Sie sind auf Seite 1von 4

05.10.2003 Crcker 1.

0 In der Registry rumschreiben

Programmname ZPage Crackme 1


Programmtyp Crackme
Programmgrsse 62,5KB
Autor mOLuSk
Tools PEiD v0.9, Registy Monitor 6.x, Bratalarm's Unpacker, W32Dasm, DZA Patcher
Schwierigkeitsgrad easy

1. Einleitung

Hallo Jungs und Mdels!!! Nach langer Zeit mal wieder bei TNP vorbeigeschaut und gleich fiel mir bei den Neuzugngen
folgender Eintrag auf: "Das erste CM von ZPage - seiner Meinung nach schwer zu lsen"..Hmmmm Na dieses "Killer-
Crackme" ;) werden wir uns mal auf nen Sonntag zu Gemte ziehen. Ab der Fisch!!!

2. Vorbereitungen

Wir laden uns mal die Crcker.exe in PEiD v0.9 und sehen es ist mit UPX gepackt. Also erstmal entpacken! Ich nehm
heute mal Bratalarms Unpacker, da das manuelle Unpacking von UPX hier schon zu Genge abgehandelt wurde und es
nicht zum Thema gehrt. Nach erfolgreichem Entpacken sehen wir: gecoded in VB ;) Normalerweise nehmen wir jetzt
SmartCheck aber das funzt wohl nicht so Recht nach seinen eigenen Angaben. Seht selbst!

Also mit der Registry hat's zu tun. Also logischerweise nehmen wir nun Registy Monitor 6.x und schauen nach was sich reien
lt. Wenn wir nun RegMon starten, dann die Crcker.exe und irgend eine Fake Nr. eingeben und auf Register klicken, haben wir
den Salat
Also zum noch laufenden RegMon wechseln und mal auf Stop drcken und wir halten.

Wir sehen ein Stck weiter oben den QueryValueEx und machen nen Doppelklick drauf und landen im RegEditor

Was das fr'n Schei??? Die Crcker Reg sagt "0"....hmmmm das werden wir ndern! Rechtsklick auf Crcker-Reg dann auf
ndern und aus der 0 mal fix ne 1 gemacht, und zwei neue Zeichenfolgen angelegt wie folgt:
Die ganze Sache mit OK besttigen. Jetzt auf Registrierung im Men gehen, Registrationsdatei exportieren mit Namen Crcker.
reg Nun mal unseren Dump (Dank Bratalarm) deadlisten mit W32Dasm(fr VB), und in den StringDataReferences uns mal diese
drei Strings etwas genauer unter die Lupe nehmen. Jeweils doppelt anklicken, im Code etwas nach oben scrollen und die
dazugehrigen jumps halt umschreiben. (zu sehen in der DZA-Patcher Abbildung)

Da wir ja nicht einfach in der gepackten Exe rumschreiben knnen, bauen wir einen Inline Patch mit Hilfe des DZA Patchers

So jetzt noch auf Create Patch gedrckt und der Patch sollte sich im selbigen Ordner wie das Target befinden. Patch ausfren und
alles ist Chic!!! ;) Ps.: Habe die Reg-Datei , Patch und das Crackme beigelegt. Entschuldigt den Windows-Longhorn Style
3. Schluss

Tja mit reggen, patchen und Tut schreiben hat die ganze Sache nun zwei Stunde gedauert. Toller Sonntag Abend ^^ Egal
bis zum nchsten Tut. --=<grEEtz tO>=-- t3am prOvOk3, NewbieSSchuLE, qOdbOp, Re@ldaTa, Anti b[o]b, Cre@k,
ZeroJump, dr.Olle, Tsbx, figu, Porn$$tar, naja und alle Tutschreiber halt!!!

++++++++++We turn it all inside out++++++++++