[HaBo]

sartre · 18.06.05, 16:22

Alles Weitere entnimmt Ihr bitte der "INFO.txt" !

PeAzZe · 26.06.05, 18:06

Hi

so habs rausgefunden:

n image von der datei mit nero o.ä. brennen und des dann mit daemon o.ä. öffen

mfg PeAzZe

Anzeige

- Anzeige -

sartre · 26.06.05, 18:51

Schön, nur leider war dies NICHT die Aufgabe ( siehe : INFO.txt ) !

Avenger · 26.06.05, 20:38

oh ja, ich hatte mal ne liste, wo alle werte drinnen standen, damit man mit einem hex-editor so en art No-CD crack erstellen kann, muss ich mal wieder suchen

qiubic · 26.06.05, 20:45

Hast du ne kurze Beschreibung, was sich hinter dieser unauffälligen Datei verbirgt? Mein Virenscaner schlägt drauf an, ist das so gedacht?

sartre · 26.06.05, 21:04

@qiubic :

Lass mich raten, Du hast Antivir................ ---> IST KEIN VIRUS !

SUID:root · 26.06.05, 21:35

Es ist wirklich kein Virus.
Gab diesbezüglich schon falschen Alarm. Mehrere Leute haben das Ding untersucht, incl. mir und es ist sauber.

root

qiubic · 27.06.05, 08:05

Nö, ich hab NOD32.

Wollte nur Vorsichtig sein, ... aber wenn ihr sagt das ding ist clean werd ichs wohl auch mal Probieren.

mfg qiubic

gee · 27.06.05, 20:32

Das Prog benutzt die alt bekannte API GetDriveTypeA bzw. GetDriveTypeW. um herauszufinden, ob wir das Prog auf
einer CD-Rom haben.

DAs Prog in Olly laden.
Wenn man nicht gestört werden will unter Options->DebuggingOptions-> Excep...

alle Haken setzen.

Dann einen BP auf GetDriveTypeA setzen. Z.B. mit dem Commandline plugin "bp GetDriveTypeA"

Vorher sehen wir uns noch die APi näher an.

Rückgabewert Laufwerkstyp

3 Festplatte

5 CD/DVD

usw.

Alles klar?

Nun das Prog laufen lassen,

Wir werden an der API halten

ganz unten rechts, sehen wir denn aktuelln untertsuchten Pfad.

Von @ bis Z wird alles durchgegangen

MOV EDI,EDI -> Hier halten wir
PUSH EBP
MOV EBP,ESP
CMP DWORD PTR SS:[EBP+8],0
JE SHORT kernel32.7C822D23
PUSH DWORD PTR SS:[EBP+8]
CALL kernel32.7C80E2A4
TEST EAX,EAX
.....
CALL kernel32.GetDriveTypeW -> UUUHU
POP EBP
RETN 4

Dann mit f8 weiter, bis wir "CALL kernel32.GetDriveTypeW" passiert haben.
Jenachdem was der aktuell untersuchte Laufwerksbuchstabe beinhaltet, wird der Wert in
EAX differieren.

Wenn wir das PRog nun z.B. auf der Festplattenpartition G: haben, und diese untersucht wird,
enthält EAX 3.

DAs einzige, was wir machen müssen ist dann nur noch nach kernel32.GetDriveTypeW mit einem
doppelklick auf eax zugreifen und aus der drei eine fünf machen.

Alle bp löschen. mit f9 und bingo.

Ist jetzt natürlich nur in der aktuellen Laufzeit.

Aber nen Patch im Kernel bzw. nen loader ist ja kein Problem.

v01d · 27.06.05, 20:59

ist es schwer nen loader zu schreiben? hat jemand tuts dazu?

Anzeige

- Anzeige -

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
php hackit von mir! knackt es! :)	olmz	Hacks & Crackmes	14	30.11.06 16:52
Wer den knackt den Text?	sputnik1231	Cryptography & Encryption	17	28.10.05 21:16
Mein 1 Crackme wer knackt es ?	PPY	Hacks & Crackmes	16	08.08.05 13:13
Wer knackt den Code ?	necro	Code Kitchen	7	11.09.04 04:30
Wer knackt meinen Key?!	necro	Code Kitchen	2	10.09.04 13:25

26.06.05, 18:06	#2 (permalink)
PeAzZe Registriert seit: 26.06.05 Likes: 0	Hi so habs rausgefunden: n image von der datei mit nero o.ä. brennen und des dann mit daemon o.ä. öffen mfg PeAzZe

26.06.05, 18:51	#3 (permalink)
sartre gesperrt Themenstarter Registriert seit: 17.02.05 Likes: 0	Schön, nur leider war dies NICHT die Aufgabe ( siehe : INFO.txt ) !

26.06.05, 20:38	#4 (permalink)
Avenger Registriert seit: 27.12.03 Likes: 0	oh ja, ich hatte mal ne liste, wo alle werte drinnen standen, damit man mit einem hex-editor so en art No-CD crack erstellen kann, muss ich mal wieder suchen

26.06.05, 20:45	#5 (permalink)
qiubic Registriert seit: 16.02.05 Likes: 0	Hast du ne kurze Beschreibung, was sich hinter dieser unauffälligen Datei verbirgt? Mein Virenscaner schlägt drauf an, ist das so gedacht?

26.06.05, 21:04	#6 (permalink)
sartre gesperrt Themenstarter Registriert seit: 17.02.05 Likes: 0	@qiubic : Lass mich raten, Du hast Antivir................ ---> IST KEIN VIRUS !

26.06.05, 21:35	#7 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Es ist wirklich kein Virus. Gab diesbezüglich schon falschen Alarm. Mehrere Leute haben das Ding untersucht, incl. mir und es ist sauber. root

27.06.05, 08:05	#8 (permalink)
qiubic Registriert seit: 16.02.05 Likes: 0	Nö, ich hab NOD32. Wollte nur Vorsichtig sein, ... aber wenn ihr sagt das ding ist clean werd ichs wohl auch mal Probieren. mfg qiubic

27.06.05, 20:32	#9 (permalink)
gee Registriert seit: 23.12.03 Likes: 0	Das Prog benutzt die alt bekannte API GetDriveTypeA bzw. GetDriveTypeW. um herauszufinden, ob wir das Prog auf einer CD-Rom haben. DAs Prog in Olly laden. Wenn man nicht gestört werden will unter Options->DebuggingOptions-> Excep... alle Haken setzen. Dann einen BP auf GetDriveTypeA setzen. Z.B. mit dem Commandline plugin "bp GetDriveTypeA" Vorher sehen wir uns noch die APi näher an. Rückgabewert Laufwerkstyp 3 Festplatte 5 CD/DVD usw. Alles klar? Nun das Prog laufen lassen, Wir werden an der API halten ganz unten rechts, sehen wir denn aktuelln untertsuchten Pfad. Von @ bis Z wird alles durchgegangen MOV EDI,EDI -> Hier halten wir PUSH EBP MOV EBP,ESP CMP DWORD PTR SS:[EBP+8],0 JE SHORT kernel32.7C822D23 PUSH DWORD PTR SS:[EBP+8] CALL kernel32.7C80E2A4 TEST EAX,EAX ..... CALL kernel32.GetDriveTypeW -> UUUHU POP EBP RETN 4 Dann mit f8 weiter, bis wir "CALL kernel32.GetDriveTypeW" passiert haben. Jenachdem was der aktuell untersuchte Laufwerksbuchstabe beinhaltet, wird der Wert in EAX differieren. Wenn wir das PRog nun z.B. auf der Festplattenpartition G: haben, und diese untersucht wird, enthält EAX 3. DAs einzige, was wir machen müssen ist dann nur noch nach kernel32.GetDriveTypeW mit einem doppelklick auf eax zugreifen und aus der drei eine fünf machen. Alle bp löschen. mit f9 und bingo. Ist jetzt natürlich nur in der aktuellen Laufzeit. Aber nen Patch im Kernel bzw. nen loader ist ja kein Problem.

27.06.05, 20:59	#10 (permalink)
v01d Registriert seit: 30.05.05 Likes: 0	ist es schwer nen loader zu schreiben? hat jemand tuts dazu?

[HaBo]

Wer knackt den "Kopierschutz" ?