CrackMe Medium Crackme on C++. Loader imitation with memes and VMP

Олдфаг
Статус
Оффлайн
Регистрация
4 Янв 2020
Сообщения
2,996
Реакции[?]
1,275
Поинты[?]
5K
Задача: вывести месседж бокс с надписью stop abusing my pasted protection
Как запустить: запустите tikni.exe и нажмите init the shit. После чего окно пропадет, у вас будет 30 секунд чтобы заинжектить длл в любой процесс. Если появится окно с выше указанным текстом, то все сделали правильно.
Задача: убрать зависимость dll от tikni.exe. (обязательно заставить все работать без нажатия кнопки init the shit, а лучше вообще без лоадера)
Ентри поинты накрыты вмп, без виртуализации. В длл есть небольшой xor, ну и конечно пару рофлов. Удачи. В процессе работы можете делиться рофлами, которые найдете при попытке кряка, будет интересно)
Пожалуйста, авторизуйтесь для просмотра ссылки.
Пароль: lamantine
 
Забаненный
Статус
Оффлайн
Регистрация
20 Июн 2021
Сообщения
104
Реакции[?]
42
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Писать отдельный патчер не стану т.к лень, да и времени особо нету.
Скажу так.
Проверка FindWindowA RVA: 1280.
Если она не проходит, то поток не создаётся.
1634659945162.png
MessageBoxA
1634660018850.png
RVA: 115F.
Если же проверка не проходит, то наш молодой человек открывает через ShellExecuteA ссылочку на видео.
1634660091657.png

(Которая у меня почему-то не сработала.)
Ну в принципе все.
 
Олдфаг
Статус
Оффлайн
Регистрация
4 Янв 2020
Сообщения
2,996
Реакции[?]
1,275
Поинты[?]
5K
Писать отдельный патчер не стану т.к лень, да и времени особо нету.
Скажу так.
Проверка FindWindowA RVA: 1280.
Если она не проходит, то поток не создаётся.
Посмотреть вложение 176453
MessageBoxA
Посмотреть вложение 176454
RVA: 115F.
Если же проверка не проходит, то наш молодой человек открывает через ShellExecuteA ссылочку на видео.
Посмотреть вложение 176455

(Которая у меня почему-то не сработала.)
Ну в принципе все.
Ну отреверсить, то ты отреверсил, а патчить кто будет?
И такой вопрос, что бы ты делал если бы я спрятал импорты? (не критикую, просто интересно)
 
Забаненный
Статус
Оффлайн
Регистрация
20 Июн 2021
Сообщения
104
Реакции[?]
42
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Ну отреверсить, то ты отреверсил, а патчить кто будет?
Для патча вмп нужно писать патчер, а писать патчер ради одной проверки я не стану, мне просто на просто лень, как я писал выше, да и времени нету.
Ну отреверсить, то ты отреверсил, а патчить кто будет?
И такой вопрос, что бы ты делал если бы я спрятал импорты? (не критикую, просто интересно)
Импорты спрятал, хахаха.
Так они у тебя и так спрятаны, я их сам подписал, если ты не заметил.
 
Олдфаг
Статус
Оффлайн
Регистрация
4 Янв 2020
Сообщения
2,996
Реакции[?]
1,275
Поинты[?]
5K
Для патча вмп нужно писать патчер, а писать патчер ради одной проверки я не стану, мне просто на просто лень, как я писал выше, да и времени нету.
Так что там с импортами все таки?
 
Забаненный
Статус
Оффлайн
Регистрация
20 Июн 2021
Сообщения
104
Реакции[?]
42
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Олдфаг
Статус
Оффлайн
Регистрация
4 Янв 2020
Сообщения
2,996
Реакции[?]
1,275
Поинты[?]
5K
Читать разучили?
А так сказать сказал, делай, и посмотрим на то, как ты импорты спрячешь, ахаха.
Не найду их наверное :(
Ну lazy importer например, просто интересно прикольнуться и усложнить жизнь в плане поиска винапи функций
 
Забаненный
Статус
Оффлайн
Регистрация
12 Сен 2021
Сообщения
25
Реакции[?]
15
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
4:19
1634660798081.png
4:20
1634660819865.png
 
Олдфаг
Статус
Оффлайн
Регистрация
4 Янв 2020
Сообщения
2,996
Реакции[?]
1,275
Поинты[?]
5K
Забаненный
Статус
Оффлайн
Регистрация
20 Июн 2021
Сообщения
104
Реакции[?]
42
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Ну lazy importer например, просто интересно прикольнуться и усложнить жизнь в плане поиска винапи функций
Даже вмп отработает лучше, чем LZI.
Импорты спрятал вмп, а не я.
Я знаю, что импорты спрятал вмп, под виртуализацией.
Ладно, больше по этому поводу писать не стану, жду некст версию, раз ты считаешь, что лейзи тебе поможет лучше чем вмп.
 
Олдфаг
Статус
Оффлайн
Регистрация
4 Янв 2020
Сообщения
2,996
Реакции[?]
1,275
Поинты[?]
5K
Даже вмп отработает лучше, чем LZI.
ну так вмп это протектор, его цель запротектить, так что он просто делает для этого все возможное, с помощью lzi просто прячутся импорты. В вмп то что было изначально мутирует из вне, а lzi прячет импорты уже на ходу после компиляции и назревает вопрос, что будет работать лучше.
В теории если снять вмп, то можно увидить и импорты, которые изначально никто не прятал.
 
Забаненный
Статус
Оффлайн
Регистрация
20 Июн 2021
Сообщения
104
Реакции[?]
42
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
ну так вмп это протектор, его цель запротектить, так что он просто делает для этого все возможное, с помощью lzi просто прячутся импорты. В вмп то что было изначально мутирует из вне, а lzi прячет импорты уже на ходу после компиляции и назревает вопрос, что будет работать лучше.
В теории если снять вмп, то можно увидить и импорты, которые изначально никто не прятал.
Лейзи просто будет вызывать из регистров, не думаю что реверсеру это жизнь усложнит, а ну и в IAT функ не будет - всё.
ну так вмп это протектор, его цель запротектить, так что он просто делает для этого все возможное, с помощью lzi просто прячутся импорты. В вмп то что было изначально мутирует из вне, а lzi прячет импорты уже на ходу после компиляции и назревает вопрос, что будет работать лучше.
В теории если снять вмп, то можно увидить и импорты, которые изначально никто не прятал.
Перед снятием вмп, тебе нужно пофиксить импорты и релоки, если они имеются.
 
Сверху Снизу