Newbie crackME - 11 - [SOLVED]

[llAmElliK]

newbie crackME - 11

Packer - není
Compiler - MASM/TASM
Ochrana - N/S
Ře?ení - Valid SERIAL nebo KEYGEN

Odzkou?eno na w2k a win XP - ale snad nebudou potí?e ani jinde.

Jedno prý jednoduché cme od HypnotiX pou?ívající velmi známý asymetrický crypto-algoritmus.

tHx to HypnotiX.

[Master]

ahh kurva,no uvidime...jak prijdu domu,tak stahnu

Edit:Kurna,tak sem se v tom tak nejak rejpal.Vim ?e to je crypto Base64.
Nasel sem si i jak pracuje a mam uz udelanej i coder a dekoder jmena ve VB 2k5.
Jediny co me tam tak trapi,je udajnej malej antidebug,na kterej nemuzu prijit  :confused: Pak jeste sem nasel otaceni jmena a nejake cachrovani s 65537.Ale neco,co by pripominalo,ze by pracovalo s kryptem,sem zatim nenasel...  

[llAmElliK]

Prej to je o trochu počítání říkal Hypno:D - co se týče antidebug - neznamená to v?dycky pád aplikace - jsou i zákeřněj?í metody - člověk trasuje a trasuje a počítá a počítá,pak to dopočítá (správne),vypne debugger, zadá KEY a ono h*v*o........BAD BOY.....

[Master]

jo,tuhle metodu znam a napadle me hned jako prvni.A rikas o trochu poctani,no nevim,myslim,?e tohle cme bude zase asi skupinova prace jak cme 2  :eek:

[CZerezpiCZkin]

A zasa sa pustit do studovania... OK

[Z!L0G80]

rada1: je pouzit biglib

[CZerezpiCZkin]

2 Z80:
Ten biglib som si uz vsimol, ale zatial som sa nedopracoval k tomu, abu som to aj pochopil...
HypnotiX tam pise aj o nejakom jednoduchom Antidebug, ale nic take podozrive som si tam nevsimol... Bojim sa, ze to bude nad moje sily, ale este sa pokusat budem.

[Master]

jaksi nemuzu o biglibu nic najit,a neco co sem nasel bylo v nemcine nebo rusky

[Z!L0G80]

jaksi nemuzu o biglibu nic najit,a neco co sem nasel bylo v nemcine nebo rusky

http://www.reteam.org/fleur/archive/files/projects/biglib.zip

rada2: ten a-debug trick je

Code: [Select]


.text:00401392                 or      dword ptr [esp], 100h
.text:00401399                 popf
.text:0040139A                 inc     eax
.text:0040139B                 jz      short near ptr loc_4013B0+4
.text:0040139D                 inc     eax
.text:0040139E                 dec     ecx

vyvola to vyjimku(pokud sem pochopil dobre) a pokracuje se tady

Code: [Select]


.text:00401248                 mov     ecx, [esp+20h+var_14]
.text:0040124C                 mov     eax, [esp+20h+var_1C]
.text:00401250                 cmp     dword ptr [eax], 80000004h
.text:00401256                 jnz     short loc_4012B4


[CZerezpiCZkin]

http://www.reteam.org/fleur/archive/files/projects/biglib.zip

rada2: ten a-debug trick je

Code: [Select]


.text:00401392                 or      dword ptr [esp], 100h
.text:00401399                 popf
.text:0040139A                 inc     eax
.text:0040139B                 jz      short near ptr loc_4013B0+4
.text:0040139D                 inc     eax
.text:0040139E                 dec     ecx

vyvola to vyjimku(pokud sem pochopil dobre) a pokracuje se tady

Code: [Select]


.text:00401248                 mov     ecx, [esp+20h+var_14]
.text:0040124C                 mov     eax, [esp+20h+var_1C]
.text:00401250                 cmp     dword ptr [eax], 80000004h
.text:00401256                 jnz     short loc_4012B4


 :eek:
Po prvy raz vidim taketo nieco ako a-debug. Mohol by som poprosit o male objasnenie ako detekuje samotny debugger? Pri krokovani som to akosi nepochopil. Cakal som nieco ako API fcia IsDebuggerPresent, len dobre schovana...
Heh, vidim, ze mam hodne co dobiehat.

[Master]

Máme... :confused:

[llAmElliK]

Co se týče toho antidebug - ten sem popisoval v threadu o EXE-Protectoru(REQUEST - SQLite Analyzer) - cituju :

kod (-1) hodnota FFFFFFFFh znamená detekci nějakýho toolu v paměti (mů?e to bejt debugger ale právě i unpacker) - a je to postavený na volání SEHu před instrukcí - v případě ?e je program trasován tak SEH není volán a tím dojde ke spadnutí aplikce - pokud to je tak je třeba najít to místo.
 Heh - zapomněl jsem co mně k tomu vede - instrukce POPFD!!!!
 Je třeba mrknout na net na fintu Trap Flag..........

Nevím jestli tady aplikace padá,nebo se děje na základě toho něco jinýho - v ka?dým případě to je odchyt SINGLE STEP.Důle?itý je teda odsledovat registr gde v registru resp flagu-TRAP (T) nakočí 1 - pokud pou?ijte Sice a myslím ?e to tam fungovat nebude.........(mo?ná se pletu) - mo?ná se pletu úplně - je?tě jsem to CME ani nespustil v Olly není time - pí?u jen na základě toho co sem napsal Z80.

[Master]

No nevim.I tak nam to skoro porad nic nerika.Trochu sem studoval ten trapflag.
Nakonec sem nasel jednu metodu,jak to udajne obejit,ale nevime,jestli to je spravne.Zde je nase reseni:

00401392      810C24 007000>OR      DWORD PTR SS:[ESP], 100
sme změnili na:
00401392      810C24 007000>OR      DWORD PTR SS:[ESP], 7000

Je mo?no???

[Master]

Kua,ja uz fakt nevim.Z nejakeho me neznameho duvodu to preskakuje 2 velky cykly a na konci se mi porovnava moje jmeno a prazndy string a ani za boha nemuzu prijit,proc to preskakuje    :confused:

[llAmElliK]

Hi,

tady si dovolím kousek zajímavýho kodu - dole v attachmentu máte popis debugg registrů ,třebas to trochu pomů?e k pochopení + do Olly jsem upload jeden plugin do olly;) - no a tady v tom návodu by vás mohla zajímat kapitola 3.1 s názvem - How to hook a SEH?

 

Code: [Select]

call instal_SEH
mov ecx,dword ptr[esp+0Ch] ;CONTEXT
mov eax,dword ptr[esp+04h] ;RECORD
.if dword ptr[eax]==EXCEPTION_SINGLE_STEP
add [ecx+CONTEXT.regEip],2
xor eax,eax
mov [ecx+CONTEXT.iDr0],eax
mov [ecx+CONTEXT.iDr1],eax
mov [ecx+CONTEXT.iDr2],eax
mov [ecx+CONTEXT.iDr3],eax
mov [ecx+CONTEXT.iDr6],eax
mov [ecx+CONTEXT.iDr7],155h