[HaBo]

Liar

Anzeige

Ich bin ziehmlich neu hier und wollte wissen wie schwer(leicht) ihr dieses Crackme findet.
Ich hab ca. 15 min gebraucht.

Erlaubte Tools sind: beliebiger Disassembler, Hex Editor
Aufgabe:
Cracken,
Am Schluss soll Cracked angezeigt werden(nicht mit dem Hex Editor den Text verändern, richtig cracken).
Das Programm soll nicht mehr auf die Datei crackmeconfig.ini zugreifen.

MfG Liar

Angehängte Dateien

2nd Crackme.rar (4,7 KB, 279x aufgerufen)

+++ATH0

Fertig
- greift nicht mehr auf die ini zu, kann man also löschen
- Execution-Flow wurde so gepatched, dass der "Cracked" String angezeigt wird.

Eine Frage bleibt. Warum durfte man OllyDbg nicht benutzen?
IDA und Hexeditor geht natürlich auch, aber warum kein Debugger?

Von der Schwierigkeit natürlich sehr leicht. Man muss nur kurz überlegen, welche Conditional Jumps man ändern muss. Damit es nicht mehr auf die ini zugreift natürlich einfach Calls zu fopen, fscanf, fprintf,fclose noppen.

Angehängte Dateien

Crackme_cracked.rar (5,0 KB, 78x aufgerufen)

CDW

Interessanter wäre hier ein lokal-Exploit, der die fscanf Funktion nutzt - was auf jedenfall möglich sein sollte.Dann braucht man das Programm gar nicht zu patchen, denn als Rücksprungsadresse kann man direkt den "cracked" Abschnitt angeben

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

Liar

Ich habs selbst ohne Debugger geschafft, mit Debugger ist es sicher nicht viel einfacher oder? Ok Debugger sind auch erlaubt.

+++ATH0

Ja, aber dann greift er doch auf die ini zu, und das sollte Das Crackme laut den Bestimmungen nicht mehr.
Fand ich auch ein bisschen merkwürdig, denn dafür musste man extra jeden Zugriff auf die ini noppen, was eigentlich nicht nötig wäre. Weiß jetzt nicht ob das der Sinn war...

DerXenon

lol is doch eig. sehr einfach :

00401370 /E9 82020000 004015F7

und fertig is ^^

lightsaver

also ich fand das auch sehr einfach. habe ollydbg benutzt und es so wie derxenon gemacht (ohne vorher die lösung gesehen zu haben) da sich einem diese lösung ja förmlich aufdrängt

+++ATH0

Klar geht es so.
Nur hat der Author etwas merkwürdige Vorgaben gemacht.
Zum Beispiel keinen Debugger benutzen. OllyDbg wäre also zum Beispiel raus.
Dann muss man noch den Zugriff auf die ini stoppen. Über Sinn/Unsinn dieser Vorgaben kann man sich streiten.

lightsaver

hmmm, also ob ich nun die gleiche adresse für meinen sprung verwendet habe wie derxenon habe ich jetzt nicht geguckt. meinen habe ich einfach an die stelle gemacht, wo fopen aufgerufen wird (und somit ersetzt).

damit sind also die beiden vorgaben erfüllt und nen debugger durfte man ja mitlerweile benutzen

+++ATH0

gut.
Ich glaube aber, dass nach knapp 7 Monaten keine Rückmeldung mehr vom Author kommt.

IsNull

Hallo,

Ich habe mich auch mal daran gemacht. Als einfachste und regelkonforme Lösung fand ich, einfach
zu patchen, damit der JNZ immer auf cracked zeigt:
ALso die einzige änderung hier:


Patchen war ja nicht verboten. Und da ich gleich beim ini test wegspringe ist der filetest auch nicht mehr vorhanden...

Im Anhang die gepatchte exe.

EIDT:
Bäh, erst jetzt sehe ich, dass DerXenon und lighsaver beide diese (oder zumindest eine ähnliche Lösung) schon gepostet hatten Naja, dann haben halt 3 die gleiche simple Lösung gefunden

Angehängte Dateien

Crackme_patched.exe.txt (18,5 KB, 26x aufgerufen)

knizz

Ich weiß nicht ob ich das Ganz richtig gemacht habe:

Liars 2nd crackme (very very easy)
Cannot open crackmeconfig.ini

.
.
.

IsNull

?
Hast du die ini einfach gelöscht/umbenannt? Und richtig (solved) ist es erst, wenn die Erfolgsmeldung ausgegeben wurde...