[HaBo]

Eydeet · 25.03.09, 19:35

Hi!

Aufgrund dieses Threads ist mir eine Idee gekommen.

Ich hab ein Crackme für euch gebastelt, das (wenn es gecrackt ist) dazu in der Lage ist, jede Minute die geöffneten Fenster zu spichern und sie, wenn es gestartet wird, wiederherzustellen. Ich war allerdings zu faul, das Programm die Seriennummer speichern zu lassen, deshalb wird bei jedem Start neu danach gefragt.

Die Aufgabe ist also, die Serial-Abfrage herauszupatchen und das Programm so zu ändern, dass es minimiert startet. Das Programm kann man dann in den Autostart-Ordner packen (oder sich einfach freuen, dass man das Crackme geknackt hat).

Geschrieben habe ich das Ganze mit dem masm, also sollte der Code nicht allzu schwer zu versehen sein.

Wie ist das Crackme ungefähr aufgebaut?

Viel Spaß!

DerXenon · 10.04.09, 10:14

Hi,

Ich bin grade am Knobeln bei deinem Serial Unpacking Crackme...
Kann es sein das es einen Fehler enthält?

Code:

PUSH DWORD PTR DS:[403290]		/lParam
PUSH EDI				|wParam // <<---- EDI ist immer 0
PUSH 0D				|Message = WM_GETTEXT
PUSH 3EF				|ControlID = 3EF (1007.)
PUSH [ARG.1]			|hWnd
CALL <JMP.&user32.SendDlgItemMessageA> 	\SendDlgItemMessageA

Da EDI immer 0 ist (und ich nicht ersehen kann ob es irgentwo außerhalb des codes geändert wird)
wird das darauffolgende CMP EAX, 13 immer failen und die Meldung mit "falscher key" erscheint..

Weiterhin habe ich bisher den ersten und dritten Block der Serial aber auf den zweiten und vierten gibt es keinen Hinweis (Vielleicht habe ich ihn noch nicht gefunden :-) )
Ich knobel weiter bis dann..

HaBo Ads

Eydeet · 10.04.09, 11:47

Das mit mem "push edi" ist wirklich merkwürdig. Ich hab's wohl irgendwie per copy and paste da reingebaut. Beim Debugging ist mir das leider nicht aufgefallen, da edi bei mir an dieser Stelle nie 0 war. Ich habe oben die gefixte Version hochgeladen.

Zum 2. und 4. Block:

DerXenon · 11.04.09, 19:54

Okey,

ich habe das CrackMe mit ein bisschen Hilfe von einem Bekannten gelöst

Es gibt viele mögliche Keys..

Ein paar davon sind diese, ACHTUNG: nur öffnen wenn du dir den Spaß am CrackMe verderben willst :-)

War echt ein nettes CrackMe, bisschen schwerer die zweite Hälfte des Keys rauszufinden aber war machbar.

Achja im Anhang eine gepatchte Exe die einfach ohne die Keyeingabe startet.
Vielleicht hab ich ja nochmal Lust die Exe so umzuschreiben das sie minimiert startet :-)

grüße DerXenon.

Eydeet · 12.04.09, 08:52

Gratulation, du bist der erste, der das Crackme gecrackt hat!

Das Programm so minimiert zu starten, sodass es im Tray landet ist auch nicht ganz trivial. Wenn du noch Lust hast, dann kannst du dich ja nochmal daran versuchen. (oder jemand anderes)

DerXenon · 14.04.09, 02:43

Danke...

Ich hab noch ein bisschen Zeit gefunden das Programm so umzuschreiben, dass es minimiert startet.
Der Code ist ein bisschen unsauber geworden, aber hauptsache es funktioniert :-)

PS: Im Anhang befinden sich 2 Exe'n, eines ist das Programm einfach ohne Keyaufforderung und das zweite startet im Tray.

Kaddy · 14.04.09, 21:21

darf ich mal fragen womit das gecoded ist?
wie schaffst du es das proggi unter 10 kb zu kriegen?
wenn ich etwas in c++ compeliere dann isses meistens n halben mb groß

Eydeet · 14.04.09, 22:45

@DerXenon: Das ging schneller als erwartet!

Ich schau's mir an, wenn ich mal wieder Windows starte.

Zitat:

Original von Kaddy
darf ich mal fragen womit das gecoded ist?
wie schaffst du es das proggi unter 10 kb zu kriegen?
wenn ich etwas in c++ compeliere dann isses meistens n halben mb groß

Wie ich oben schon geschrieben habe, mit dem MASM, also in Assembler. Da ich allerdings keinerlei Komprimierungs-Tricks eingebaut habe ist die Exe immerhin etwa 3 kb groß.

Was hast du eigentlich für einen merkwürdigen C++-Compiler? Die Executables von meinem Compiler (der/die GCC) sind für einfache Programme nur 15-20 kb groß!

Obwohl, lass mich raten... Benutzt du Microsofts VisualC++-Compiler? Der baut (so weit ich weiß) wirklich eine Menge überflüssigen Code in sämtliche Executables.

**CDW** · 14.04.09, 23:11

OT:

Zitat:

Da ich allerdings keinerlei Komprimierungs-Tricks eingebaut habe ist die Exe immerhin etwa 3 kb groß.

versuche mal beim Linken folgende Optionen zu nutzen:

Code:

ml /c /coff /nologo my.asm
Link /SUBSYSTEM:WINDOWS /FILEALIGN:512 /MERGE:.data=.text /section:.text,RWE  my.asm

wobei man dann das Merge für alle andere Sections wiederholt.

BTW: Mein GCC Compiler

version

generiert mit Standardsettings bei mir auch ein 4.5MB große HelloWorld.exe

Empfehlung

10.04.09, 10:14	#2 (permalink)
DerXenon Registriert seit: 21.04.07 Likes: 0	Hi, Ich bin grade am Knobeln bei deinem Serial Unpacking Crackme... Kann es sein das es einen Fehler enthält? Code: PUSH DWORD PTR DS:[403290] /lParam PUSH EDI \|wParam // <<---- EDI ist immer 0 PUSH 0D \|Message = WM_GETTEXT PUSH 3EF \|ControlID = 3EF (1007.) PUSH [ARG.1] \|hWnd CALL <JMP.&user32.SendDlgItemMessageA> \SendDlgItemMessageA Da EDI immer 0 ist (und ich nicht ersehen kann ob es irgentwo außerhalb des codes geändert wird) wird das darauffolgende CMP EAX, 13 immer failen und die Meldung mit "falscher key" erscheint.. Weiterhin habe ich bisher den ersten und dritten Block der Serial aber auf den zweiten und vierten gibt es keinen Hinweis (Vielleicht habe ich ihn noch nicht gefunden :-) ) Ich knobel weiter bis dann..

10.04.09, 11:47	#3 (permalink)
Eydeet Themenstarter Registriert seit: 14.04.06 Likes: 4	Das mit mem "push edi" ist wirklich merkwürdig. Ich hab's wohl irgendwie per copy and paste da reingebaut. Beim Debugging ist mir das leider nicht aufgefallen, da edi bei mir an dieser Stelle nie 0 war. Ich habe oben die gefixte Version hochgeladen. Zum 2. und 4. Block: Es gibt tatsächlich keinen Hinweis, bis auf den bereits entschlüsselten Code ;). Noch ein paar Tipps (für die, die nicht weiterkommen) Ihr könntet euch zum Beispiel anschauen, was der MASM typischerweise vor die IAT schreibt, und euch außerdem überlegen, was die Einträge in der IAT für den Code bedeuten.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Unpacking&PE-Format	CDW	Hacks & Crackmes	3	25.05.10 14:09
Asprotect anti unpacking?	n!0	Code Kitchen	2	24.09.09 22:27
unpacking	]=-antr4xx-=[	Hacks & Crackmes	2	25.01.08 15:26
Serial Me SOLVED	PMTheQuick	Hacks & Crackmes	12	07.07.06 21:30

12.04.09, 08:52	#5 (permalink)
Eydeet Themenstarter Registriert seit: 14.04.06 Likes: 4	Gratulation, du bist der erste, der das Crackme gecrackt hat! Das Programm so minimiert zu starten, sodass es im Tray landet ist auch nicht ganz trivial. Wenn du noch Lust hast, dann kannst du dich ja nochmal daran versuchen. (oder jemand anderes)

14.04.09, 21:21	#7 (permalink)
Kaddy Registriert seit: 12.04.09 Likes: 0	darf ich mal fragen womit das gecoded ist? wie schaffst du es das proggi unter 10 kb zu kriegen? wenn ich etwas in c++ compeliere dann isses meistens n halben mb groß


HaBo Ads HaBOT

[HaBo]

Serial-Unpacking