Newbie crackME - 13 - [SOLVED]

[llAmElliK]

Hi,

aby nikdo neusnul na vavřínech připravil jsem nový cme - a aby bylo dobře malinko jsem zvý?il skill - ov?em pouze co se týče pou?ití nástrojů - u tohodle cme budete muset pou?ít asi i nástroje který mo?ná máte ve svý databázi ,ale zatím jste je nevyu?ili - začněte a pak se ptejte v?e vysvětlím.

Malý popis - výsledné ře?ení je velmi ,velmi easy - ov?em jde o to se k němu propracovat to znamená projít několika nástrahami a hlavně pou?ít správné nástroje a vědět jak s nimi pracovat - trochu jsem si pohrál s finální podobou .exe co? Vám uká?e Olly ihned po nata?ení (někteří budou vědět hned která bije) no a? odstraníte tuhle malou fintu mů?ete pou?ít dal?í nástroje atd.

RE musí být i zábava a hlavně je třeba stále udr?ovat přátelství s kamarádem gůglem.

Hodně ?těstí

[Master]

No hura.Jdu se podivat

[CZerezpiCZkin]

Kua, PE hlavicku som prezrel celu a nenasiel som ziadnu "tvoju" upravu, aby si z toho urobil neznamy format pre Olly...  :confused:    Zatial...  

[llAmElliK]

Kua, PE hlavicku som prezrel celu a nenasiel som ziadnu "tvoju" upravu, aby si z toho urobil neznamy format pre Olly...  :confused:    Zatial...  

Tag si zatial ?patně hledal - udělal jsem to já;) - a není to jen na Olly ale "odrovná" to hodně toolů a dumperů vč v?ech unpackerů na daný packer...

[EDIT - doufám,?e ?ádnej unpacker nepotřebujete - manual je otázka pár "hmatů" - a během 3 minut jsem to v olly udělal asi na 3 způsoby - pokud budete chtít help tak se zamozřejmně zeptejte a? to v olly rozchodíte.]

[CZerezpiCZkin]

Je mi jasne, ze to je tvoja praca... Inak by mi  len tak "nahodne" nechybala adresa potrebna pre inicializaciu CME (zatial som prisiel len na nu, ale mozno je toho aj viac - uvidim).

[Z!L0G80]

mensi rada prectete si http://www.zive.sk/h/Poradca/AR.asp?ARI=114990

[CZerezpiCZkin]

Noo, uz sa mi to podarilo unpacknut a mierne poupravit tak, aby to slapalo. Je pravda, ze mi Olly stale hlasi nieco typu "Bad or unknown format of 32-bit executable file", ale CME sa pekne spusti. Uznavam, nie je to prave to najkrajsie riesenie ale robim, co viem...

[llAmElliK]

mensi rada prectete si http://www.zive.sk/h/Poradca/AR.asp?ARI=114990

Je?ííí? nestra? - já se s tím poprvý setkal u SLVc0deProtecor-u.

[Master]

přečtu,ale a? zítra Dík.Ale je to celkem v?ivárna...

[llAmElliK]

Kdy? jsme u toho - tady je vidět jak "jsme" v?dycky o krok napřed - v případě pou?ití triku OutputDebugString:

procedure CrashOlly;
var s: string;
    i: integer;
begin
  s:='';
  for i:=1 to 100 do
      s:=s+'%s';
  OutputDebugString(PChar(s));
end;

...si dneska u? moc nikdo moc ne?krtne proto?e u? je na to plugin - ov?em je to zajímavej postřeh z "druhého břehu" ...si vzpomínám ?e taghle někdo "odstranil" Salamander ?e?

[llAmElliK]

A? budete mít funkční unpack stáhněte p32dasm - ten vám uká?e v?e potřebné - to ?e je unpack správný poznáte i podle toho ?e vám p32dasm cme v pohodě decompiluje.......enjoy.

[Master]

to by se mi musel ten unpacknuty vubec spustit  

[robocop]

já to sice unpacknutý mám, spustit to jde, ?ádný hlá?ky to v olly nehází, poznám z toho akorát ?e to je VB, ale do P32dasm ani WKT to natáhnout nejde  :confused:

[Master]

A jak jste to unpackli??? Ja upravil pres lorda tu jednu hodnotu na 00000010.
A pak unpackoval podle tutoru,rebuildnul PE pres lorda a haze mi to chybu a neodesilat  

[llAmElliK]

OK - jeden návod do Olly.

Spusťte Olly - OPTIONS - DEBUGGING OPTIONS - TRASE REAL ENTRY BYTEWISE ....

Natáhněte target s chvíli čekejte - zastaví na OEP - dejte si REMOVE ANALYSE FROM MODULE! ...

Pak dump BEZ OPRAVY IAT - nechte spu?těno a opravte importy v ImpREC.

A druhej návod:
Najděte jumpy specifické pro FSG

 

Code: [Select]

004001C9    95                      XCHG EAX,EBP
004001CA    8B07                    MOV EAX,DWORD PTR DS:[EDI]
004001CC    40                      INC EAX
004001CD  ^ 78 F3                   JS SHORT newbiecr.004001C2    ------
004001CF    75 03                   JNZ SHORT newbiecr.004001D4
004001D1    FF63 0C                 JMP NEAR DWORD PTR DS:[EBX+C] <--- BPX
004001D4    50                      PUSH EAX
004001D5    55                      PUSH EBP

Dejte BPX na JMP - potom F9 - zru?te BPX a F8 a stojíte na OEP - pak pokračujte stejně.

Tady mů?ete pou?ít mojí IAT.(v impREC dejte LOAD IAT a natáhněte tuhle)

Stačí?

[EDIT  - to ?e to nejde do p32dasm znamená ?e máte ?patně opravený importy (prostě ?patnej unpack - samozřejmně to mám odzkou?ený celej postup tak?e pokud unpacknete dobře p32dasm vám to veme a decompiluje OK)
Zkontrolujte svojí IAT zde tam máte tuhle hodnotu , to je důle?itý]
 

Code: [Select]

1 00001018 msvbvm60.dll 0064 ThunRTMain

[EDIT2 stáhněte si pro jistotu je?tě tohle nastavení impREC - přepi?te tím svůj .ini]