Autoit Crackme -solved CDW/ zweites solved CDW :)

[sd333221]

Hi,
ich hab mal versucht in Autoit nen crackme zu machen,
in der Hoffnung dass es schwer wird das zu Diassemblen.
Is nur nen sehr basic programm, also sehr einfach zu knacken warscheinlich.

Regeln:
1.Kein Patchen
2.Kein Brute force
3.Es gibt nur EINEN key
4.Tutorial wäre gut

Wenn ihr das fertig habt folgen andere, also macht schnell =)

greetings

Download

 

[CDW]

Is nur nen sehr basic programm, also sehr einfach zu knacken warscheinlich.

entscheide Dich nun - entweder ist es schwer zu Disassemblieren oder nicht
In der Regel sind interpretierte Programme (also Scripts) nicht so einfach.

23525345352352

habe es zwar anfangs nicht gesehen, aber der Script steht im Speicher als Quelltext
Im OllyDbg öffnen, irgendwas tippen, auf ok,(MsgBox erscheint), jetzt Pause und im Stackfenster "Wrong Pass" erblicken (mit zugehöriger Adresse). Jetzt ein Rechtklick "Follow in Dump" und schon ist man im Dumpfenster praktisch im Script (bei den "Variablen", scrollt man etwas weiter nach unten, erblickt man sowas:

009CB228 $answer = Inputbox("Password", "This Crackme was made for HABO,
009CB268 by sd333221! Enter password.").?????????............???.....
009CB2A8 .....??.????????............$pass = 23525345352352.?. ?. ?
009CB2E8 ????????............(??.........p??.????????.............
009CB328 If $answer = 23525345352352534536 Then.?. ?. ?????????......

 

[sd333221]

Ok, gut gemacht.
Aber sei auf mein nächstes gefasst =)

OK! Probier mal das hier:
Ich hab nur noch ne sicherheit gegen das Quelltext lesen reingemacht,
mal sehn ob es dich verwirrt =)

Download 2

 

[CDW]

damit es nicht so "unsolved" steht:

3424434364

Kleine Anleitung (echte Männer machens mit Olly , aber es gibt auch einen Decompiler):
In Olly öffnen, warten bis es läuft, pausieren. Im Stackfenster ein wenig Rumscrollen bis man was bekanntes findet:

0012FAE0 |00B53EB0 ASCII "Password"

jetzt an diese Adresse gehen (Follow Dump) (bei euch kann die anders sein) und voila:
schon sieht man den Script - jetzt ein wenig umschauen, "victory" entdecken (neben der "Looser" Msg),

00B50D70  49 66 20 24 61 6E 73 77 65 72 20 3D 20 33 34 32  If $answer = 342
00B50D80  34 34 33 34 33 36 34 20 54 68 65 6E 00 F0 AD BA  4434364 Then.  ?
00B50D90  AB AB AB AB AB AB AB AB 00 00 00 00 00 00 00 00  ????????........
00B50DA0  05 00 07 00 01 07 18 00 /// D0 0D B5\\\\ 00 00 00 00 00  ..
.?.?.....
00B50DB0  00 00 00 00 F8 0D B5 00 AB AB AB AB AB AB AB AB  ....?.?.????????
00B50DC0  00 00 00 00 00 00 00 00 05 00 05 00 01 07 18 00  ..........
.
00B50DD0  76 69 63 74 6F 72 79 28 29 00 AD BA 0D F0 AD BA  victory(). ?.  ?

Die markierung ist übrigens eine interne Adresse - sie folgt jeder soclhen Anweisung, (mehr oder weniger VB-like Konstrukte), damit lässt sich also im groben durch den Script springen - in diesem Fall springt man direkt zu der Victory-Funktion.

 

[+++ATH0]

aber es gibt auch einen Decompiler

Welchen meinst du? Ich kenne nur den offiziellen Decompiler und der hat einen kleinen PW-Schutz, damit man den Script nicht so einfach extrahieren kann. Das Manko ist natürlich, dass sich das PW in der exe befindet. Ich habe es bisher immer selber raussuchen müssen, aber gibt es denn einen inoffiziellen Decompiler der einem diese Arbeit erleichtert?

 

[CDW]

aber gibt es denn einen inoffiziellen Decompiler der einem diese Arbeit erleichtert?

Eigentlich den offiziellen. Mit dem ist es ja kein Problem mehr (wenn man das Passwort hat) (mit dem Decompiler wollte ich nur den Hinweis geben dass es einen solchen gibt - nicht, dass jemand erst erst mehrere Stunden Olly braucht, um rauszufinden, wie diese Scripte intererpritiert werden ).
Wollte gerade schreiben, dass man eigentlich nur den Decompiler zu Ent-UPXen braucht und hier einen BP machen:

0040194F   |.  3BC3                              CMP EAX,EBX

und schon sieht man immer das Passwort - aber gerade den Patch von Lesco entdeckt (was noch bequemer ist).

 

[+++ATH0]

Ich hab natürlich zu umständlich gedacht. *anDenKopfKlatsch*
Wieso nicht gleich am Decompiler reversen *omfg*