Copy Link
Add to Bookmark
Report

5x08 LamerBuster v1.0

eZine's profile picture
Published in 
phearless
 · 10 months ago

               [ LamerBuster v.1.0 by ap0x & deroko ] 

pH#5 .............L.a.m.e.r.B.u.s.t.e.r.............. [ #Sadrzaj ]
0x01 ................................................ [ Intro ]
0x02 ................................................ [ ap0x`s story ]
0x03 ................................................ [ derokos`s story ]
0x04 ................................................ [ Over and Out ]

--[ 0x01 ]-----------------------------------------------------[ Intro ]

Dobro dosli u prvo ovogodisnje izdanje LamerBustera. Ovo je prvi tek u nizu
(nadamo se da ga nece biti) tekstova koji ce se baviti otkrivanjem lamera na
nasoj vx/hack/re sceni. Ovaj broj (a mozda ce biti i sledeci) je posvecen jednom
od najvecih srpski crackera danasnjice. Da dobro ste pogodili gigi.... Molim
kazete da niste culi za njega? Cudno, ali ostanite uz nas i upoznacete ga vise
nego dovoljno da mu i vi zalepite etiketu lamer.
Dobro i mi znamo da nije lepo etiketirati ljude ali to je ovaj nas giga i
zasluzio. Zbog ovoga smo i osnovali komisiju LamerBuster koja ce se baviti
proveravanjem hipoteza kao sto su: Da li je moguce od gige napraviti postenog i
vrednog coveka, koliko je ping-pong loptica potrebno da giga ispliva iz bunara
srama u koji je sam skocio, i konacno i najvaznije pitanje, da li iko uopste
razume ono sto giga ima da kaze? Ali krenimo od pocetka, krenimo od nase
komisije za LameBustovanje. Nju cine vama poznati reverser ap0x i drug mu po
oruziju vx-er i reverser deroko. Nas strucni tim koji svi citaoci pH eZina veoma
dobro poznaju ce pokazati i neosporno dokazati da je etiketiranje u nekim
slucajevima i vise pozeljno...

--[ 0x02 ]----------------------------------------------------[ ap0x`s story ]

Ali upoznajmo gigu od pocetka, od njegovih prvih koraka... Dakle prvo sto je
uradio kad se registrovao na jezgrima bilo je otvaranje nove teme u kojoj
opisuje svoje fantasticne sposobnosti... Citirajmo genija licno:

Lamer licno: "Pozdrav svima ovo ovako posto sam nov na forumu mislim da bi bio
red i da se predstavim moje ime je nikola ali svi me mozete zvati Giga inace ja
se bavim crackingom (profesionalno) tako da ukoliko imate neki reques slobodno
mi se obratite bice mi drago da je u mojoj pomognem ukoliko moci evo ovako sto
se tice crackinga tu znam sve znaci ovako:

manual unpacking oko 95% zastita
Fishing
patching
keygening
izrada brute forcera
I sve ostalo sto nisam nabrojao.
Znaci ukoliko imate nekih pitanja slobodno mi se obratite i bice mi drago da vam
pomognem. eto toliko od mene p.s nadam se da mi moderatori nece zameriti sto sam
otvarao novu temu zbog evog sranja ali stvarno mislim da je red da se predstavim
Pozdrav."

Fino fino, lici li ti ovo deroko na sadrzaj necije knjige? Bogami ap0x, veoma
lici :) Ali ne lezi vraze kako vec sutra dan giga postaje moderator na forumu
(DarkMan izvini ali istorija ne moze da se menja, nije tvoja greska). Pobogu
zasto i ne, pa on poseduje sve ove fantasticne osobine kojima se toliko dici. I
tu bi tisina, ali ne onakva tisina kakva je pomalo dosadna. Ne ta, tisina koja
nasta napravi grozan zvuk grebanja noktima po tabli. Da dobro ste procitali to
je giga iskoristio svoj novo steceni polozaj da siri svoju mudrost. I gle cuda
bi svetlo, giga je upravo zavrsio Armadillo unpacking tutorijal i radosno ga je
postavio na jezgra. E tu pocinju njegove muke, tu je uhvacen u lazi i vreme je
da se reaguje... Ili on ili mi (bolje on). Nego da probamo mi (deroko i ja) da
uradimo ono sto je veliki diktator giga napisao u svom carobnom tutorijalu o
Armadillu.

Tutorijal je moguce preuzeti sa:
http://rapidshare.de/files/11383523/Manual_unpacking_Armadilio_v2.52.rar.html

Da vidimo, da vidimo... Hmm pominje da je Armadillo jebac keve medju zastitama
ali da ga je veoma lako otpakovati. Lako, poslednji put kad smo pokusavali
trebalo nam je oko sat vremena da uklonimo i copymem i debug blocker i
nanomities i naravno code splicing... Kako to sve giga moze i to na jedva
jednoj-dve A4 strane. Bili smo u cudu.... Da vidimo pocetak teksta:

Lamer licno: "Dobro pre nego sto pocnemo odmah da napomenem da sam namerno kada
sam pakovao ovaj crackme stavio na level 1 da bi isli postepeno A u nekom od
sledecih tutoriala cu vam objasniti kako da otpakujete Armadillo Professional
V4.40.0250 Options - Retail Cracked Koja je po meni najteza od svih verzija a I
po meni je to jedan od natezih protectora za otpakivanje ali normanlno
podrazumeva se ako je u pitanju: (CopyMem-2+Debug-Blocker)"

Aha, vidimo da i giga zna da postoje neki copymem i neki ... Obogaljena verzija
Armadilla? Level1? Da li to znaci da nema ni copymem, ni debug blocker, ni
namonite? Da dragi moji citaoci znaci.... Nema veze, da vidimo, pazljivo citamo
tutorijal... Skenirajte crackme.exe sa PeIDom i videcete da je zapakovan sa
Armadillom. Uradismo to i gle cuda i jeste zapakovan sa Armadillom. Mozda je
giga ipak u pravu, mozda smo mi glupi... Ali pratimo dalje tutorijal da vidimo
sta je to giga naumio. Iz nekog razloga pokazuje da meta ima dosta sekcija ali
to naravno nikome nista i ne znaci. Ok, OEP mete pokazuje sledece stvari:

0040D7D8 >/$ 55 PUSH EBP
0040D7D9 |. 8BEC MOV EBP,ESP
0040D7DB |. 6A FF PUSH -1
0040D7DD |. 68 E0214100 PUSH crackme.004121E0
0040D7E2 |. 68 D4D34000 PUSH crackme.0040D3D4
0040D7E7 |. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0]

Ali ovo je samo standardan VC++ OEP koji je ustvari Armadillov kod... Sad bar
znamo sta su to autori ovog programa koristili da napisu zastitu...

Giga dalje kaze:

Lamer licno: "Normalno ovo nije pravi oep vec jebeni crackme protectovan sa
armadiliom Sada lepo pritisnemo F8 dva puta I videcemo ovo:"

Kada kaze ovo, misli da cemo doci do instrukcije MOV EBP,ESP i da cemo i nju
izvrsiti. Onda giga kaze:

Lamer licno: "e sada na ovo crveno EBP idemo desni klik pa na fallov in dump <-
pa cemo dole videti ovo:"

Misleci da uradimo Follow in dump kako bi smo videli da stack sadrzaj. Dobro
gigo ali zasto bi smo to uopste radili... Pa nesreco da li si ti video da je EBP
posle MOV EBP,ESP instrukcije jednak ESPu. Sta vise ESP se menja jedino posle
PUSH EBP instrukcije tako da je dovoljno uraditi samo jednom F8 i onda follow in
dump... pa postavljanje hardware break-pointa. Dobro nije velika greska, ovo
dokazuje samo da je ovo negde procitao i da nema pojma sta se uopste desava i
zasto bi se postavljao hardware break-point na stack. Ali pogledajmo sta giga
dalje kaze:

Lamer licno: "I na kraju cemo pritisnuti F9"

Dobro uradismo i to i gle cuda drX registri [samo dr1] koji smo, odnosno koje
je giga postavio nisu ocisceni! Dobro ovo je ipak level1 Armadilla nema ni
detekcije hardwareskig break-pointa! Dobro, ovo moze da se iskoristi ali OllyDBG
nigde nije zastao! Nigde tokom celog izvrsavanja Armadillo koda! Pa zasto su
onda i postavljeni? Da bi tutorijal bio na dve umesto na jednoj strani? Ne
recicemo vam zasto... Zato sto nas giga pored toga sto ne zna kako se koristi
stack trick ne zna ni sta su to drX registri, a bogami ne zna ni zasto je uradio
besmislenu operaciju. Tako da se iz ove suste gluposti na pocetku tutorijala da
zakljuciti da giga nema pojma o tome sto pise. Ali polako za sada je i bez
obzira na to sto njegovo uputstvo nema smisla uspeo da ga pratimo. Dalje giga
kaze da ce se pojaviti messagebox koji ce nam saopstiti da se radi o trial
verziji protektora. I tako i bi... Dalje giga kaze:

Lamer licno: "Dobro sada cemo u olly-u pritisnuti ALT-M I zatim vidimo ovo: ovo
sto sam ja selektovao postarajte se da tako bude I kod vas pa zatim desni klik
pa na set Memory Breakpiont on Access. I onda kliknite na ok na to sranje od
msbox-a sto vam je crackme izbacio"

Ovo je krajnje logican potez. Protektor mora da kad tad da izvrsi kod u glavnoj
.code sekciji... Ali posto je prvi korak u ovom tutorijalu bio bespotreban ovo
smo mogli da uradimo odmah na pocetku i dosli bi na istu stvar. Po kliku na OK
dolazimo na OEP mete... Ko bi rekao, bice od naseg gige nesto :)

Dalje giga kaze:

Lamer licno: "znaci oep nam se nalazi na adresi: 00401250 dobro sada otvorimo
lord PE I idemo na Dump Full I kada smo I to uradili pomocu import
Reconstructora popravimo importe I to je to I da napomenem d ace ostati 2
invalidna importa ali nemojte se obazirati na njih posto ta dva importa nemaju
nikakvu ulogu posto se nalaze na laznoj sekciji Koja je nastala prilikom
pakovanja aplikacije sa armadiliom ? Eto to bi bilo to A ako sad niste nista
skontali onda bolje da skocite u bunar ? Salim se naravno :) "

Dobro giga kaze da skocimo u bunar ako nam ovo ne uspe. Ali za to cemo jos
videti... LordPE u ruke i full dump... Ode memorija na disk bez problema. A da
to je zato sto je ovo level1 pa nema ni dva procesa niti bilo kakve zastite
fajla. Ali pratimo tutorijal dalje, pouceni njegovim prethodnim tutorijalima o
WW32Packu i nSPacku sledemo uputstvo dato u njima:

Lamer licno: "I onda takodje otvoriti metu pomocu Import-rec-a I uneti 004012C0
kao OEP"

Posto je ovde OEP 00401250 ovu vrednost unosimo u ImpRec kad ono... ImpRec
zavrisita i odlucno rece:

"Invalid OEP! It does not match in the processes memory"

Molim pa zar to ne treba da uradimo? Ne dragi moji citaoci u OEP polje ImpReca
se unosi RVA, odnosno relativna virtualna lokacija OEPa a ne VA - virtualna
adresa OEPa. Dobro a koja je onda RVA adresa OEPa. Pa logicno RVA je VA -
ImageBase, odnosno u ovom slucaju to bi bilo 00401250 - 00400000 to jest
00001250. Unesimo ovaj broj u ImpRec i on zadovoljno zapista: "Found
something!". Da smo gigu slusali ni do ovde ne bi dosli. Ali takav je zivot...
Giga dalje rece da cemo posle klika na GetImports imati dva invalidna importa,
odnosno:

Lamer licno: "I da napomenem d ace ostati 2 invalidna importa ali nemojte se
obazirati na njih posto ta dva importa nemaju nikakvu ulogu posto se nalaze na
laznoj sekciji"

Prvo NE POSTOJE lazne sekcije! Ali giga je sigurno mislio na Armadillo kod koji
bi u nekom vecem levelu sluzio za zastitu a ovako ne sluzi ni za kurac. Ali
pogledajmo bolje sta se nalazi na lokacijama koje je giga proglasio kao junk. Na
adresi 009D5F74 importa broj jedan koji se nalazi u kernel32.dll fajlu se nalazi
ovo:

009D5F74 E8 CD9F0000 CALL 009DFF46
009D5F79 FF7424 04 PUSH DWORD PTR SS:[ESP+4]
009D5F7D FF15 E8809E00 CALL NEAR DWORD PTR DS:[9E80E8] ; kernel32.ExitProcess
009D5F83 C2 0400 RET 4

Ocigledan poziv ka ExitProcess APIju! Jebote pa izgleda da nas giga ne zna da
Armadillo cak i na level1 "pozajmljuje" APIje iz kernela. Dobro, a sta se krije
iza vrata broj dva, odnosno sta se nalazi na adresi 009D6D5B. Nista specijalno
samo ovo:

009D6D5B FF7424 10 PUSH DWORD PTR SS:[ESP+10]
009D6D5F FF7424 10 PUSH DWORD PTR SS:[ESP+10]
009D6D63 FF7424 10 PUSH DWORD PTR SS:[ESP+10]
009D6D67 FF7424 10 PUSH DWORD PTR SS:[ESP+10]
009D6D6B FF15 A8829E00 CALL NEAR DWORD PTR DS:[9E82A8] ; USER32.MessageBoxA
009D6D71 C2 1000 RET 10

Jos jedan neophodan poziv ka MessageBoxA APIju koji se nalazi u user32.dll
fajlu! Da li je moguce da ce otpakovani program raditi bez ova dva importa.
Pogledajmo, giga kaze da kliknemo na fix dump i to nam je to, ako nismo
skontali, bunar a ako jesmo onda smo carevi... Klik na fix dump,... tenzija
raste... ImpRec nas obavestava da dump nije u potpunosti popravljen i da je
potrebno rucno popraviti neke importe... startujemo dumped_.exe "popravljen"
fajl... i .... BUM! Fajl se rusi... Pa kako? Zasto? Uradili smo sve sto je giga
presvetli cracker rekao i sta... nista, Armadillo nas je pobedio ili mi nismo
uradili sve kako treba.

Pa nismo... Gigo care ovaj .exe fajl mora imati i MessageBoxA i ExitProcess jer
bez njih ne moze da: 1) Prikaze onaj lep NAG na pocetku crackmea i pod 2) Da
uopste izadje iz aplikacije...

Kada smo zamolili gigu da nam kaze zasto nismo uspeli da otpakujemo Armadillo i
da li to znaci da treba da skacemo u bunar gigica je rekao da nema pojma zasto
ovo kod nas nece da radi kad kod njega radi savrseno. Sta vise da bi nam to
"dokazao" poslao nam je fajl dumped_.exe koji radi!!! Jebote stvarno radi...
Znaci bunar...

Ali pre bunara pogledajmo da li je giga nesto radio sa ona dva importa.
Otvaramo dumped_.exe fajl u LordPE editoru i imamo sta i da vidimo. Giga je
popravio ona dva netacna importa... Kao prvi je stavio GetModuleHandleA tako da
sad u fajlu postoje dva ovakva APIja (ni jedan kompajler na svetu nece ovo
uraditi) i MessageBoxA... Sta? Giga nas je presao. Rekli smo mu na googletalku
da je pogresio pa je ubacio APIje iako je rekao da nisu potrebni :) Objasnicemo
vam sta se desilo.

Giga naime veruje da je svaki fajl otpakovan ako posle dumpa i popravke importa
skenirate fajl PeIDom (ili paidom kako giga kaze) i on kaze da se radi o nekom
kompajleru. Nema veze ako taj fajl nece da se startuje, PeID kaze da je
otpakovano pa onda mora i da jeste... Ma nije giga glup setio se on da popravi i
ova dva importa (doduse pogresno) kada smo mu rekli da je glup i da njegov
dumped_.exe nece da poleti :) Uvredio se... Nego recicemo vam sta je sve pokusao
da bi povratio "ugled"... Prvo je pokusao da uradi Trace Level1 u ImpRecu ali se
ovaj zaglupio... Onda je mislio da bez toga sigurno moze :) Ali ne lezi vraze
giga je shvatio da smo u pravu tako da je odlucio da uradi filmic u kojem ce
pomocu level1 traceinga vrati dva ukradana importa. Setio se, pustion ImpRec
malo da radi svoj posao, ali naravno bez njih nikako i ne moze, zar ne :) I to
vam je to...

Lamer licno: "a ap0x mi je rekao preko google talka
nesto ovog tipa:

pa ajde lepo okaci taj tutor da vidimo i operi ljagu sa svoga imena :) i ja sam
evo lepo okacio :) i jos nesto da kazem to nije ljaga ljaga je kada je ta osoba
sto te optuzuje 100% upravu i ako je sigurna u to sto govori i ima dokaza za to
ali ocigledno je da neko ovde nema postovanja a zna se i ko je to :)"

Dokazi su pali, dokazali smo ne samo da nisi u pravu nego da si pored svega
toga i glup. Ali priznacemo ti u pravu si gigo, zna se ko je ko... Svi znaju ko
smo deroko i ja. Ostaje samo pitanje ko si ti?

################################################################################
# #
# Procena koju daje ap0x: Giga je 100% LAMER! #
# (pise se veliko kad je neko toliko veliki lamer) #
# #
################################################################################

--[ 0x03 ]----------------------------------------------------[ deroko`s story ]

Iskren da budem, mislio sam da je ovo nemoguce i da niko nece pasti ovako
nisko, ali sam se prevario. Kako kaze prica?

Jednog dana sam sedeo smisljajuci kako da razbijem ExeCryptor pokusavajuci da
mu nadjem slabe tacke tako sto bi se attachova na njega kroz softice, pa ne bas
attachovao bolje reci menjao context procesa da bi naso slabe tacke u samom kodu
koji pravi execryptor. Moram priznati zadatak nije bio nimalo lak, posle duzeg
istrazivanja doso sam do zakljucka da se moze slomiti na oep execryptora uz malo
srece sa mojim kodom. Taj kod kao i manulano otpakivanje ExeCryptora su
objavljeni uz najnoviji tutorial koji sam napisao i objavio na ARTeam
homepage-u, grupa koja se bavi reversanjem protektora i o tome pise tutoriale,
ciji sam ujedno i ja clan. Tutorial mozete naci na
http://tutorials.accessroot.com ako vas zanima kako sam ja ubio execryptor i
napisao loader za isti. No, da napomenem da su dotle bila dostupna 2 tutoriala
za ExeCryptor, jedan od PakMan/SND i drugi od pnluck-a.

No da ne duzim posle duzeg rada sam objavio sve svoje source kodove, koje sam
koristio za razbijanje execryptor-a. Ukljucujuci oepfinder i importrec plugin za
execryptor koji se mogu naci uz gore pomenuti tutorial.

Tutorial se bavi razbijanjem execryptor na Golden FTP pro v2.70, a takodje sam
nabrzaka objasnio kako otpakovati execryptor crackme na ap0x-ovom forumu
koristeci moj oepfinder i plugin.

No da prica bude tuznija i tragicnija pojavili su se ripperi koji su procitali
moj tutorial i objavili crack za isti program neposredno po objavljivanju
tutoriala i preuzeli zasluge za to. Nema veze, to me ne pogadja, jer jednostavno
ja sam pisao tutorial o razbijanju execryptora, potrebno je bilo samo pratiti
tutorial i dobijete otpakovanu i crackovanu aplikaciju, ali crack nisam dao uz
sam tutorial jer ARTeam ne radi nista ileglano vec samo opisuje nacin za
razbijanje postojecih protektora sto nije zabranjeno uopste, vec radije siri
znanje objavljujuci svoje sourceve kako bi drugi ljudi mogli da nauce da
kodiraju ili eventualno da nadograde nase ideja sa mozda jos boljim idejama.

No da se vratimo na pricu o nasim lamerima. Danas kod nas ima klinaca koji su
kupivsi ap0x-ovu knjigu The Art Of Reversing pomislisi da su ispili svo znanje
sveta, znanje koje je ap0x skupljao duze vreme i odlucio da ga objavi u jednoj
knjizi i na taj nacin pomogne znatizeljnima kako da se upute u svet reversinga.
Jedan od tih lamera je giga iliti Shorty, decko koji je prilikom registracije na
ap0xovom forumu selektovao opciju da je "mladji od 13 godina i da mu treba
odobrenje roditelja da ucestvuje u radu foruma", zbog toga mu je nick "giga" i
bio zauzet pa je morao da stavi "Shorty". heh, smesno, no da prica bude tuznija
posle objavljivanja mog tutoriala i oepfindera ovo sam dobio na gtalk:

giga:
"Odlican ti je novi oepfinder, execryptor 5 sec posla"
deroko:
"ne lupaj, kad nikad nisi rucno otpakovao execryptor"

Normalno on jos nije razumeo poentu mog komentara. Sacu da mu je pojasnim, jer
ocigledno da nista nije razumeo, a niti ce ikad, mozda kad poraste:

1. execryptor crackmem moze da se otpakuje za 5 sekundi
2. execryptor protektovana komercijalna aplikacija pravi toliko pristupa nasoj
zeljenoj sekciji da bez dumpa i koriscenja IDA i poznavanja kompajlera tesko,
ako gotovo nikako oepfinder ne moze biti iskoriscen za otpakovanje i sredjivanje
execryptora.
3. pa cak i da dumpujemo na pravom mestu, ostaje pitanje vracanja ukradenih
bajtova koje je execryptor morfirao i prikacio uz svoj kod, za sad po mom
saznanju taj broj ukradenih bajova je morfiran i integrisan unutar samog
execryptor-a i moze se kretati od 1 do N bajtova originalnog koda morfiranog
kroz sam execryptor tako da problem predstavlja ponovo nalazenje tih bajtova.
Drugim recima, za to treba barem dobrih 1h do 2h analiziranja koda, a da ne
pominjem da moramo znati koji je kompajler koriscen.

Ok, to je ono sto je decko trebalo da zna pre nego sto je poceo da hvali,
iskren da budem ja nisam ocekivao da me iko hvali, jer svoje kodove dajem kako
bi neko nesto naucio, a ne da bi koristio binary da se kurci... ocigledno da
neki jos nisu razumeli koja je svrha sharovanja sourceva, ili pak ne znaju nista
vise od push eax, cmp eax, ebx pa ne mogu ni da razumeju sta kod radi... oki,
smeh...

Sad dolazimo do vrhunca gluposti koja se moze naci na forumu: reversing.co.sr
Pod topikom : ExeCryptor Shit se moze naci ovaj lep komentar naseg dragog gige,
aka Shorty aka klinac mladji od 13 godina itd...

Giga:
----------------------------------------
zamislite sta mi se desilo danas :) ja iskopam na cd-u jedan program pakovan sa
exe cryptorom v2.16 cini mi se da je bila i lepo sednem krekujem aplikaciju i
odnosno otpakujem popravim importe i sva ostala sranja :) i napisem jedan lep
mali tutorial :) i mislim se sta cu sad sa njime :) i onda se setim Idea znam :)
i posaljem firmi u office :) execryptor :) taj tutorial naravno :) i verovali
ili ne nije proslo ni pet minuta kad evo stize mi mail necu vam sve reci sta su
napisali ali evo neki od delova texta koji inace zauzima kao jedna dobra knjiga
:)

***moj komentar***
e ovo je gore od ripovanja i koriscenja tudjeg koda, ovo je toliko lame tvrditi
da ste nesto uradili a niste i pritom koristite tudji tutorial i tudje kodove
kako biste to isto poslali ni manje ni vise ExeCryptor developerima, stvarno
lame i smesno, jos tvrditi kako ste vi to uradili.
***moj komentar***

I don't understand why unpacking of execryptor is a hard task for many crackers
:) compression layer in execryptor is optionally. more hard and still open
problem is a reversing transformed code inside program.

Ma kome bre to oni foliraju :)
mada su nekim delom i upravu :)
ali pazite sad ono najbitnije:
i meni pomalo kako da se izrazim?
cudno zacaravajuce :)

***moj komentar***
ne foliraju te debilcino, nego ti lepo kazu da moras da najdes morphirani oep
koji moras analizirati od mete do mete a ne upotrebom mog oepfindera kad ti se
cefne
***moj komentar***

yes, page_guard is a good idea for stealth trace. many time ago, execryptor 1.x
use similar idea for self-trace and suppress unpacking. also you need understand
that this method of tracing is very easy suppressed. now we have private build
which fail -//-

***moj komentar***
eto dokaz da ni protection developeri ne prate tutoriale bas kao ni av kompanije
nova oktrica u vx svetu. Ali eto debil je morao da koristi moj kod kako bi se
hvalio, ehhh, nema veze private verzija oepfindera je gotova i ne koristi vise
page_guard uopste, zahvaljuci tebi nece je dobiti niko osim ARTeam-a, tako da
gricakj muda sa novim execryptorom...
***moj komentar***

Namerno nisam ubacio ceo kod inace bi se neki razocarali u zivot Smile
salim se naravno ali jedno je sigurno a to je:
Ma umrli bi od smeha Mr. Green
likovi mi ladno rekli da ova private verzija nemoze da se otpakuje ni od strane
bilo kakvog krekera u svetu :))))))))))))))
zamislite koji likovi:

***moj komentar***
pa da ako ubacis kod koji ni ne razumes ljudi bi se razocarali sto im lameri
pisu...
***moj komentar***

ama ima tu jos nesto :) sto vam ovaj put necu izjasniti
ali jedno je sigurno :
pa ako je taj packer nemoguce otpakovati i nemoze ni jedan kreker
zasto ce onda meni poslati protektovanu aplikaciju da se ja okusavam na njihovom
proizvodu koji ce njima doneti veliku lovu :) pa covece mi krekeri se trudimo da
razjebemo sve zastite a ne da pomazemo majmunima kao sto su oni da nameste
savrsenu zastitu :) a i jake ce koristi imati od mene :)
od mene mogu samo stete da imaju :)

***moj komentar***
ocigledno zato sto su mislis da ih kontaktira neko ozbiljan ko je bio sposoban
da iskodira takav kod? nisi mislio na to? A ovo za crackereri razbiaju zastite,
da crackeri ali ne i lameri, malo si pobrkao pojmove.
***moj komentar***

i na kraju:

Sincerely,
Andre N Belokon
IT Manager
SoftComplete Development

http://www.softcomplete.com
mailto:office@softcomplete.com
Mr. Green

A verovali ili ne ovo kada sam video umreo sam od smeha :)
valjao sam se po podu jedno pola sata :)

Dear shorty
Mr. Green

***moj komentar***
bas bih voleo da vidim kako si ga sjebo bez oepfindera, ja znam kako, zato sam i
napisao oepfinder... ali je cudno kako odjednom svi znaju sve o execryptoru kad
imaju oepfinder? Zar ne? super bas me zanima kako ces da otpakujes tu private
verziju, ali da ne koristis ni moj importrec plugin.
***moj komentar***

Aj dosta je bilo zabolese me vise prsti :)

A da ne pominjemo da je decko uvek bio "pijan" kad god bi me na gtalk pitao
kako se reversa neki glupi crackme od 20 linija asm koda... Normalno sad je
prestao da me smara kad je video da znam koliko zna i da kod mene ne prolaze te
fore "pijan sam", Hriste Boze raspeti i sveti, srpska zemlja kroz oblake leti,
pa ja kad sam pijan ja idem da spavam, heh, cenim upornost, ali cisto reda radi,
ja kad sam jedno vece bio pijan sam i resavao armadillo copy-memII sa
patchovanjem, jes da me glava sutra ubijala ali eto sta sam ja radio pijan, a ne
resavao crackme od 20 asm linija koda... Necu da kazem da je to neka mudrost
zaobici copy-memII samo treba naci 3 mesta dje da ubacite patch u debug loopu.

Jednom recju...(ili dve) Fuck Off...

Ehhh da, moj crackme pemem je proglasio za Nightmare iako sam ja ocigledno
stavio da je level 2, mozda i 1, mnogo lak crackme, ali eto neki ga jos nisu
resili, neki jesu na www.crackmes.de ali ni ti koji su ga resili nisu jos
provalili sta crackme radi, premda je ime crackmija vise nego dovoljno da se
razume =)

Citiram:
-------------------------------------
E pa ljudi sta da vam kazem nove zastite izlaze svaki dan a takodje se i
pojavljuju novi crackeri svakodnevno. koji nemaju veze sa zivotom nego se tu
kurce kako su crackeri tako sto skinu 2-3 newbie crackmea i to rese i onda su
kao crackeri

***moj komentar***
heh ni ti ga jos nisi resio master crackeru, level 2, proglasavas za nightmare,
fuck...
***moj komentar***

e pa dosta je bilo tih gluposti evo sada vam predstavljam jedan
domaci proizvod
By Deroko from serbia koji je jedan od najboljih crackera
na nasim prostorima a i sire :D

***moj komentar***
hvala hvala, bas sam polaskan...i from Magna Serbia, Serbia etherna
***moj komentar***

inace on kaze da je crackme level 2 ali ja kazem da je nightmare a verujem da se i
ostali slazu :D
i da mozda samo 2 ili 3 coveka na ovom forumu mogu da ga rese
a jedan od tih ljudi je ( Ap0x ) Autor kjige art of reversing
ma sta vise da kazem uostalom sami probajte :D

***moj komentar***
eto sad priznaje da smo ap0x i ja u odnosu na njega bog i batina, samo ne znam
sto nas toliko uzdize?
***moj komentar***

da napomenem ovo nije obicna igracka tako da nema zajebancije :D
Ko za ovo uspe da nadje serial svaka mu cast :D
Pozdrav i sretno :D

***moj komentar***
jeste to je igracka, to je crackme, moronko, to sto ne mozes da resis level 2
crackme samo pokazuje tvoje znanje.
***moj komentar***

Ovde posebno obratite paznju na nacin na koji se obraca ostalim clanovima foruma.

Da bi nam giga razbio zablude i dokazao da je rucno otpakovao execryptor, kad je
sateran u cosak radi sledece:

Uzima obican crackme i stiti ga trial verzijom ExeCryptora koja:
1. ne ubacuje VM
2. ne morfira kod
3. ne obsfukira importe
4. ne krade bajtove

Drugim recima svodi se na istovetno otpakovanje UPX-a ako ne i lakse buduci da
posle TLS callback-a ceo kod je otpakovan i importi popravljeni, to nas gigica
naziva MUPing ExeCryptor, nego mene pre svega zanima da vidim otpakovanje
Aplikacije pakovane ExeCryptorom, recimo ExeCrypt.exe ili ExeCryptor.exe, kad to
lepo otpakuje svojim olly-ijem nek se javi, dotle nek se ne pravi pametan.

No prica ne bi bila smesna kad nas gigica ne bi reko sledece stvari za SoftICE,
citiram sa njegovog foruma:

[CITAT]
ja bih ti rado pomogao ali nekoristim softice jer imam xp
tako da radim samo u olly Sad
a i mrzim dos okruzenja pa je i to jedan od razloga zasto ga nekoristim
tako da sam sto se tice softice-a glup
ali ako imas nesto sto je povezano sa olly-em e tu ti rado mogu pomoci
bilo sta da je upitaju samo pitaj slobodno
[/CITAT]

SoftICE je DOS okruzenje!?!?!?!?!?!!?!?!?!?!?!?!?
I ja imam XP pa koristim SoftICE :D:D:D
A mozda mu se ne svidja softICE jer nema olly skripti za njega, hmmm, toooo bad...

[CITAT]
ma nekazem da nije tako
softice je cak i bolji od olly-a ali jbg ja sam navikao na ollydbg i softice mi je
sranje a najvise ga mrzim zato sto je jebeno dos okruzenje
[/CITAT]

Pa jer bolji ili je sranje? ili je sranje zato sto je DOS okruzenje? Moz misliti
DOS okruzenje...


a neki Buraz obraca se Vranetu:
[CITAT]
@ Vrane
Da vidis niko ne koristi softice i upravo sto je reko giga ro sam rekoi ja
[/CITAT]

Niko ne koristi SoftICE? Svasta, device driver developeri koriste ili MS kernel
debugger ili SoftICE ili Visual SoftICE da debuguju drajvere, da nije tih alata
ti ne bi mogao ni da pokrenes svoju najomiljeniju igricu... A da ne pricam
koliko je SoftICE popularan medju reverserima zbog obilja opcija koje u olly-iju
mozes samo da sanjas...

Normalno lupanje o otpakovanju themide je tek vrhunac, kada gospoda giga i
Buraz pocinju da tvrde kako su otpakovali themida sa ring0 zastitom pomocu
Olly-ja. Da pojasnim ukratko, themida hookuje int1 i int3 sa 0xFFFFFFFF, drugim
recima svaki pokusaj da se u bilo kom delu koda okine int1 ili int3 vode ka
BSOD, to takodje znaci dok radi themida sa ring0 zastitom nemozete pokrenuti
ASProtect, ExeCryptor, enigma, ACProtect i slicne zastite koje okidaju int3h i
int3h tokom svog izvrsavanja buduci da cete dobiti BSOD. Kako svaki debugger
koristi int1h i int3h, tim pre je prosto nemoguce sstepovati kod u themida posto
se ucita drajver. Bez SoftICE i svojih drajvera koji bi prazljivo uklanjali
ring0 zastitu zadatak je prakticno nemoguc... giga i Buraz nemaju programersko
znanje da napisu obican: "Hello World" driver, a niti znaju kako se koristi
SoftICE sto sami tvrde, te se njihova avantura oko themida sa ring0 zastitom
zavrsava na DeviceIoControl i zakucavanjem Ollyija na sysenter u
UserSharedData...

Doduse nova themida ima drajver ali ne toliko ofanzivan i cela protekcija se
sada zasniva na VM kodu koji je ahmmm pain in the you know here da se
dekriptuje, ljudi koji su to ucinili to cuvaju u tajnosti, ali 2 lamera koja ne
znaju ni hello world da napisu to sigurno nisu uspela...

E ovo je tek kralj:

wyru5:
[CITAT]
ma ne ja koristim hiew premium ver. koju sam kupio od jednog crackera..zao mi je
sto je ne mogu s vama podjeliti jer sam skupo platio..buraz stima ono za themidu
..kupujem..pare cu ti poslati na zr.od stare.
[/CITAT]

a onda se giga nadovezuje:
[CITAT]
ma nije to hiew samo ima taj naziv ali je nesto sasvim drugo
[/CITAT]

Doduse giga je obrisao post u kom tvrdi da je u pitanju neki hiew debugger koji
ima 10 ljudi. nekako mi je paradoksalno da mu je softice sranje jer je DOS
okruzenje!?!?!?, a hiew koji se u poptunosti zasniva na konzoli je super. Doduse
glupost za hiew debugger je neizmerna, moz misliti, hiew debugger, rofl... da
tako nesto postoji bilo bi na oficijelnoj stranici samog autora HIEWa, a ne bi
se neki izlapeli lamer kurcio glupostima i sa ljudima koji jos manje znaju od
njega...

Nemam vise sta da kazem, lamer ostaje lamer, iskreno sam mislio da ovoga nema
kod nas, ali izgleda da sam se prevario, enjoy, i nemojte biti glupi kao ovi
klinci, ako se bavite reversingom radite to iz zadovoljstva, a ne da bi pecali
druge pocetnike i njima prosipali svoje znanje.

Normalno mali giga ni sad nece razumeti sta sam sve napisao...

Ah da vrhunac koji sam skoro saznao je ovo:
by giga to unknown:

"Ja sam clan blackhatz tima! Znas to su oni likovi na koje se deroko ugleda"

Ehhh moj gigo, ja sam kao clan blackhatz tima bio od osnivanja i napustio to
jer sam imao obaveze na fakultetu. Da li blackhatz jos postoji ne znam, jer sam
sad u jednoj lepoj grupi koja se bavi samo tutorialima zvanoj ARTeam, a ti samo
sanjaj da postanes neko i nesto preko kompa, to se postaje u stvarnom zivotu, a
ne proseravanjem na tvom forumu i gtalku.

Over and out...


################################################################################
# #
# Procena koju daje deroko: Giga je 100% LAMER! #
# (zao mi je sto je nasa skala ogranicena na samo 100%) #
# #
################################################################################


--[ 0x04 ]----------------------------------------------------[ Over and Out ]

Da je nas giga izuzetno los uticaj pokazuje i post jednog clana foruma jezgra.org:

"Kao sto rekoh, jos san nov u svitu crackinga i polako ali sigurno ucim i idem
naprijed; onoliko koliko mi vrijeme dopusta i tako to...Ali sa sigurnoscu mogu
reci da si ti Giga jedan od najjacih po pitanju crackinga na ovom forumu koliko
vidim (i koliko se kuzim u cracking)...Tako da samo nastavi tako dobar rad,
rezultat ne gine. Ja uvik skinem tvoje tutoriale, i s neta skidam knjige i
primjere i polako radim. Ono sto zelim reci je: SAMO NASTAVI S CRACKINGOM. IMA
NAS DOSTA KOJIMA TREBA TAKVA OSOBA, nesto kao MENTOR...Hehe. Pozdrav"

Strasno! Giga je nekog uspeo i da zavara sa svojim "znanjem". Mi vas za razliku
od doticnog necemo lagati, necemo vam zatvarati teme kada vas prozovemo i
popljujemo, necemo falsifikovati dokaze, necemo otpakivati protektore sa
iskljucenim zastitama, necemo pisati tutorijale koji su skroz pogresni... I sto
je najvaznije necemo biti bezobrazni kao sto je doticni bio kada smo ga (prvo)
lepo pitali da nam objasni greske u svojim tutorijalima, kad smo ga pitali da na
pokaze kako je ON licno otpakovao ExeCryptor... Ne mi to necemo raditi, to cine
neki drugi... Mi smo sa nasim gigom zavrsili, a vi sada kada znate istinu vidite
sta vam je ciniti :)

--[ EOF ]-----------------------------------------------------[ by ap0x&deroko ]

← previous
next →
loading
sending ...
New to Neperos ? Sign Up for free
download Neperos App from Google Play
install Neperos as PWA

Let's discover also

Recent Articles

Recent Comments

Neperos cookies
This website uses cookies to store your preferences and improve the service. Cookies authorization will allow me and / or my partners to process personal data such as browsing behaviour.

By pressing OK you agree to the Terms of Service and acknowledge the Privacy Policy

By pressing REJECT you will be able to continue to use Neperos (like read articles or write comments) but some important cookies will not be set. This may affect certain features and functions of the platform.
OK
REJECT