AHTeam - Исследование CrackMe'сов от Fant0m

Главная страница

English site version

Навигация по сайту:

Статья "Исследование CrackMe'сов от Fant0m":

<< Все статьи по взлому

Версия для печати

Только для образовательных целей!

Автор:	ViNCE [AHTeam]
Уровень:	Для начинающих
Программа:	CrackMe с www.fant0m.cjb.net
Инструменты:	OllyDebug v1.09d, ProcDUMP, Imprec v1.6

iNTRO
Начинающим крякерам есть программки для разминки - или просто КРЯКМИ (CrackMe - "Взломай Меня"

). В Инете\РуНете куча крякмисов. Наверное, все известные на Revering-сцене группы (команды) наверстали свои крякмисы... Прям стандарт какой-то :))
Сегодня мы рассмотрим исследование крякмисов от Fant0m'а.

[Fant0m CrackMe #1]
Как пишет Fant0m - это его самый первый крякмис и... "расслабьтесь" :)) Запускаем crackme.exe и видим поле для ввода серийника. Вводим, жмём OK - пишет, что "Wron Password! Keep trying, you'll get it!". Хм... Открываем crackme.exe в OllyDebug (далее - просто "Олли"). Сразу видим такой код:

00401000 >/$ 6A 00          PUSH 0                                   ; /pModule = NULL <<- МЫ ТУТ!
00401002  |. E8 45030000    CALL [JMP.&KERNEL32.GetModuleHandleA]    ; \GetModuleHandleA
00401007  |. A3 94304000    MOV DWORD PTR DS:[403094],EAX
0040100C  |. E8 35030000    CALL [JMP.&KERNEL32.GetCommandLineA]     ; Получаем параметры
                                                                     ; командной строки
00401011  |. A3 98304000    MOV DWORD PTR DS:[403098],EAX
00401016  |. 6A 01          PUSH 1                                   ; /Arg4 = 00000001
00401018  |. FF35 98304000  PUSH DWORD PTR DS:[403098]               ; |Arg3 = 00000000
0040101E  |. 6A 00          PUSH 0                                   ; |Arg2 = 00000000
00401020  |. FF35 94304000  PUSH DWORD PTR DS:[403094]               ; |Arg1 = 00000000
00401026  |. E8 07000000    CALL CRACKME1.00401032                   ; Собственно, вызов тела крякмиса
0040102B  |. 6A 00          PUSH 0                                   ; /ExitCode = 0
0040102D  \. E8 0E030000    CALL [JMP.&KERNEL32.ExitProcess]         ; Закрываемся

Теперь трассируем с точки входа (00401000) до адреса 00401026 с помощью F8 и заходим в call с помощью F7. Теперь мы в коде крякмиса... Хотя - он нам не нужен :)) Смотрим hex-дамп:

00403000  44 4C 47 43 4C 41 53 53  DLGCLASS
00403008  00 4D 61 69 6E 44 69 61  .MainDia
00403010  6C 6F 67 00 41 62 6F 75  log.Abou
00403018  74 44 69 61 6C 6F 67 00  tDialog.
00403020  4D 61 69 6E 4D 65 6E 75  MainMenu
00403028  00 6D 30 74 4E 61 46 2D  .m0tNaF-
00403030  45 6D 4B 43 41 52 63 00  EmKCARc.
00403038  43 68 65 63 6B 20 53 74  Check St
00403040  61 74 75 73 00 57 72 6F  atus.Wro
00403048  6E 67 20 50 61 73 73 77  ng Passw
00403050  6F 72 64 21 20 4B 65 65  ord! Kee
00403058  70 20 74 72 79 69 6E 67  p trying
00403060  2C 20 79 6F 75 27 6C 6C  , you'll
00403068  20 67 65 74 20 69 74 21   get it!
00403070  00 59 6F 75 20 67 6F 74  .You got
00403078  20 69 74 21 20 59 6F 75   it! You
00403080  72 20 6E 6F 77 20 61 20  r now a
00403088  63 72 61 63 6B 65 72 21  cracker!
00403090  20 3A 29 00 00 00 40 00   :)...@.
00403098  E0 1E 14 00              а.

Видим следущие строки:
00403028 00 6D 30 74 4E 61 46 2D .m0tNaF-
00403030 45 6D 4B 43 41 52 63 00 EmKCARc.
Должно быть странным, что строка cRACKmE-FaNt0m записана наоборот?! Вот и я так сразу же подумал... Адреса в hex-е пишутся не по порядку, но чтобы строки наоборот - это смешно!

Так что берём строку (не переворачивая): m0tNaF-EmKCARc
Вводим в крякмис и видим сообщение: You got it! Your now a cracker!
Вот и всё!

[Fant0m CrackMe #2]
Далее я качнул второй крякмис... Здесь задача поменялась. Теперь Fant0m сделал показ двух нагов:
- Вида MessageBox
- Вида DialogBox
Оба нага вылазят при старте программы. Запускаем crackme.exe в Олли и попадаем в стартовый код (такой же как и в первом крякми), заходим в главную процедуру:
00401026 |. E8 07000000 CALL CRACKME2.00401032 ; \CRACKME2.00401032
и видим код:

00401032  /$ 55             PUSH EBP
00401033  |. 8BEC           MOV EBP,ESP
00401035  |. 83C4 B0        ADD ESP,-50
00401038  |. C745 D0 300000>MOV DWORD PTR SS:[EBP-30],30
0040103F  |. C745 D4 030000>MOV DWORD PTR SS:[EBP-2C],3
00401046  |. C745 D8 2C1140>MOV DWORD PTR SS:[EBP-28],CRACKME2.00401>
0040104D  |. C745 DC 000000>MOV DWORD PTR SS:[EBP-24],0
00401054  |. C745 E0 1E0000>MOV DWORD PTR SS:[EBP-20],1E
0040105B  |. FF35 6C304000  PUSH DWORD PTR DS:[40306C]               ;  CRACKME2.00400000
00401061  |. 8F45 E4        POP DWORD PTR SS:[EBP-1C]
00401064  |. C745 F0 100000>MOV DWORD PTR SS:[EBP-10],10
0040106B  |. C745 F4 203040>MOV DWORD PTR SS:[EBP-C],CRACKME2.004030>;  ASCII "MAINMENU"
00401072  |. C745 F8 003040>MOV DWORD PTR SS:[EBP-8],CRACKME2.004030>;  ASCII "DLGCLASS"
00401079  |. 6A 69          PUSH 69                                  ; /RsrcName = 105.
0040107B  |. FF35 6C304000  PUSH DWORD PTR DS:[40306C]               ; |hInst = 00400000
00401081  |. E8 1C020000    CALL [JMP.&USER32.LoadIconA]             ; \LoadIconA
00401086  |. 8945 E8        MOV DWORD PTR SS:[EBP-18],EAX
00401089  |. 8945 FC        MOV DWORD PTR SS:[EBP-4],EAX
0040108C  |. 68 007F0000    PUSH 7F00                                ; /RsrcName = IDC_ARROW
00401091  |. 6A 00          PUSH 0                                   ; |hInst = NULL
00401093  |. E8 04020000    CALL [JMP.&USER32.LoadCursorA]           ; \LoadCursorA
00401098  |. 8945 EC        MOV DWORD PTR SS:[EBP-14],EAX
0040109B  |. 8D45 D0        LEA EAX,DWORD PTR SS:[EBP-30]
0040109E  |. 50             PUSH EAX                                 ; /pWndClassEx
0040109F  |. E8 10020000    CALL [JMP.&USER32.RegisterClassExA]      ; \RegisterClassExA
004010A4  |. 6A 00          PUSH 0                                   ; /lParam = 0
004010A6  |. 6A 00          PUSH 0                                   ; |pDlgProc = NULL
004010A8  |. 6A 00          PUSH 0                                   ; |hOwner = NULL
004010AA  |. 68 09304000    PUSH CRACKME2.00403009                   ; |pTemplate = "MAINDIALOG"
004010AF  |. FF35 6C304000  PUSH DWORD PTR DS:[40306C]               ; |hInst = 00400000
004010B5  |. E8 B8010000    CALL [JMP.&USER32.CreateDialogParamA]    ; \CreateDialogParamA
004010BA  |. 8945 B0        MOV DWORD PTR SS:[EBP-50],EAX
004010BD  |. FF75 14        PUSH DWORD PTR SS:[EBP+14]               ; /ShowState
004010C0  |. FF75 B0        PUSH DWORD PTR SS:[EBP-50]               ; |hWnd
004010C3  |. E8 F8010000    CALL [JMP.&USER32.ShowWindow]            ; \ShowWindow
004010C8  |. FF75 B0        PUSH DWORD PTR SS:[EBP-50]               ; /hWnd
004010CB  |. E8 FC010000    CALL [JMP.&USER32.UpdateWindow]          ; \UpdateWindow
004010D0  |. 6A 30          PUSH 30                                  ; /Style = MB_OK|
                                                                     ; MB_ICONEXCLAMATION|MB_APPLMODAL
004010D2  |. 68 33304000    PUSH CRACKME2.00403033                   ; |Title = "Remove me!"
004010D7  |. 68 3E304000    PUSH CRACKME2.0040303E                   ; |Text = "Nag Nag Nag...
Remove me!

Nag Nag Nag..."
004010DC  |. 6A 00          PUSH 0                                   ; |hOwner = NULL
004010DE  |. E8 C5010000    CALL [JMP.&USER32.MessageBoxA]           ; \MessageBoxA
004010E3  |. 6A 00          PUSH 0                                   ; /lParam = NULL
004010E5  |. 68 10124000    PUSH CRACKME2.00401210                   ; |DlgProc = CRACKME2.00401210
004010EA  |. FF75 B0        PUSH DWORD PTR SS:[EBP-50]               ; |hOwner
004010ED  |. 68 29304000    PUSH CRACKME2.00403029                   ; |pTemplate = "NAGDIALOG"
004010F2  |. FF35 6C304000  PUSH DWORD PTR DS:[40306C]               ; |hInst = 00400000
004010F8  |. E8 87010000    CALL [JMP.&USER32.DialogBoxParamA]       ; Вызываем наг DialogBox

Как мы видим... Первый наг расположился в диапазоне от 004010D0 до 004010DE. Чтобы его убить нужно просто поменять код:

004010D0  |. 6A 30          PUSH 30                                  ; /Style = MB_OK|
                                                                     ; MB_ICONEXCLAMATION|MB_APPLMODAL
004010D2  |. 68 33304000    PUSH CRACKME2.00403033                   ; |Title = "Remove me!"
004010D7  |. 68 3E304000    PUSH CRACKME2.0040303E                   ; |Text = "Nag Nag Nag...

Remove me!

Nag Nag Nag..."
004010DC  |. 6A 00          PUSH 0                                   ; |hOwner = NULL
004010DE  |. E8 C5010000    CALL [JMP.&USER32.MessageBoxA]           ; \MessageBoxA

на:

004010D0  |. 90 90          PUSH 30                                  ; /Style = MB_OK|
                                                                     ; MB_ICONEXCLAMATION|MB_APPLMODAL
004010D2  |. 90 90909090    PUSH CRACKME2.00403033                   ; |Title = "Remove me!"
004010D7  |. 90 90909090    PUSH CRACKME2.0040303E                   ; |Text = "Nag Nag Nag...

Remove me!

Nag Nag Nag..."
004010DC  |. 90 90          PUSH 0                                   ; |hOwner = NULL
004010DE  |. 90 90909090    CALL [JMP.&USER32.MessageBoxA]           ; \MessageBoxA

Соответственно вместо прежнего набора команд будут 19 команд NOP (No operation - "Ничего не делать").
Также поступаем и со вторым нагом, меняем:

004010E3  |. 6A 00          PUSH 0                                   ; /lParam = NULL
004010E5  |. 68 10124000    PUSH CRACKME2.00401210                   ; |DlgProc = CRACKME2.00401210
004010EA  |. FF75 B0        PUSH DWORD PTR SS:[EBP-50]               ; |hOwner
004010ED  |. 68 29304000    PUSH CRACKME2.00403029                   ; |pTemplate = "NAGDIALOG"
004010F2  |. FF35 6C304000  PUSH DWORD PTR DS:[40306C]               ; |hInst = 00400000
004010F8  |. E8 87010000    CALL [JMP.&USER32.DialogBoxParamA]       ; Вызываем наг DialogBox

на

004010E3  |. 90 90          PUSH 0                                   ; /lParam = NULL
004010E5  |. 90 90909090    PUSH CRACKME2.00401210                   ; |DlgProc = CRACKME2.00401210
004010EA  |. 9090 90        PUSH DWORD PTR SS:[EBP-50]               ; |hOwner
004010ED  |. 90 90909090    PUSH CRACKME2.00403029                   ; |pTemplate = "NAGDIALOG"
004010F2  |. 9090 90909090  PUSH DWORD PTR DS:[40306C]               ; |hInst = 00400000
004010F8  |. 90 90909090    CALL [JMP.&USER32.DialogBoxParamA]       ; Вызываем наг DialogBox

Вот и второй наг убит... Можно было сделать ещё проще - убить call'ы по адресам: 004010DE и 004010F8
Или замутить перед вызовом нагов безусловный переходик (jmp), который бы перепрыгивал их... :))

[Fant0m CrackMe #3]
Два уже убиты - возьмёмся за третий... Качаем и запускаем. Здесь Fant0m предлагает обойти проверку CD. Т.е. если crackme'с загружен с CD, то всё OK, в противном случае - Error. Получается - что этот крякмис создан для тренировки в обходе простейших CD-защит. Закрываем крякмис и загружаем его через Олли. Тут ничего интересного пока не намечается. Только в дампе мы видим надпись в случае успешного определения CD: "Found a CDROM. Good Job!". Мы видели что сообщение об ошибке вызывается в виде простого MessageBox'а. Ставим в Олли бряк:
bpx MessageBoxA
Теперь нажимаем в крякмисе в меню "CD Check" и срабатывает бряк. Отлично! Теперь мы видим следующий код:

004011FA  |. 6A 00          PUSH 0                                   ; /RootPathName = NULL
004011FC  |. E8 99000000    CALL [JMP.&KERNEL32.GetDriveTypeA]       ; \GetDriveTypeA
00401201  |. 83F8 05        CMP EAX,5
00401204  |. 74 17          JE SHORT CRACKME3.0040121D               ; Если загружены с CD, то прыгаем
                                                                     ; и сообщаем что всё OK! :))
00401206  |. 6A 30          PUSH 30                                  ; /Style = MB_OK|
                                                                     ; MB_ICONEXCLAMATION|MB_APPLMODAL
00401208  |. 68 14304000    PUSH CRACKME3.00403014                   ; |Title = "FaNt0m's CrackMe
                                                                     ; #3 -- CD Check"
0040120D  |. 68 40304000    PUSH CRACKME3.00403040                   ; |Text = "Error finding CDROM"
00401212  |. 6A 00          PUSH 0                                   ; |hOwner = NULL
00401214  |. E8 51000000    CALL [JMP.&USER32.MessageBoxA]           ; \MessageBoxA
00401219  |. C9             LEAVE
0040121A  |. C2 0400        RETN 4
0040121D  |> 6A 00          PUSH 0                                   ; /Style = MB_OK|MB_APPLMODAL
0040121F  |. 68 14304000    PUSH CRACKME3.00403014                   ; |Title = "FaNt0m's CrackMe
                                                                     ; #3 -- CD Check"
00401224  |. 68 54304000    PUSH CRACKME3.00403054                   ; |Text = "Found a CDROM!
                                                                     ; Good job!"
00401229  |. 6A 00          PUSH 0                                   ; |hOwner = NULL
0040122B  |. E8 3A000000    CALL [JMP.&USER32.MessageBoxA]           ; \MessageBoxA

Здесь всё просто:
Сначала вызывается функция GetDriveTypeA, которая получает значение типа integer, определяющее тип носителя с которого загружена крякмис.

004011FC  |. E8 99000000    CALL [JMP.&KERNEL32.GetDriveTypeA]

Далее идёт сравнение:

00401201  |. 83F8 05        CMP EAX,5

Если результат выполнения функции равен 5 (а это значит, что мы загрузились с CD), то осуществляется переход:

00401204  |. 74 17          JE SHORT CRACKME3.0040121D ; if EQUAL (Если равно)

И выдаётся сообщение об верном носителе... Что тут делать? Да просто поменять условный переход je на безусловный jmp:

00401204  |. 74 17          JE SHORT CRACKME3.0040121D ; if EQUAL (Если равно)

на

00401204  |. EB 17          JMP SHORT CRACKME3.0040121D ; Прыгаем по-любому :))

Запускаем - жмём "CD Check" - выдаёт сообщение, что всё впорядке!

[Fant0m CrackMe #4]
Fant0m решил усложнить задачу исследователю и сделал 4-й крякмис. Здесь требуется найти алгоритм создания правильного регистрационного номера от введённого имени пользователя. Открываем крякмис в Олли и отпускаем его на волю. Прога загрузится. Вводим имя (к примеру: ViNCE) и рег.номер: 7777771. В Олли ставим бряк на чтения из поля ввода:
bpx GetDlgItemTextA (сразу скажу что бряк на GetWindowTextA не прокатит)
Жмём в крякмисе OK и прога прерывается. Чуток трассируем код по F8 и видим такой вот цикл генерации правильного регистрационного номера. В комментариях я укажу все действия алгоритма:

00401310  |> 803E 00        /CMP BYTE PTR DS:[ESI],0    ; Сравниваем - уже конец строки с именем?
00401313  |. 74 15          |JE SHORT CRACKME4.0040132A ; Если да - выходим из цикла генерации
00401315  |. 8A06           |MOV AL,BYTE PTR DS:[ESI]   ; Берём n-ный символ имени (точнее его ASCII
                                                        ; значение (Например: A1 - это 'A')
00401317  |. 02C1           |ADD AL,CL          ; Прибавляем к A1 значение CL. Здесь CL - это
                                                ; порядковый номер тек.символа в строке с именем
; Но здесь следует учесть, что нумерация идёт с 0. Т.е. в слове ViNCE буква 'N' имеет позицию
; не 3, а 2. Предположим что наша буква 'A' имела позицию в слове 3. Так что выполняется следующая
; операция:
; AL:=AL+CL=A1+03=A4

00401319  |. 32C1           |XOR AL,CL                  ; Здесь делаем операцию XOR над AL и CL.
                                                        ; AL:=AL xor CL = A4 xor 3 = A0
0040131B  |. F6F3           |DIV BL                     ; Делим значение AL на константу BL. Смотрим
                                                        ; содержимое регистра EBX и видим в BL=1A
; Здесь не просто команда деления. Она выполняет два действия:
; - Сперва делится всё как положено: AL:=AL div BL = A0 div 1A = 06
; - Теперь вычитаем из A0 значение 1A шесть раз и получаем 04.
; - Записываем 04 в AH. В итоге получаем содержимое EAX: 00000406

0040131D  |. 66:C1E8 08     |SHR AX,8                  ; Осуществляем сдвиг вправо в регистре AX
                                                       ; и получаем из 0406 => 04
00401321  |. 04 41          |ADD AL,41                 ; Прибавляем к 04 константу 41 и получаем: AL=45
00401323  |. 8807           |MOV BYTE PTR DS:[EDI],AL  ; Из 45 получаем ещё один символ
                                                       ; регистрационного кода: 45h => 'E'
; Здесь идут всякие счётчики
00401325  |. 47             |INC EDI                                 ;  CRACKME4.00403286
00401326  |. 46             |INC ESI
00401327  |. 41             |INC ECX
00401328  |.ˆEB E6          \JMP SHORT CRACKME4.00401310 ;Возвращаемся к началу цикла

Для примера:
Имя: ViNCE
Номер: IDERZ
В результате получаем сообщение об верном номере: "You got it! Congrats! :)"

[Fant0m CrackME #5]
Когда я прочитал readme.txt к этому крякмису я был удивлён... Здесь Fant0m просто собрал всё то, что было до этого во всех 4-х крякмисах. Так что начнём по порядку... Запускаем крякмис и в меню "Protection" видим пункты:
- Password
- NAG
- CD Check
- Name/Serial
Велосипед изобретать не будем - начнём с нахождения пароля. Открываем наш крякмис в Олли и отпускаем его в работу. Теперь открываем первый пункт защиты - "Password". Тут вводим любой код. В Олли ставим бряк:
bpx GetDlgItemTextA ;на чтение из поля ввода
В КрякМисе жмём "Check" и прога прервётся здесь:

00401353  |. E8 F4030000    CALL [JMP.&USER32.GetDlgItemTextA]       ; \GetDlgItemTextA
00401358  |. 68 B8334000    PUSH CRACKME5.004033B8                   ; /String2 = ""
0040135D  |. 68 A2304000    PUSH CRACKME5.004030A2                   ; |String1 = "JD39-CK4-5QV345"
00401362  |. E8 51040000    CALL [JMP.&KERNEL32.lstrcmpA]            ; \lstrcmpA

Забавно, правда? "Только собрались ехать - а уже на месте" :)) Деактивируем все бряки. Запускаем крякмис и вводим пароль - всё в порядке! :))
Следующий пункт меню "Protection" - это "NAG". Здесь два нага: MessageBox и DialogBox. Ставим в Олли бряк:
bpx MessageBoxA
Отпускаем крякмис в отладчике и кликаем по меню "NAG". Прога прервётся тут:

00401424  /$ 6A 30          PUSH 30                             ; /Style = MB_OK|
                                                                ; MB_ICONEXCLAMATION|MB_APPLMODAL
00401426  |. 68 4A314000    PUSH CRACKME5.0040314A              ; |Title = "Remove me!"
0040142B  |. 68 55314000    PUSH CRACKME5.00403155              ; |Text = "Nag Nag Nag

Remove this message box!

Nag Nag Nag"
00401430  |. 6A 00          PUSH 0                                   ; |hOwner = NULL
00401432  |. E8 33030000    CALL [JMP.&USER32.MessageBoxA]           ; \MessageBoxA

Ладно - пусть наг выполниться. Трассируем и выходим из процедуры вызова этого нага. Мы окажемся здесь:

004011C8  |> E8 57020000    CALL CRACKME5.00401424
004011CD  |. 8D05 C3134000  LEA EAX,DWORD PTR DS:[4013C3]            ; << МЫ ЗДЕСЬ В ОТЛАДЧИКЕ
004011D3  |. 6A 00          PUSH 0                                   ; /lParam = NULL
004011D5  |. 50             PUSH EAX                                 ; |DlgProc => CRACKME5.004013C3
004011D6  |. FF75 08        PUSH DWORD PTR SS:[EBP+8]                ; |hOwner
004011D9  |. 68 3C304000    PUSH CRACKME5.0040303C                   ; |pTemplate = "NAGDIALOG"
004011DE  |. FF35 B0314000  PUSH DWORD PTR DS:[4031B0]               ; |hInst = 00400000
004011E4  |. E8 4B050000    CALL [JMP.&USER32.DialogBoxParamA]       ; \DialogBoxParamA

После выхода из процедуры вызова нага нас вынесет на адрес 004011CD. Ниже мы видим вызов второго нага - DialogBoxParamA.
Как от этого избавиться? Занопить? Nop... Nop... Nop... Нет! Можно сделать более короткий патч - всего из двух байтов. Так как наг вызывается из пункта меню - следовательно где-то в коде есть переключатель, который отвечает за выбранный пункт меню и осуществляет переход туда куда надо. Найти этот переход легко. Всё что связанно с нагами начинается с адреса 004011C8. Ищем выше по коду прыжок на этот адрес. Вот он:

00401167  |. 74 5F          JE SHORT CRACKME5.004011C8

Меняем 745F на 9090, т.е. на два NOP'а. Наги мы сняли.
Следующая защита - "CD Check". Перезапускаем крякмис в отладчике и отпускаем его работать. Теперь ставим бряк на проверку типа носителя:
bpx GetDriveTypeA
В меню крякмиса жмём "CD Check" и прога прервётся тут:

00401438  /$ 53             PUSH EBX
00401439  |. 50             PUSH EAX
0040143A  |. 6A 00          PUSH 0                               ; /RootPathName = NULL
                                                                 ; Т.е. никаких путей мы не передаём!
0040143C  |. E8 6B030000    CALL [JMP.&KERNEL32.GetDriveTypeA]   ;  << В ОТЛАДЧИКЕ МЫ ОКАЖЕМСЯ ЗДЕСЬ!
00401441  |. 33DB           XOR EBX,EBX
00401443  |. 43             INC EBX
00401444  |. 43             INC EBX
00401445  |. F6F3           DIV BL
00401447  |. 3C 02          CMP AL,2
00401449  |. 75 1C          JNZ SHORT CRACKME5.00401467 ;Где CD? Я его не нашёл... потому матюгнусь 
0040144B  |. 80FC 01        CMP AH,1
0040144E  |. 74 02          JE SHORT CRACKME5.00401452  ; Ребята, я нашёл CD-ROM и потому прыгну...
00401450  |. EB 15          JMP SHORT CRACKME5.00401467 ; Ай-Яй-Яй! CD-ROM не найден! Ж((
00401452  |> 6A 40          PUSH 40                             ; /Style = MB_OK|
                                                                ; MB_ICONASTERISK|MB_APPLMODAL
00401454  |. 68 88314000    PUSH CRACKME5.00403188              ; |Title = "CD Check"
00401459  |. 68 91314000    PUSH CRACKME5.00403191              ; |Text = "CDROM found!"
0040145E  |. 6A 00          PUSH 0                              ; |hOwner = NULL
00401460  |. E8 05030000    CALL [JMP.&USER32.MessageBoxA]      ; \MessageBoxA
00401465  |. EB 15          JMP SHORT CRACKME5.0040147C
00401467  |> 6A 30          PUSH 30                             ; /Style = MB_OK|
                                                                ; MB_ICONEXCLAMATION|MB_APPLMODAL
00401469  |. 68 88314000    PUSH CRACKME5.00403188              ; |Title = "CD Check"
0040146E  |. 68 9E314000    PUSH CRACKME5.0040319E              ; |Text = "CDROM Not found!"
00401473  |. 6A 00          PUSH 0                              ; |hOwner = NULL
00401475  |. E8 F0020000    CALL [JMP.&USER32.MessageBoxA]      ; \MessageBoxA
0040147A  |. EB 00          JMP SHORT CRACKME5.0040147C
0040147C  |> 58             POP EAX
0040147D  |. 5B             POP EBX
0040147E  \. C3             RETN

Здесь всё просто! Меняем два перехода:

00401449  |. 75 1C          JNZ SHORT CRACKME5.00401467

на:

00401449  |. 90                NOP
0040144A  |. 90               NOP

Вот и вся проверочка! :))
Последняя защита - это "Name/Serial". Перезапускаем крякмис в отладчике и тут же его отпускаем на "волю". Залезаем в меню "Protection->Name/Serial". Обзор этого вида регистрации я опущу, т.к. мне просто было лень изучать алгоритм - а он очень простой.
Кому интересно, тот может покопать. Комбинацию для своего имени я нашёл:
Имя: ViNCE
Номер: FCWV-B
Вот такой вот крякмис! :))

[Fant0m CrackMe #6]
Вот ещё один интересный крякмис. Здесь требуется подобрать ключевой файл. Fant0m добавляет, что патчить крякмис нельзя!
Запускаем прогу и видим менюшку "Check It!". Жмём и нам выдаёт - "KeyFile Not Found!". Вай-вай-вай! :)) Открываем крякмис в Олли и ставим бряк на чтение из файла:
bpx ReadFile
Теперь отпускаем прогу в Олли - пусть она загрузится. После загрузки жмём "Check It!" и КрякМис прерывается здесь:

004010E1  /$ 6A 00          PUSH 0                           ; /hTemplateFile = NULL 
                                                             ; <<ВХОД в процедуру "Check It!"
                                                             ; << В отладчике мы здесь
004010E3  |. 68 80000000    PUSH 80                          ; |Attributes = NORMAL
                                                             ; Начинаем передавать аттрибуты
004010E8  |. 6A 03          PUSH 3                           ; |Mode = OPEN_EXISTING
004010EA  |. 6A 00          PUSH 0                           ; |pSecurity = NULL
004010EC  |. 6A 01          PUSH 1                           ; |ShareMode = FILE_SHARE_READ
004010EE  |. 68 00000080    PUSH 80000000                    ; |Access = GENERIC_READ
004010F3  |. 68 17304000    PUSH CRACKME6.00403017           ; |FileName = "keyfile.dat"
004010F8  |. E8 BD000000    CALL [JMP.&KERNEL32.CreateFileA] ; \CreateFileA
004010FD  |. A3 88304000    MOV DWORD PTR DS:[403088],EAX
00401102  |. 83F8 FF        CMP EAX,-1
00401105  |. 75 14          JNZ SHORT CRACKME6.0040111B   ; Если файл есть, то продолжаем...
                                                          ; Переходим к чтению из файла
00401107  |. 6A 10          PUSH 10                       ; /Style = MB_OK|MB_ICONHAND|MB_APPLMODAL
00401109  |. 68 23304000    PUSH CRACKME6.00403023        ; |Title = "Error!"
0040110E  |. 68 2A304000    PUSH CRACKME6.0040302A           ; |Text = "Key file not found!"
00401113  |. 6A 00          PUSH 0                           ; |hOwner = NULL
00401115  |. E8 94000000    CALL [JMP.&USER32.MessageBoxA]   ; \MessageBoxA
0040111A  |. C3             RETN
0040111B  |> 6A 00          PUSH 0                           ; /pOverlapped = NULL
                                                             ; Начинаем передавать
                                                             ; параметры для чтения
0040111D  |. 68 96304000    PUSH CRACKME6.00403096           ; |pBytesRead = CRACKME6.00403096
00401122  |. 6A 0A          PUSH 0A                          ; |BytesToRead = A (10.)
00401124  |. 68 8C304000    PUSH CRACKME6.0040308C           ; |Buffer = CRACKME6.0040308C
00401129  |. FF35 88304000  PUSH DWORD PTR DS:[403088]       ; |hFile = FFFFFFFF
0040112F  |. E8 98000000    CALL [JMP.&KERNEL32.ReadFile]    ; \ReadFile ;Читаем
00401134  |. 83F8 00        CMP EAX,0 ;Сравниваем с нулём...
00401137  |. 75 15          JNZ SHORT CRACKME6.0040114E      ; Если всё считалось нормально,
                                                             ; то прыгаем к анализу файла
00401139  |. 6A 10          PUSH 10                       ; /Style = MB_OK|MB_ICONHAND|MB_APPLMODAL
0040113B  |. 68 23304000    PUSH CRACKME6.00403023        ; |Title = "Error!"
00401140  |. 68 3E304000    PUSH CRACKME6.0040303E        ; |Text = "Error reading file!"
00401145  |. 6A 00          PUSH 0                           ; |hOwner = NULL
00401147  |. E8 62000000    CALL [JMP.&USER32.MessageBoxA]   ; Выдаём сообщение, т.к. не
                                                             ; получилось считать данные :((
0040114C  |. EB 48          JMP SHORT CRACKME6.00401196

Из комментариев итак всё ясно, так что не буду повторяться. Теперь проанализируем собственно процедуру анализа ключевого файла. Она идёт с адреса 0040114E:

0040114E  |> 8D15 8C304000  LEA EDX,DWORD PTR DS:[40308C] ;Загружаем содержимое keyfile.dat
00401154  |. 83C2 05        ADD EDX,5 ; А теперь делаем смещение в файле на 5 байт
00401157  |. 803A 31        CMP BYTE PTR DS:[EDX],31 ; Сравниваем, что же у нас лежит 6-м байтом.
0040115A  |. 75 10          JNZ SHORT CRACKME6.0040116C ; Если там лежит байт: 31h, то не прыгаем
0040115C  |. 83C2 03        ADD EDX,3 ; Смещаемся на два байта к 9-му байту
0040115F  |. 803A 33        CMP BYTE PTR DS:[EDX],33 ; Сравниваем значение 9-го байта с 33h
00401162  |. 75 08          JNZ SHORT CRACKME6.0040116C ; Если равно, то не прыгаем
00401164  |. 42             INC EDX ; Смещаемся на 1 байт к 11 байту.
00401165  |. 803A 30        CMP BYTE PTR DS:[EDX],30 ; Сравниваем 11-й байт с 30
00401168  |. 74 02          JE SHORT CRACKME6.0040116C ; Если равно 30, то прыгаем на ошибку
0040116A  |. EB 15          JMP SHORT CRACKME6.00401181 ;Прыгаем на сообщение - ВСЁ ВПОРЯДКЕ
0040116C  |> 6A 10          PUSH 10                            ; /Style = MB_OK|
                                                               ; MB_ICONHAND|MB_APPLMODAL
0040116E  |. 68 23304000    PUSH CRACKME6.00403023             ; |Title = "Error!"
00401173  |. 68 52304000    PUSH CRACKME6.00403052             ; |Text = "Invalid key!"
00401178  |. 6A 00          PUSH 0                             ; |hOwner = NULL
0040117A  |. E8 2F000000    CALL [JMP.&USER32.MessageBoxA]     ; Выдаём сообщение "Invalid Key!"
0040117F  |. EB 15          JMP SHORT CRACKME6.00401196
00401181  |> 6A 40          PUSH 40                            ; /Style = MB_OK|
                                                               ; MB_ICONASTERISK|MB_APPLMODAL
00401183  |. 68 76304000    PUSH CRACKME6.00403076             ; |Title = "Correct!!!"
00401188  |. 68 5F304000    PUSH CRACKME6.0040305F             ; |Text = "Correct key! Good job!"
0040118D  |. 6A 00          PUSH 0                             ; |hOwner = NULL
0040118F  |. E8 1A000000    CALL [JMP.&USER32.MessageBoxA]     ; Выдаём сообщение, о
                                                               ; том что ключ верный!
00401194  |. EB 00          JMP SHORT CRACKME6.00401196

Вот собственно и весь крякмис.

[Fant0m CrackMe #7]
Седьмой крякмис имеет ограничение на количество запусков. Всего лишь 30 раз. Запускаем крякмис и жмём "Check" - нам выдаёт "You have 30 attemps remaining!".
Осталось 30 запусков... Запускаем крякмис через Олли и отпускаем его в работу. В Олли ставим бряк:
bpx MessageBoxA
Нажимаем в крякмисе на меню "Check" и прога прерывается в таком коде:

004010E1  /$ C705 28324000 >MOV DWORD PTR DS:[403228],4
004010EB  |. 68 20324000    PUSH CRACKME7.00403220       ; /pHandle = CRACKME7.00403220
004010F0  |. 68 17304000    PUSH CRACKME7.00403017       ; |Subkey = "Software\FaNt0m's Crackme #7"
004010F5  |. 68 01000080    PUSH 80000001                ; |hKey = HKEY_CURRENT_USER
004010FA  |. E8 25010000    CALL [JMP.&ADVAPI32.RegOpenKeyA]  ; Пытаемся открыть ключ реестра
004010FF  |. 85C0           TEST EAX,EAX
00401101  |. 74 3C          JE SHORT CRACKME7.0040113F   ; Если ключ найден, то прыгаем...
00401103  |. C705 24324000 >MOV DWORD PTR DS:[403224],0
0040110D  |. 68 20324000    PUSH CRACKME7.00403220       ; /pHandle = CRACKME7.00403220
00401112  |. 68 17304000    PUSH CRACKME7.00403017       ; |Subkey = "Software\FaNt0m's Crackme #7"
00401117  |. 68 01000080    PUSH 80000001                       ; |hKey = HKEY_CURRENT_USER
0040111C  |. E8 F7000000    CALL [JMP.&ADVAPI32.RegCreateKeyA]  ; Ключа не нашли - создадим!
00401121  |. FF35 28324000  PUSH DWORD PTR DS:[403228]          ; /BufSize = 4
00401127  |. 68 24324000    PUSH CRACKME7.00403224              ; |Buffer = CRACKME7.00403224
0040112C  |. 6A 04          PUSH 4                              ; |ValueType = REG_DWORD
0040112E  |. 6A 00          PUSH 0                              ; |Reserved = 0
00401130  |. 6A 00          PUSH 0                              ; |ValueName = NULL
00401132  |. FF35 20324000  PUSH DWORD PTR DS:[403220]          ; |hKey = 5C
00401138  |. E8 F3000000    CALL [JMP.&ADVAPI32.RegSetValueExA] ; Устанавливаем своё значение
                                                                ; (кол-во запусков)
0040113D  |. EB 42          JMP SHORT CRACKME7.00401181
0040113F  |> 68 28324000    PUSH CRACKME7.00403228                   ; /pBufSize = CRACKME7.00403228
00401144  |. 68 24324000    PUSH CRACKME7.00403224                   ; |Buffer = CRACKME7.00403224
00401149  |. 68 B0304000    PUSH CRACKME7.004030B0                   ; |pValueType = CRACKME7.004030B0
0040114E  |. 6A 00          PUSH 0                                   ; |Reserved = NULL
00401150  |. 6A 00          PUSH 0                                   ; |ValueName = NULL
00401152  |. FF35 20324000  PUSH DWORD PTR DS:[403220]               ; |hKey = 5C
00401158  |. E8 CD000000    CALL [JMP.&ADVAPI32.RegQueryValueExA]    ; \RegQueryValueExA
0040115D  |. 85C0           TEST EAX,EAX
0040115F  |. FF05 24324000  INC DWORD PTR DS:[403224]
00401165  |. FF35 28324000  PUSH DWORD PTR DS:[403228]               ; /BufSize = 4
0040116B  |. 68 24324000    PUSH CRACKME7.00403224                   ; |Buffer = CRACKME7.00403224
00401170  |. 6A 04          PUSH 4                                   ; |ValueType = REG_DWORD
00401172  |. 6A 00          PUSH 0                                   ; |Reserved = 0
00401174  |. 6A 00          PUSH 0                                   ; |ValueName = NULL
00401176  |. FF35 20324000  PUSH DWORD PTR DS:[403220]               ; |hKey = 5C
0040117C  |. E8 AF000000    CALL [JMP.&ADVAPI32.RegSetValueExA]      ; \RegSetValueExA
00401181  |> FF35 20324000  PUSH DWORD PTR DS:[403220]               ; /hKey = 5C
00401187  |. E8 92000000    CALL [JMP.&ADVAPI32.RegFlushKey]         ; \RegFlushKey
0040118C  |. FF35 20324000  PUSH DWORD PTR DS:[403220]               ; /hKey = 0000005C
00401192  |. E8 7B000000    CALL [JMP.&ADVAPI32.RegCloseKey]         ; \RegCloseKey
00401197  |. 8D1D 24324000  LEA EBX,DWORD PTR DS:[403224]
0040119D  |. 8B03           MOV EAX,DWORD PTR DS:[EBX]
0040119F  |. 83F8 1E        CMP EAX,1E
004011A2  |. 7D 36          JGE SHORT CRACKME7.004011DA
004011A4  |. 83E8 1E        SUB EAX,1E
004011A7  |. F7D8           NEG EAX
004011A9  |. 68 94304000    PUSH CRACKME7.00403094         ; /%s = " attempts remaining!"
004011AE  |. 50             PUSH EAX                       ; |%d
004011AF  |. 68 8A304000    PUSH CRACKME7.0040308A         ; |%s = "You have "
004011B4  |. 68 A9304000    PUSH CRACKME7.004030A9         ; |Format = "%s%d%s"
004011B9  |. 68 B8304000    PUSH CRACKME7.004030B8         ; |s = CRACKME7.004030B8
004011BE  |. E8 2B000000    CALL [JMP.&USER32.wsprintfA]   ; \wsprintfA
004011C3  |. 83C4 14        ADD ESP,14                     
004011C6  |. 6A 40          PUSH 40                   ; /Style = MB_OK|MB_ICONASTERISK|MB_APPLMODAL
004011C8  |. 68 7B304000    PUSH CRACKME7.0040307B    ; |Title = "Time remaining"
004011CD  |. 68 B8304000    PUSH CRACKME7.004030B8    ; |Text = "You have 21 attempts remaining!"
004011D2  |. 6A 00          PUSH 0                         ; |hOwner = NULL
004011D4  |. E8 27000000    CALL [JMP.&USER32.MessageBoxA] ; << СЮДА НАС ВЫКИНЕТ ОТЛАДЧИК
004011D9  |. C3             RETN
004011DA  |> 6A 30          PUSH 30                   ; /Style = MB_OK|MB_ICONEXCLAMATION|MB_APPLMODAL
004011DC  |. 68 34304000    PUSH CRACKME7.00403034    ; |Title = "Time limit expired!"
004011E1  |. 68 48304000    PUSH CRACKME7.00403048    ; |Text = "Your 30 attempt
                                                           ; limit on this program has expired!"
004011E6  |. 6A 00          PUSH 0                         ; |hOwner = NULL
004011E8  |. E8 13000000    CALL [JMP.&USER32.MessageBoxA] ; \MessageBoxA
004011ED  \. C3             RETN

Вроде много кода я привёл - а здесь всё просто... Главное чтобы у нас не было "Time limit expired...", код которого идёт с адреса 004011DA. Ищем прыжок на этот адрес... Ищем... Ищем... Вот он:

004011A2  |. 7D 36          JGE SHORT CRACKME7.004011DA

Берём и просто нопим: 7D36 -> 9090
Чтобы нам не мешали сообщения об триале, убьём следующие вызовы:

004011BE  |. E8 2B000000    CALL [JMP.&USER32.wsprintfA]             ; \wsprintfA
004011D4  |. E8 27000000    CALL [JMP.&USER32.MessageBoxA]           ; \MessageBoxA

Просто меняем байты на NOP -> 90.
Вот и всё!

[Fant0m CrackMe #8]
В readme автор крякмиса обмолвился об том, что хоть 7-й крякмис на сайте был обозначен как "средней сложности", но он в действительности - лёгкий. В 8-м крякмисе требуется распаковать сам крякмис и прилагающуюся dll. В дополнении требуется убрать детекцию SoftICE'а и найти правильный номер для своего имени пользователя. Начнём...
Ожидать какого-то очень мощного запаковщика я не стал и поэтому даже не анализировал файл с помощью FileInfo. Мне по барабану...

Пакер простой - линейный. Так что не буду приводить весь код, а приведу кусок кода-переходника на OEP (Original Entry Point):

00407898   > FF96 AC7A0000  CALL DWORD PTR DS:[ESI+7AAC]
0040789E   > 61             POPAD
0040789F   .-E9 5C97FFFF    JMP CRACKME8.00401000

По адресу 0040789F происходит переход на OEP. Так что ставим бряк сюда (F2).
Теперь просто снимаем дамп в ProcDUMP'е, но не убиваем процесс! Запускаем дедушку Imprec'а и выбираем наш процесс. Подставляем найденный OEP без ImageBase: OEP=00401000, значит вставляем: 00001000. Жмём "Get Imports". Импорт будет найден (там всего 2 адреса). Кликаем по "Fix Dump" и выбираем файл дампа. Всё! Распаковка закончена. Чуть позже я наткнулся на надпись "UPX" - теперь понятно чем запаковали :\
Вторая задача - это найти номерок. Ладно! Открываем крякмис через отладчик и отпускаем... Теперь открываем окошко с вводом регистрационных данных. Вводим имя (я ввёл - ViNCE) и любой номер (я ввёл - 7777771). В Олли ставим бряк:
bpx GetDlgItemTextA
И жмём в окошке крякмиса - "Verify". Прога прервётся в этом коде:

00401295   6A 64            PUSH 64
00401297   68 74314000      PUSH dumpOFex.00403174             ; ASCII "7777771"
0040129C   68 EA030000      PUSH 3EA
004012A1   FF75 08          PUSH DWORD PTR SS:[EBP+8]
004012A4   E8 B5000000      CALL [JMP.&user32.GetDlgItemTextA] ; Получаем введённое имя
                                                               ; (СЮДА НАС ОТПРАВИТ ОТЛАДЧИК)
004012A9   6A 64            PUSH 64
004012AB   68 10314000      PUSH dumpOFex.00403110             ; ASCII "ViNCE" ;Сохраняем имя в стек
004012B0   68 E9030000      PUSH 3E9
004012B5   FF75 08          PUSH DWORD PTR SS:[EBP+8]
004012B8   E8 A1000000      CALL [JMP.&user32.GetDlgItemTextA] ; Получаем введённый номер
004012BD   8D05 10314000    LEA EAX,DWORD PTR DS:[403110]
004012C3   50               PUSH EAX
004012C4   8D05 74314000    LEA EAX,DWORD PTR DS:[403174]
004012CA   50               PUSH EAX
004012CB   FF15 0C314000    CALL DWORD PTR DS:[40310C]         ; CM8.VerifySerial 
                                                               ; Вызываем функцию проверки
                                                               ; номера из DLL
004012D1   85C0             TEST EAX,EAX
004012D3   74 08            JE SHORT dumpOFex.004012DD
004012D5   8D05 A0304000    LEA EAX,DWORD PTR DS:[4030A0]
004012DB   EB 06            JMP SHORT dumpOFex.004012E3
004012DD   8D05 63304000    LEA EAX,DWORD PTR DS:[403063]
004012E3   6A 40            PUSH 40
004012E5   68 54304000      PUSH dumpOFex.00403054             ; ASCII "Serial Results"
004012EA   50               PUSH EAX
004012EB   6A 00            PUSH 0
004012ED   E8 8A000000      CALL [JMP.&user32.MessageBoxA]
004012F2   EB 00            JMP SHORT dumpOFex.004012F4
004012F4   B8 01000000      MOV EAX,1
004012F9   C9               LEAVE
004012FA   C2 1000          RETN 10

Тут всё понятно. Заходим внутрь процедуры из внешней DLL, по адресу 004012CB. Вот она:

10001287 > 55               PUSH EBP
10001288   8BEC             MOV EBP,ESP
1000128A   FF75 0C          PUSH DWORD PTR SS:[EBP+C]
1000128D   E8 85000000      CALL CM8.10001317
10001292   83F8 00          CMP EAX,0
10001295   74 71            JE SHORT CM8.10001308
10001297   83F8 64          CMP EAX,64
1000129A   7D 6C            JGE SHORT CM8.10001308
1000129C   50               PUSH EAX
1000129D   FF75 08          PUSH DWORD PTR SS:[EBP+8]
100012A0   E8 72000000      CALL CM8.10001317
100012A5   83F8 00          CMP EAX,0
100012A8   74 5E            JE SHORT CM8.10001308
100012AA   83F8 64          CMP EAX,64
100012AD   7D 59            JGE SHORT CM8.10001308
100012AF   8B75 0C          MOV ESI,DWORD PTR SS:[EBP+C]
100012B2   8D3D 24300010    LEA EDI,DWORD PTR DS:[10003024]
100012B8   59               POP ECX
100012B9   41               INC ECX
100012BA   BB 42000000      MOV EBX,42
100012BF   03D9             ADD EBX,ECX
100012C1   0FB606           MOVZX EAX,BYTE PTR DS:[ESI]
100012C4   46               INC ESI
100012C5   33C3             XOR EAX,EBX
100012C7   C1C0 05          ROL EAX,5
<.. Вырезано цензурой ..>
100012E7   B0 11            MOV AL,11
100012E9  ˆEB E6            JMP SHORT CM8.100012D1
100012EB   49               DEC ECX
100012EC   83F9 00          CMP ECX,0
100012EF   74 02            JE SHORT CM8.100012F3
100012F1  ˆEB C7            JMP SHORT CM8.100012BA
100012F3   C607 00          MOV BYTE PTR DS:[EDI],0
100012F6   68 24300010      PUSH CM8.10003024
100012FB   FF75 08          PUSH DWORD PTR SS:[EBP+8]
100012FE   E8 29000000      CALL CM8.1000132C                        ; JMP to kernel32.lstrcmpA
10001303   83F8 00          CMP EAX,0
10001306   74 09            JE SHORT CM8.10001311
10001308   B8 01000000      MOV EAX,1
1000130D   C9               LEAVE
1000130E   C2 0800          RETN 8

Просто трассируем код и попутно увидим правильный номерок. Привожу свою комбу:
Имя: ViNCE
Номер: 0?00403808
Забавный номер... :))

В этой длинной статейке я рассмотрел все 8 крякмисов от Fant0m'а и конечно же сделал некоторые выводы:
- КрякМисы подходят в самый раз для newbie крякеров.
- Я лентяй!

...Ведь мог бы написать про распаковку dll и кей ген в CrackME #8

<< Все статьи по взлому

Версия для печати

Комментарии читателей к статье "Исследование CrackMe'сов от Fant0m":

Нубас 09.08.2011 14:47	Пример 1 С чего ты взял (откуда узнал) что надо это делать до адреса 00401026. Как мне самому определить до чего именно трассировать?

garri671 18.08.2009 13:13	Хороша статья, не хватает ссылки на крякмисы от фантома, где можно их было скачать

deR_23 03.07.2008 01:00	супер !!! большущий тебе респект за статейку просто, и наглядно ;)

deR_23 03.07.2008 00:59	супер !!! большущий тебе респект за статейку просто, и наглядно ;)

Николай 17.11.2007 20:53	Респект.

stavrogin 14.10.2007 01:36	что такое АВТОХАКИНГ ,?

LESHIY 21.07.2007 00:09	Молодец, понятно для начинающих.. Саша aka coban2k давал свои разборы полётов с крякмисам=)) Начинающий крякер не разобрал бы=)) А ты ясно описал , сложного нет ничего.. Вообщем молодец! Плюс тебе!

Добавить свой комментарий: