[HaBo]

PMTheQuick

Anzeige

Hi,

hier ein sehr sehr schweres CrackMe von mir! Gar nicht einfach.

REGELN:
- Alles ist erlaubt, Hauptsache man findet einen Lösungsweg.

Sprache: PureBasic
Schwierigkeit: Extrem

Es ist mit vielen Methoden geschützt. Wetten, dass die ganze Community versagt

Gruss
PMTheQuick

Angehängte Dateien

CrackMe.rar (735,6 KB, 34x aufgerufen)

bad_alloc

sprich du hast alles hintereinander geleimt was geht?

__________________
You shoot yourself in somebody else's foot.|Dann gabs da noch den Mathematiker der P?=NP in O(1) erklärte.
|[A]| = p(·,|[A]|)+1

PMTheQuick

Keine Ahnung vielleicht Auf jedenfall is es sehr sehr extrem die Schutzmethode

Gruss
PMTheQuick

blub.txt

Ironie ?

__________________

CDW

Und was genau soll daran nun Dein Verdienst sein? Oder das Ziel? Möglichst viele Protectoren aneinander zu hängen (signatur sagt irgendwas "oreans", wofür auch die Codevirtualisierung spricht)? Wobei der OllyExploit natürlich sehr nett ist.
PS: wozu die Rumkopiererei in den Windows Ordner und C:\;C:\Dokumente und einstellungen ?

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

PMTheQuick

Was? xD Zu Verdienst: Ich wollte mal schauen, ob das jemand hier geknackt kriegt, wiel dass is recht derb. Olly Exploit, Entry POint Verschiebung etc. Blub.txt: Wie hast du das gemacht? xD

Gruss
PMTheQuick

EDIT: Zu rumkopiererei. Dass is wegen MD5 Fingerprint Somit is es auch noch ne Art Anti-Patching

CDW

Er hat wahrscheinlich die Anwendung im Debugger erst nachträglich geöffnet - dadurch macht der Exploit (den man überigens auch in Olly korrigiren kann) nichts. Wobei der Code eher an Zufallszahlen erinnert

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

+++ATH0

Tja. Ein Paradebeispiel dafür, dass man auch selbst als Programmierer ein Schutzsystem anstrengen muss und nicht alles einer kommerziellen VM anvertrauen darf. In diesem Fall CodeVirtualizer von Oreans, zusammen mit TheMida.
Egal wie ausgeklügelt die Anti-Dump Methoden auch sein mögen. Den Speicher eines Prozesses wird man immer irgendwie auslesen können. Notfalls mit WinDbg.

Zwar sind die Codeportionen aufgrund der VM nur mit Mühe zu reversen, aber die Strings liegen hier im Plaintext vor und können aus einem RAW-Dump ausgelesen werden.

PMTheQuick

Nein. Die richtige Seriennummer ist immer gleich! Also nur eine gültige. Das mit Zufall ist nur wegen dem Final-Code, zum prüfen ob hier niemand irgendwie gemogelt hat (z.b. ich habs geschafft juhu )

EDIT: ATTO: Hm... Sollte ich es in Chr(9)+Chr(10)+... abspeichern? Wäre dies besser? Oder wie könnte ich auch dies noch verhindern? Zu Themida: Stimmt übrigens Aber ich habe jetzt ehct gedacht das seie unknackbar. Tja, Wette verloren

CDW

@Atho: ich konnte das ganze recht bequem in Olly debuggen - über das nachträgliche Attachen. Allerdings ist Themida scheinbar auch nicht mehr das ist, was es mal war (die vertrauen imho zu recht auf die VM) - oder gibt es da immer noch den sehr paranoiden/instabilen Ring0 Schutz ?

Das Endergbnis ist exakt dasselbe.Nur der Quellcode ist schwerer zu lesen. Wobei die SDK da doch was anbieten sollte - ExeCrypter SDK bietet afaik z.B solche "sicheren" Strings an, die nur bei Gebrauch entschlüsselt und danach wieder verschlüsselt werden. Genauso wie "sichere" Datumfunktionen und noch irgendein Zeug.

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

+++ATH0

Der Ring0 Part wurde entfernt AFAIK. Jedenfalls weit und breit keine oreans.sys mehr zu sehen (und kam auch kein modul dazu). Würde TheMida dort rootkit-ähnliche Funktionen haben, hätten wir denke ich schon längst einen SonySkandal.

Bei mir hat irgendein Thread von TheMida sich selbst sofort nach dem Starten von OllyDbg gekillt.
Habe jedenfalls kein modifiziertes Olly mit geänderten Fenster-Titeln und anderen Modifikationen zur Hand.

PMTheQuick

Kein Wunder. Das killt sich selber, wenn es nen Debugger erkennt. Oder, es bringt den Debugger zum abstürzen

Gruss
PMTheQuick

ReDoX

Aehm, laesst sich recht einfach patchen:

00401564 /0F84 8D000000 JE CrackMe.004015F7
-> NOP

oder

Serial = "EnormSchwerDiesesCrackMeZuKnacken!" (ohne ")


@CDW: was fuer ein exploit? Mir ist nichts aufgefallen.

CDW

Olly säuft ab (Shadow mit Advanced Plugin+Korrekturen wie auch original Olly), sobald er versucht, am Anfang den Code zu Disassemblieren (d.h ich muss manuel erstmal im Dumpfenster zu der Stelle springen und paar Bytes korrigieren, bevor ich im Disassemblefenster zu der Stelle wechseln kann).

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

ReDoX

Das ist ja intressant, ist mit garnicht aufgefallen. Mal schaun was dahinter steckt.