Newbie crackME - 25

[pr0p4g4nd4]

Dobry den,
na fore je opat mrtvo tak som sa rozhodol ze sa poobzeram po nejakom tom cmecku(bohuzial nie je moje). Nasiel
som toto cmecko od nejakeho maniaka menom nObOdy0190. Obtiaznost cmecka vyzera byt tak akurat(neviem presne lebo
som to cmecko neskusal ) pre newbies. Pre istotu, aby nebolo to cmeko priliz lahke rozhodol som sa ze vam to trochu
stazim, tym ze som cmecko zabalil SLVc0deProtector-om. Rozbalit tento protector nie je velmi tazke(tak akurat)..

Takze, rieste, piste keygeneratory, piste tutorialy..

PS: Cmecko by malo fungovat na winXP ale nefunguje na win2000(ostatne neviem). Tu je tutorial na unpacking SLV..

Nazov: ra_crckm2-nob
Autor: nObOdy0190 (ROYAL ACCEZZ CREW)
Jazyk: Microsoft Visual C++ 6.0
Pack: SLVc0deProtector v0.61
Typ: Crackme (Kgme)

[eraser]

No, tak po neúspe?nom unpacku som si k tomu sadol a zistil som, čo sa deje. Plugin Olly Advanced 1.26 Beta 10 mi nejako neprotektuje FindWindow, tak?e pokiaľ je pou?itá táto API funkcia s parametrom "OllyDbg", tak protektor uspeje.

Aspoň som si SLV pre?iel krok po kroku a mohol tak zistiť, aké paranoidné rutiny sa v ňom volajú. V prípade aktívnych niektorých aplikácií, kedy nemusí byť target vôbec nimi skúmaný, no i tak sa ukončí, to si autor mohol odpustiť.

Inak potom som si pozrel ten haagarov tutorial, ktorý si dodatočne nalinkoval a borec to celkom stručne celé popísal, je tam spomenuté takmer v?etko, na čo som narazil, av?ak určite by som to newbiekom do rúk e?te nedával.

[Master]

Taky sem koukal na zatim jeste neuspesny unpack.No je to torchu tezsi,nez sem myslel.

[pr0p4g4nd4]

No, tak po neúspe?nom unpacku som si k tomu sadol a zistil som, čo sa deje. Plugin Olly Advanced 1.26 Beta 10 mi nejako neprotektuje FindWindow, tak?e pokiaľ je pou?itá táto API funkcia s parametrom "OllyDbg", tak protektor uspeje.

Aspoň som si SLV pre?iel krok po kroku a mohol tak zistiť, aké paranoidné rutiny sa v ňom volajú. V prípade aktívnych niektorých aplikácií, kedy nemusí byť target vôbec nimi skúmaný, no i tak sa ukončí, to si autor mohol odpustiť.

Inak potom som si pozrel ten haagarov tutorial, ktorý si dodatočne nalinkoval a borec to celkom stručne celé popísal, je tam spomenuté takmer v?etko, na čo som narazil, av?ak určite by som to newbiekom do rúk e?te nedával.

No ja pouzivam staru verziu Olly Advanced(mam dojem ze je to verzia 1.25 beta 26 alebo tak nejak). Takze v tomto pripade stacilo dat bp na .data sekciu a nasledne na .text sekciu - OEP - rebulid importy a bolo to.
Inac som aj skusil unpacknut target uplne bez Olly Advanced pluginu a musim povedat, ze som tam brutalne zatuhol na jednom loope(mam dojem, ze to je decryptovaci loop hned po tom ako sa deli nulou..).. postupne sa mi docryptuje kod, ibaze loop mi potom dojde na adresu, ktora neexituje a tym padom mi to cele padne. Hm, musim sa s tym este trochu pohrat..  

[eraser]

Ja som na problémy nenarazil a dostal som sa krokovaním a? po skok na OEP. Ak nepou?íva? Adv, tak potom pozor na niektore ďal?ie antidebug triky, av?ak v?etky sa dajú ofajčiť i bez tohto plugina, av?ak nepríjemný je RVA hack, preto?e ?mejd si jeho pôvodnú hodnotu neskor?ie kontroluje, teda i ostatné súčasti PE hlavičky.

Mňa teraz na?tvalo, ?e mám nefunkčný unpack executable. Nejako neviem zistiť, čo sa Win loaderu nepáči a zahlási mi chybu pri spustení. Inak importy som nechal pôvodné, tie mi sedia, no nie je vylúčené, ?e je problém v nich, musím to e?te prehnať ImpRec-om, čo to povie.

// updated
Tak, u? som na to do?iel a vôbec nie je potrebné pou?ívať ImpRec. Problém bol v zlej hodnote PE hlavičky v polo?ke Machine, preto?e tá by mala byť (podľa iných Microsoft Visual C++ 6.0 executables) 014C a nie 00FE. Po dodatočnej úprave je unpacknutý target funkčný. A pre pokoj v du?i je dobré upraviť hodnotu SizeOfCode z F na 31000.

Aktualizoval som si verziu Advanced pluginu a taktie? je FindWindow nefunčkný, tak?e detekciu cez túto API funkciu musím eliminovať ručne... prepísal som prvé opcodes in?trukciami mov eax, eax a ret 8.

Čo sa týka samotného CM, tak level 1 je vhodný pre newbies.  :rolleyes:  Inak som si v?imol, ?e je tam pou?itá miracl kni?nica, omfg. No, nič, dám pár levelov a popí?em aspoň ten unpack.  

[Master]

Ja se prave taky sekl na importech nebo lepe receno na tom,ze mi to hazi chybu pri spusteni.Nevim proc,ale zda se mi,ze mam nejak malo importu.Mam tam wf cosi,kernel a user :/

[pr0p4g4nd4]

Ja som na problémy nenarazil a dostal som sa krokovaním a? po skok na OEP. Ak nepou?íva? Adv, tak potom pozor na niektore ďal?ie antidebug triky, av?ak v?etky sa dajú ofajčiť i bez tohto plugina, av?ak nepríjemný je RVA hack, preto?e ?mejd si jeho pôvodnú hodnotu neskor?ie kontroluje, teda i ostatné súčasti PE hlavičky.

Mňa teraz na?tvalo, ?e mám nefunkčný unpack executable. Nejako neviem zistiť, čo sa Win loaderu nepáči a zahlási mi chybu pri spustení. Inak importy som nechal pôvodné, tie mi sedia, no nie je vylúčené, ?e je problém v nich, musím to e?te prehnať ImpRec-om, čo to povie.

// updated
Tak, u? som na to do?iel a vôbec nie je potrebné pou?ívať ImpRec. Problém bol v zlej hodnote PE hlavičky v polo?ke Machine, preto?e tá by mala byť (podľa iných Microsoft Visual C++ 6.0 executables) 014C a nie 00FE. Po dodatočnej úprave je unpacknutý target funkčný. A pre pokoj v du?i je dobré upraviť hodnotu SizeOfCode z F na 31000.

Aktualizoval som si verziu Advanced pluginu a taktie? je FindWindow nefunčkný, tak?e detekciu cez túto API funkciu musím eliminovať ručne... prepísal som prvé opcodes in?trukciami mov eax, eax a ret 8.

Čo sa týka samotného CM, tak level 1 je vhodný pre newbies.  :rolleyes:  Inak som si v?imol, ?e je tam pou?itá miracl kni?nica, omfg. No, nič, dám pár levelov a popí?em aspoň ten unpack.  

Uz som zistil v com bola chyba - ja som totiz to delenie integera nulou vyNOPoval lebo som si nevsimol ze toto delenie ma nasledne suvis aj s decryptaciou kodu.  
No jo, mas pravdu L1 je dost lahky. Ale L2 je uz nieco uplne ine - akym sposobom si poriesil L2??? Ja som to poriesil odcitavanim..
Hm, ako si zistil ze je tam MIRACL? Ja som skusal na to KANAL(+ jeden dalsi tool od nejakeho typka menom x3chun) a nic mi nenaslo. Kurna ale tymto sa to cme ale brutalne ztazuje - teda aspom pre mna lebo mne tie crypto shity nic nehovoria.. No co, tak sa musime spolahnut na to, ze toto cme poriesia nasi fesaci z T4C..  

[eraser]

Ja se prave taky sekl na importech nebo lepe receno na tom,ze mi to hazi chybu pri spusteni.Nevim proc,ale zda se mi,ze mam nejak malo importu.Mam tam wf cosi,kernel a user :/

No, tak to má? správne, a ako hovorím, s importami netreba nič robiť.

ja som totiz to delenie integera nulou vyNOPoval

No, tá výnimka je tam dôle?itá a pokiaľ je vyvolaná, tak sa zavolá obsluha SEH a to je zámer autora.

akym sposobom si poriesil L2?

No, ja som si napísal rutinu, ktorá mi generuje správne hodnoty, či?e bruteforce generátor.  

Hm, ako si zistil ze je tam MIRACL?

Je tam linkovaná daná kni?nica a dá sa to zistiť podľa reťazcov.

[Master]

A jak to teda opravit? Zkousel sem rebuild v lordpe a nezabralo.

[pr0p4g4nd4]

Je tam linkovaná daná kni?nica a dá sa to zistiť podľa reťazcov.

Uz som si to vsimol aj ja ked som si pozeral REFERENCED TEXT STRINGS. Vsimol som si tam su aj nejake PRIMES(si neviem co je to) a aj nejake dalsie hexadecimalne cisla(su tam kratsie ale nasiel som aj 512bitove{alebo bajtove??} - ked som skusal dat faktorizovat to s velkostou 512 tak mi tool vypisal ze faktorizacia bude trvat velmi dlho..) >>> Kurna, ja sa v tom crypto absolutne nevyznam..    :mad:  :confused:

Problém bol v zlej hodnote PE hlavičky v polo?ke Machine, preto?e tá by mala byť (podľa iných Microsoft Visual C++ 6.0 executables) 014C a nie 00FE.

Hm, a tu polozku MACHINE kde mas? v LordPE?

[eraser]

Hm, a tu polozku MACHINE kde mas? v LordPE?

No, dá sa tam nájsť, no nedá sa editovať. Na to musí? pou?iť Hex editor.

A jak to teda opravit? Zkousel sem rebuild v lordpe a nezabralo.

Ten vôbec nepotrebuje?, vystačí? si s OllyDump pluginom a hex editorom, pričom musí? opraviť tú hodnotu Machine v PE hlavičke. A taktie? zmazať poslednú sekciu, či?e tú :ICU:, či jak sa volá... av?ak na to prípadne pou?i LordPE a taktie? mô?e? dať executable rebuildovať.

[Master]

Ja uz fakt nevim,v cem to mam blbe,nahodim sem zitra muj dump a muzete to zkusit upravit.Polozku machine sem upravil,sekci odstranil.Opravil dalsi PE info a stejne chyba...

[eraser]

Tak to potom netu?ím, čo by mohlo viesť k chybe. Si si istý, ?e má? správny OEP? E?te si skontroluj hodnoty BaseOfCode (00001000) a BaseOfData (00032000).

[Master]

Tak tady je ten muj dump.Melo by tam byt upravene kompletne vsechno.Jak machine(snad sem to nasel na spravnem miste),BoC,BoD,NumOfRVAAndSizes,zrusena sekce(i kdyz to si myslim,ze bylo zbytecny).
A porad nic.Muzete si s tim zkusit pohrat.Mozna sem nekde neco zmrvil nebo na neco pozapomnel.

Code: [Select]

http://www.edisk.cz/stahni/58163/dump1.exe_326.2KB.html

[eraser]

Prečo tam má? nejakú sekciu newIID? Ty si pou?il OllyDump a nezru?il rebuild importov, či si pou?il nejaký iný tool? Dumpni to e?te raz a nerob s dumpom ?iadne úpravy, teda okrem tých zásahov v hlavičke, ktoré som spomínal. Ak to nepôjde, uploadni to e?te raz. Tento dump je rozhodený.

// updated
Podarilo sa mi ten tvoj dump rozchodiť, no musel som wipnúť poslednú sekciu, editovať SizeOfCode a zmeniť ImportTable. E?te sa s tým pohrám, aby som vedel, čo má na spustenie výrazný vplyv.