MLGCrax’s Linch’s Premium CrackMe | BATCH | FACIL

Buenas, despues de tiempo sin escribir vuelvo con un crackme un poco raro, esta hecho en batch. crack me

Lo primero que pense al ser un crackme hecho en batch fue, sera tan simple como boton derecho editar?

Pero no, viene el archivo convertido a exe

Vamos a ver que estructura tiene

1

Pide usuario y contraseña, si hay error dice que no se activa y se cierra.

Como esta en formate .exe vamos a ver si esta empaquetado con el rdgmax

2

Nos detecta Asprotect y tambien por algun extraño motivo nos dice que esta escrito en C++, error por parte del detector.

Vamos a abrirlo en el olly para desempacarlo

3

Aqui hay algo que deberia llamarnos la atencion, empieza por un MOV DWORD, cuando en el 95% de los casos si hay compresion el codigo empieza con un push, sera otro fallo del rdgmax packer detector? Buscamos una segunda opinion con el peid 4

Parece que efectivamente el rdgmax packer detector ha fallado en esta ocasion y no esta empaquetado con asprotector ni con nada,

Vamos por tanto a ir pulsando F8 en olly a ver que es lo que hace el programita

5

En esta zona encontramos algo que quizas sea interesante, de momento solo ha habido algunas variaciones en los registros, vamos a  seguir con F8

7

Esta linea nos da informacion valiosa y voy a explicar por que

En primer lugar, y esto es algo que es facil pasarlo por alto, esa cadena

Arg1 = 0040D08D ASCII “b2eargs”

Vamos a dividirla

En primer lugar tenemos b2eIntuitivamente sabiendo que el crackme esta desarrollado en batch y que esta convertido a formato exe podemos interpretar esas tres letras del siguiente modo

Bat 2 (to) exe 

*converter

bat2exe converter

Y en segundo lugar vemos que la instruccion donde esta es un PUSH, tipico en packers como dije al principio

Por ultimo la cadena args:

Argumentos

Osea que a partir de aqui el programa empieza a leer los argumentos del archivo batch original

De este modo tiene mucho sentido las lineas de debajo

6

Mirad que interesante esa linea, pone el tipico comando en batch para que no se muestre el nombre de las instrucciones “@echo off” y tambien el titulo, puede que en siguientes instrucciones encontremos mas pistas.

00401C94 . FF35 B0E44000 PUSH DWORD PTR DS:[40E4B0] ; /Path = “C:\Users\reversecoder\AppData\Local\Temp\ED26.tmp

Ahi vemos que el funcionamiento de este ejecutable es basicamente el siguiente:

1 Desempaqueta el archivo bat original en C:\Users\reversecoder\AppData\Local\Temp\ED26.tmp

2 Ejecuta el archivo con la informacion que tiene almacenada en los siguientes argumentos

00401D8E . 68 C5D14000 PUSH CrackMe.0040D1C5 ; |Arg1 = 0040D1C5 ASCII “b2eprogramname”

00401DD7 . 68 87D14000 PUSH CrackMe.0040D187 ; |Arg1 = 0040D187 ASCII “b2eprogramfilename”

00401E20 . 68 FFD14000 PUSH CrackMe.0040D1FF ; |Arg1 = 0040D1FF ASCII “b2eprogrampathname”

00401E59 . 68 FCD04000 PUSH CrackMe.0040D0FC ; |Arg1 = 0040D0FC ASCII “b2eprogramshortname”

00401E9F . 68 74D04000 PUSH CrackMe.0040D074 ; |Arg1 = 0040D074 ASCII “b2eincfilepath”

00401ECA . 68 32D14000 PUSH CrackMe.0040D132 ; |Arg1 = 0040D132 ASCII “b2eincfilecount”

00401EEA . 68 A4D04000 PUSH CrackMe.0040D0A4 ; |Arg1 = 0040D0A4 ASCII “b2etempfile”

Bueno ahora que sabemos donde droppea el archivo bat, vamos a ira ver como funciona

 

8

Que raro, nos esta devolviendo un archivo vacio, vamos a ejecutarlo directamente sin el olly a ver que pasa

Efectivamente de nuevo droppea en una nueva carpeta, en este caso la llama FD3.tmp

9

Ahora si tenemos el archivo buscado, tenemos el usuario y la contraseña correctos en texto plano.

Hacemos unos ligeros cambios para logearnos como reversecoder y…

0

 

Hasta la proxima.

 

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s