mucki's protector II

[mucki]

Hab mal den Protector vom letzten Mal ein wenig verbessert. Das Ding ist immer noch nicht so der Bringer, da ich irgendwann keine Lust mehr hatte und das Ding nicht mehr sehen konnte - vielleicht nächstes Mal. Deswegen ist diesmal die Aufgabe ein Keygen, der die Vollversion freischaltet. Ich hoffe es gefällt euch.
(Tipp: der letzte Teil ist ein bisschen was für Freaks, wer ein wenig pfiffig ist kann sich das sparen)

 

[+++ATH0]

Ok, entpacken war ja noch ganz lustig, aber sonst hast du es auch mit den esoterischen Sprachen oder?

 

[mucki]

Kann man so sagen. Was aber mehr als eine Dimensionen hat, ist mir zu kompliziert. ?(

 

[CoRe0153]

Spoiler: Hide

Hi mucki,

ich habe soweit versucht dein Protector zu entpacken. Dazu habe ich bei 00407056 ein Breakpoint gesetzt

00407000 > E8 24000000      CALL mp2.00407029
00407005   8B4C24 0C        MOV ECX,DWORD PTR SS:[ESP+C]
00407009   C701 17000100    MOV DWORD PTR DS:[ECX],10017
0040700F   C781 B8000000 00>MOV DWORD PTR DS:[ECX+B8],0
00407019   31C0             XOR EAX,EAX
0040701B   8941 14          MOV DWORD PTR DS:[ECX+14],EAX
0040701E   8941 18          MOV DWORD PTR DS:[ECX+18],EAX
00407021   806A 00 E8       SUB BYTE PTR DS:[EDX],0E8
00407025   85C0             TEST EAX,EAX
00407027   74 12            JE SHORT mp2.0040703B
00407029   64:8B3D 18000000 MOV EDI,DWORD PTR FS:[18]
00407030   8B7F 30          MOV EDI,DWORD PTR DS:[EDI+30]
00407033   0FB647 02        MOVZX EAX,BYTE PTR DS:[EDI+2]
00407037   85C0             TEST EAX,EAX
00407039   74 01            JE SHORT mp2.0040703C
0040703B   C3               RETN
0040703C   C70424 89174000  MOV DWORD PTR SS:[ESP],mp2.00401789
00407043   BE 00104000      MOV ESI,mp2.00401000
00407048   B9 A21E0000      MOV ECX,1EA2
0040704D   8A06             MOV AL,BYTE PTR DS:[ESI]
0040704F   F6D0             NOT AL
00407051   8806             MOV BYTE PTR DS:[ESI],AL
00407053   46               INC ESI
00407054  ^E2 F7            LOOPD SHORT mp2.0040704D
00407056   C3               RETN                                     ; <-- Breakpoint

Daraufhin landete ich vermutlich bei dem OEP (00401789)

00401789   . 6A 00          PUSH 0                                   ; /pModule = NULL

Wenn ich es jedoch versuche mit Ollydump zu dumpen, bekomme ich lediglich eine Fehlermeldung beim öffnen der neu erstellten Datei "...keine zulässige Win32-Anwendung". Dies könnte daran liegen, dass du TEA und CRC verwendet hast. Aber ich habe leider keine Ahnung wonach ich da suchen muss. Könntest du mir eventuell ein Tip geben?

 

[+++ATH0]

Spoiler: .

"...keine zulässige Win32-Anwendung".

Das ist tatsächlich der Windows Process Loader, der etwas an dem Image auszusetzen hat. OllyDump ist also nicht unfehlbar. Benutz etwas anderes zum Dumpen oder schau dir das Image, was OllyDump ausgespuckt hat, mal genauer an

 

[mucki]

entferne mal das Häckchen bei "Rebuild Imports"
Hat jemand schon eine gültige Serial? Kleiner Tipp:

pop edx
xor edx,edx
ret

ist genau 4 Bytes lang

Hier sind mal zwei gültige Nummern:

user: mucki
serial: 23BC169C#!
oder: 24D8AF15#X (bisschen gemogelt)