CrackMe Medium Crackme on C++. Loader imitation with memes and VMP

xLamantine · 19 Окт 2021

Задача: вывести месседж бокс с надписью stop abusing my pasted protection
Как запустить: запустите tikni.exe и нажмите init the shit. После чего окно пропадет, у вас будет 30 секунд чтобы заинжектить длл в любой процесс. Если появится окно с выше указанным текстом, то все сделали правильно.
Задача: убрать зависимость dll от tikni.exe. (обязательно заставить все работать без нажатия кнопки init the shit, а лучше вообще без лоадера)
Ентри поинты накрыты вмп, без виртуализации. В длл есть небольшой xor, ну и конечно пару рофлов. Удачи. В процессе работы можете делиться рофлами, которые найдете при попытке кряка, будет интересно)

Пожалуйста, авторизуйтесь для просмотра ссылки.

Пароль: lamantine

sky1e · 19 Окт 2021

VT:

Пожалуйста, авторизуйтесь для просмотра ссылки.

xLamantine · 19 Окт 2021

Winnie the Pooh написал(а):
VT:
Пожалуйста, авторизуйтесь для просмотра ссылки.

Молодец конечно, но архив запаролен

sky1e · 19 Окт 2021

xLamantine написал(а):
Молодец конечно, но архив запаролен

типо как

xLamantine · 19 Окт 2021

Winnie the Pooh написал(а):
типо как

Антивирусы не могут проверить содержимое архива, если на нем есть пароль. Пароль в теме.

Zaria · 19 Окт 2021

Писать отдельный патчер не стану т.к лень, да и времени особо нету.
Скажу так.
Проверка FindWindowA RVA: 1280.
Если она не проходит, то поток не создаётся.

MessageBoxA

RVA: 115F.
Если же проверка не проходит, то наш молодой человек открывает через ShellExecuteA ссылочку на видео.

(Которая у меня почему-то не сработала.)
Ну в принципе все.

xLamantine · 19 Окт 2021

amjesty написал(а):
Писать отдельный патчер не стану т.к лень, да и времени особо нету.
Скажу так.
Проверка FindWindowA RVA: 1280.
Если она не проходит, то поток не создаётся.
Посмотреть вложение 176453
MessageBoxA
Посмотреть вложение 176454
RVA: 115F.
Если же проверка не проходит, то наш молодой человек открывает через ShellExecuteA ссылочку на видео.
Посмотреть вложение 176455

(Которая у меня почему-то не сработала.)
Ну в принципе все.

Ну отреверсить, то ты отреверсил, а патчить кто будет?
И такой вопрос, что бы ты делал если бы я спрятал импорты? (не критикую, просто интересно)

Zaria · 19 Окт 2021

xLamantine написал(а):
Ну отреверсить, то ты отреверсил, а патчить кто будет?

Для патча вмп нужно писать патчер, а писать патчер ради одной проверки я не стану, мне просто на просто лень, как я писал выше, да и времени нету.

xLamantine написал(а):
Ну отреверсить, то ты отреверсил, а патчить кто будет?
И такой вопрос, что бы ты делал если бы я спрятал импорты? (не критикую, просто интересно)

Импорты спрятал, хахаха.
Так они у тебя и так спрятаны, я их сам подписал, если ты не заметил.

xLamantine · 19 Окт 2021

amjesty написал(а):
Для патча вмп нужно писать патчер, а писать патчер ради одной проверки я не стану, мне просто на просто лень, как я писал выше, да и времени нету.

Так что там с импортами все таки?

Zaria · 19 Окт 2021

xLamantine написал(а):
Так что там с импортами все таки?

Читать разучили?
А так сказать сказал, делай, и посмотрим на то, как ты импорты спрячешь, ахаха.
Не найду их наверное :(

xLamantine · 19 Окт 2021

amjesty написал(а):
Читать разучили?
А так сказать сказал, делай, и посмотрим на то, как ты импорты спрячешь, ахаха.
Не найду их наверное :(

Ну lazy importer например, просто интересно прикольнуться и усложнить жизнь в плане поиска винапи функций

Zivs · 19 Окт 2021

4:19

4:20

xLamantine · 19 Окт 2021

amjesty написал(а):
Импорты спрятал, хахаха.
Так они у тебя и так спрятаны, я их сам подписал, если ты не заметил.

Импорты спрятал вмп, а не я.

Zaria · 19 Окт 2021

xLamantine написал(а):
Ну lazy importer например, просто интересно прикольнуться и усложнить жизнь в плане поиска винапи функций

Даже вмп отработает лучше, чем LZI.

xLamantine написал(а):
Импорты спрятал вмп, а не я.

Я знаю, что импорты спрятал вмп, под виртуализацией.
Ладно, больше по этому поводу писать не стану, жду некст версию, раз ты считаешь, что лейзи тебе поможет лучше чем вмп.

xLamantine · 19 Окт 2021

amjesty написал(а):
Даже вмп отработает лучше, чем LZI.

ну так вмп это протектор, его цель запротектить, так что он просто делает для этого все возможное, с помощью lzi просто прячутся импорты. В вмп то что было изначально мутирует из вне, а lzi прячет импорты уже на ходу после компиляции и назревает вопрос, что будет работать лучше.
В теории если снять вмп, то можно увидить и импорты, которые изначально никто не прятал.

Zaria · 19 Окт 2021

xLamantine написал(а):
ну так вмп это протектор, его цель запротектить, так что он просто делает для этого все возможное, с помощью lzi просто прячутся импорты. В вмп то что было изначально мутирует из вне, а lzi прячет импорты уже на ходу после компиляции и назревает вопрос, что будет работать лучше.
В теории если снять вмп, то можно увидить и импорты, которые изначально никто не прятал.

Лейзи просто будет вызывать из регистров, не думаю что реверсеру это жизнь усложнит, а ну и в IAT функ не будет - всё.

xLamantine написал(а):
ну так вмп это протектор, его цель запротектить, так что он просто делает для этого все возможное, с помощью lzi просто прячутся импорты. В вмп то что было изначально мутирует из вне, а lzi прячет импорты уже на ходу после компиляции и назревает вопрос, что будет работать лучше.
В теории если снять вмп, то можно увидить и импорты, которые изначально никто не прятал.

Перед снятием вмп, тебе нужно пофиксить импорты и релоки, если они имеются.

Dark_Bull · 19 Окт 2021

Пожалуйста, зарегистрируйтесь или авторизуйтесь, чтобы увидеть содержимое.

xLamantine · 20 Окт 2021

Dark_Bull написал(а):
Скрытое содержимое

Расскажи последовательность действий, стало интересно