HidCrackMeImp

Вот мой новый крякми, должен быть интерестным, и не слишком простым, во всяком случае необычным

Язык: fasm
Защита: Зашифрован и разшифровователь метоморфиторован.
Нововведение: Интерфейс и Импортер
Прошли:
1) ProTeuS
2) Ra$cal
3) TAHA

После егистрации в заголовке должно появится Registred

 

00401720 837d 0c 02 Cmp Dword Ptr Ss:[ebp+c],2

по видимому, проверка здесь

 

Неа... Это одработчик WM_DESTROY
А вообще это не звучит как ключь или патчь

 

ага, уже вижу 4то там код обработ4иком нажатий, пертастикания мыши етц

>>А вообще это не звучит как ключь или патчь
ага, мы пока обсуждаем, не вертолеты, епт )

 

>>Защита: Зашифрован и разшифровователь метоморфиторован.
хых, hidden, это называется декриптор )

ЗЫ: 4ето я там только СМК видил, никаких метаморфных мутаций...

 

Это потому-что у тебя только одна версия, после перекомпиляции, было бы уже подругома, хотя это не столь важно для крякми

 

слабо верится )
лан...

ну вроде тут какие-то замысловатые проверки

00401598 EX D0000000 JNZ HidCreck.0040166D

 

посл вот этой функции:
00401009 E8 02040000 CALL HidCreck.00401410
подгрузились новые библиотеки и я понял что нужна туды зайти

Code:

00401421   AC               LODS BYTE PTR DS:[ESI]
00401422   3C FD            CMP AL,0FD
00401424   77 33            JA SHORT HidCreck.00401459
00401426   74 2D            JE SHORT HidCreck.00401455
00401428   88C4             MOV AH,AL
0040142A   FF76 FF          PUSH DWORD PTR DS:[ESI-1]
0040142D   FF36             PUSH DWORD PTR DS:[ESI]
0040142F   57               PUSH EDI
00401430   E8 30FFFFFF      CALL HidCreck.00401365
00401435   75 07            JNZ SHORT HidCreck.0040143E
00401437   50               PUSH EAX
00401438   57               PUSH EDI
00401439   E8 77FFFFFF      CALL HidCreck.004013B5
0040143E   66:8338 8B       CMP WORD PTR DS:[EAX],0FF8B
00401442   75 03            JNZ SHORT HidCreck.00401447
00401444   83C0 02          ADD EAX,2
00401447   83E8 04          SUB EAX,4
0040144A   29F0             SUB EAX,ESI
0040144C   C646 FF E9       MOV BYTE PTR DS:[ESI-1],0E9
00401450   8906             MOV DWORD PTR DS:[ESI],EAX
00401452   AD               LODS DWORD PTR DS:[ESI]
00401453  ^EB CC            JMP SHORT HidCreck.00401421

Подгружает библиотеки и функции. Если бряк по середине поставить и жать f9 то в eax адреса функций. Просмотрел подгружаемыые апи пока ни чего подозрительного.

 

Эти "замысловатые проверки" проверяют, находится ли точка внутри прямоугольника.

 

я был прав )
завтра продолжим - заодно народу поприбавится

 

Весёлый крякми. Я registred =)

 

уффух, крякнул!!
hidden's CrackMe registred

третье место моё.
уряяяяяя)))

 

hidden, если тебе интерсно, могу сказать над чем вчера бился. Думаю другим будет тоже полезно. Так вот в своём первом посте я показал где hidden ищет смещение функций, так вот он пропускает mov edi,edi. Если пронопить add eax,2h, то смещение будет к первому байту апи.
И олька будет показывать куда ведёт jmp. Бился я над автоматизацией процесса.

Таблица:
0040128A -E9 4BBB417C JMP kernel32.ExitProcess
...
00401352 -E9 404AB177 JMP GDI32.SetTextColor

Но как только я узнал, что у Протиуса уже начали вырисовываться квадратики я забил на это неблагодарное дело. И начал реверсить...

Вот теперь решил вернуться к скрипту))) Естественно улучшил его, теперь он call'ы редактирует. И теперь ненадо по ним ходить.

Code:

	var vesp
	var xx

	sti
	FINDOP eip,#E92A#
	bp $RESULT
	run
	bc $RESULT
	bp 00401BF0
	run
	bc 00401BF0
	sto
	sto
	sto
	sto
	sti
	asm 00401444,"nop"
	asm 00401445,"nop"
	asm 00401446,"nop"
	bp 0040100E
	run
	bc 0040100E
	var AddrJmp
	mov AddrJmp,0040128A
	sub AddrJmp,5
metka1:
	add AddrJmp,5
	bp AddrJmp
	cmp AddrJmp,00401352
	jne metka1
	run
back:
	mov vesp,[esp]
	bp vesp
	sto
	mov xx,eip
	sub xx,vesp
	sub vesp,4
	mov [vesp],xx
	run
	bc eip
	run
	jmp back

Адреса естественно свои должны стоять))