Unpackme/Crackme Status Solved!

[KingSuperFly]

Hi
ich würde gerne mal euch testen lassen ob es einer schaft diese crackme zu entpacken und zu cracken
es geht mir um den packer in der hinsicht!Das crackme selber ist total easy lidel asm!
Bloß der packer wird euch zu schaffen machen hoffe ich mal! =)
Es hat noch keiner diesen packer geschaft soweit ich weiß include meiner wenigkeit!
Würde mich also über ein Tut freuen von dem Cracker der es schaft!
Happy Cracking
Die unpacked dump.exe könnt ihr gerne in diesem Traed anhängen!
In dem sinne!
Psas ist nichts für anfänger =)
Greetz
KingSuperFly

 

[blueflash]

Das entpacken ist nichts für Anfänger?

Bist du dir da sicher?

Ich kann die Datei leider nicht anhängen, aber das entpacken hat mich vor gar kein problem gestellt.

 

[KingSuperFly]

Original von blueflash
Das entpacken ist nichts für Anfänger?

Bist du dir da sicher?

Ich kann die Datei leider nicht anhängen, aber das entpacken hat mich vor gar kein problem gestellt.

Hi also warum kannst du die unpacked exe nicht anhängen?
Wie hast du es entpackt?
Wie ist das passort bitte per Pm!
Also ohne exe dump glaube ich dir das nicht^^

 

[blueflash]

Keine Ahnung, warum ich die exe nicht anhängen kann, müssteste Thro fragen.
Ich könnte sie ja wieder einpacken

Also ich habe WinRar gestartet, das Archiv geöffnet, die Datei entpackt, fertig.

 

[KingSuperFly]

Löl du hast den sinn nicht verstanden =)
das crackme ist mit einem packer gepackt den es gilt zu entfernen =)
Nicht was du gemacht hast =)
Geiler Joke hast zu viel weed geraucht?
Greetz
SuperFLy

 

[Malo]

Original von blueflash
Keine Ahnung, warum ich die exe nicht anhängen kann, müssteste Thro fragen.
Ich könnte sie ja wieder einpacken

Also ich habe WinRar gestartet, das Archiv geöffnet, die Datei entpackt, fertig.

Ähm... es war nun nicht von Archiven die Rede, sondern von PE-Packern. Ein Packer, der die reine exe komprimiert. Das Archiv ist nicht das Problem

 

[blueflash]

Achso, na dann sagt das doch, ich hab mich schon gewundert, was mein winrar alles so kann.

 

[KingSuperFly]

Hm also ich dachte das ist für jeden verständlich
Sorry wenn man das falsch versteht!
Das Crackme ist in ASm Code und mit nem exe packer geschütz,denn solst du entpacken!

 

[n3on]

Das war wirklich hart...lol?
War das mit dem entpacken ein Witz?

Es gibt da überhaupt keine Pass. Sicherheit...

 

[KingSuperFly]

Hi klar gibts es ein Passwort das funzd zu dem crackme löl^^
Bloß der packer ist euer problem

 

[ivegotmail]

lol geiler thread

 

[SUID:root]

Mhhh....
Nett. Wirklich nett.

root

 

[KingSuperFly]

Original von SUID:root
Mhhh....
Nett. Wirklich nett.

root

^

Scheint wohl ein Unpackme zu werden was sehr lange unsolved bleiben wird löl

 

[sartre]

Welcher Crypter/Packer ist das denn ?

 

[KingSuperFly]

Hi sartre =)
jeder cracker sollte doch sein Handwerckszeug haben oder nicht?
Hier mal ein nütliches tool für dich^^
http://www.megaupload.com/de/?d=18A1U55V
ach noch ein tip zum unpacken =)
assemble mal am ep ein jmp eip (EBFE) im hexeditor,dann kanste die Target über atachen debuggen =)
bin auf dein tut gespannt
Greetz
SuperFly

 

[SUID:root]

Ah ja, das ist doch mal ein Tipp.
Bisher hatte ich das CM nicht mehr angeguckt, war mir irgendwie zu stressig.
Das man nicht attachen kann, finde ich doch recht hart.
Werds mir nun aber nochmal ansehen.

Der Packer ist jedenfalls heftig.

Öhm, ich wollt das Tool grad runterladen, sehe aber keinen Download-Link. ?(
EDIT: Nun scheints doch zu gehen. Mein Browser war wieder zu sicher eingestellt.


Gruss

root

 

[KingSuperFly]

Hi SuiD:Root!
haste nur übersehen dauert immer 30-45 sec bis du loaden darfst bei megaupload^^
Jo der packer ist heftig gemein =)
http://www.megaupload.com/de/?d=18A1U55V

 

[CDW]

Bbin nach 3 Wochen wieder da - habe mir gerade die Crackme angeschaut, bin im Moment zu müde und werde erst mal morgen eine Anleitung schreiben - vorausgesetzt dieser Dump ist genug
Hier ist der Dump. Da ich im Moment keine Lust auf IAT und Import Experimente hatte , habe ich die "Originalexe" genommen und den Entrypoint auf den entschlüsselten Teil gesetzt, was bei mir auch funktioniert - zwar kommt beim Olly anfangs die "Ungültige PE Anwendung" Meldung (wie beim "Original"), aber die Exe lässt sich trotzdem wunderbar debuggen (auch in Olly starten usw) - und auch Patchen. Das Passwort ist "GetDlgItemText". Zum Patchen: in der Dumped.exe den Offset 4AE von 0B nach 33 ändern (alle angaben in HEX). Das lässt den OR EAX,EAX in XOR EAX,EAX ändern was dann immer die richtigen flags setzten sollte (die werde ich gleich überprüfen, ich lege nur eine kurze, 700 Minütige Pause ein ). zumindest scheint es jedes Passwort zu akzeptieren. Im Archiv: Dumped.exe und Patched.exe

EDIT: Patched.exe zum Archiv hinzugefügt

 

[KingSuperFly]

Hi CDW
nicht schlimm das du 3 wochen nicht da warst
also dein dump work fine bloß ist das teil immer noch packet laut paid was ja das primär ziel war =) es zu entpacken!Das Crackme selber war nur ne zugabe,und deshalb so easy!
Aber ich denke das geht auch in ordnung :]
Würde mich aber freuen über einen der es schaft dieses teil richtig zu entpacken =)
Gute arbeit aber CDW
Bin aber mal auf dein weg gespannt,wie du es genau gelöst hast bzw die anderen auch user auch^^
Greetz
SuperFly

 

[CDW]

lso dein dump work fine bloß ist das teil immer noch packet laut paid was ja das primär ziel war

also PEID meint das wäre auch laut dem Hardcorescan unpacked - die "richtige" EP ist 1011h und nicht wie ich anfangs angenommen habe 1007h. Ansionsten kann es (und ich auch) nichts mehr gepacktes an der EXE entedecken (denn die Crackme ist in Olly und auch im Hexeditor gut und im klartext sichtbar). Hab mal im Archiv den Screenshot und die korrigierte Dump.exe eingefügt.
Lösungsansatz:
Crackme starten, Olly starten, die Crackme attachen, jetzt OllyDmp Plugin benutzen: manuelle eingaben: Start Address: 400 000 Size: B000 Entrypoint: egal
Base of Code:1000 Base of Data 3000, Kein "Rebuild import"
Die Exe die rauskommt ist natürlich nicht lauffähig - deshalb machen wir eine Kopie von der Originalcrackme, öffnen diese und die "dumped" im Hexeditor und kopieren von der "Dumped" die Entschlüsselte Code-section: sie liegt bei 1000h und hat die größe von 129h (ok, eignetlich mehr, aber nur diese 129h sind verschlüsselt und relevant )
Also die 129h Bytes von der "Dumped" in die "Kopie der Originalcrackme" auf Adresse 400h kopieren. (alle Infos mi einem PE-Editor relativ leicht heruaszufinden, zum kopieren eignet sich ein beliebiger Hexeditor). Da der Code jetzt entschlüsselt ist und eine wiederholte entschlüsselung nur zum Fehler führen würde (kann man sehen wenn man die Exe startet) muss man noch den Entrypoint ändern. Also im Hexeditor die Bytes E8 und E9 mit 07 10 überschreiben. Jetzt kann man noch etwas weitergehen und z.B PHDUMP32 benutzen - da klickt man auf "unpacken" und wählt die schon "vorentpackte" exe aus. Was rauskommt hat einen EP von 1011, den Status "not packed" bei PEID und lässt sich auch schön in Olly starten.
Im Prinzip ist ja der Packer noch da und kann damit von PEID &Co entdeckt werden - nur wir er nicht mehr ausgeführt - also völlig unpacked ist es ja nicht . Aber man kann den auch in Hexer komplett mit Nullen überschreiben, so dass PEID und der Rest nciht mehr meckern dürften - man braucht sich nur im FileAlyzer die PE-Struktur anzuschauen - die Section .King kann überschrieben werden

EDIT:
Es stimmt aber schon, ist etwas gemogelt, denn bei richtig großen Exe hätte man viel mehr Probleme. Da ich aber nicht gereade MUP bewandert bin (was wohl einige Crackmelösungen beweisen ) lasse ich das im Moment lieber sein, da es sonst zu viel Zeit verschliengt (und vielleicht gar nichts nutzt).