Guelter#1 [SOLVED By Whivel]

[Predator]

Propongo questo interessantissimo crackme che ho appena finito di codare.

Titolo: Guelter#1

DOWNLOAD:
http://www.nexenteam.net/predator/reversing/crackme/Guelter1.rar

OBIETTIVO:
Semplicemte eliminare il Nag Screen verdino

Difficoltà: richiede un po' di pratica nel reversing

Predator

 

[Chuzz]

RE: Guelter#1 [UNSOLVED]

dimmi che non è VB...
scaricato

 

[Predator]

RE: Guelter#1 [UNSOLVED]

La prima parte del crackme l'ho codato con tecniche che sono indipendenti dal linguaggio con cui è scritto. Ti assicuro che la prima parte (da affrontare per forza per passare alla seconda) che sia fatta in VB C ASM o Delphi non fa alcuna differenza
e già questo è un suggerimento.

Preddy

 

[Whivel]

RE: Guelter#1 [UNSOLVED]

mi sa che devi farne altri ^^ ... questo l'ho già crackato.....
ecco:
http://www.divshare.com/download/1347552-152

NON c'è il tutorial e non penso di farlo se non nel tempo libero.

Il Perchè?
è che ho fatto molta fatica, solo a trovare un metodo per capire dove patchare... ma anche COME... poi anche scoperto come ho dovuto scoprire quando... un casino...
un po di tempo per far riposare la testa e ci penserò su

 

[Larika]

RE: Guelter#1 [UNSOLVED]

mi sa che devi farne altri ^^ ... questo l'ho già crackato.....
ecco:
http://www.divshare.com/download/1347552-152

NON c'è il tutorial e non penso di farlo se non nel tempo libero.

Il Perchè?
è che ho fatto molta fatica, solo a trovare un metodo per capire dove patchare... ma anche COME... poi anche scoperto come ho dovuto scoprire quando... un casino...
un po di tempo per far riposare la testa e ci penserò su

Wow abbiamo un reverser da competizione qui!! Però peccato per la guida, mi farebbe piacere vedere come hai fatto!

 

[Predator]

RE: Guelter#1 [UNSOLVED]

wow un bel po di code injection
eccezzionale ^^
pero' fallo il tut appena puoi

---

vi spiego, ho fatto un loader che carica in memoria (il file compresso e criptato) e poi lo esegue, il tutto in memoria.
cose che non si possono fare
aprirlo con smart check
-fare l'attach del processo in quando il processo viene completamente sovrascritto da -uno nuovo di dimensioni diverse

cose che si possono fare:
- code injection come ha fatto il buon Whivel
- staccare il programma dal loader

Preddy

 

[Chuzz]

:crazy1: di già...
Preddy poi spieghi /linki qualcosa sul code injection, vero :grin1:

 

[Predator]

bhe ma a questo punto mi aspetto che qualcuno lo crakki nel secondo modo

 

[Whivel]

RE: Guelter#1 [UNSOLVED]

wow un bel po di code injection
eccezzionale ^^
pero' fallo il tut appena puoi

---

vi spiego, ho fatto un loader che carica in memoria (il file compresso e criptato) e poi lo esegue, il tutto in memoria.
cose che non si possono fare
aprirlo con smart check
-fare l'attach del processo in quando il processo viene completamente sovrascritto da -uno nuovo di dimensioni diverse

cose che si possono fare:
- code injection come ha fatto il buon Whivel
- staccare il programma dal loader

Preddy

---

in realtà noo ho fatto un loader.... ho proprio modificato il programma :grin1:
cmq io sono riucito a fare l'attach del processo.... infatti sono riuscito non solo ad ottenere un eseguibile (non funzionante) che se decompilato con vb decompiler riesci a vedere i form ecc., ma anche a debuggare la perssione del atasto

 

[Predator]

we, ho scritto che NON hai fatto un loader, ma hai fatto code injection nel crackme
ho visto il codice che hai perfettamente aggiunto ^^
pero' una cosa che mi davvero mi interessa è come sei riuscito a fare l'attach del programma
Non con olly cmq vero?

 

[Whivel]

avevo letto male (hai invece di ho)....

l'ho fatto proprio con olly ed ho pure trovato il codice criptato, ma non so come decrittarlo

 

[Predator]

ma guarda te! come caxxo hai fatto

 

[Whivel]

a meno che non stiamo parlano di due cose dverse ho fatto partire il programma. poi ho aperto olly e ho scelto file->attach

 

[Predator]

si procedura perfetta ma su tutti i pc che l'ho provato, (giustamente) fa craschare olly
per questo mi sono sorpreso. Infatti senza l'attach era piu' difficile.

 

[Whivel]

neppure tanto... cmq forse è grazie ai plugin

 

[Predator]

plugin aaaaaaaaaahhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh
cmq apparte sta cosa che non sono riuscto a prevederla, il code injection che hai fatto rimane sempre un gran bel lavoro.

 

[Whivel]

se vuoi su http://whivel.altervista.org/programmi/
c'è ollydbg con i plugin (che è quello che uso io)

a volte crasha ollyadvanced quando tenti di attaccare il tuo crackme, ma basta ignorare la messagebox ed andare avanti

 

[Predator]

grazie )))

 

[Whivel]

sono riuscito anche a staccarlo dal loader.... ma il bello è che ha fatto tutto lui...
non era la prima volta che tentavo questo metodo, ma il dump non funzionava.... poi mi sono ricordato del problema che ho avuto con il code injection (fatto a mano giusto per ^^) e ho capito che alcuni codici venivano scritti dalla sub main... quindi se lo facevo partire e poi dumpavo amen.... ed invece ho ricorso a questi 2 numeri magici EB FE.....

non avrei mai pensato di poterli usare.... anche se vengono alcune volte utilizzati per i packers più semplici

:EDIT:
ah visto che ho modificato quello crackato (ma funziona solo se usi il debugger... bah), il dump è già crackato.... mo faccio l'upload e metto il link

:EDIT2:
bello quel controllo... anche se non so come funziona, ma non interessa.... solo che è molto visibile visto che cmp eax, 1 non si vede spesso in vb6 e neppure una chiamata diretta (con l'indirzzo nell'istruzione) e l'ho gia superato

---

Eccolo:
http://www.divshare.com/download/1348900-e89

 

[Predator]

ragazzi avete capito tutti che Whivel merita (ah ti ho dato il mio feedback positivo) un po meno nelle spiegazioni XD dai Whivel spiega meglio il EB FE o non ti capiranno ^^

unicamente per rendere chiaro come staccare l'exe dal loader ho scritto questo tutorial
http://www.nexenteam.net/predator/reversing/crackme/Guelter_manual_unpacking.rar
nel quale è spiegato dettagliatamente una manuale procedura di unpacking.

Mentre per la rimozione del nag screen non ho scritto una parola perchè è troppo facile
e me l'aspetto da voi (Whivel ssssssssssshhhhhhh )

Preddy

 

[Whivel]

spiegherò tutto quando scriverò il tutorial.... sei stato tu a chiedermelo no? ^^

 

[Predator]

yesss :grin1::grin1::grin1:

 

[Whivel]

cmq io non ho usato il tuo metodo (anche perchè non so non mi aveva funzionato).... anche se poi è identico alla pratica... solo che faccio fare prima ResumeThread..... mo lo devo provare....

cmq di tutorial ne farò uno su come dumpare il programma (nell'altro modo) e crackarlo.... e un altro sul code injection senza dump....

ah se riesco a fare una cosa inserirò un programma he va a leggere e a scrivere dalla memoria di qualsiasi programma passandogli l'hwnd (anche se per farlo bene ci vorrà del tempo)

un ultima cosa.... quel metodo funziona ancora per pochissimi programmi (e non sto scherzando).... sempre di meno

:EDIT:
per sapere, hai provato l'attach con l'olly del mio sito?

---

ho provato e funziona.... avrò fatto il mio solito errore di scrivere male il numero (leggo il numero, ma poi quando lo vado a scrivere posso sbagliare)

a per quelli che non sanno del metodo eb ef, è simile a questo solo che non servono molti breakpoint, o sapere la lunghezza del dump o la posizione, ma bisogna fare una piccola modifica al codice (code injection) quindi è più difficile

 

[Predator]

ho provato a fare l'attach, il processo crasha ma almeno si puo' analizzare... e da li ricercare le stringhe di testo
e ottima raccolta di plugin.

Lbr68.exe mi crasha (Exception occured @address 0879166D)

 

[Whivel]

lo quello l'ho messo perchè l'ho trovato su un altro olly... ma non lo uso (sarebbe olly ma non so se ha funzioni in più)....

cmq a me il programma non cresha, anzi posso pure mettere bp e farli attivare.

ah.... per i tutorial dovrete aspettare un po, devo finire un programma che mi serve per quello