Hex editor.
A jak to teda opravit? Zkousel sem rebuild v lordpe a nezabralo.
Ten vôbec nepotrebuje?, vystačí? si s OllyDump pluginom a hex editorom, pričom musí? opraviť tú hodnotu Machine v PE hlavičke. A taktie? zmazať poslednú sekciu, či?e tú :ICU:, či jak sa volá... av?ak na to prípadne pou?i LordPE a taktie? mô?e? dať executable rebuildovať.
-
Ja uz fakt nevim,v cem to mam blbe,nahodim sem zitra muj dump a muzete to zkusit upravit.Polozku machine sem upravil,sekci odstranil.Opravil dalsi PE info a stejne chyba...
-
Tak to potom netu?ím, čo by mohlo viesť k chybe. Si si istý, ?e má? správny OEP? E?te si skontroluj hodnoty BaseOfCode (00001000) a BaseOfData (00032000).
-
Tak tady je ten muj dump.Melo by tam byt upravene kompletne vsechno.Jak machine(snad sem to nasel na spravnem miste),BoC,BoD,NumOfRVAAndSizes,zrusena sekce(i kdyz to si myslim,ze bylo zbytecny).
A porad nic.Muzete si s tim zkusit pohrat.Mozna sem nekde neco zmrvil nebo na neco pozapomnel.
http://www.edisk.cz/stahni/58163/dump1.exe_326.2KB.html
-
Prečo tam má? nejakú sekciu newIID? Ty si pou?il OllyDump a nezru?il rebuild importov, či si pou?il nejaký iný tool? Dumpni to e?te raz a nerob s dumpom ?iadne úpravy, teda okrem tých zásahov v hlavičke, ktoré som spomínal. Ak to nepôjde, uploadni to e?te raz. Tento dump je rozhodený.
// updated
Podarilo sa mi ten tvoj dump rozchodiť, no musel som wipnúť poslednú sekciu, editovať SizeOfCode a zmeniť ImportTable. E?te sa s tým pohrám, aby som vedel, čo má na spustenie výrazný vplyv.
-
Jo,je mozny,ze tohle byl pokus,kdy sem to zkousel i s rebuilt pri dumpu.
Reup noveho dumpu.
http://www.edisk.cz/stahni/23278/dump1.exe_324.2KB.html
-
OK, tak v tomto pripade stačí zmeniť Characteristic na hodnotu 010E a jede to.
-
Jo ta charakteristika se mi nelibila uz od zacatku a myslim,ze sem predtim to uz nastavoval na 10F,ale asi sem na neco zas pozapomnel.Tyhle hratky s PE jsou pekny shit :/
Dik za radu,ale chtelo by to nejaky PE editor,ktery primo bude umet editovat tyhle polozky,protoze lordovi neco chybi :/
-
No, da sa tam najst, no neda sa editovat. Na to musis pouzit Hex editor.
Ja som tu polozku nasiel vo WARK-u, a mam dokonca dojem ze sa tam dala aj editovat
Dik za radu,ale chtelo by to nejaky PE editor,ktery primo bude umet editovat tyhle polozky,protoze lordovi neco chybi :/
Co tak napriklad ten WARK..? Skus ho - je tu (http://tuts4you.com/download.php?view.424)
-
Dik,mrknu se
-
Tu (http://www.secretashell.com/cryptocrk/tutorials/miracl.calls.zip) som nasiel nieco o MIRACL.. Hadam to niekomu pomoze..
-
Tak toto nie je vôbec ?patná tabuľka, hneď ju vyskú?am... je to toti? iné kafe, ak algo pou?íva 10 callov a ja bez toho, aby som tú spleť humusu musel krokovať a odhadovať, čo znamená, hneď viem, čo je to za funkcia a mám jej popis a parametre. :)
-
Tak toto nie je vôbec ?patná tabuľka, hneď ju vyskú?am... je to toti? iné kafe, ak algo pou?íva 10 callov a ja bez toho, aby som tú spleť humusu musel krokovať a odhadovať, čo znamená, hneď viem, čo je to za funkcia a mám jej popis a parametre. :)
No, nie som si isty ci ti to pomoze ale skus.. Ja som to nasiel len nahodou na bLaCk-eye's stranke.. Potom daj vediet ako konkretne ti to pomohlo..
-
Dobra tabulka, nedalo mne to a napsal jsem plugin do olly. Zatim takova beta verze.
-
Dobra tabulka, nedalo mne to a napsal jsem plugin do olly. Zatim takova beta verze.
Super robota.. Aspom niekto tu nieco robi.. :rolleyes:
-
Parádička. Vyskú?al som si to na tomto CM a taký lvl5 je hneď ľah?ie čitateľnej?í a na prvý pohľad vidno, čo tým autor zamý?lal. :)
E?te by to chcelo popis funkcií pre MS C++, preto?e je vidno, ?e sú tam nejaké základné procedúry prilinkované.
-
Tak sem se na to taky podival. Musim podekovat pr0p4g4nd4-ovi ze mi poskytl unpacknute cme protoze diky packeru se nedarilo cme spustit na win 2k. je to zatim jen tut a keygen na Level1 protoze zatim nebyl cas dostat se dal.
-
Parádička. Vyskú?al som si to na tomto CM a taký lvl5 je hneď ľah?ie čitateľnej?í a na prvý pohľad vidno, čo tým autor zamý?lal. :)
E?te by to chcelo popis funkcií pre MS C++, preto?e je vidno, ?e sú tam nejaké základné procedúry prilinkované.
Co? Ty si uz na piatom leveli? Ty si nejaky rychly pocuvaj ma ;)
Hm, a je ten piaty level tazky(resp. je tazke cele toto cme)?
Tak sem se na to taky podival. Musim podekovat pr0p4g4nd4-ovi ze mi poskytl unpacknute cme protoze diky packeru se nedarilo cme spustit na win 2k. je to zatim jen tut a keygen na Level1 protoze zatim nebyl cas dostat se dal.
No podla mna by bolo lepsie keby si solution uverejnil az ked budes mat poriesene cele cmecko(a tym padom budes mat aj keygeny na vsetky leveli a aj kompletny tut). Ale to je asi jedno.. :o
-
Hmm, riesi to niekto? ;)
-
Hmm, no zjavne to nikto neriesi. :mad:
Takze to asi zase zostane na mne.. Vlastne ja som sa uz toho aj chytil ale potreboval by som pomoct s tymi crypto shitmi(mne tie crypto shity nerobia dobre na city..). Kokretne by som potreboval zistit co robia cally na konci LEVELU3 a LEVELU4(na piatom leveli som este nebol zatial) - cally tesne pred rozhodvanim o goodboy hlaskach.. Ako uz vieme(vieme to?) je tam miracl ibaze neviem preco ja mam dojem ze tam je nieco ine ako miracl - teda aspom minimalne sa mi zda ze v LEVELI3 je nieco ine..
Takze ludia pomozte mi.. :)