Подпишитесь на наш Telegram-канал, чтобы всегда быть в курсе важных обновлений! Перейти
Что нового?

CrackMe Medium Crackme on C++. Loader imitation with memes and VMP

xLamantine
bluedream.ltd
xLamantine
bluedream.ltd
Статус
Оффлайн
Регистрация
4 Янв 2020
Сообщения
3,061
Реакции
1,291
Задача: вывести месседж бокс с надписью stop abusing my pasted protection
Как запустить: запустите tikni.exe и нажмите init the shit. После чего окно пропадет, у вас будет 30 секунд чтобы заинжектить длл в любой процесс. Если появится окно с выше указанным текстом, то все сделали правильно.
Задача: убрать зависимость dll от tikni.exe. (обязательно заставить все работать без нажатия кнопки init the shit, а лучше вообще без лоадера)
Ентри поинты накрыты вмп, без виртуализации. В длл есть небольшой xor, ну и конечно пару рофлов. Удачи. В процессе работы можете делиться рофлами, которые найдете при попытке кряка, будет интересно)
Пароль: lamantine
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Писать отдельный патчер не стану т.к лень, да и времени особо нету.
Скажу так.
Проверка FindWindowA RVA: 1280.
Если она не проходит, то поток не создаётся.
1634659945162.png

MessageBoxA
1634660018850.png

RVA: 115F.
Если же проверка не проходит, то наш молодой человек открывает через ShellExecuteA ссылочку на видео.
1634660091657.png


(Которая у меня почему-то не сработала.)
Ну в принципе все.
 
amjesty написал(а):
Писать отдельный патчер не стану т.к лень, да и времени особо нету.
Скажу так.
Проверка FindWindowA RVA: 1280.
Если она не проходит, то поток не создаётся.
Посмотреть вложение 176453
MessageBoxA
Посмотреть вложение 176454
RVA: 115F.
Если же проверка не проходит, то наш молодой человек открывает через ShellExecuteA ссылочку на видео.
Посмотреть вложение 176455

(Которая у меня почему-то не сработала.)
Ну в принципе все.
Нажмите для раскрытия...
Ну отреверсить, то ты отреверсил, а патчить кто будет?
И такой вопрос, что бы ты делал если бы я спрятал импорты? (не критикую, просто интересно)
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
xLamantine написал(а):
Ну отреверсить, то ты отреверсил, а патчить кто будет?
Нажмите для раскрытия...
Для патча вмп нужно писать патчер, а писать патчер ради одной проверки я не стану, мне просто на просто лень, как я писал выше, да и времени нету.
xLamantine написал(а):
Ну отреверсить, то ты отреверсил, а патчить кто будет?
И такой вопрос, что бы ты делал если бы я спрятал импорты? (не критикую, просто интересно)
Нажмите для раскрытия...
Импорты спрятал, хахаха.
Так они у тебя и так спрятаны, я их сам подписал, если ты не заметил.
 
amjesty написал(а):
Для патча вмп нужно писать патчер, а писать патчер ради одной проверки я не стану, мне просто на просто лень, как я писал выше, да и времени нету.
Нажмите для раскрытия...
Так что там с импортами все таки?
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
amjesty написал(а):
Читать разучили?
А так сказать сказал, делай, и посмотрим на то, как ты импорты спрячешь, ахаха.
Не найду их наверное :(
Нажмите для раскрытия...
Ну lazy importer например, просто интересно прикольнуться и усложнить жизнь в плане поиска винапи функций
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
4:19
1634660798081.png

4:20
1634660819865.png
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
xLamantine написал(а):
Ну lazy importer например, просто интересно прикольнуться и усложнить жизнь в плане поиска винапи функций
Нажмите для раскрытия...
Даже вмп отработает лучше, чем LZI.
xLamantine написал(а):
Импорты спрятал вмп, а не я.
Нажмите для раскрытия...
Я знаю, что импорты спрятал вмп, под виртуализацией.
Ладно, больше по этому поводу писать не стану, жду некст версию, раз ты считаешь, что лейзи тебе поможет лучше чем вмп.
 
amjesty написал(а):
Даже вмп отработает лучше, чем LZI.
Нажмите для раскрытия...
ну так вмп это протектор, его цель запротектить, так что он просто делает для этого все возможное, с помощью lzi просто прячутся импорты. В вмп то что было изначально мутирует из вне, а lzi прячет импорты уже на ходу после компиляции и назревает вопрос, что будет работать лучше.
В теории если снять вмп, то можно увидить и импорты, которые изначально никто не прятал.
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
xLamantine написал(а):
ну так вмп это протектор, его цель запротектить, так что он просто делает для этого все возможное, с помощью lzi просто прячутся импорты. В вмп то что было изначально мутирует из вне, а lzi прячет импорты уже на ходу после компиляции и назревает вопрос, что будет работать лучше.
В теории если снять вмп, то можно увидить и импорты, которые изначально никто не прятал.
Нажмите для раскрытия...
Лейзи просто будет вызывать из регистров, не думаю что реверсеру это жизнь усложнит, а ну и в IAT функ не будет - всё.
xLamantine написал(а):
ну так вмп это протектор, его цель запротектить, так что он просто делает для этого все возможное, с помощью lzi просто прячутся импорты. В вмп то что было изначально мутирует из вне, а lzi прячет импорты уже на ходу после компиляции и назревает вопрос, что будет работать лучше.
В теории если снять вмп, то можно увидить и импорты, которые изначально никто не прятал.
Нажмите для раскрытия...
Перед снятием вмп, тебе нужно пофиксить импорты и релоки, если они имеются.
 
Немного о главном
Полезные мелочи
О нас

Проект предоставляет различный материал, относящийся к сфере киберспорта, программирования, ПО для игр, а также позволяет его участникам общаться на многие другие темы. Почта для жалоб: admin@yougame.biz

Поделиться страницей
Назад
Сверху Снизу