![[HaBo]](/styles/default/logoklein.png){kind=small}
First Crackme
- Themenstarter .tails
- Beginndatum
. Ich glaub das kriegt man hin. Also kein tut.
+++ATH0
0
Also gut:
Wir laden das Teil in OllyDbg. Und machen rechtsklick -> Search for ->All intermodular Calls.
Wir finden : MSVBVM60.__vbaStrCmp
Mit F2 setzen wir dort ein Breakpoint und starten mit F9.
Nun tippen wir im Crackme :"id" bei ID rein und "pass" bei Pass rein, damit wir beide später unterscheiden können.
Wir sind hier :
Wir gucken ins Register-Fenster und entdecken unser "pass" und 963741852.
Also müsste doch das Passwort 963741852 sein.
So, wir gucken etwas weiter runter und sehen:
Da wird wieder etwas verglichen. Also setzen wir da mit F2 ein Breakpoint.
Mit F9. springen wir dahin.
Wir sehen im Register-Fenster 3 Werte:
EAX :id
ECX : 123789456
EDX : 963741852
Welches wird nun mit welchem verglichen ? Wir gucken ein paar Zeilen über uns und sehen, dass zuvor EAX und ECX gepusht wurde. Also wird unser eingetipptes id mit 123789456 verglichen. Das muss unsere ID sein.
Crackme nochmal gestartet beide Werte probiert und wir kommen zu richtig.
Patchen ist natürlich noch einfacher.
Dazu NOPen wir einfach :
Wir laden das Teil in OllyDbg. Und machen rechtsklick -> Search for ->All intermodular Calls.
Wir finden : MSVBVM60.__vbaStrCmp
Mit F2 setzen wir dort ein Breakpoint und starten mit F9.
Nun tippen wir im Crackme :"id" bei ID rein und "pass" bei Pass rein, damit wir beide später unterscheiden können.
Wir sind hier :
Code:
00409571 . FFD3 CALL EBX ; MSVBVM60.__vbaStrCmp; <&MSVBVM60.__vbaStrCmp>Wir gucken ins Register-Fenster und entdecken unser "pass" und 963741852.
Also müsste doch das Passwort 963741852 sein.
So, wir gucken etwas weiter runter und sehen:
Da wird wieder etwas verglichen. Also setzen wir da mit F2 ein Breakpoint.
Mit F9. springen wir dahin.
Wir sehen im Register-Fenster 3 Werte:
EAX :id
ECX : 123789456
EDX : 963741852
Welches wird nun mit welchem verglichen ? Wir gucken ein paar Zeilen über uns und sehen, dass zuvor EAX und ECX gepusht wurde. Also wird unser eingetipptes id mit 123789456 verglichen. Das muss unsere ID sein.
Crackme nochmal gestartet beide Werte probiert und wir kommen zu richtig.
Patchen ist natürlich noch einfacher.
Dazu NOPen wir einfach :
R
Rushjo
Guest
Eleganter finde ich, einfach:
zu
ändern. Und dann gibste ein, was auch immer du willst.
rushjo
P.S. Hier nicht notwendig, aber ein kurzer Blick mit "PEiD" oder Ähnlichem, lohnt sich meistens auch.
P.P.S. Hier ist nochmal die vollständige Code-Section, in der beide Vergleiche stattfinden, wobei der "pass" zuerst verglichen wird und danach erst die "id".
zu
ändern. Und dann gibste ein, was auch immer du willst.
rushjo
P.S. Hier nicht notwendig, aber ein kurzer Blick mit "PEiD" oder Ähnlichem, lohnt sich meistens auch.
P.P.S. Hier ist nochmal die vollständige Code-Section, in der beide Vergleiche stattfinden, wobei der "pass" zuerst verglichen wird und danach erst die "id".