Newbie crackME - 23->[SOLVED]

[eraser]

Vybral som ďal?ie zaujímave Newbie CM, i keď v tomto prípade o ten S/N ani tak nejde. Dôvodom je skorej pou?itý "pack", no je to u? na vás, ako si s ním poradíte. Čím menej toolov pou?ijete, tým lep?ie. Mne stačili dva, pričom jedným bol OllyDbg a do .exe som vôbec nezasahoval.

Nedajte sa odradiť, ide o trapnú zále?itosť a za úspech pova?ujem odhalenie alga a jeho krokovanie, prípadne trace výpis, ktorý sa v tomto prípade dá tie? veľmi pekne zú?itkovať.

Názov: clone.exe (25.088 bytes)
Autor: haggar
Pack: MSLRH
Jazyk: ASM, WinAPI
Typ: KeygenMe

Poprosil by som účastníkov fóra, aby sa ich príspevky v tomto threade týkali zásadne len problematiky tohto CM.

Kto napí?e keygenerátor, tak ma pote?í, ale zrejme to zase ostane na mne, tak?e ma skúste niekto prekvapiť.  

[llAmElliK]

Názov: clone.exe (25.088 bytes)
Autor: haggar
Pack: MSLRH
Jazyk: ASM, WinAPI
Typ: KeygenMe

No nevim ,nevim jestli to je rozumne do Newbie s timhle packerem - (antidump , antitrace...)..

[eraser]

Hmmm, ono tento pack, v stra?ích verziách je úplný lúzer a vôbec nie je potrebné dané CM unwrappovať, i keď i to sa mi úspe?ne podarilo a zisťovať OEP ručne, to samozrejme niewbíkom nedoporučujem.

Nechcem na začiatok moc prezrádzať, no stačí OEP (zrejme viete na akú utilitku myslím) a plugin v Olly na hide debuggera má snáď ka?dý defaultne aktivovaný... Veci na dumping nie sú v tomto prípade nutné, toto by som kľudne posunul Masterovi, ak bude mať o to záujem v unpack skôlke.

[Master]

Jo,pozdeji to tam muzeme dat urcite.

[pr0p4g4nd4]

...na to unpacknutie funguje ESP TRIK, a vobec nie je potrebne rebuildovat importy  

[eraser]

S importami má? pravdu, jediné, čo mô?e spôsobovať men?í problém, to je ručné (kto by to robil? ) nájdenie OEP a tým i pár opcodes, tak?e priamy dump nehrozí, no i tak je to veľmi ľahké. Ak sa v?ak pou?ije tool, následne sa podľa stacku, resp. posledných adresies preskáče o pár krokov dozadu, potom je mo?né nájsť jump na OEP a taktie? ukradnuté in?trukcie. Toto sa v?ak dá i bez tohto procesu ľahko domyslieť... ale to uvidíte.

Neprezradil som v?etky anti-triky, ktoré tento protektor pou?íva, ale verím, ?e ich má ka?dý aktivované.

Dneska som sa hral s ručným krokovaním bez pou?itých anti-anti, tak?e keď budem mať čas, tak spravím popis, ale ten nahodím i s videom do unpack ?kôlky, keď príde na to tá pravá chvíľa.

[Master]

A ja az se odlepim od world of warcraft,tak se taky do toho pustim :/

[eraser]

No, aby ťa to nevtiahlo tak, ako som nedávno videl v jednej časti South Park-u.

Ja u? mám nachystané video s rýchlym unwrappnutím a rebuildnutím, resp. kompletným odstránením protektora z executable. Rie?enie, vrátane keygenerátora je samozrejmosťou. Teraz mi neostáva nič iné, ne? čakať, ?e sa niekto do toho pustí.

Mimochodom, na tomto príklade je dobre vidieť, ?e rôzne pluginy, ktoré ukrývajú proces debuggovania, prípadne opravujú niektoré chyby, doká?u rapídne zjednoduch?iť a urýchliť prekonanie ochrany. Ďalej treba podotknúť, ?e pokiaľ by protektor neobsahoval rôzne fintičky, tak by sa krokovanie stalo pohodlnou zále?iťosťou... skúste si to potom reverznúť s čistým Ollym.   :eek:

[Iron Screw]

A ja az se odlepim od world of warcraft,tak se taky do toho pustim :/

A prosimte, kde paris? treba se potkavame

[NeptuN]

pche... Lineage2 je mnohem lepsi nez World Of Warcraft !!! ( i kdyz teda grafika WoW taky neni k zahozeni )

[Master]

To si teda pis ze L2 neni lepsi jak WOWko.Styl hrani a promyslenost ve wowku je mnohem lepsi.Navic tomu taky nahrava fakt,ze na wow neni ukradnuty ofic server,proto nikoho nic nenuti jit na ofic.

2 IS: hraju na Bladefistu

Jinak dneska odpoledne se budu muset delat neco do skoly.Tak udelam aspon unpack video prvniho unpack cme a mrknu se na tuhle srajdu.

[hybridfusion]

hh .... tak jestli se vsechno podari tak budu mit na ten packer normalni unpacker .. rucne se mi to totiz nepovedlo

[hybridfusion]

Nevim proc ale po manual unpacku a naslednemu spusteni pomoci F9 se CME sice pusti ale olly mi nechce nacist jednu knihovnu AdvancedApi.dll .... jeste nevim jestli to bude mit na CME nejaky vliv ale jestli stim ma nekdo skusenosti pls napiste

[eraser]

No, nepredpokladal som, ?e tento protektor spôsobí takéto problémy. Keď som sa k nemu dostal, ani som nevedel, ?e nejaké anti-ochrany vôbec obsahuje. Dôvodom bolo pár nastavení a pluginov, ktoré by mali byť ?tandardne aktivované.

Jednoduchým spôsobom, ako odkrokovať program, ktorý je zakryptovaný, spočíva v týchto pár bodoch:

1. Nájdenie OEP - napr. PEiD plugin
2. Deaktivovanie IsDebuggerPresent funkcie - napr. advancedolly plugin
3. Oprava formátovacej %s%s OllyDbg chyby - napr. advancedolly plugin
4. Ignorovanie INT 3 výnimky
5. Nastavenie BPX (hw breakpoint) na dané OEP
6. Run - F9

[llAmElliK]

No, nepredpokladal som, ?e tento protektor spôsobí takéto problémy. Keď som sa k nemu dostal, ani som nevedel, ?e nejaké anti-ochrany vôbec obsahuje. Dôvodom bolo pár nastavení a pluginov, ktoré by mali byť ?tandardne aktivované.

...upozornoval jsem na to hned ve svem prvnim postu v tomto threadu.