Newbie crackME - 24->[SOLVED]

[pr0p4g4nd4]

[Test Results]

Z80[indent]
 newbie24a.exe   Loader24a.exe         passed
  newbie24b.exe   Loader24b.exe         failed
  newbie24c.exe   Loader24c.exe         failed
  newbie24d.exe   Loader24d.exe         failed
[/indent]
pr0p4g4nd4[indent]
 newbie24a.exe   loader_a.exe          passed
  newbie24b.exe   loader_b.exe          passed*
  newbie24c.exe   loader_c.exe          passed*
  newbie24d.exe   loader_d.exe          passed*
[/indent]
* - not a safe method


Z80: Pozeral som zdroják, podľa neho by ti mal fungovať aspoň ten prvý UPX target, teda newbie24b. No, nechce sa mi hľadať chyba. Tie posledná dva sú jasné.


pr0p4g4nd4: Tro?ku som neveril, ?e to mô?e fungovať, no zjavne CPU, resp. najmä správa multitaskingu OS robia zázraky. V normálnom prostredí, ale dokonca i pri plnom zaťa?ení procesora, v?etko be?í, ako má a ka?dý loader je funkčný a svoj účel spĺňa. Zlyhanie nastane pri extrémnom pokuse, ktorý zrejme be?ne u?ívateľ nemô?e dosiahnuť. Tak?e beriem... a gratulujem k vytvoreniu týchto utilitiek, vidí?, v podstate to programovanie nie je také ťa?ké a pokiaľ má? skúsenosti s RE, tak ten assembler zvláda? ľavou zadnou. A e?te nehovoriac o malej úprave existujúceho zdrojáka...

Keď som si pre?iel kód, pochopil som dôvod fungovania. "Správne" načasovanie, resp. zdr?anie medzi unpacknutím a samotným vykonávaním prvej in?trukcie cieľovej, resp. paknutej aplikácie zabezpečuje Check4ByteSig cyklus.

Problém mô?e nastať v prípade podhodenia nevhodného targetu...

Inak vidím, ?e si pou?il zdroják od samotného mistra Hayrasa, od ktorého tento spôsob loadera obkukal (1999) samotný R!SC, mierne ho upravil a následne ho i publikoval v podobe zdrojového kódu pre verejnosť.  

...no, tak to mas pravdu ze programovat v assembleri je dost lahke pokial vies reverzovat
...inak o tom HAYRASovi pocujem prvy krat. A ani som nevedel, ze potom to r!sc odkukal

[eraser]

pr0p4g4nd4: Inak Hayras bol člen skupiny [tNO], no podľa mojich informácií i?iel na tzv. dochodok e?te v "minulom" storočí.  

[eraser]

pr0p4g4nd4: Nie, to som nemyslel...     asi som to zle naformuloval, ale i?lo mi o to, ?e tie názvy mô?e? pou?ívať, ale pokiaľ uploaduje?, tak by to mohlo mať významové pomenovanie, ktoré sa týka daného CM. Či?e ten tvoj srandovne pomenovaný archív zabal prípadne e?te do jedného archívu, ktorý bude mať vhodný názov. Ja si myslím svoje, ale takto je to určite lep?ie rie?enie, ne? sa s niekym hádať. Poďme rad?ej reverzovať, bez teba by som mal v ?kôlke v niektorých prípadoch mŕtvo a to by bola ?koda.  



Tu je moje rie?enie, ktoré je v binárnej podobe, tak?e úloha pre vás, kto chce vidieť logiku, tak disassemblujte, debuggujte.   :p  V?etky loadre sú napísané v MASM32, a? na jeden, ten som spravil v LCC. Ak sú pre dané CM obsiahle dve binárky, potom jedna je loader a druhá mini debugger. Pre newbie24d je pou?itá dokonca i API hook technika. Zdrojáky dám neskôr, mo?no...  

[Iron Screw]

Thread procisten... posty presunuty pro vystrahu resp. pouceni: Pravidla flame!

[Arab3h]

Mam tady pro vas 4 plne funkcni loadery i se source. Snad je tahle metoda bezpecna  Prekompilovano bez pouziti Frameworku

[eraser]

V čom si kompiloval tie zdrojáky, akosi mi nejdú spustiť binárky... tá hlá?ka je trochu divná, ale je mo?né, ?e je vy?adovaný framework, čo teda nemám a ani ho nechcem in?talovať.  Ideálne by bolo, keby si pou?il LCC, získa? malý výsledný executable.

// po prekompilovaní

OK, tak som si to pre?iel, funkčnosť 100%, výborne. Taktie? vynikajúce pou?itie infinite loop, tak to má byť. Jediné, čo by som vylep?il, to je implicitný Sleep nastavený na sekundu. Ono toti? mo?e to byť občas málo a vtedy loader zlyhá. A na druhej strane, zase je nutné čakať celú 1 sekundu, čo v prípade viacerých "tricky breakpointov" mô?e zbytočne spomaliť loader. Vhodnej?iu metódu nájde? v mojom rie?ení.

E?te jedno som si v?imol, v podstate nemusí? zisťovať, či daný súbor existuje cez CreateFile, ale stačí checknúť návratovú hodnotu CreateProcess. Ale to sú u? len malé mu?ky.

Ka?dopádne, takto som si predstavoval rie?enie a som rád, ?e sa sem pridalo ďal?ie plne funkčné solution po pr0p4g4nd4-ovi, ak nepočítam to moje.  

[pr0p4g4nd4]

Mam tady pro vas 4 plne funkcni loadery i se source. Snad je tahle metoda bezpecna  Prekompilovano bez pouziti Frameworku

Pekna praca - skusal som to a funuje to! KEEP GR8 WORK!  

V čom si kompiloval tie zdrojáky, akosi mi nejdú spustiť binárky... tá hlá?ka je trochu divná, ale je mo?né, ?e je vy?adovaný framework, čo teda nemám a ani ho nechcem in?talovať.  Ideálne by bolo, keby si pou?il LCC, získa? malý výsledný executable.

// po prekompilovaní

OK, tak som si to pre?iel, funkčnosť 100%, výborne. Taktie? vynikajúce pou?itie infinite loop, tak to má byť. Jediné, čo by som vylep?il, to je implicitný Sleep nastavený na sekundu. Ono toti? mo?e to byť občas málo a vtedy loader zlyhá. A na druhej strane, zase je nutné čakať celú 1 sekundu, čo v prípade viacerých "tricky breakpointov" mô?e zbytočne spomaliť loader. Vhodnej?iu metódu nájde? v mojom rie?ení.

E?te jedno som si v?imol, v podstate nemusí? zisťovať, či daný súbor existuje cez CreateFile, ale stačí checknúť návratovú hodnotu CreateProcess. Ale to sú u? len malé mu?ky.

Ka?dopádne, takto som si predstavoval rie?enie a som rád, ?e sa sem pridalo ďal?ie plne funkčné solution po pr0p4g4nd4-ovi, ak nepočítam to moje.  

No mne to fungovalo - ci tu na compe je alebo nie je nejaky framework tak to fakt netusim. Fuuha, takze sme uz traja co sme to poriesily - mi sme MASTER REVERZERS - ostatny to asi nevedeli poriesit  

[eraser]

A ty si stiahol tie pôvodné binárky, či má? u? tie nové, preto?e tie staré mali cez 60 kB a nové tu?ím do 20 kB.

[pr0p4g4nd4]

A ty si stiahol tie pôvodné binárky, či má? u? tie nové, preto?e tie staré mali cez 60 kB a nové tu?ím do 20 kB.

No maju okolo 20kB, cize to su asi tie nove..  :confused:  

[eraser]

Jojo, to u? sú tie prekompilované, tie fungujú i mne. Mimochodom, Arab3h mi pomohol nájsť, resp. odstrániť bug v mojej jednej utilitke.

[pr0p4g4nd4]

Jojo, to u? sú tie prekompilované, tie fungujú i mne. Mimochodom, Arab3h mi pomohol nájsť, resp. odstrániť bug v mojej jednej utilitke.

Utilitke? Ktorej?    

[eraser]

Jojo, presne tá...  a Arab3h mi ju zároveň otestoval na Windows 2000, resp. odstránením daného bug-a som fixol funkčnosť i na iných OS Windows NTčkovej rady. Hold, ?ikovný je chalanisko, nutno uznať. A najviac ma pote?il s vyrie?ením toho forwardme.

Inak momentálne si musím dať men?iu pauzu, idem prerábať byt, to bude roboty...    a e?te som sa rozhodol zmeniť providera, preto?e mám wi-fi, ktorá je mimochodom veľmi stabilná a s odozvou, ktorú by mi mohli závidieť i káblovkári,   :p  av?ak doba pokročila a 600 Sk s DPH za 360/160 kbps je proste pravek internetových slu?ieb. Na?iel som si za túto istú sumu alternatívu 1.5 Mbit/s konektivity.

[pr0p4g4nd4]

Jojo, presne tá...  a Arab3h mi ju zároveň otestoval na Windows 2000, resp. odstránením daného bug-a som fixol funkčnosť i na iných OS Windows NTčkovej rady. Hold, ?ikovný je chalanisko, nutno uznať. A najviac ma pote?il s vyrie?ením toho forwardme.

Inak momentálne si musím dať men?iu pauzu, idem prerábať byt, to bude roboty...    a e?te som sa rozhodol zmeniť providera, preto?e mám wi-fi, ktorá je mimochodom veľmi stabilná a s odozvou, ktorú by mi mohli závidieť i káblovkári,     av?ak doba pokročila a 600 Sk s DPH za 360/160 kbps je proste pravek internetových slu?ieb. Na?iel som si za túto istú sumu alternatívu 1.5 Mbit/s konektivity.

Tak to mas pravdu je to VELMI SIKOVNE CHALANISKO    :p
Ides prerabat byt? Hm, a kolko izbovy byt mas? A co konkretne ides prerabat - jadro?
Tu 1.5 Mbit/s si si zohnal u akej firmy? Nieco ako CHELLO alebo nieco od POMARANCA alebo T-COM(T-MOBILU)?

[Conflict]

Tu 1.5 Mbit/s si si zohnal u akej firmy? Nieco ako CHELLO alebo nieco od POMARANCA alebo T-COM(T-MOBILU)?

jenom tri moznosti na vyber? slabota

[eraser]

Ides prerabat byt? Hm, a kolko izbovy byt mas? A co konkretne ides prerabat - jadro?

Neboj, nič také, ide sa len obnoviť obývačka, tzn. podlaha, vymalovať, nová sedačka, stolík, doplnky.

Tu 1.5 Mbit/s si si zohnal u akej firmy?

No, bude? sa diviť, ale toto je aktuálne ponuka od T-Com s názvom Turbo 2.    Ono, spojil som sa s doteraj?ím providerom a ten mi ponúkol takmer zhodnú rýchlosť za tú istú cenu, no vy?adovalo by to prechod na 5 GHz, tak?e by som musel doplatit cez 3 tisíc za HW s tým, ?e 2.4 GHz HW si odkúpia. To je síce pekné, len?e pevnú lajnu od T-Com mám za necelú tisícovku a navy?e ?mejďáci zvy?ujú rýchlosti a pevná lajna je pevná lajna.

jenom tri moznosti na vyber? slabota

Nie, to sú ?tyri mo?nosti, preto?e T-Com nie je T-Mobile.    A ďalej to zavisí od lokality, tak?e je ďaleko viacej mo?ností a providerov, keď sa zamerám na také DSL, tak najväč?ími providermi sú T-Com (čo? bol Telekom, či?e monopól), Nextra a Slovanet. Mimochodom, Nextra spravila v roku 1999 brutálny útok voči Telekomu a sprístupnila za ľudový poplatok dial-up do domácností. Áno, v tej dobe ste v ČR honili net po pevných lajnách...  :rolleyes: