Anti Victim

[Conflict]

Let me welcome you ladies and gentlemen
I would like tu say HELLOOOO

Mame pro vas horkou novinku z oblasti crcMEs. Trvalo to sice dele nez sme vsichni ocekavali, ale tizeny vysledek je tu. Sme jak vydavatele her, pulrocni skluz nic neznamena.... my JSME vydavatele her, pro chytre lidi.

SN algo - Iron Screw
zbytek - Conflict

vsechno dalsi nepodstatne info v *.nfo

http://ironscrew.wz.cz/Cme/anti_victim.CID[t4C].zip

[Master]

hmm,tak to sem zvědav Večer mrknu

[FaTaLiTeR]

Ak je ten dobry chlapec naozaj taky dobry tak mam lokalizovany algac !

[llAmElliK]

Timto bych pozadal autora (y) predesleho crackME o zverejneni reseni - diky.

[Iron Screw]

Neboj neboj ... pracujese na tom ... jen shromazduji vsechna reseni.

[Master]

No tak sem se na to mrkl a musím říct,?e mám 100 chutí tohle cme bojkotovat a vyka?lat se na něj.Jeliko? čekat buh ví jak dlouho na to,ne? se mi napí?e vytukane jmeno,serial do textového pole,na to fakt nemam buňky.
Vsiml sem si zatím zajimavého "packování".Tohle se pokusím nějak obejit,ale pak zva?ím,jestli se mam pou?tet dale,jeliko? opravdu nemam naladu na to čekání.Jinak s tím packerem je docela zajimavej,ale v ?ivotě sem ho neviděl,tak kdoví,jak moc se s tím potrápím...

[Iron Screw]

Ohledne toho ze to trosinku zere proces mam taky vyhrady, ale tohle je zalezitost Conflictova.... ja pouze udelal easy vypocet SN ... ale zase na druhou stranu jsou pouzity  celkem zajimavy antidebbugg techniky... takze to zase conflictik zmakl dobre

[llAmElliK]

No tak sem se na to mrkl a musím říct,?e mám 100 chutí tohle cme bojkotovat a vyka?lat se na něj.Jeliko? čekat buh ví jak dlouho na to,ne? se mi napí?e vytukane jmeno,serial do textového pole,na to fakt nemam buňky.
Vsiml sem si zatím zajimavého "packování".Tohle se pokusím nějak obejit,ale pak zva?ím,jestli se mam pou?tet dale,jeliko? opravdu nemam naladu na to čekání.Jinak s tím packerem je docela zajimavej,ale v ?ivotě sem ho neviděl,tak kdoví,jak moc se s tím potrápím...

AD-1
Mel jsem dneska chvilku tag jsem to taky spustil - musim rict ze to zrani CPU me na*ralo hned taky...
AD-2
Zajimavy packer bych typnul na novejsi verzi Ultimate Packer for Executables - unpack very easy..

 00486E60 >  55

  PUSH EBP
00486E61

8BEC

MOV EBP,ESP
00486E63

83C4 F0

 ADD ESP,-10
00486E66

B8 206C4800

 MOV EAX,anti_vic.00486C20
00486E6B

E8 08F2F7FF

 CALL anti_vic.00406078
00486E70

E8 13FBFFFF

 CALL anti_vic.00486988
00486E75

A1 1C9C4800

 MOV EAX,DWORD PTR DS:[489C1C]
00486E7A

8B00

MOV EAX,DWORD PTR DS:[EAX]
00486E7C

E8 1F12FDFF

 CALL anti_vic.004580A0


...jinak menism NOPem se da docilit toho aby to nevyskakovala tak kravsky (jojo Conflict:)) ale v jednom "okne".....pak to zere min , myslim ze 90% zrani pameti ma na svedomi muzika ,ktery tam je implementovana.
BTW - tim NOPem to sice hodi chybu ale da se s tim "zit" ..jestli to ovlivnuje algo nevim.......mne slo o to to "rozchodit".......

[Master]

Unpack successful.Sam,bez tutoru...bez rady
Sice mi na ten unpack pi?e,?e to je pořad packly...

Ale dalsi problemik Při pruchodu do druheho callu mi olly spadne.BUG?Anti??Kdo ví

[Z!L0G80]

unpack: prepsat EIP v hlavicce ,prejmenovat sekce a upx -d popripade upxrip zalezitost minuty

[Master]

No ja to udělal jinak.Dokrokoval sem se az na fci ZwContinue a? na instrukci sysenter.Pak tabulka sekcí a bp-at-access na code sekci.Pak u? byl jen unpack upx a fix rsc.

Byl bys pls tak hodnej a vice popsal tvuj zpusob unpacku??Nevim jak mas na mysli prepsat EIP.

[FaTaLiTeR]

ehh ja som s tym az take velke problemy nemal natiahol som to do jedneho toolu a ono to na mna hodilo krasny 1.2 mB vypis delphi kodu, stacilo len ulozit a ficat v olly.
 
A u mna to uz po mensej uprave processor zere ako  kazdy bezny progg (malo). a mam len jedno okno s "krasavicou", zadam meno vcelku ryxlo. Uz to len otocit... a SN bude na svete
Ale ani Z!80 nema zly napad  :cool:

2 master -> podla mna mysli najst tam kde zacina kod a tam ho nasmerovat alebo nejak tak...

[Master]

No zjistil sem,?e kdyz chci v ollym najet na urcitou cast kodu,tak mi olly spadne,nevim proc.Jestli to je anti nebo neco,ale proste urcity blok kodu mi rupne...

[FaTaLiTeR]

master> jj anti trik  

Inak to otacanie netrvalo ani tak dlho...  :cool:

[Z!L0G80]

asi tahle EIP v exe je nastaveno na 0 tj win loader skace na 400000

Code: [Select]


400000 EIP 0
  dec     ebp
  pop     edx
  jmp L035
L035:
  push    edx
  inc     ebp
  lea     edx, dword ptr ds:[esi+60]
  mov     eax, CC58787F
  add     eax, 9FDD5EF4
  sub     eax, 6BE12963
  push    eax
  retn

no a v EAX bude prave EIP uz UPXnuteho programu na ktery se retn-em ... no kdyz zname EIP tak staci ty puvoni nuly prepsat na hodnotu EAX ,prepsat sekce na UP0,UPX1,.rsrc a udelat upx -d nebo pouzit UPXRIP a mame na 99% puvodni nepakovany exac