CrackMe by Fereter #2

[Fereter]

Здравствуйте, многоуважаемые форумчане. Хочу поделиться легким CrackMe под Windows. Он написан на fasm и содержит анти-отладку, которая обходится любыми анти-анти-отладочными плагинами к ольке или руками без проблем, легкую защиту от патча, на которую вы можете даже не напороться и 1 неприятный сюрприз для новичков. Поскольку я тут впервые, мне не знакомы традиции этого форума по выкладыванию файлов. Я прикладываю CrackMe, как аттач, и даю ссылку на rghost http://rghost.ru/private/8YlhXHKlx/9...2a2453f53c3f07.

<оффтоп>Если у кого есть ссылка на правила этого раздела форума, то скиньте ее, пожалуйста, мне в личку.</оффтоп>

[OKOB]

OKOB
74x-x00-NNO

кстати к нику автора сериал тот-же

[Darwin]

Правил как таковых нет, выкладывать желательно в аттаче, чтобы крякми сохранился.

[Color]

А можно сделать так, чтобы кто-нибудь рассказал, как ломается этот crackme? У меня при попытке запустить в отладчике (защищаюсь от IsDebugPresent плагином OllyExt) процесс вылетает как Terminated через ntdllюzwterminateprocess.

[Fereter]

Попробуйте чистую olly dbg 201 только с olly ext (не забудь включить обходы в настройках; olly ext из коробки не работает). Смените в настройка инструкцию software бряка. Не используйте nop'ы. Если не поможет, а попробуйте приаттачиться к активному процессу.

А вообще, этот крэкми весьма легкий в плане защиты от исследователя. Думаю ошибка какая-нибудь простая: галочку в настройках olly ext не поставил или бряки int 3 стоят.

[ximera]

Советую внимательно просмотреть код, и вспомнить опкоды некоторых команд которые используются при дебаге.

[Color]

На днях вернулся к изучению этого crackme. Локализовал код, проверяющий самого себя на CC и 90. Плюс стоит защита от breakpoint на память. В статьях Криса написано, что в этом случае Olly ставит атрибут страницы PAGE_NOACCESS или PAGE_READONLY. Данное приложение заканчивает свою работу при установке прерывания на память.
Приложение же, в свою очередь, может обойти их через ReadProcessMemory, но судя по тому, что аппаратное прерывание на ней не срабатывает, она не вызывается.

В принципе, для чтобы ломать этот крякми, точки останова на обращении к памяти не нужны, достаточно отловить SendMessage c типом WM_GETTEXT, определить в параметрах адрес буфера, поиском найти его в коде как константу.
Но все-таки интересно, как обходится такой антиотладочный прием, когда приложение вылетает при установке точки останова на память (не аппаратной)?

[theoretic]

Здраствуйте, форумчане!

Одолел даный крек - написал КейГен под него, ниже примеры пар Name : Serial key
reverse4you : 66<-\70-JAY
theoretic : 14_-[52-Mvt

Отдельное спасибо автору КрекМи

Хочу на выходных написать разбор решения, чтобы запостить в "Руководствах".

Вопрос к администрации, хоть файл и называется "CrackMe.." - фактически это
KeygenMe - решение может размещать в Keygenmes->Руководства ?

[ximera]

Хочу на выходных написать разбор решения, чтобы запостить в "Руководствах".

Вопрос к администрации, хоть файл и называется "CrackMe.." - фактически это
KeygenMe - решение может размещать в Keygenmes->Руководства ?

Без проблем размещайте, если что не так будет мы перенесем.

[Shizoid]

Eskalina
44A-000-!!+

Отличный таск. Спасибо автору !

[theoretic]

Руководство по разбору и исходники KeyGen-a тут