Arthi´s Crackme M1A -SOLVED by CDW !

[sartre]

Ein kleines Crackme in VB6.

http://home.pages.at/arthurs_software///Arthis_Crackme_M1A.rar

Viel Spaß !

Editiert von CDW am 01.09.06: Crackme angehängt

 

[CPU8080]

ähm mein virenscanner springt an, passt lieber mal auf laut aussage soll es der wurm WORM/Mydoom.S2 sein.

 

[sartre]

Also ich habe es langsam satt !!!
X(

Es kann doch nicht sein, dass bei einem etwas besseren Crackme gleich die ganzen Billig "Virenscanner" anspringen !

Lass mich raten : Antivir ?!

Tipp: Mal ein Paar Euro ausgeben und sich nen ordentlichen Virenscanner kaufen !

Empfehlung : Kaspersky, Bitdefender etc.

PS: hier kann man dass File kostenlos mit Kaspersky scannen lassen !

 

[DolphVS]

Also
G DATA AntiVirenKit Professional 2006
bringt keinen Virus.

 

[CPU8080]

so dann erklär mir mal warum ich den jetzt auf mehreren teilen meiner hp kleben hab???
Und zwar in form von zip archiven die sich niocht löschen lassen bzw. sich gleich wieder neu duplizieren.
Und es ist antivir

 

[DolphVS]

Original von CPU8080
so dann erklär mir mal warum ich den jetzt auf mehreren teilen meiner hp kleben hab???
Und zwar in form von zip archiven die sich niocht löschen lassen bzw. sich gleich wieder neu duplizieren.
Und es ist antivir

Definitiv kein Virus, weil
1. Ich sartre vertraue und er sowas nicht machen würde.
2. Diese Virenscanner melden kein Virus: avast! Pro, GDATA AVK Pro ´06, Symatec online scan, kaspersky online scan.
3. Ich habe es ausgeführt und nichts ist passiert, auser dass ich es nicht geknackt kriege (bin auch n00b, trotzdem kompliment an sartre )

 

[CDW]

@CPU8080: entweder Du glaubst sartre oder eben nicht. Auch schon ein einfacher, selbstgeschriebener Virus /Wurm wird nicht mehr erkannt... dagegen weiß ich noch, wie mehere Virenscanner angesprungen sind, nur weil ich mal MEW benutzt habe (aus Platzgründen - dieser Packer packte die Exe auf 58,5KB, alle anderen, kommerzilellen Packer (trial/demo version) fingen erst ab 65 KB an). Es scheint so zu sein, als ob einige Hersteller sich kaum Mühe machen und einfach mal Packersignatur==Virus/Wurm setzen. Einen belieibigen anderen Packer verwendet oder ungepackt gelassen - und nichts kam.

Scanergebnis:
Service load:
File: Arthis_Crackme_M1A.exe
Status:
POSSIBLY INFECTED/MALWARE (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)
MD5 4ac6a60c5b638b941dfe1a9758789863
Packers detected:
PE_PATCH
Scanner results
AntiVir
Found Worm/Mydoom.S2
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found nothing

http://virusscan.jotti.org/

und wie erwähnt, wollte er einfach einen Wurm schreiben, würde der nicht so schnell erkannt werden - bitte nicht die Macht der AVs überschätzen

@sartre:Gibts Regeln? Oder ist alles erlaubt ?
Ich muss gleich weg, komme aber gegen 22:30 wieder. Wenn im Fernsehen nichts läuft, dann sehe ich mir das Crackme an

 

[sartre]

Natürlich ist alles erlaubt !

 

[CPU8080]

Original von CDW
@CPU8080: entweder Du glaubst sartre oder eben nicht.

Ich glaub ihm schon.
Also Sartre sorry. Musst es aber auch verstehen exact vor 2 tagen hat mich ein richtigger virus weggepusstet. Und hatte jetzt nicht nochmal bock auf sowas

 

[SUID:root]

@CPU8080: Es ist okay, eine Warnung zu posten. Es ist nicht okay, hier irgendwelche Vorwürfe anzubringen.
Kurz nachdem der Thread erstellt wurde, habe ich das Archiv gescannt, weil es zu meinen Aufgaben gehört, ALLE Dateien, die in die Foren gestellt werden, die Ich betreue, zu überprüfen.
Du solltest zwischenzeitlich aber auch gemerkt haben, dass es hier eingie User gibt, die öfter hier sind und die schon als vertrauenswürdig angesehen werden können. Dazu zählen Leute wie sartre, CDW, ATH0, usw.
Ich könnte deine Aufregung verstehen, wenn es ein neues Mitglied wäre. Wie CDW schon anmerkte, würde ein selbstgeschriebener Virus ohnehin nicht erkannt.

@sartre: Achte auf das was du sagst und wie du es sagst! Für Beleidigungen ist hier kein Platz! Ich verstehe deine Verärgerung, aber bitte bleib sachlich. Posting gelöscht.

Leute, wenn ihr ein Problem habt, egal ob miteinander oder eine Befürchtung dieser Art, dann steht es euch frei, einen Mod zu kontaktieren oder den UPS-Button zu benutzen.

Danke.

root

 

[CPU8080]

Original von SUID:root
@CPU8080: Es ist nicht okay, hier irgendwelche Vorwürfe anzubringen.

Ehrlich gesagt habe ich nicht daran gedacht das er diesen Wurm (nenns jetzt einfach so, ist ja aber nicht vorhanden zum Glück ) geschrieben haben könnte ich habe eher in Erwägung gezogen das sich die Datei infiziert hatte ohne das er es wusste.

So hoff mal das alles wieder baletti ist 8)

Gruß CPU...

 

[CDW]

so, jetzt Zusatzfrage: gibt es eine gültige Nummer? Irgendwie ist da zwar was, aber dann wird der Eingabestring (als String) mit der Zahl verglichen (Realtyp?). Die Zahl ist immer gleich. Weil Patchen wäre etwas zu einfach

 

[sartre]

so, jetzt Zusatzfrage: gibt es eine gültige Nummer? Irgendwie ist da zwar was, aber dann wird der Eingabestring (als String) mit der Zahl verglichen (Realtyp?). Die Zahl ist immer gleich. Weil Patchen wäre etwas zu einfach Augenzwinkern

Was ASProtect2.0 problemlos geknackt ?
8o

Zu Deiner Frage :

Ja, es ist eine "Zahl"

 

[DolphVS]

Original von sartre

so, jetzt Zusatzfrage: gibt es eine gültige Nummer? Irgendwie ist da zwar was, aber dann wird der Eingabestring (als String) mit der Zahl verglichen (Realtyp?). Die Zahl ist immer gleich. Weil Patchen wäre etwas zu einfach Augenzwinkern

Was ASProtect2.0 problemlos geknackt ?
8o

ASProtect 2.0 hab ich auch weggekriegt aber weiter gekommen bin ich nicht.

 

[sartre]

ASProtect 2.0 hab ich auch weggekriegt aber weiter gekommen bin ich nicht.

Und wie ? --> Meines Erachtens nach bestand hier der eigentl. Schutz !
Der Rest ist Spielerei !

 

[DolphVS]

stripper

 

[sartre]

Wie, gibts schon ne neue Version ?

Ich kenn nur 2.11RC2 !

 

[DolphVS]

Das ist die.

stripper 2.11 - unpacker for aspr.

* what is new in 2.11
- aspr 1.3 - 2.0 unpacking (to unpack aspr < 1.3 and aspack use stripper 2.07f)
- registry cleaner feature
- preserving extra data feature
- IceExt support
- HT support
...

Aber anscheinend funkts nicht.

 

[sartre]

Aber anscheinend funkts nicht.

Eigentlich schon ! --> Habe es gerade selber ausprobiert !

Merkwürdig : Meine Original-Exe ist nach dem kompilieren 20KB groß. Nach ASProtect sind es 119KB, nach dem "entpacken" mit Stripper 341KB !!!

FAZIT : Nach Stripper habt Ihr 321KB REINEN ASSEMBLERMÜLL !!!

 

[CDW]

Was ASProtect2.0 problemlos geknackt ?

muss man das? Ich weiß wo der Vergleich stattfindet, ich kann den patchen . Ich war mir nur nicht sicher, ob man es mit Eingabe lösen kann - denn es werden zwei unterschieldiche Typen verglichen (String und vermutlich eine Realzahl). Die VB-Namen sind da nicht gerade aussagefreudig und eine Doku vermisst man auch Aber ich schau mir das gleich nochmal an.

Frage zu den Stripper: funktioniert die Exe danach oder ist es wirklich "Müll"? Weil nach meinen Experimenten gestern habe ich mir gedacht, dass da bestimmt sowas wie "Stolenbytes" verwendet werden und damit das Entpacken nciht ganz so einfach ist (wobei man immer noch bequem alles Debuggen kann )

EDIT: habe mal eine Chinesische Version gefunden und irgendwie auf Anhieb auch "entpackt" (obwohl auf den Schaltflächen nur ?? zu sehen war )
Aber irgendwie zickt dann Olly etwas rum.