[ LamerBuster v.1.0 by ap0x & deroko ] pH#5 .............L.a.m.e.r.B.u.s.t.e.r.............. [ #Sadrzaj ] 0x01 ................................................ [ Intro ] 0x02 ................................................ [ ap0x`s story ] 0x03 ................................................ [ derokos`s story ] 0x04 ................................................ [ Over and Out ] --[ 0x01 ]-----------------------------------------------------[ Intro ] Dobro dosli u prvo ovogodisnje izdanje LamerBustera. Ovo je prvi tek u nizu (nadamo se da ga nece biti) tekstova koji ce se baviti otkrivanjem lamera na nasoj vx/hack/re sceni. Ovaj broj (a mozda ce biti i sledeci) je posvecen jednom od najvecih srpski crackera danasnjice. Da dobro ste pogodili gigi.... Molim kazete da niste culi za njega? Cudno, ali ostanite uz nas i upoznacete ga vise nego dovoljno da mu i vi zalepite etiketu lamer. Dobro i mi znamo da nije lepo etiketirati ljude ali to je ovaj nas giga i zasluzio. Zbog ovoga smo i osnovali komisiju LamerBuster koja ce se baviti proveravanjem hipoteza kao sto su: Da li je moguce od gige napraviti postenog i vrednog coveka, koliko je ping-pong loptica potrebno da giga ispliva iz bunara srama u koji je sam skocio, i konacno i najvaznije pitanje, da li iko uopste razume ono sto giga ima da kaze? Ali krenimo od pocetka, krenimo od nase komisije za LameBustovanje. Nju cine vama poznati reverser ap0x i drug mu po oruziju vx-er i reverser deroko. Nas strucni tim koji svi citaoci pH eZina veoma dobro poznaju ce pokazati i neosporno dokazati da je etiketiranje u nekim slucajevima i vise pozeljno... --[ 0x02 ]----------------------------------------------------[ ap0x`s story ] Ali upoznajmo gigu od pocetka, od njegovih prvih koraka... Dakle prvo sto je uradio kad se registrovao na jezgrima bilo je otvaranje nove teme u kojoj opisuje svoje fantasticne sposobnosti... Citirajmo genija licno: Lamer licno: "Pozdrav svima ovo ovako posto sam nov na forumu mislim da bi bio red i da se predstavim moje ime je nikola ali svi me mozete zvati Giga inace ja se bavim crackingom (profesionalno) tako da ukoliko imate neki reques slobodno mi se obratite bice mi drago da je u mojoj pomognem ukoliko moci evo ovako sto se tice crackinga tu znam sve znaci ovako: manual unpacking oko 95% zastita Fishing patching keygening izrada brute forcera I sve ostalo sto nisam nabrojao. Znaci ukoliko imate nekih pitanja slobodno mi se obratite i bice mi drago da vam pomognem. eto toliko od mene p.s nadam se da mi moderatori nece zameriti sto sam otvarao novu temu zbog evog sranja ali stvarno mislim da je red da se predstavim Pozdrav." Fino fino, lici li ti ovo deroko na sadrzaj necije knjige? Bogami ap0x, veoma lici :) Ali ne lezi vraze kako vec sutra dan giga postaje moderator na forumu (DarkMan izvini ali istorija ne moze da se menja, nije tvoja greska). Pobogu zasto i ne, pa on poseduje sve ove fantasticne osobine kojima se toliko dici. I tu bi tisina, ali ne onakva tisina kakva je pomalo dosadna. Ne ta, tisina koja nasta napravi grozan zvuk grebanja noktima po tabli. Da dobro ste procitali to je giga iskoristio svoj novo steceni polozaj da siri svoju mudrost. I gle cuda bi svetlo, giga je upravo zavrsio Armadillo unpacking tutorijal i radosno ga je postavio na jezgra. E tu pocinju njegove muke, tu je uhvacen u lazi i vreme je da se reaguje... Ili on ili mi (bolje on). Nego da probamo mi (deroko i ja) da uradimo ono sto je veliki diktator giga napisao u svom carobnom tutorijalu o Armadillu. Tutorijal je moguce preuzeti sa: http://rapidshare.de/files/11383523/Manual_unpacking_Armadilio_v2.52.rar.html Da vidimo, da vidimo... Hmm pominje da je Armadillo jebac keve medju zastitama ali da ga je veoma lako otpakovati. Lako, poslednji put kad smo pokusavali trebalo nam je oko sat vremena da uklonimo i copymem i debug blocker i nanomities i naravno code splicing... Kako to sve giga moze i to na jedva jednoj-dve A4 strane. Bili smo u cudu.... Da vidimo pocetak teksta: Lamer licno: "Dobro pre nego sto pocnemo odmah da napomenem da sam namerno kada sam pakovao ovaj crackme stavio na level 1 da bi isli postepeno A u nekom od sledecih tutoriala cu vam objasniti kako da otpakujete Armadillo Professional V4.40.0250 Options - Retail Cracked Koja je po meni najteza od svih verzija a I po meni je to jedan od natezih protectora za otpakivanje ali normanlno podrazumeva se ako je u pitanju: (CopyMem-2+Debug-Blocker)" Aha, vidimo da i giga zna da postoje neki copymem i neki ... Obogaljena verzija Armadilla? Level1? Da li to znaci da nema ni copymem, ni debug blocker, ni namonite? Da dragi moji citaoci znaci.... Nema veze, da vidimo, pazljivo citamo tutorijal... Skenirajte crackme.exe sa PeIDom i videcete da je zapakovan sa Armadillom. Uradismo to i gle cuda i jeste zapakovan sa Armadillom. Mozda je giga ipak u pravu, mozda smo mi glupi... Ali pratimo dalje tutorijal da vidimo sta je to giga naumio. Iz nekog razloga pokazuje da meta ima dosta sekcija ali to naravno nikome nista i ne znaci. Ok, OEP mete pokazuje sledece stvari: 0040D7D8 >/$ 55 PUSH EBP 0040D7D9 |. 8BEC MOV EBP,ESP 0040D7DB |. 6A FF PUSH -1 0040D7DD |. 68 E0214100 PUSH crackme.004121E0 0040D7E2 |. 68 D4D34000 PUSH crackme.0040D3D4 0040D7E7 |. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0] Ali ovo je samo standardan VC++ OEP koji je ustvari Armadillov kod... Sad bar znamo sta su to autori ovog programa koristili da napisu zastitu... Giga dalje kaze: Lamer licno: "Normalno ovo nije pravi oep vec jebeni crackme protectovan sa armadiliom Sada lepo pritisnemo F8 dva puta I videcemo ovo:" Kada kaze ovo, misli da cemo doci do instrukcije MOV EBP,ESP i da cemo i nju izvrsiti. Onda giga kaze: Lamer licno: "e sada na ovo crveno EBP idemo desni klik pa na fallov in dump <- pa cemo dole videti ovo:" Misleci da uradimo Follow in dump kako bi smo videli da stack sadrzaj. Dobro gigo ali zasto bi smo to uopste radili... Pa nesreco da li si ti video da je EBP posle MOV EBP,ESP instrukcije jednak ESPu. Sta vise ESP se menja jedino posle PUSH EBP instrukcije tako da je dovoljno uraditi samo jednom F8 i onda follow in dump... pa postavljanje hardware break-pointa. Dobro nije velika greska, ovo dokazuje samo da je ovo negde procitao i da nema pojma sta se uopste desava i zasto bi se postavljao hardware break-point na stack. Ali pogledajmo sta giga dalje kaze: Lamer licno: "I na kraju cemo pritisnuti F9" Dobro uradismo i to i gle cuda drX registri [samo dr1] koji smo, odnosno koje je giga postavio nisu ocisceni! Dobro ovo je ipak level1 Armadilla nema ni detekcije hardwareskig break-pointa! Dobro, ovo moze da se iskoristi ali OllyDBG nigde nije zastao! Nigde tokom celog izvrsavanja Armadillo koda! Pa zasto su onda i postavljeni? Da bi tutorijal bio na dve umesto na jednoj strani? Ne recicemo vam zasto... Zato sto nas giga pored toga sto ne zna kako se koristi stack trick ne zna ni sta su to drX registri, a bogami ne zna ni zasto je uradio besmislenu operaciju. Tako da se iz ove suste gluposti na pocetku tutorijala da zakljuciti da giga nema pojma o tome sto pise. Ali polako za sada je i bez obzira na to sto njegovo uputstvo nema smisla uspeo da ga pratimo. Dalje giga kaze da ce se pojaviti messagebox koji ce nam saopstiti da se radi o trial verziji protektora. I tako i bi... Dalje giga kaze: Lamer licno: "Dobro sada cemo u olly-u pritisnuti ALT-M I zatim vidimo ovo: ovo sto sam ja selektovao postarajte se da tako bude I kod vas pa zatim desni klik pa na set Memory Breakpiont on Access. I onda kliknite na ok na to sranje od msbox-a sto vam je crackme izbacio" Ovo je krajnje logican potez. Protektor mora da kad tad da izvrsi kod u glavnoj .code sekciji... Ali posto je prvi korak u ovom tutorijalu bio bespotreban ovo smo mogli da uradimo odmah na pocetku i dosli bi na istu stvar. Po kliku na OK dolazimo na OEP mete... Ko bi rekao, bice od naseg gige nesto :) Dalje giga kaze: Lamer licno: "znaci oep nam se nalazi na adresi: 00401250 dobro sada otvorimo lord PE I idemo na Dump Full I kada smo I to uradili pomocu import Reconstructora popravimo importe I to je to I da napomenem d ace ostati 2 invalidna importa ali nemojte se obazirati na njih posto ta dva importa nemaju nikakvu ulogu posto se nalaze na laznoj sekciji Koja je nastala prilikom pakovanja aplikacije sa armadiliom ? Eto to bi bilo to A ako sad niste nista skontali onda bolje da skocite u bunar ? Salim se naravno :) " Dobro giga kaze da skocimo u bunar ako nam ovo ne uspe. Ali za to cemo jos videti... LordPE u ruke i full dump... Ode memorija na disk bez problema. A da to je zato sto je ovo level1 pa nema ni dva procesa niti bilo kakve zastite fajla. Ali pratimo tutorijal dalje, pouceni njegovim prethodnim tutorijalima o WW32Packu i nSPacku sledemo uputstvo dato u njima: Lamer licno: "I onda takodje otvoriti metu pomocu Import-rec-a I uneti 004012C0 kao OEP" Posto je ovde OEP 00401250 ovu vrednost unosimo u ImpRec kad ono... ImpRec zavrisita i odlucno rece: "Invalid OEP! It does not match in the processes memory" Molim pa zar to ne treba da uradimo? Ne dragi moji citaoci u OEP polje ImpReca se unosi RVA, odnosno relativna virtualna lokacija OEPa a ne VA - virtualna adresa OEPa. Dobro a koja je onda RVA adresa OEPa. Pa logicno RVA je VA - ImageBase, odnosno u ovom slucaju to bi bilo 00401250 - 00400000 to jest 00001250. Unesimo ovaj broj u ImpRec i on zadovoljno zapista: "Found something!". Da smo gigu slusali ni do ovde ne bi dosli. Ali takav je zivot... Giga dalje rece da cemo posle klika na GetImports imati dva invalidna importa, odnosno: Lamer licno: "I da napomenem d ace ostati 2 invalidna importa ali nemojte se obazirati na njih posto ta dva importa nemaju nikakvu ulogu posto se nalaze na laznoj sekciji" Prvo NE POSTOJE lazne sekcije! Ali giga je sigurno mislio na Armadillo kod koji bi u nekom vecem levelu sluzio za zastitu a ovako ne sluzi ni za kurac. Ali pogledajmo bolje sta se nalazi na lokacijama koje je giga proglasio kao junk. Na adresi 009D5F74 importa broj jedan koji se nalazi u kernel32.dll fajlu se nalazi ovo: 009D5F74 E8 CD9F0000 CALL 009DFF46 009D5F79 FF7424 04 PUSH DWORD PTR SS:[ESP+4] 009D5F7D FF15 E8809E00 CALL NEAR DWORD PTR DS:[9E80E8] ; kernel32.ExitProcess 009D5F83 C2 0400 RET 4 Ocigledan poziv ka ExitProcess APIju! Jebote pa izgleda da nas giga ne zna da Armadillo cak i na level1 "pozajmljuje" APIje iz kernela. Dobro, a sta se krije iza vrata broj dva, odnosno sta se nalazi na adresi 009D6D5B. Nista specijalno samo ovo: 009D6D5B FF7424 10 PUSH DWORD PTR SS:[ESP+10] 009D6D5F FF7424 10 PUSH DWORD PTR SS:[ESP+10] 009D6D63 FF7424 10 PUSH DWORD PTR SS:[ESP+10] 009D6D67 FF7424 10 PUSH DWORD PTR SS:[ESP+10] 009D6D6B FF15 A8829E00 CALL NEAR DWORD PTR DS:[9E82A8] ; USER32.MessageBoxA 009D6D71 C2 1000 RET 10 Jos jedan neophodan poziv ka MessageBoxA APIju koji se nalazi u user32.dll fajlu! Da li je moguce da ce otpakovani program raditi bez ova dva importa. Pogledajmo, giga kaze da kliknemo na fix dump i to nam je to, ako nismo skontali, bunar a ako jesmo onda smo carevi... Klik na fix dump,... tenzija raste... ImpRec nas obavestava da dump nije u potpunosti popravljen i da je potrebno rucno popraviti neke importe... startujemo dumped_.exe "popravljen" fajl... i .... BUM! Fajl se rusi... Pa kako? Zasto? Uradili smo sve sto je giga presvetli cracker rekao i sta... nista, Armadillo nas je pobedio ili mi nismo uradili sve kako treba. Pa nismo... Gigo care ovaj .exe fajl mora imati i MessageBoxA i ExitProcess jer bez njih ne moze da: 1) Prikaze onaj lep NAG na pocetku crackmea i pod 2) Da uopste izadje iz aplikacije... Kada smo zamolili gigu da nam kaze zasto nismo uspeli da otpakujemo Armadillo i da li to znaci da treba da skacemo u bunar gigica je rekao da nema pojma zasto ovo kod nas nece da radi kad kod njega radi savrseno. Sta vise da bi nam to "dokazao" poslao nam je fajl dumped_.exe koji radi!!! Jebote stvarno radi... Znaci bunar... Ali pre bunara pogledajmo da li je giga nesto radio sa ona dva importa. Otvaramo dumped_.exe fajl u LordPE editoru i imamo sta i da vidimo. Giga je popravio ona dva netacna importa... Kao prvi je stavio GetModuleHandleA tako da sad u fajlu postoje dva ovakva APIja (ni jedan kompajler na svetu nece ovo uraditi) i MessageBoxA... Sta? Giga nas je presao. Rekli smo mu na googletalku da je pogresio pa je ubacio APIje iako je rekao da nisu potrebni :) Objasnicemo vam sta se desilo. Giga naime veruje da je svaki fajl otpakovan ako posle dumpa i popravke importa skenirate fajl PeIDom (ili paidom kako giga kaze) i on kaze da se radi o nekom kompajleru. Nema veze ako taj fajl nece da se startuje, PeID kaze da je otpakovano pa onda mora i da jeste... Ma nije giga glup setio se on da popravi i ova dva importa (doduse pogresno) kada smo mu rekli da je glup i da njegov dumped_.exe nece da poleti :) Uvredio se... Nego recicemo vam sta je sve pokusao da bi povratio "ugled"... Prvo je pokusao da uradi Trace Level1 u ImpRecu ali se ovaj zaglupio... Onda je mislio da bez toga sigurno moze :) Ali ne lezi vraze giga je shvatio da smo u pravu tako da je odlucio da uradi filmic u kojem ce pomocu level1 traceinga vrati dva ukradana importa. Setio se, pustion ImpRec malo da radi svoj posao, ali naravno bez njih nikako i ne moze, zar ne :) I to vam je to... Lamer licno: "a ap0x mi je rekao preko google talka nesto ovog tipa: pa ajde lepo okaci taj tutor da vidimo i operi ljagu sa svoga imena :) i ja sam evo lepo okacio :) i jos nesto da kazem to nije ljaga ljaga je kada je ta osoba sto te optuzuje 100% upravu i ako je sigurna u to sto govori i ima dokaza za to ali ocigledno je da neko ovde nema postovanja a zna se i ko je to :)" Dokazi su pali, dokazali smo ne samo da nisi u pravu nego da si pored svega toga i glup. Ali priznacemo ti u pravu si gigo, zna se ko je ko... Svi znaju ko smo deroko i ja. Ostaje samo pitanje ko si ti? ################################################################################ # # # Procena koju daje ap0x: Giga je 100% LAMER! # # (pise se veliko kad je neko toliko veliki lamer) # # # ################################################################################ --[ 0x03 ]----------------------------------------------------[ deroko`s story ] Iskren da budem, mislio sam da je ovo nemoguce i da niko nece pasti ovako nisko, ali sam se prevario. Kako kaze prica? Jednog dana sam sedeo smisljajuci kako da razbijem ExeCryptor pokusavajuci da mu nadjem slabe tacke tako sto bi se attachova na njega kroz softice, pa ne bas attachovao bolje reci menjao context procesa da bi naso slabe tacke u samom kodu koji pravi execryptor. Moram priznati zadatak nije bio nimalo lak, posle duzeg istrazivanja doso sam do zakljucka da se moze slomiti na oep execryptora uz malo srece sa mojim kodom. Taj kod kao i manulano otpakivanje ExeCryptora su objavljeni uz najnoviji tutorial koji sam napisao i objavio na ARTeam homepage-u, grupa koja se bavi reversanjem protektora i o tome pise tutoriale, ciji sam ujedno i ja clan. Tutorial mozete naci na http://tutorials.accessroot.com ako vas zanima kako sam ja ubio execryptor i napisao loader za isti. No, da napomenem da su dotle bila dostupna 2 tutoriala za ExeCryptor, jedan od PakMan/SND i drugi od pnluck-a. No da ne duzim posle duzeg rada sam objavio sve svoje source kodove, koje sam koristio za razbijanje execryptor-a. Ukljucujuci oepfinder i importrec plugin za execryptor koji se mogu naci uz gore pomenuti tutorial. Tutorial se bavi razbijanjem execryptor na Golden FTP pro v2.70, a takodje sam nabrzaka objasnio kako otpakovati execryptor crackme na ap0x-ovom forumu koristeci moj oepfinder i plugin. No da prica bude tuznija i tragicnija pojavili su se ripperi koji su procitali moj tutorial i objavili crack za isti program neposredno po objavljivanju tutoriala i preuzeli zasluge za to. Nema veze, to me ne pogadja, jer jednostavno ja sam pisao tutorial o razbijanju execryptora, potrebno je bilo samo pratiti tutorial i dobijete otpakovanu i crackovanu aplikaciju, ali crack nisam dao uz sam tutorial jer ARTeam ne radi nista ileglano vec samo opisuje nacin za razbijanje postojecih protektora sto nije zabranjeno uopste, vec radije siri znanje objavljujuci svoje sourceve kako bi drugi ljudi mogli da nauce da kodiraju ili eventualno da nadograde nase ideja sa mozda jos boljim idejama. No da se vratimo na pricu o nasim lamerima. Danas kod nas ima klinaca koji su kupivsi ap0x-ovu knjigu The Art Of Reversing pomislisi da su ispili svo znanje sveta, znanje koje je ap0x skupljao duze vreme i odlucio da ga objavi u jednoj knjizi i na taj nacin pomogne znatizeljnima kako da se upute u svet reversinga. Jedan od tih lamera je giga iliti Shorty, decko koji je prilikom registracije na ap0xovom forumu selektovao opciju da je "mladji od 13 godina i da mu treba odobrenje roditelja da ucestvuje u radu foruma", zbog toga mu je nick "giga" i bio zauzet pa je morao da stavi "Shorty". heh, smesno, no da prica bude tuznija posle objavljivanja mog tutoriala i oepfindera ovo sam dobio na gtalk: giga: "Odlican ti je novi oepfinder, execryptor 5 sec posla" deroko: "ne lupaj, kad nikad nisi rucno otpakovao execryptor" Normalno on jos nije razumeo poentu mog komentara. Sacu da mu je pojasnim, jer ocigledno da nista nije razumeo, a niti ce ikad, mozda kad poraste: 1. execryptor crackmem moze da se otpakuje za 5 sekundi 2. execryptor protektovana komercijalna aplikacija pravi toliko pristupa nasoj zeljenoj sekciji da bez dumpa i koriscenja IDA i poznavanja kompajlera tesko, ako gotovo nikako oepfinder ne moze biti iskoriscen za otpakovanje i sredjivanje execryptora. 3. pa cak i da dumpujemo na pravom mestu, ostaje pitanje vracanja ukradenih bajtova koje je execryptor morfirao i prikacio uz svoj kod, za sad po mom saznanju taj broj ukradenih bajova je morfiran i integrisan unutar samog execryptor-a i moze se kretati od 1 do N bajtova originalnog koda morfiranog kroz sam execryptor tako da problem predstavlja ponovo nalazenje tih bajtova. Drugim recima, za to treba barem dobrih 1h do 2h analiziranja koda, a da ne pominjem da moramo znati koji je kompajler koriscen. Ok, to je ono sto je decko trebalo da zna pre nego sto je poceo da hvali, iskren da budem ja nisam ocekivao da me iko hvali, jer svoje kodove dajem kako bi neko nesto naucio, a ne da bi koristio binary da se kurci... ocigledno da neki jos nisu razumeli koja je svrha sharovanja sourceva, ili pak ne znaju nista vise od push eax, cmp eax, ebx pa ne mogu ni da razumeju sta kod radi... oki, smeh... Sad dolazimo do vrhunca gluposti koja se moze naci na forumu: reversing.co.sr Pod topikom : ExeCryptor Shit se moze naci ovaj lep komentar naseg dragog gige, aka Shorty aka klinac mladji od 13 godina itd... Giga: ---------------------------------------- zamislite sta mi se desilo danas :) ja iskopam na cd-u jedan program pakovan sa exe cryptorom v2.16 cini mi se da je bila i lepo sednem krekujem aplikaciju i odnosno otpakujem popravim importe i sva ostala sranja :) i napisem jedan lep mali tutorial :) i mislim se sta cu sad sa njime :) i onda se setim Idea znam :) i posaljem firmi u office :) execryptor :) taj tutorial naravno :) i verovali ili ne nije proslo ni pet minuta kad evo stize mi mail necu vam sve reci sta su napisali ali evo neki od delova texta koji inace zauzima kao jedna dobra knjiga :) ***moj komentar*** e ovo je gore od ripovanja i koriscenja tudjeg koda, ovo je toliko lame tvrditi da ste nesto uradili a niste i pritom koristite tudji tutorial i tudje kodove kako biste to isto poslali ni manje ni vise ExeCryptor developerima, stvarno lame i smesno, jos tvrditi kako ste vi to uradili. ***moj komentar*** I don't understand why unpacking of execryptor is a hard task for many crackers :) compression layer in execryptor is optionally. more hard and still open problem is a reversing transformed code inside program. Ma kome bre to oni foliraju :) mada su nekim delom i upravu :) ali pazite sad ono najbitnije: i meni pomalo kako da se izrazim? cudno zacaravajuce :) ***moj komentar*** ne foliraju te debilcino, nego ti lepo kazu da moras da najdes morphirani oep koji moras analizirati od mete do mete a ne upotrebom mog oepfindera kad ti se cefne ***moj komentar*** yes, page_guard is a good idea for stealth trace. many time ago, execryptor 1.x use similar idea for self-trace and suppress unpacking. also you need understand that this method of tracing is very easy suppressed. now we have private build which fail -//- ***moj komentar*** eto dokaz da ni protection developeri ne prate tutoriale bas kao ni av kompanije nova oktrica u vx svetu. Ali eto debil je morao da koristi moj kod kako bi se hvalio, ehhh, nema veze private verzija oepfindera je gotova i ne koristi vise page_guard uopste, zahvaljuci tebi nece je dobiti niko osim ARTeam-a, tako da gricakj muda sa novim execryptorom... ***moj komentar*** Namerno nisam ubacio ceo kod inace bi se neki razocarali u zivot Smile salim se naravno ali jedno je sigurno a to je: Ma umrli bi od smeha Mr. Green likovi mi ladno rekli da ova private verzija nemoze da se otpakuje ni od strane bilo kakvog krekera u svetu :)))))))))))))) zamislite koji likovi: ***moj komentar*** pa da ako ubacis kod koji ni ne razumes ljudi bi se razocarali sto im lameri pisu... ***moj komentar*** ama ima tu jos nesto :) sto vam ovaj put necu izjasniti ali jedno je sigurno : pa ako je taj packer nemoguce otpakovati i nemoze ni jedan kreker zasto ce onda meni poslati protektovanu aplikaciju da se ja okusavam na njihovom proizvodu koji ce njima doneti veliku lovu :) pa covece mi krekeri se trudimo da razjebemo sve zastite a ne da pomazemo majmunima kao sto su oni da nameste savrsenu zastitu :) a i jake ce koristi imati od mene :) od mene mogu samo stete da imaju :) ***moj komentar*** ocigledno zato sto su mislis da ih kontaktira neko ozbiljan ko je bio sposoban da iskodira takav kod? nisi mislio na to? A ovo za crackereri razbiaju zastite, da crackeri ali ne i lameri, malo si pobrkao pojmove. ***moj komentar*** i na kraju: Sincerely, Andre N Belokon IT Manager SoftComplete Development http://www.softcomplete.com mailto:office@softcomplete.com Mr. Green A verovali ili ne ovo kada sam video umreo sam od smeha :) valjao sam se po podu jedno pola sata :) Dear shorty Mr. Green ***moj komentar*** bas bih voleo da vidim kako si ga sjebo bez oepfindera, ja znam kako, zato sam i napisao oepfinder... ali je cudno kako odjednom svi znaju sve o execryptoru kad imaju oepfinder? Zar ne? super bas me zanima kako ces da otpakujes tu private verziju, ali da ne koristis ni moj importrec plugin. ***moj komentar*** Aj dosta je bilo zabolese me vise prsti :) A da ne pominjemo da je decko uvek bio "pijan" kad god bi me na gtalk pitao kako se reversa neki glupi crackme od 20 linija asm koda... Normalno sad je prestao da me smara kad je video da znam koliko zna i da kod mene ne prolaze te fore "pijan sam", Hriste Boze raspeti i sveti, srpska zemlja kroz oblake leti, pa ja kad sam pijan ja idem da spavam, heh, cenim upornost, ali cisto reda radi, ja kad sam jedno vece bio pijan sam i resavao armadillo copy-memII sa patchovanjem, jes da me glava sutra ubijala ali eto sta sam ja radio pijan, a ne resavao crackme od 20 asm linija koda... Necu da kazem da je to neka mudrost zaobici copy-memII samo treba naci 3 mesta dje da ubacite patch u debug loopu. Jednom recju...(ili dve) Fuck Off... Ehhh da, moj crackme pemem je proglasio za Nightmare iako sam ja ocigledno stavio da je level 2, mozda i 1, mnogo lak crackme, ali eto neki ga jos nisu resili, neki jesu na www.crackmes.de ali ni ti koji su ga resili nisu jos provalili sta crackme radi, premda je ime crackmija vise nego dovoljno da se razume =) Citiram: ------------------------------------- E pa ljudi sta da vam kazem nove zastite izlaze svaki dan a takodje se i pojavljuju novi crackeri svakodnevno. koji nemaju veze sa zivotom nego se tu kurce kako su crackeri tako sto skinu 2-3 newbie crackmea i to rese i onda su kao crackeri ***moj komentar*** heh ni ti ga jos nisi resio master crackeru, level 2, proglasavas za nightmare, fuck... ***moj komentar*** e pa dosta je bilo tih gluposti evo sada vam predstavljam jedan domaci proizvod By Deroko from serbia koji je jedan od najboljih crackera na nasim prostorima a i sire :D ***moj komentar*** hvala hvala, bas sam polaskan...i from Magna Serbia, Serbia etherna ***moj komentar*** inace on kaze da je crackme level 2 ali ja kazem da je nightmare a verujem da se i ostali slazu :D i da mozda samo 2 ili 3 coveka na ovom forumu mogu da ga rese a jedan od tih ljudi je ( Ap0x ) Autor kjige art of reversing ma sta vise da kazem uostalom sami probajte :D ***moj komentar*** eto sad priznaje da smo ap0x i ja u odnosu na njega bog i batina, samo ne znam sto nas toliko uzdize? ***moj komentar*** da napomenem ovo nije obicna igracka tako da nema zajebancije :D Ko za ovo uspe da nadje serial svaka mu cast :D Pozdrav i sretno :D ***moj komentar*** jeste to je igracka, to je crackme, moronko, to sto ne mozes da resis level 2 crackme samo pokazuje tvoje znanje. ***moj komentar*** Ovde posebno obratite paznju na nacin na koji se obraca ostalim clanovima foruma. Da bi nam giga razbio zablude i dokazao da je rucno otpakovao execryptor, kad je sateran u cosak radi sledece: Uzima obican crackme i stiti ga trial verzijom ExeCryptora koja: 1. ne ubacuje VM 2. ne morfira kod 3. ne obsfukira importe 4. ne krade bajtove Drugim recima svodi se na istovetno otpakovanje UPX-a ako ne i lakse buduci da posle TLS callback-a ceo kod je otpakovan i importi popravljeni, to nas gigica naziva MUPing ExeCryptor, nego mene pre svega zanima da vidim otpakovanje Aplikacije pakovane ExeCryptorom, recimo ExeCrypt.exe ili ExeCryptor.exe, kad to lepo otpakuje svojim olly-ijem nek se javi, dotle nek se ne pravi pametan. No prica ne bi bila smesna kad nas gigica ne bi reko sledece stvari za SoftICE, citiram sa njegovog foruma: [CITAT] ja bih ti rado pomogao ali nekoristim softice jer imam xp tako da radim samo u olly Sad a i mrzim dos okruzenja pa je i to jedan od razloga zasto ga nekoristim tako da sam sto se tice softice-a glup ali ako imas nesto sto je povezano sa olly-em e tu ti rado mogu pomoci bilo sta da je upitaju samo pitaj slobodno [/CITAT] SoftICE je DOS okruzenje!?!?!?!?!?!!?!?!?!?!?!?!? I ja imam XP pa koristim SoftICE :D:D:D A mozda mu se ne svidja softICE jer nema olly skripti za njega, hmmm, toooo bad... [CITAT] ma nekazem da nije tako softice je cak i bolji od olly-a ali jbg ja sam navikao na ollydbg i softice mi je sranje a najvise ga mrzim zato sto je jebeno dos okruzenje [/CITAT] Pa jer bolji ili je sranje? ili je sranje zato sto je DOS okruzenje? Moz misliti DOS okruzenje... a neki Buraz obraca se Vranetu: [CITAT] @ Vrane Da vidis niko ne koristi softice i upravo sto je reko giga ro sam rekoi ja [/CITAT] Niko ne koristi SoftICE? Svasta, device driver developeri koriste ili MS kernel debugger ili SoftICE ili Visual SoftICE da debuguju drajvere, da nije tih alata ti ne bi mogao ni da pokrenes svoju najomiljeniju igricu... A da ne pricam koliko je SoftICE popularan medju reverserima zbog obilja opcija koje u olly-iju mozes samo da sanjas... Normalno lupanje o otpakovanju themide je tek vrhunac, kada gospoda giga i Buraz pocinju da tvrde kako su otpakovali themida sa ring0 zastitom pomocu Olly-ja. Da pojasnim ukratko, themida hookuje int1 i int3 sa 0xFFFFFFFF, drugim recima svaki pokusaj da se u bilo kom delu koda okine int1 ili int3 vode ka BSOD, to takodje znaci dok radi themida sa ring0 zastitom nemozete pokrenuti ASProtect, ExeCryptor, enigma, ACProtect i slicne zastite koje okidaju int3h i int3h tokom svog izvrsavanja buduci da cete dobiti BSOD. Kako svaki debugger koristi int1h i int3h, tim pre je prosto nemoguce sstepovati kod u themida posto se ucita drajver. Bez SoftICE i svojih drajvera koji bi prazljivo uklanjali ring0 zastitu zadatak je prakticno nemoguc... giga i Buraz nemaju programersko znanje da napisu obican: "Hello World" driver, a niti znaju kako se koristi SoftICE sto sami tvrde, te se njihova avantura oko themida sa ring0 zastitom zavrsava na DeviceIoControl i zakucavanjem Ollyija na sysenter u UserSharedData... Doduse nova themida ima drajver ali ne toliko ofanzivan i cela protekcija se sada zasniva na VM kodu koji je ahmmm pain in the you know here da se dekriptuje, ljudi koji su to ucinili to cuvaju u tajnosti, ali 2 lamera koja ne znaju ni hello world da napisu to sigurno nisu uspela... E ovo je tek kralj: wyru5: [CITAT] ma ne ja koristim hiew premium ver. koju sam kupio od jednog crackera..zao mi je sto je ne mogu s vama podjeliti jer sam skupo platio..buraz stima ono za themidu ..kupujem..pare cu ti poslati na zr.od stare. [/CITAT] a onda se giga nadovezuje: [CITAT] ma nije to hiew samo ima taj naziv ali je nesto sasvim drugo [/CITAT] Doduse giga je obrisao post u kom tvrdi da je u pitanju neki hiew debugger koji ima 10 ljudi. nekako mi je paradoksalno da mu je softice sranje jer je DOS okruzenje!?!?!?, a hiew koji se u poptunosti zasniva na konzoli je super. Doduse glupost za hiew debugger je neizmerna, moz misliti, hiew debugger, rofl... da tako nesto postoji bilo bi na oficijelnoj stranici samog autora HIEWa, a ne bi se neki izlapeli lamer kurcio glupostima i sa ljudima koji jos manje znaju od njega... Nemam vise sta da kazem, lamer ostaje lamer, iskreno sam mislio da ovoga nema kod nas, ali izgleda da sam se prevario, enjoy, i nemojte biti glupi kao ovi klinci, ako se bavite reversingom radite to iz zadovoljstva, a ne da bi pecali druge pocetnike i njima prosipali svoje znanje. Normalno mali giga ni sad nece razumeti sta sam sve napisao... Ah da vrhunac koji sam skoro saznao je ovo: by giga to unknown: "Ja sam clan blackhatz tima! Znas to su oni likovi na koje se deroko ugleda" Ehhh moj gigo, ja sam kao clan blackhatz tima bio od osnivanja i napustio to jer sam imao obaveze na fakultetu. Da li blackhatz jos postoji ne znam, jer sam sad u jednoj lepoj grupi koja se bavi samo tutorialima zvanoj ARTeam, a ti samo sanjaj da postanes neko i nesto preko kompa, to se postaje u stvarnom zivotu, a ne proseravanjem na tvom forumu i gtalku. Over and out... ################################################################################ # # # Procena koju daje deroko: Giga je 100% LAMER! # # (zao mi je sto je nasa skala ogranicena na samo 100%) # # # ################################################################################ --[ 0x04 ]----------------------------------------------------[ Over and Out ] Da je nas giga izuzetno los uticaj pokazuje i post jednog clana foruma jezgra.org: "Kao sto rekoh, jos san nov u svitu crackinga i polako ali sigurno ucim i idem naprijed; onoliko koliko mi vrijeme dopusta i tako to...Ali sa sigurnoscu mogu reci da si ti Giga jedan od najjacih po pitanju crackinga na ovom forumu koliko vidim (i koliko se kuzim u cracking)...Tako da samo nastavi tako dobar rad, rezultat ne gine. Ja uvik skinem tvoje tutoriale, i s neta skidam knjige i primjere i polako radim. Ono sto zelim reci je: SAMO NASTAVI S CRACKINGOM. IMA NAS DOSTA KOJIMA TREBA TAKVA OSOBA, nesto kao MENTOR...Hehe. Pozdrav" Strasno! Giga je nekog uspeo i da zavara sa svojim "znanjem". Mi vas za razliku od doticnog necemo lagati, necemo vam zatvarati teme kada vas prozovemo i popljujemo, necemo falsifikovati dokaze, necemo otpakivati protektore sa iskljucenim zastitama, necemo pisati tutorijale koji su skroz pogresni... I sto je najvaznije necemo biti bezobrazni kao sto je doticni bio kada smo ga (prvo) lepo pitali da nam objasni greske u svojim tutorijalima, kad smo ga pitali da na pokaze kako je ON licno otpakovao ExeCryptor... Ne mi to necemo raditi, to cine neki drugi... Mi smo sa nasim gigom zavrsili, a vi sada kada znate istinu vidite sta vam je ciniti :) --[ EOF ]-----------------------------------------------------[ by ap0x&deroko ]