Newbie crackME - 13 - [SOLVED]

[llAmElliK]

Tak je?tě jednou - pokud budete postupovat jak říkám + pou?ijete tenhle .ini do imprec musí potom v olly pokud vyrolujete trochu nad OEP taghle:

 

Code: [Select]

00401020   .- FF25 04604000 JMP NEAR DWORD PTR DS:[<&msvbvm60.rtcM>;  msvbvm60.rtcMsgBox
00401026   .- FF25 14604000 JMP NEAR DWORD PTR DS:[<&msvbvm60.__vb>;  msvbvm60.__vbaExceptHandler
0040102C   .- FF25 10604000 JMP NEAR DWORD PTR DS:[<&msvbvm60.EVEN>;  msvbvm60.EVENT_SINK_QueryInterface
00401032   .- FF25 08604000 JMP NEAR DWORD PTR DS:[<&msvbvm60.EVEN>;  msvbvm60.EVENT_SINK_AddRef
00401038   .- FF25 0C604000 JMP NEAR DWORD PTR DS:[<&msvbvm60.EVEN>;  msvbvm60.EVENT_SINK_Release
0040103E   .- FF25 00604000 JMP NEAR DWORD PTR DS:[<&msvbvm60.Meth>;  msvbvm60.MethCallEngine
00401044   $- FF25 18104000 JMP NEAR DWORD PTR DS:[401018] ;  msvbvm60.ThunRTMain <<-----



A ne taghle:
 

Code: [Select]

00401020   .- FF25 04104000 JMP NEAR DWORD PTR DS:[<&msvbvm60.rtcM>;  msvbvm60.rtcMsgBox
00401026   .- FF25 14104000 JMP NEAR DWORD PTR DS:[<&msvbvm60.__vb>;  msvbvm60.__vbaExceptHandler
0040102C   .- FF25 10104000 JMP NEAR DWORD PTR DS:[<&msvbvm60.EVEN>;  msvbvm60.EVENT_SINK_QueryInterface
00401032   .- FF25 08104000 JMP NEAR DWORD PTR DS:[<&msvbvm60.EVEN>;  msvbvm60.EVENT_SINK_AddRef
00401038   .- FF25 0C104000 JMP NEAR DWORD PTR DS:[<&msvbvm60.EVEN>;  msvbvm60.EVENT_SINK_Release
0040103E   .- FF25 00104000 JMP NEAR DWORD PTR DS:[<&msvbvm60.Meth>;  msvbvm60.MethCallEngine
00401044   $  FF25 18104000 JMP NEAR DWORD PTR DS:[401018] <--------- ?PATNĚ

 
?patně proto ?e vám chybí import msvbvm60.ThunRTMain - buď ho dopi?te v notepadu di výpisu IAT nebo to správně opravte.

[Master]

Proto?e mi nesel unpacknuty target asi kvuli nejake ptakarne v systemu,musel mi lame poslat cely orginalni cme.Reseni sem udelal asi za 15 minut.A to sem zkousel IDU a ollyho a ani v jednom sem to neudelal.Pak sem na reseni prisel pomoci P32Dasm:tu to jde jasne videt:

00001CEE:  28   LitVarI2: 982 0x3D6 var_CC

porovava zadanou hodnotu s hodnotou 982 = 3D6h.

Yazz

[CZerezpiCZkin]

Tiez som sa pridal k uspesnym uz vcera vecer... Pomohla mi hlavne ta IAT, pretoze mne tam z nejakeho dovodu nenacitalo import tej funkcie ThunRTMain. Ale prisiel som na to, co tam ma byt a jednoduchym patchom som to poopravil priamo v subore (nie v importoch). Program sa mi potom sice spustil, ale dekompilovat nesiel, pretoze dekompilery pracuju spravne IBA ak je EntryPoint nastaveny na uvodnu sekvenciu
            PUSH offset RT_MainStruct
            CALL ThunRTMain
Lenze ked som to patchol, musel som presmerovat EP na ten moj patch a ten potom pokracoval na spominanu sekvenciu. Program pracoval spravne, ale IBA na mojom pocitaci (na inom nie) a nesiel dekompilovat... Po nacitani spravnej IAT uz to bolo bez problemov.
Spravne SN uz napisal Master, tak sa nebudem opakovat.

Snad len jedna vec: Skusal som aj poskytnute ini pre ImpRec, ale stale mi to nedokaze najst ten ThunRTMain, vsetky ostatne su v pohode. Vie mi niekto poradit, kde robim chybu?

P.S.: P32Dasm je vazne dobry. (Thx to DARKER)

[llAmElliK]

Abych vás nemát - do IAT kterou jsem se upload jsem jí dopsal ručně - abyste věděli co tam má bejt - vy jí uvidíte a? v olly tak jak sem popisoval vý?.
Ona tam je - stačí sečíst první hodnoty:

 

Code: [Select]

OEP: 0000104C IATRVA: 00001000 IATSize: 00000018
Tak?e  OEP je jasný  a  první důle?ítá hodnota  je  1000+18  = 1018 + 40000 = 401018

Tak teď se mrkněte co je na adrese 401018 : - tohle:

 

Code: [Select]

00401018   .  7C350066  DD msvbvm60.ThunRTMain  <-----
0040101C  FF DB FF
0040101D  FF DB FF
0040101E  FF DB FF
0040101F  FF DB FF


Jasný - aplikace ví kam "jít" - ThunRTMain 7C350066.
Zbytek nechám na DARKERovi pokud bude mít čas.

[robocop]

taky hotovo.. problem byl v ImpRec.ini  

[CZerezpiCZkin]

Tak uz mi to je jasne... Chybka bola v tom .ini subore a ja som to kontroloval len vo vypise IAT a tam to nebolo (ale nevyskusal som to).
Ja som vedel, uz po dumpnuti co tam ma byt (odsledoval som to v Ollym), len som dlho nevedel prijst na to, ako to tam mam napasovat.Moje riesenie s patchom sice bolo funkcne, ale iba na mojom pocitaci, ak by som to spustil pod inym systemom, tak by to nefachalo a navyse to tie VB dekompilatori nevedeli spracovat, lebo su vyzaduju za EP mat tu uz spominanu sekvenciu PUSH-CALL.
Ale bolo to pre mna ako zaciatocnika dost poucne CME... Thx.

[llAmElliK]

Finální ře?ení tohodle cme bylo opravdu "tristní" - kdy? jsem ho vybral DARKER mně upozorňoval ,?e je na něj spousta tutorů - dokonce i já jsem kdysi jeden psal - ale o to tady ne?lo,zabalil jsem to packerem trochu upravil hodnotu PE HEADERS a u? od začátku jsem upozorňoval,?e vytáhnete do boje s novými nástroji - a to bylo v tomto cme hlavní - naučit se je pou?ívat a vědět co od nich chtít.
Hodně lidí dodnes vůbec neví jak s impREC - já jej pou?ívám téměř denně + třeba LordPE atd , jenom PE Editorů mám asi 7 (zmíněný LordPE,Stud_PE,PE-TOOLS,PEiD,WARK aj) - ka?dý umí něco líp ne? ten druhý a poka?dé je to třeba vyzkou?et.
Bez těchto nástrojů se v dne?ní době packerů téměř nelze obejít,ale nemusí to být packer,někdy stačí úprava v resource a importy se zbortí - tak?e musíte sáhnout po impREC.
Existují i nástroje ,které Vám nacpou do hotového .exe dal?í imp.funkce aj aj.
Sami jste se mohli přesvědčit,?e pouhé ?patné nastavení vám pěkně zamotá hlavu a ?e s targetem prostě nehnete.
Kdybychom se naučili alespoň na 50 % pou?ívat mo?nosti OllyDbg nebo třebas IDA svět RE by byl zase o malinko jasněj?í.
V?em ře?itelům díky za snahu a za to ?e se nebáli vstoupit do zatím neznámých vod........(Cze..CZ..hlavně za obdivuhoudnou nervovou stabilitu).

[CZerezpiCZkin]

Jasne...   Nech sa paci, ale je to pisane trochu narychlo...

[llAmElliK]

Díky moc - super - teď u? SOLVED.