Bu crackme’de baya uğraştıran kısım key kontrolünden önce debug tarafıydı.
İlk denemelerde iki şey oluyordu:
ya ucrtbase.memcmp’te takılı kalıyordu, ya da bir yerden sonra access violation verip kapanıyordu.
Sonra şunu fark ettim: fazla “sert” anti-debug patch atınca program dengesizleşiyor.
En temiz çalışan yöntem şu oldu:
Önce debugger’ı temizledim: bc, bphc, bpmc, SetExceptionBPX 80000003,0
Sonra sadece güvenli birkaç anti-debug noktası patchledim:
- ntdll.DbgBreakPoint -> C3 90 90
- ntdll.DbgUiRemoteBreakin -> C3 90 90
- kernelbase.DebugBreak -> C3 90 90
- kernelbase.IsDebuggerPresent -> 33 C0 C3
En kritik adım da auth fonksiyonunun dönüşüydü:
mod.main()+0xA3106 adresine B8 01 00 00 00 90 yazınca dönüş değeri direkt 1 oldu, yani kontrol success tarafına gitti.
Bundan sonra run verip key’i girdim, sorunsuz geçti. Fix atarsanız v2 sürümünü bekliyorum
Öncelikle elinize sağlık, aslında bu programı tam geçmiş olarak sayılmasa da success almayı da yeterli görüyorum, eğer key ile beraber verseydim ana dosyanın sunucudan indirilmeside sağlanırdı eminim.
Yarın akşam v2yi atmaya çalışacağım
bir de 10 üzerinden puanlasanız şuanki hali kaçtır?