[HaBo]

Wotan · 30.11.08, 02:46

Diese CrackMe ist für Anfänger gedacht, da es sehr leicht zu lösen ist.
Einfach das Passwort reusfinden. Alle Tools sind erlaubt!
Viel spaß!

LG Wotan

Nik-o · 29.12.08, 11:37

Hi
Also ich wil mich da jetz auch ma dran probieren!

habs mir geladen un hab bei HaboWiki en bissi rumgestöbert un bin da auf ollyDbg gestoßen. Hab mir das jez auch geladen un es ma ausprobiert.

Ich versteh zwar ansatzweise die Vorgehensweise des Debuggers aber kapier auch nach langen grübeln nich wie man da jetzt die Vorraussetzun für das Passwort herausfinden kann. Da ich nirgentso eine anleitung (

) dafür gefunden habe aber es trozdem mal gerne verstehen würde wollt ichs noch ma hier probiern, da das hier bestimmt die Hälfte aller Mitglieder können.

MfG Nik-O

HaBo Ads

**CDW** · 29.12.08, 12:22

Die Frage nach reiner Olly Bedienung hatten wir schon öfters - ein Tipp wäre http://www.tuts4you.com/download.php?list.17

vom Prinzip her: finde die Stelle, an der die Fehlermeldung ausgegeben wird (z.B in dem man die Fehlermeldung beobachtet und dann nach Vorkommen/Nutzung (Referenzierung) solcher Strings schaut ) und schau, was so in der Nähe los ist - ob da z.B rein zufällig eine Serialprüfung stattfindet

Nik-o · 29.12.08, 12:30

Danke für den Tip

ich versuchs ma^^

Edit: Naja ich verstehs immer noch nich

warscheinlich bin ich doch zu blöd^^

Eydeet · 29.12.08, 14:56

Ich hab?s gelöst :-)

mauralix · 29.12.08, 15:25

Ich kann die Lösung schon nachvollziehen, ist ja nicht besonders kompliziert. Allerdings habe ich ein Problem beim Debuggen. Mir kommt so vor als würde bei falschen Passwörtern eine Accessviolation verursacht.

Ollydbg meldet:Accessviolation when writing to 0000FF80 use Shift+F7/F8/F9 to pass Exception to program.
Und man landet dann im Modul Kernel32 bei RtlRaiseException.

Ist das gewollt?

Eydeet · 29.12.08, 23:07

Das liegt wahrscheinlich daran, dass du als Passwort Buchstaben angibst. Die Umwandelfunktion wirft dann eine Exception.

mauralix · 30.12.08, 13:30

@Eydeet:
richtig erkannt!

theend · 17.01.09, 01:59

Und das soll jetzt einfach sein???

25.03.09, 18:36

Code:

Naja, soleicht war das auch nicht ich hab nicht herausgefunden, woher die Messages kamen, das war nix mit Jumps, sondern mit SynEnter.  Naja, ich hab einfach die Badboys zu Goodboys umgeformt, das heißt:  MOV EDX,436471 bzw MOV EDX,436481 einfach assembled zu MOV EDX,436460

lone.wolf · 25.03.09, 19:19

Compressed(UPX) and Patched

Kaddy · 25.08.09, 23:19

Bilder sagen mehr als Worte

Eydeet · 26.08.09, 16:26

Ihr seid ja lustig, ihr löst die Aufgabe ja gar nicht!

Zitat:

Original von Wotan
Einfach das Passwort reusfinden.

Aber immerhin: viele viele bunte Goodboys.

user82 · 08.10.09, 22:39

erbitte Hilfe in ida:

Bild1

soweit isses mir klar

auch der vergleich der 2 adressen ist mir klar

wie kamst du darauf dass der call über eax wichtig ist und vor allem wie interpretierst du den call(ist dass der richtige) zum passwort?

Zitat:

Nachdem ich mir diesen Call genauer angeschaut habe, habe ich festgestellt, dass er einfach nur das Passwort in eine Zahl umwandelt, das Passwort lautet also $7C23 oder x7c23, 0x7C23, 31779,

Bild2

Eydeet · 09.10.09, 16:44

Ich versuch mal, mich zu erinnern (immerhin ist es schon 'ne Weile her, dass ich mir das CrackMe angeschaut habe

).

Zitat:

Original von user82
wie kamst du darauf dass der call über eax wichtig ist

Zitat:

Original von user82
wie interpretierst du den call(ist dass der richtige) zum passwort?

MfG, Eydeet

Empfehlung

29.12.08, 11:37	#2 (permalink)
Nik-o Registriert seit: 15.08.08 Likes: 0	Hi Also ich wil mich da jetz auch ma dran probieren! habs mir geladen un hab bei HaboWiki en bissi rumgestöbert un bin da auf ollyDbg gestoßen. Hab mir das jez auch geladen un es ma ausprobiert. Ich versteh zwar ansatzweise die Vorgehensweise des Debuggers aber kapier auch nach langen grübeln nich wie man da jetzt die Vorraussetzun für das Passwort herausfinden kann. Da ich nirgentso eine anleitung () dafür gefunden habe aber es trozdem mal gerne verstehen würde wollt ichs noch ma hier probiern, da das hier bestimmt die Hälfte aller Mitglieder können. MfG Nik-O

29.12.08, 12:22	#3 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 156	Die Frage nach reiner Olly Bedienung hatten wir schon öfters - ein Tipp wäre http://www.tuts4you.com/download.php?list.17 vom Prinzip her: finde die Stelle, an der die Fehlermeldung ausgegeben wird (z.B in dem man die Fehlermeldung beobachtet und dann nach Vorkommen/Nutzung (Referenzierung) solcher Strings schaut ) und schau, was so in der Nähe los ist - ob da z.B rein zufällig eine Serialprüfung stattfindet __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

29.12.08, 14:56	#5 (permalink)
Eydeet Registriert seit: 14.04.06 Likes: 4	Ich hab?s gelöst :-) Die Prüfroutine ist relativ leicht zu finden (Tipp: ?Search for all referenced text strings?). Dort fällt folgendes If-Konstrukt auf: Code: 0040148E . 8B0D DCAB4300 MOV ECX,DWORD PTR DS:[43ABDC] 00401494 . 3B0D D8AB4300 CMP ECX,DWORD PTR DS:[43ABD8] 0040149A . 75 16 JNZ SHORT CrackMe.004014B2 0040149C . 6A 30 PUSH 30 0040149E . B9 70644300 MOV ECX,CrackMe.00436470 004014A3 . BA 60644300 MOV EDX,CrackMe.00436460 ; ASCII "Passwort Korekt" 004014A8 . A1 88AC4300 MOV EAX,DWORD PTR DS:[43AC88] 004014AD . E8 26810200 CALL CrackMe.004295D8 Der ?conditional jump? @ 0040149A entscheidet darüber, ob der ?Good Boy? angezeigt wird, oder nicht. Die Bedingung wird durch den Befehl ?CMP? in der Zeile darüber festgelegt, der zwei Speicheradressen vergleicht (43ABDC und 43ABD8 ). Eine der beiden wird kurz darüber festgelegt und verändert sich auch bis zur Abfrage nicht: Code: 00401433 . C705 D8AB4300>MOV DWORD PTR DS:[43ABD8],7C23 Die andere wird danach hier definiert: Code: 00401474 . E8 BF5F0200 CALL CrackMe.00427438 00401479 . A3 DCAB4300 MOV DWORD PTR DS:[43ABDC],EAX EAX wird von Calls so gut wie immer verändert, deshalb ist davon auszugehen, dass der Call davor die Serial generiert. Nachdem ich mir diesen Call genauer angeschaut habe, habe ich festgestellt, dass er einfach nur das Passwort in eine Zahl umwandelt, das Passwort lautet also $7C23 oder x7c23, 0x7C23, 31779, ... ;)

29.12.08, 15:25	#6 (permalink)
mauralix Registriert seit: 17.04.06 Likes: 3	Ich kann die Lösung schon nachvollziehen, ist ja nicht besonders kompliziert. Allerdings habe ich ein Problem beim Debuggen. Mir kommt so vor als würde bei falschen Passwörtern eine Accessviolation verursacht. Ollydbg meldet:Accessviolation when writing to 0000FF80 use Shift+F7/F8/F9 to pass Exception to program. Und man landet dann im Modul Kernel32 bei RtlRaiseException. Ist das gewollt? __________________ http://chm0815.blogspot.com

30.12.08, 13:30	#8 (permalink)
mauralix Registriert seit: 17.04.06 Likes: 3	@Eydeet: richtig erkannt! __________________ http://chm0815.blogspot.com

29.12.08, 12:30	#4 (permalink)
Nik-o Registriert seit: 15.08.08 Likes: 0	Danke für den Tip ich versuchs ma^^ Edit: Naja ich verstehs immer noch nich warscheinlich bin ich doch zu blöd^^

29.12.08, 23:07	#7 (permalink)
Eydeet Registriert seit: 14.04.06 Likes: 4	Das liegt wahrscheinlich daran, dass du als Passwort Buchstaben angibst. Die Umwandelfunktion wirft dann eine Exception.

17.01.09, 01:59	#9 (permalink)
theend Registriert seit: 17.01.09 Likes: 0	Und das soll jetzt einfach sein???

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[UNSOLVED] breakdown - einfaches Crackme	lone.wolf	Hacks & Crackmes	7	19.09.09 18:35
Kleines Crackme [sehr einfach]	Virus	Hacks & Crackmes	17	20.02.09 06:33
Relativ einfaches Crackme	mauralix	Hacks & Crackmes	5	04.01.09 17:29
Seehr einfaches Crackme	blobbo	Hacks & Crackmes	4	28.03.08 20:48
PC sehr sehr langsam, CPU ?	Obmud	Die Problemzone	5	19.03.06 23:13


HaBo Ads HaBOT

[HaBo]

Sehr einfaches CrackMe