Neperos
SIGN IN
Copy Link
Add to Bookmark
Report

5x08 LamerBuster v1.0

eZine's profile picture
eZine lover (@eZine)
Published in 
phearless
 · 14 Jan 2024

               [ LamerBuster v.1.0 by ap0x & deroko ] 

    pH#5 .............L.a.m.e.r.B.u.s.t.e.r.............. [     #Sadrzaj    ] 
    0x01 ................................................ [ Intro           ] 
    0x02 ................................................ [ ap0x`s story    ] 
    0x03 ................................................ [ derokos`s story ] 
    0x04 ................................................ [ Over and Out    ] 

--[ 0x01 ]-----------------------------------------------------[     Intro     ] 

  Dobro  dosli  u  prvo ovogodisnje izdanje LamerBustera. Ovo je prvi tek u nizu 
(nadamo  se  da  ga  nece biti) tekstova koji ce se baviti otkrivanjem lamera na 
nasoj vx/hack/re sceni. Ovaj broj (a mozda ce biti i sledeci) je posvecen jednom 
od  najvecih  srpski  crackera  danasnjice. Da dobro ste pogodili gigi.... Molim 
kazete  da  niste culi za njega? Cudno, ali ostanite uz nas i upoznacete ga vise 
nego dovoljno da mu i vi zalepite etiketu lamer. 
  Dobro  i  mi  znamo  da  nije lepo etiketirati ljude ali to je ovaj nas giga i 
zasluzio.  Zbog  ovoga  smo  i  osnovali  komisiju LamerBuster koja ce se baviti 
proveravanjem  hipoteza kao sto su: Da li je moguce od gige napraviti postenog i 
vrednog  coveka,  koliko je ping-pong loptica potrebno da giga ispliva iz bunara 
srama  u  koji  je  sam skocio, i konacno i najvaznije pitanje, da li iko uopste 
razume  ono  sto  giga  ima  da  kaze?  Ali  krenimo od pocetka, krenimo od nase 
komisije  za  LameBustovanje.  Nju  cine vama poznati reverser ap0x i drug mu po 
oruziju vx-er i reverser deroko. Nas strucni tim koji svi citaoci pH eZina veoma 
dobro  poznaju  ce  pokazati  i  neosporno  dokazati  da je etiketiranje u nekim 
slucajevima i vise pozeljno... 

--[ 0x02 ]----------------------------------------------------[  ap0x`s story  ] 

  Ali  upoznajmo  gigu od pocetka, od njegovih prvih koraka... Dakle prvo sto je 
uradio  kad  se  registrovao  na  jezgrima  bilo  je otvaranje nove teme u kojoj 
opisuje svoje fantasticne sposobnosti... Citirajmo genija licno: 

Lamer  licno:  "Pozdrav svima ovo ovako posto sam nov na forumu mislim da bi bio 
red  i da se predstavim moje ime je nikola ali svi me mozete zvati Giga inace ja 
se  bavim  crackingom (profesionalno) tako da ukoliko imate neki reques slobodno 
mi  se  obratite bice mi drago da je u mojoj pomognem ukoliko moci evo ovako sto 
se tice crackinga tu znam sve znaci ovako:  

manual unpacking oko 95% zastita  
Fishing  
patching  
keygening  
izrada brute forcera  
I sve ostalo sto nisam nabrojao.  
Znaci ukoliko imate nekih pitanja slobodno mi se obratite i bice mi drago da vam 
pomognem. eto toliko od mene p.s nadam se da mi moderatori nece zameriti sto sam 
otvarao novu temu zbog evog sranja ali stvarno mislim da je red da se predstavim 
Pozdrav." 

  Fino  fino, lici li ti ovo deroko na sadrzaj necije knjige? Bogami ap0x, veoma 
lici  :)  Ali  ne lezi vraze kako vec sutra dan giga postaje moderator na forumu 
(DarkMan  izvini  ali  istorija  ne moze da se menja, nije tvoja greska). Pobogu 
zasto  i ne, pa on poseduje sve ove fantasticne osobine kojima se toliko dici. I 
tu  bi  tisina, ali ne onakva tisina kakva je pomalo dosadna. Ne ta, tisina koja 
nasta  napravi  grozan zvuk grebanja noktima po tabli. Da dobro ste procitali to 
je  giga  iskoristio svoj novo steceni polozaj da siri svoju mudrost. I gle cuda 
bi  svetlo, giga je upravo zavrsio Armadillo unpacking tutorijal i radosno ga je 
postavio  na  jezgra. E tu pocinju njegove muke, tu je uhvacen u lazi i vreme je 
da  se  reaguje... Ili on ili mi (bolje on). Nego da probamo mi (deroko i ja) da 
uradimo  ono  sto  je  veliki diktator giga napisao u svom carobnom tutorijalu o 
Armadillu. 

 Tutorijal je moguce preuzeti sa: 
   http://rapidshare.de/files/11383523/Manual_unpacking_Armadilio_v2.52.rar.html 

  Da vidimo, da vidimo... Hmm pominje da je Armadillo jebac keve medju zastitama 
ali  da  ga  je  veoma  lako  otpakovati. Lako, poslednji put kad smo pokusavali 
trebalo  nam  je  oko  sat  vremena  da  uklonimo  i  copymem  i debug blocker i 
nanomities  i  naravno  code  splicing...  Kako  to  sve giga moze i to na jedva 
jednoj-dve A4 strane. Bili smo u cudu.... Da vidimo pocetak teksta: 

Lamer  licno: "Dobro pre nego sto pocnemo odmah da napomenem da sam namerno kada 
sam  pakovao  ovaj  crackme  stavio na level 1 da bi isli postepeno A u nekom od 
sledecih  tutoriala  cu  vam objasniti kako da otpakujete Armadillo Professional 
V4.40.0250  Options - Retail Cracked Koja je po meni najteza od svih verzija a I 
po  meni  je  to  jedan  od  natezih  protectora  za  otpakivanje  ali normanlno 
podrazumeva se ako je u pitanju: (CopyMem-2+Debug-Blocker)" 

 Aha, vidimo da i giga zna da postoje neki copymem i neki ... Obogaljena verzija 
Armadilla?  Level1?  Da  li  to  znaci  da nema ni copymem, ni debug blocker, ni 
namonite?  Da dragi moji citaoci znaci.... Nema veze, da vidimo, pazljivo citamo 
tutorijal...  Skenirajte  crackme.exe  sa  PeIDom  i videcete da je zapakovan sa 
Armadillom.  Uradismo  to  i  gle cuda i jeste zapakovan sa Armadillom. Mozda je 
giga  ipak  u pravu, mozda smo mi glupi... Ali pratimo dalje tutorijal da vidimo 
sta  je  to giga naumio. Iz nekog razloga pokazuje da meta ima dosta sekcija ali 
to naravno nikome nista i ne znaci. Ok, OEP mete pokazuje sledece stvari: 

0040D7D8 >/$  55            PUSH EBP 
0040D7D9  |.  8BEC          MOV EBP,ESP 
0040D7DB  |.  6A FF         PUSH -1 
0040D7DD  |.  68 E0214100   PUSH crackme.004121E0 
0040D7E2  |.  68 D4D34000   PUSH crackme.0040D3D4 
0040D7E7  |.  64:A1 0000000>MOV EAX,DWORD PTR FS:[0] 

  Ali  ovo je samo standardan VC++ OEP koji je ustvari Armadillov kod... Sad bar 
znamo sta su to autori ovog programa koristili da napisu zastitu...  

Giga dalje kaze: 

Lamer  licno:  "Normalno  ovo  nije  pravi oep vec jebeni crackme protectovan sa 
armadiliom Sada lepo pritisnemo F8 dva puta I videcemo ovo:"  

  Kada  kaze  ovo, misli da cemo doci do instrukcije MOV EBP,ESP i da cemo i nju 
izvrsiti. Onda giga kaze: 

Lamer  licno: "e sada na ovo crveno EBP idemo desni klik pa na fallov in dump <- 
pa cemo dole videti ovo:" 

  Misleci  da  uradimo Follow in dump kako bi smo videli da stack sadrzaj. Dobro 
gigo ali zasto bi smo to uopste radili... Pa nesreco da li si ti video da je EBP 
posle  MOV  EBP,ESP  instrukcije jednak ESPu. Sta vise ESP se menja jedino posle 
PUSH EBP instrukcije tako da je dovoljno uraditi samo jednom F8 i onda follow in 
dump...  pa  postavljanje  hardware  break-pointa. Dobro nije velika greska, ovo 
dokazuje  samo  da  je ovo negde procitao i da nema pojma sta se uopste desava i 
zasto  bi  se  postavljao hardware break-point na stack. Ali pogledajmo sta giga 
dalje kaze: 

Lamer licno: "I na kraju cemo pritisnuti F9" 

  Dobro  uradismo i to i gle cuda drX registri [samo dr1] koji smo, odnosno koje 
je  giga  postavio  nisu  ocisceni!  Dobro  ovo je ipak level1 Armadilla nema ni 
detekcije hardwareskig break-pointa! Dobro, ovo moze da se iskoristi ali OllyDBG 
nigde  nije  zastao!  Nigde  tokom celog izvrsavanja Armadillo koda! Pa zasto su 
onda  i  postavljeni?  Da  bi  tutorijal  bio na dve umesto na jednoj strani? Ne 
recicemo  vam  zasto...  Zato sto nas giga pored toga sto ne zna kako se koristi 
stack trick ne zna ni sta su to drX registri, a bogami ne zna ni zasto je uradio 
besmislenu  operaciju. Tako da se iz ove suste gluposti na pocetku tutorijala da 
zakljuciti  da  giga  nema  pojma  o  tome sto pise. Ali polako za sada je i bez 
obzira  na  to  sto njegovo uputstvo nema smisla uspeo da ga pratimo. Dalje giga 
kaze  da  ce  se  pojaviti  messagebox  koji ce nam saopstiti da se radi o trial 
verziji protektora. I tako i bi... Dalje giga kaze: 

Lamer  licno: "Dobro sada cemo u olly-u pritisnuti ALT-M I zatim vidimo ovo: ovo 
sto  sam  ja selektovao postarajte se da tako bude I kod vas pa zatim desni klik 
pa  na  set  Memory  Breakpiont on Access. I onda kliknite na ok na to sranje od 
msbox-a sto vam je crackme izbacio" 

 Ovo je krajnje logican potez. Protektor mora da kad tad da izvrsi kod u glavnoj 
.code  sekciji...  Ali posto je prvi korak u ovom tutorijalu bio bespotreban ovo 
smo  mogli  da uradimo odmah na pocetku i dosli bi na istu stvar. Po kliku na OK 
dolazimo na OEP mete... Ko bi rekao, bice od naseg gige nesto :) 

Dalje giga kaze: 

Lamer  licno:  "znaci  oep nam se nalazi na adresi: 00401250 dobro sada otvorimo 
lord  PE  I  idemo  na  Dump  Full  I  kada  smo  I  to  uradili  pomocu  import 
Reconstructora  popravimo  importe  I  to  je  to  I da napomenem d ace ostati 2 
invalidna  importa  ali nemojte se obazirati na njih posto ta dva importa nemaju 
nikakvu  ulogu  posto  se  nalaze  na  laznoj  sekciji  Koja je nastala prilikom 
pakovanja  aplikacije  sa  armadiliom  ? Eto to bi bilo to A ako sad niste nista 
skontali onda bolje da skocite u bunar ? Salim se naravno :) "  

  Dobro  giga  kaze  da  skocimo u bunar ako nam ovo ne uspe. Ali za to cemo jos 
videti...  LordPE  u ruke i full dump... Ode memorija na disk bez problema. A da 
to  je  zato  sto  je  ovo level1 pa nema ni dva procesa niti bilo kakve zastite 
fajla.  Ali  pratimo tutorijal dalje, pouceni njegovim prethodnim tutorijalima o 
WW32Packu i nSPacku sledemo uputstvo dato u njima: 

Lamer  licno: "I onda takodje otvoriti metu pomocu Import-rec-a I uneti 004012C0 
kao OEP" 

  Posto  je  ovde  OEP  00401250 ovu vrednost unosimo u ImpRec kad ono... ImpRec 
zavrisita i odlucno rece: 

"Invalid OEP! It does not match in the processes memory" 

  Molim pa zar to ne treba da uradimo? Ne dragi moji citaoci u OEP polje ImpReca 
se  unosi  RVA,  odnosno  relativna  virtualna lokacija OEPa a ne VA - virtualna 
adresa  OEPa.  Dobro  a  koja  je  onda  RVA adresa OEPa. Pa logicno RVA je VA - 
ImageBase,  odnosno  u  ovom  slucaju  to  bi  bilo  00401250 - 00400000 to jest 
00001250.    Unesimo  ovaj  broj  u  ImpRec  i  on  zadovoljno  zapista:  "Found 
something!".  Da  smo gigu slusali ni do ovde ne bi dosli. Ali takav je zivot... 
Giga  dalje  rece da cemo posle klika na GetImports imati dva invalidna importa, 
odnosno:  

Lamer  licno:  "I  da  napomenem d ace ostati 2 invalidna importa ali nemojte se 
obazirati  na  njih posto ta dva importa nemaju nikakvu ulogu posto se nalaze na 
laznoj sekciji" 

 Prvo NE POSTOJE lazne sekcije! Ali giga je sigurno mislio na Armadillo kod koji 
bi  u  nekom  vecem  levelu  sluzio za zastitu a ovako ne sluzi ni za kurac. Ali 
pogledajmo bolje sta se nalazi na lokacijama koje je giga proglasio kao junk. Na 
adresi 009D5F74 importa broj jedan koji se nalazi u kernel32.dll fajlu se nalazi 
ovo:   

009D5F74    E8 CD9F0000     CALL 009DFF46 
009D5F79    FF7424 04       PUSH DWORD PTR SS:[ESP+4] 
009D5F7D    FF15 E8809E00   CALL NEAR DWORD PTR DS:[9E80E8]    ; kernel32.ExitProcess 
009D5F83    C2 0400         RET 4 

  Ocigledan  poziv ka ExitProcess APIju! Jebote pa izgleda da nas giga ne zna da 
Armadillo  cak i na level1 "pozajmljuje" APIje iz kernela. Dobro, a sta se krije 
iza  vrata  broj dva, odnosno sta se nalazi na adresi 009D6D5B. Nista specijalno 
samo ovo:  

009D6D5B    FF7424 10       PUSH DWORD PTR SS:[ESP+10] 
009D6D5F    FF7424 10       PUSH DWORD PTR SS:[ESP+10] 
009D6D63    FF7424 10       PUSH DWORD PTR SS:[ESP+10] 
009D6D67    FF7424 10       PUSH DWORD PTR SS:[ESP+10] 
009D6D6B    FF15 A8829E00   CALL NEAR DWORD PTR DS:[9E82A8]     ; USER32.MessageBoxA 
009D6D71    C2 1000         RET 10 

  Jos  jedan  neophodan  poziv  ka MessageBoxA APIju koji se nalazi u user32.dll 
fajlu!  Da  li  je  moguce  da ce otpakovani program raditi bez ova dva importa. 
Pogledajmo,  giga  kaze  da  kliknemo  na  fix  dump  i  to nam je to, ako nismo 
skontali,  bunar  a  ako  jesmo  onda smo carevi... Klik na fix dump,... tenzija 
raste...  ImpRec  nas  obavestava  da  dump nije u potpunosti popravljen i da je 
potrebno  rucno  popraviti  neke  importe... startujemo dumped_.exe "popravljen" 
fajl...  i .... BUM! Fajl se rusi... Pa kako? Zasto? Uradili smo sve sto je giga 
presvetli  cracker  rekao  i sta... nista, Armadillo nas je pobedio ili mi nismo 
uradili sve kako treba. 

 Pa nismo... Gigo care ovaj .exe fajl mora imati i MessageBoxA i ExitProcess jer 
bez  njih  ne  moze  da: 1) Prikaze onaj lep NAG na pocetku crackmea i pod 2) Da 
uopste izadje iz aplikacije...  

 Kada smo zamolili gigu da nam kaze zasto nismo uspeli da otpakujemo Armadillo i 
da  li  to znaci da treba da skacemo u bunar gigica je rekao da nema pojma zasto 
ovo  kod  nas  nece  da  radi kad kod njega radi savrseno. Sta vise da bi nam to 
"dokazao"  poslao  nam  je  fajl dumped_.exe koji radi!!! Jebote stvarno radi... 
Znaci bunar...   

  Ali  pre  bunara  pogledajmo  da  li  je  giga nesto radio sa ona dva importa. 
Otvaramo  dumped_.exe  fajl  u  LordPE  editoru i imamo sta i da vidimo. Giga je 
popravio  ona dva netacna importa... Kao prvi je stavio GetModuleHandleA tako da 
sad  u  fajlu  postoje  dva  ovakva  APIja (ni jedan kompajler na svetu nece ovo 
uraditi)  i  MessageBoxA... Sta? Giga nas je presao. Rekli smo mu na googletalku 
da  je pogresio pa je ubacio APIje iako je rekao da nisu potrebni :) Objasnicemo 
vam sta se desilo.   

 Giga naime veruje da je svaki fajl otpakovan ako posle dumpa i popravke importa 
skenirate  fajl  PeIDom (ili paidom kako giga kaze) i on kaze da se radi o nekom 
kompajleru.  Nema  veze  ako  taj  fajl  nece  da  se  startuje, PeID kaze da je 
otpakovano pa onda mora i da jeste... Ma nije giga glup setio se on da popravi i 
ova  dva  importa  (doduse  pogresno)  kada  smo mu rekli da je glup i da njegov 
dumped_.exe nece da poleti :) Uvredio se... Nego recicemo vam sta je sve pokusao 
da bi povratio "ugled"... Prvo je pokusao da uradi Trace Level1 u ImpRecu ali se 
ovaj  zaglupio...  Onda  je mislio da bez toga sigurno moze :) Ali ne lezi vraze 
giga  je  shvatio da  smo  u pravu tako da je odlucio da uradi filmic u kojem ce 
pomocu  level1  traceinga  vrati  dva ukradana importa. Setio se, pustion ImpRec 
malo  da  radi svoj posao, ali naravno bez njih nikako i ne moze, zar ne :) I to 
vam je to... 

Lamer licno: "a ap0x mi je rekao preko google talka 
nesto ovog tipa: 

pa  ajde lepo okaci taj tutor da vidimo i operi ljagu sa svoga imena :) i ja sam 
evo  lepo okacio :) i jos nesto da kazem to nije ljaga ljaga je kada je ta osoba 
sto  te optuzuje 100% upravu i ako je sigurna u to sto govori i ima dokaza za to 
ali ocigledno je da neko ovde nema postovanja a zna se i ko je to :)" 

  Dokazi  su  pali,  dokazali smo ne samo da nisi u pravu nego da si pored svega 
toga  i glup. Ali priznacemo ti u pravu si gigo, zna se ko je ko... Svi znaju ko 
smo deroko i ja. Ostaje samo pitanje ko si ti?  

################################################################################ 
#                                                                              # 
# Procena koju daje ap0x: Giga je 100% LAMER!                                  # 
#                        (pise se veliko kad je neko toliko veliki lamer)      # 
#                                                                              # 
################################################################################ 

--[ 0x03 ]----------------------------------------------------[ deroko`s story ] 

  Iskren  da  budem,  mislio  sam  da je ovo nemoguce i da niko nece pasti ovako 
nisko, ali sam se prevario. Kako kaze prica? 

  Jednog  dana sam sedeo smisljajuci kako da razbijem ExeCryptor pokusavajuci da 
mu  nadjem slabe tacke tako sto bi se attachova na njega kroz softice, pa ne bas 
attachovao bolje reci menjao context procesa da bi naso slabe tacke u samom kodu 
koji  pravi  execryptor. Moram priznati zadatak nije bio nimalo lak, posle duzeg 
istrazivanja doso sam do zakljucka da se moze slomiti na oep execryptora uz malo 
srece  sa  mojim  kodom.  Taj  kod  kao  i  manulano  otpakivanje ExeCryptora su 
objavljeni   uz  najnoviji  tutorial  koji  sam  napisao  i  objavio  na  ARTeam 
homepage-u,  grupa  koja se bavi reversanjem protektora i o tome pise tutoriale, 
ciji       sam    ujedno    i    ja    clan.    Tutorial    mozete    naci    na 
http://tutorials.accessroot.com  ako  vas  zanima  kako sam ja ubio execryptor i 
napisao  loader  za isti. No, da napomenem da su dotle bila dostupna 2 tutoriala 
za ExeCryptor, jedan od PakMan/SND i drugi od pnluck-a. 

  No  da ne duzim posle duzeg rada sam objavio sve svoje source kodove, koje sam 
koristio za razbijanje execryptor-a. Ukljucujuci oepfinder i importrec plugin za 
execryptor koji se mogu naci uz gore pomenuti tutorial. 

  Tutorial se bavi razbijanjem execryptor na Golden FTP pro v2.70, a takodje sam 
nabrzaka  objasnio  kako  otpakovati  execryptor  crackme  na  ap0x-ovom  forumu 
koristeci moj oepfinder i plugin. 

  No da prica bude tuznija i tragicnija pojavili su se ripperi koji su procitali 
moj  tutorial  i  objavili  crack  za  isti  program neposredno po objavljivanju 
tutoriala i preuzeli zasluge za to. Nema veze, to me ne pogadja, jer jednostavno 
ja  sam  pisao  tutorial o razbijanju execryptora, potrebno je bilo samo pratiti 
tutorial  i  dobijete otpakovanu i crackovanu aplikaciju, ali crack nisam dao uz 
sam  tutorial  jer  ARTeam  ne  radi  nista  ileglano  vec samo opisuje nacin za 
razbijanje  postojecih  protektora  sto nije  zabranjeno uopste, vec radije siri 
znanje  objavljujuci  svoje  sourceve  kako  bi  drugi  ljudi  mogli da nauce da 
kodiraju ili eventualno da nadograde nase ideja sa mozda jos boljim idejama. 

  No  da se vratimo na pricu o nasim lamerima. Danas kod nas ima klinaca koji su 
kupivsi  ap0x-ovu  knjigu The Art Of Reversing pomislisi da su ispili svo znanje 
sveta,  znanje  koje je ap0x skupljao duze vreme i odlucio da ga objavi u jednoj 
knjizi  i na taj nacin pomogne znatizeljnima kako da se upute u svet reversinga. 
Jedan od tih lamera je giga iliti Shorty, decko koji je prilikom registracije na 
ap0xovom  forumu  selektovao  opciju  da  je  "mladji od 13 godina i da mu treba 
odobrenje  roditelja  da ucestvuje u radu foruma", zbog toga mu je nick "giga" i 
bio  zauzet pa je morao da stavi "Shorty". heh, smesno, no da prica bude tuznija 
posle objavljivanja mog tutoriala i oepfindera ovo sam dobio na gtalk: 

giga: 
"Odlican ti je novi oepfinder, execryptor 5 sec posla" 
deroko: 
"ne lupaj, kad nikad nisi rucno otpakovao execryptor" 

  Normalno on jos nije razumeo poentu mog komentara. Sacu da mu je pojasnim, jer 
ocigledno da nista nije razumeo, a niti ce ikad, mozda kad poraste: 

1. execryptor crackmem moze da se otpakuje za 5 sekundi 
2. execryptor  protektovana  komercijalna  aplikacija pravi toliko pristupa nasoj 
zeljenoj  sekciji  da  bez dumpa i koriscenja IDA i poznavanja kompajlera tesko, 
ako gotovo nikako oepfinder ne moze biti iskoriscen za otpakovanje i sredjivanje 
execryptora. 
3. pa  cak  i  da  dumpujemo  na  pravom mestu, ostaje pitanje vracanja ukradenih 
bajtova  koje  je  execryptor  morfirao  i  prikacio  uz svoj kod, za sad po mom 
saznanju  taj  broj  ukradenih  bajova  je  morfiran  i  integrisan unutar samog 
execryptor-a  i  moze  se  kretati od 1 do N bajtova originalnog koda morfiranog 
kroz  sam  execryptor  tako da problem predstavlja ponovo nalazenje tih bajtova. 
Drugim  recima,  za  to  treba  barem dobrih 1h do 2h analiziranja koda, a da ne 
pominjem da moramo znati koji je kompajler koriscen. 

  Ok,  to  je  ono  sto  je decko trebalo da zna pre nego sto je poceo da hvali, 
iskren  da  budem ja nisam ocekivao da me iko hvali, jer svoje kodove dajem kako 
bi  neko  nesto  naucio,  a ne da bi koristio binary da se kurci... ocigledno da 
neki jos nisu razumeli koja je svrha sharovanja sourceva, ili pak ne znaju nista 
vise  od  push  eax, cmp eax, ebx pa ne mogu ni da razumeju sta kod radi... oki, 
smeh... 

  Sad  dolazimo do vrhunca gluposti koja se moze naci na forumu: reversing.co.sr 
Pod  topikom : ExeCryptor Shit se moze naci ovaj lep komentar naseg dragog gige, 
aka Shorty aka klinac mladji od 13 godina itd...                                 

Giga: 
---------------------------------------- 
 zamislite sta mi se desilo danas :) ja iskopam na cd-u jedan program pakovan sa 
exe  cryptorom  v2.16  cini mi se da je bila i lepo sednem krekujem aplikaciju i 
odnosno  otpakujem  popravim  importe i sva ostala sranja :) i napisem jedan lep 
mali tutorial :) i mislim se sta cu sad sa njime :) i onda se setim Idea znam :) 
i  posaljem  firmi  u office :) execryptor :) taj tutorial naravno :) i verovali 
ili  ne nije proslo ni pet minuta kad evo stize mi mail necu vam sve reci sta su 
napisali  ali evo neki od delova texta koji inace zauzima kao jedna dobra knjiga 
:)   

***moj komentar*** 
 e ovo je gore od ripovanja i koriscenja tudjeg koda, ovo je toliko lame tvrditi 
da  ste  nesto  uradili a niste i pritom koristite tudji tutorial i tudje kodove 
kako  biste  to  isto  poslali ni manje ni vise ExeCryptor developerima, stvarno 
lame i smesno, jos tvrditi kako ste vi to uradili.   
***moj komentar*** 

I  don't understand why unpacking of execryptor is a hard task for many crackers 
:)  compression  layer  in  execryptor  is  optionally. more hard and still open 
problem is a reversing transformed code inside program.  

Ma kome bre to oni foliraju :) 
mada su nekim delom i upravu :) 
ali pazite sad ono najbitnije: 
i meni pomalo kako da se izrazim? 
cudno zacaravajuce :) 

***moj komentar*** 
  ne  foliraju te debilcino, nego ti lepo kazu da moras da najdes morphirani oep 
koji  moras  analizirati od mete do mete a ne upotrebom mog oepfindera kad ti se 
cefne  
***moj komentar*** 

yes,  page_guard is a good idea for stealth trace. many time ago, execryptor 1.x 
use similar idea for self-trace and suppress unpacking. also you need understand 
that  this  method of tracing is very easy suppressed. now we have private build 
which fail -//-   

***moj komentar*** 
eto dokaz da ni protection developeri ne prate tutoriale bas kao ni av kompanije 
nova  oktrica  u  vx svetu. Ali eto debil je morao da koristi moj kod kako bi se 
hvalio,  ehhh,  nema veze private verzija oepfindera je gotova i ne koristi vise 
page_guard  uopste,  zahvaljuci  tebi nece je dobiti niko osim ARTeam-a, tako da 
gricakj muda sa novim execryptorom...    
***moj komentar*** 

Namerno nisam ubacio ceo kod inace bi se neki razocarali u zivot Smile 
salim se naravno ali jedno je sigurno a to je: 
Ma umrli bi od smeha Mr. Green 
likovi mi ladno rekli da ova private verzija nemoze da se otpakuje ni od  strane  
bilo kakvog krekera u svetu :)))))))))))))) 
zamislite koji likovi: 

***moj komentar*** 
pa  da  ako  ubacis  kod koji ni ne razumes ljudi bi se razocarali sto im lameri 
pisu... 
***moj komentar*** 

ama ima tu jos nesto :) sto vam ovaj put necu izjasniti 
ali jedno je sigurno : 
pa ako je taj packer nemoguce otpakovati i nemoze ni jedan kreker 
zasto ce onda meni poslati protektovanu aplikaciju da se ja okusavam na njihovom  
proizvodu koji ce njima doneti veliku lovu :) pa covece mi krekeri se trudimo da  
razjebemo sve zastite a ne da pomazemo majmunima kao sto su oni da nameste  
savrsenu zastitu :) a i jake ce koristi imati od mene :) 
od mene mogu samo stete da imaju :) 

***moj komentar*** 
  ocigledno zato sto su mislis da ih kontaktira neko ozbiljan ko je bio sposoban 
da  iskodira takav kod? nisi mislio na to? A ovo za crackereri razbiaju zastite, 
da crackeri ali ne i lameri, malo si pobrkao pojmove. 
***moj komentar*** 

i na kraju: 

Sincerely, 
Andre N Belokon 
IT Manager 
SoftComplete Development 

http://www.softcomplete.com 
mailto:office@softcomplete.com 
Mr. Green 

A verovali ili ne ovo kada sam video umreo sam od smeha :) 
valjao sam se po podu jedno pola sata :) 

Dear shorty 
Mr. Green 

***moj komentar*** 
bas bih voleo da vidim kako si ga sjebo bez oepfindera, ja znam kako, zato sam i 
napisao  oepfinder... ali je cudno kako odjednom svi znaju sve o execryptoru kad 
imaju  oepfinder?  Zar  ne? super bas me zanima kako ces da otpakujes tu private 
verziju, ali da ne koristis ni moj importrec plugin. 
***moj komentar*** 

Aj dosta je bilo zabolese me vise prsti :) 

  A  da  ne  pominjemo da je decko uvek bio "pijan" kad god bi me na gtalk pitao 
kako  se  reversa  neki  glupi  crackme od 20 linija asm koda... Normalno sad je 
prestao  da me smara kad je video da znam koliko zna i da kod mene ne prolaze te 
fore  "pijan  sam", Hriste Boze raspeti i sveti, srpska zemlja kroz oblake leti, 
pa ja kad sam pijan ja idem da spavam, heh, cenim upornost, ali cisto reda radi, 
ja  kad  sam  jedno  vece  bio  pijan  sam  i  resavao  armadillo  copy-memII sa 
patchovanjem, jes da me glava sutra ubijala ali eto sta sam ja radio pijan, a ne 
resavao  crackme  od  20  asm linija koda... Necu da kazem da je to neka mudrost 
zaobici copy-memII samo treba naci 3 mesta dje da ubacite patch u debug loopu. 

Jednom recju...(ili dve) Fuck Off...  

  Ehhh  da,  moj  crackme  pemem je proglasio za Nightmare iako sam ja ocigledno 
stavio  da  je  level  2, mozda i 1, mnogo lak crackme, ali eto neki ga jos nisu 
resili,  neki  jesu  na  www.crackmes.de  ali  ni  ti koji su ga resili nisu jos 
provalili  sta  crackme  radi,  premda je ime crackmija vise nego dovoljno da se 
razume =)  

Citiram: 
------------------------------------- 
E  pa  ljudi  sta  da  vam  kazem  nove  zastite izlaze svaki dan a takodje se i 
pojavljuju  novi  crackeri  svakodnevno.  koji nemaju veze sa zivotom nego se tu 
kurce  kako  su  crackeri tako sto skinu 2-3 newbie crackmea i to rese i onda su 
kao crackeri 

***moj komentar*** 
 heh ni ti ga jos nisi resio master crackeru, level 2, proglasavas za nightmare, 
fuck... 
***moj komentar*** 

e pa dosta je bilo tih gluposti evo sada vam predstavljam jedan 
domaci proizvod 
By Deroko from serbia koji je jedan od najboljih crackera 
na nasim prostorima a i sire :D 

***moj komentar*** 
hvala hvala, bas sam polaskan...i from Magna Serbia, Serbia etherna 
***moj komentar*** 

inace on kaze da je crackme level 2 ali ja kazem da je nightmare a verujem da se i  
ostali slazu :D 
i da mozda samo 2 ili 3 coveka na ovom forumu mogu da ga rese 
a jedan od tih ljudi je ( Ap0x ) Autor kjige art of reversing 
ma sta vise da kazem uostalom sami probajte :D 

***moj komentar*** 
eto  sad  priznaje da smo ap0x i ja u odnosu na njega bog i batina, samo ne znam 
sto nas toliko uzdize? 
***moj komentar*** 

da napomenem ovo nije obicna igracka tako da nema zajebancije  :D 
Ko za ovo uspe da nadje serial svaka mu cast :D 
Pozdrav i sretno :D 

***moj komentar*** 
jeste  to  je  igracka, to je crackme, moronko, to sto ne mozes da resis level 2 
crackme samo pokazuje tvoje znanje.  
***moj komentar*** 

Ovde posebno obratite paznju na nacin na koji se obraca ostalim clanovima foruma. 

Da bi nam giga razbio zablude i dokazao da je rucno otpakovao execryptor, kad je 
sateran u cosak radi sledece:  

Uzima obican crackme i stiti ga trial verzijom ExeCryptora koja: 
1. ne ubacuje VM 
2. ne morfira kod 
3. ne obsfukira importe 
4. ne krade bajtove 

Drugim  recima  svodi se na istovetno otpakovanje UPX-a ako ne i lakse buduci da 
posle  TLS  callback-a ceo kod je otpakovan i importi popravljeni, to nas gigica 
naziva  MUPing  ExeCryptor,  nego  mene  pre  svega  zanima da vidim otpakovanje 
Aplikacije pakovane ExeCryptorom, recimo ExeCrypt.exe ili ExeCryptor.exe, kad to 
lepo otpakuje svojim olly-ijem nek se javi, dotle nek se ne pravi pametan.   

 No prica ne bi bila smesna kad nas gigica ne bi reko sledece stvari za SoftICE, 
citiram sa njegovog foruma:  

[CITAT] 
ja bih ti rado pomogao ali nekoristim softice jer imam xp 
tako da radim samo u olly Sad 
a i mrzim dos okruzenja pa je i to jedan od razloga zasto ga nekoristim 
tako da sam sto se tice softice-a glup  
ali ako imas nesto sto je povezano sa olly-em e tu ti rado mogu pomoci 
bilo sta da je upitaju samo pitaj slobodno 
[/CITAT] 

SoftICE je DOS okruzenje!?!?!?!?!?!!?!?!?!?!?!?!?  
I ja imam XP pa koristim SoftICE :D:D:D  
A mozda mu se ne svidja softICE jer nema olly skripti za njega, hmmm, toooo bad... 

[CITAT] 
ma nekazem da nije tako 
softice je cak i bolji od olly-a ali jbg ja sam navikao na ollydbg i softice mi je  
sranje a najvise ga mrzim zato sto je jebeno dos okruzenje 
[/CITAT] 

Pa jer bolji ili je sranje? ili je sranje zato sto je DOS okruzenje? Moz misliti  
DOS okruzenje... 

 
a neki Buraz obraca se Vranetu: 
[CITAT] 
@ Vrane 
Da vidis niko ne koristi softice i upravo sto je reko giga ro sam rekoi ja 
[/CITAT] 

 Niko ne koristi SoftICE? Svasta, device driver developeri koriste ili MS kernel 
debugger  ili SoftICE ili Visual SoftICE da debuguju drajvere, da nije tih alata 
ti  ne  bi  mogao  ni  da  pokrenes svoju najomiljeniju igricu... A da ne pricam 
koliko je SoftICE popularan medju reverserima zbog obilja opcija koje u olly-iju 
mozes samo da sanjas... 

  Normalno  lupanje  o  otpakovanju  themide je tek vrhunac, kada gospoda giga i 
Buraz  pocinju  da  tvrde  kako  su  otpakovali themida sa ring0 zastitom pomocu 
Olly-ja.  Da pojasnim ukratko, themida hookuje int1 i int3 sa 0xFFFFFFFF, drugim 
recima  svaki  pokusaj  da  se  u bilo kom delu koda okine int1 ili int3 vode ka 
BSOD,  to  takodje  znaci  dok radi themida sa ring0 zastitom nemozete pokrenuti 
ASProtect,  ExeCryptor,  enigma, ACProtect i slicne zastite koje okidaju int3h i 
int3h  tokom  svog  izvrsavanja  buduci da cete dobiti BSOD. Kako svaki debugger 
koristi int1h i int3h, tim pre je prosto nemoguce sstepovati kod u themida posto 
se  ucita  drajver.  Bez  SoftICE  i svojih drajvera koji bi prazljivo uklanjali 
ring0  zastitu  zadatak je prakticno nemoguc... giga i Buraz nemaju programersko 
znanje  da  napisu  obican:  "Hello  World" driver, a niti znaju kako se koristi 
SoftICE  sto  sami  tvrde,  te se njihova avantura oko themida sa ring0 zastitom 
zavrsava    na    DeviceIoControl    i    zakucavanjem  Ollyija  na  sysenter  u 
UserSharedData... 

  Doduse  nova  themida ima drajver ali ne toliko ofanzivan i cela protekcija se 
sada  zasniva  na  VM  kodu  koji  je  ahmmm  pain  in  the  you know here da se 
dekriptuje,  ljudi koji su to ucinili to cuvaju u tajnosti, ali 2 lamera koja ne 
znaju ni hello world da napisu to sigurno nisu uspela...  

E ovo je tek kralj: 

wyru5: 
[CITAT] 
ma ne ja koristim hiew premium ver. koju sam kupio od jednog crackera..zao mi je  
sto je ne mogu s vama podjeliti jer sam skupo platio..buraz stima ono za themidu 
..kupujem..pare cu ti poslati na zr.od stare. 
[/CITAT] 

a onda se giga nadovezuje: 
[CITAT] 
ma nije to hiew samo ima taj naziv ali je nesto sasvim drugo 
[/CITAT] 

 Doduse giga je obrisao post u kom tvrdi da je u pitanju neki hiew debugger koji 
ima  10  ljudi.  nekako  mi  je  paradoksalno da mu je softice sranje jer je DOS 
okruzenje!?!?!?, a hiew koji se u poptunosti zasniva na konzoli je super. Doduse 
glupost  za  hiew  debugger je neizmerna, moz misliti, hiew debugger, rofl... da 
tako  nesto  postoji bilo bi na oficijelnoj stranici samog autora HIEWa, a ne bi 
se  neki  izlapeli  lamer kurcio glupostima i sa ljudima koji jos manje znaju od 
njega... 

  Nemam  vise sta da kazem, lamer ostaje lamer, iskreno sam mislio da ovoga nema 
kod  nas,  ali  izgleda  da sam se prevario, enjoy, i nemojte biti glupi kao ovi 
klinci,  ako  se bavite reversingom radite to iz zadovoljstva, a ne da bi pecali 
druge pocetnike i njima prosipali svoje znanje. 

Normalno mali giga ni sad nece razumeti sta sam sve napisao... 

Ah da vrhunac koji sam skoro saznao je ovo: 
by giga to unknown: 

"Ja sam clan blackhatz tima! Znas to su oni likovi na koje se deroko ugleda" 

  Ehhh  moj  gigo, ja sam kao clan blackhatz tima bio od osnivanja i napustio to 
jer  sam imao obaveze na fakultetu. Da li blackhatz jos postoji ne znam, jer sam 
sad  u jednoj lepoj grupi koja se bavi samo tutorialima zvanoj ARTeam, a ti samo 
sanjaj  da postanes neko i nesto preko kompa, to se postaje u stvarnom zivotu, a 
ne proseravanjem na tvom forumu i gtalku. 

Over and out... 

 
################################################################################ 
#                                                                              # 
# Procena koju daje deroko: Giga je 100% LAMER!                                # 
#                        (zao mi je sto je nasa skala ogranicena na samo 100%) # 
#                                                                              # 
################################################################################ 

 
--[ 0x04 ]----------------------------------------------------[  Over and Out  ] 

Da je nas giga izuzetno los uticaj pokazuje i post jednog clana foruma jezgra.org: 

"Kao  sto  rekoh, jos san nov u svitu crackinga i polako ali sigurno ucim i idem 
naprijed;  onoliko  koliko mi vrijeme dopusta i tako to...Ali sa sigurnoscu mogu 
reci  da si ti Giga jedan od najjacih po pitanju crackinga na ovom forumu koliko 
vidim  (i  koliko  se  kuzim  u cracking)...Tako da samo nastavi tako dobar rad, 
rezultat  ne  gine.  Ja  uvik  skinem  tvoje tutoriale, i s neta skidam knjige i 
primjere  i  polako radim. Ono sto zelim reci je: SAMO NASTAVI S CRACKINGOM. IMA 
NAS DOSTA KOJIMA TREBA TAKVA OSOBA, nesto kao MENTOR...Hehe. Pozdrav" 

 Strasno! Giga je nekog uspeo i da zavara sa svojim "znanjem". Mi vas za razliku 
od  doticnog  necemo  lagati,  necemo  vam  zatvarati  teme kada vas prozovemo i 
popljujemo,   necemo  falsifikovati  dokaze,  necemo  otpakivati  protektore  sa 
iskljucenim  zastitama, necemo pisati tutorijale koji su skroz pogresni... I sto 
je  najvaznije  necemo biti bezobrazni kao sto je doticni bio kada smo ga (prvo) 
lepo pitali da nam objasni greske u svojim tutorijalima, kad smo ga pitali da na 
pokaze  kako je ON licno otpakovao ExeCryptor... Ne mi to necemo raditi, to cine 
neki drugi... Mi smo sa nasim gigom zavrsili, a vi sada kada znate istinu vidite 
sta vam je ciniti :) 

--[ EOF ]-----------------------------------------------------[ by ap0x&deroko ]

← previous
next →
loading
sending ...
New to Neperos ? Sign Up for free
download Neperos App from Google Play
install Neperos as PWA

Let's discover also

Recent Articles

Recent Comments

guest's profile picture
@guest
9 May 2024
Sabung Ayam Online
guest's profile picture
@guest
9 May 2024
Situs Sabung Ayam Digmaan
guest's profile picture
@guest
8 May 2024
very tasty
guest's profile picture
@guest
8 May 2024
I like the old PC-viruses. They were very popular in the 90s
guest's profile picture
@guest
8 May 2024
Sabung Ayam Online
guest's profile picture
@guest
7 May 2024
I like the idea of using Caraffa to color the beer
guest's profile picture
@guest
7 May 2024
Sabung Ayam Online
guest's profile picture
@guest
6 May 2024
Situs Sabung Ayam Digmaan
AniphaeS's profile picture
@AniphaeS
5 May 2024
Yes, you are right! The correct spelling is " QUEENS". Thanks a lot for the warning 🙂
guest's profile picture
@guest
5 May 2024
Daikatana was my favorite game on the Nintendo64. I have played it a lot but never managed to complete it 100%
a Francesco Arca production 2016 - 2024
Terms of Service - Privacy Policy
neperos on mastodon
Neperos cookies
This website uses cookies to store your preferences and improve the service. Cookies authorization will allow me and / or my partners to process personal data such as browsing behaviour.

By pressing OK you agree to the Terms of Service and acknowledge the Privacy Policy

By pressing REJECT you will be able to continue to use Neperos (like read articles or write comments) but some important cookies will not be set. This may affect certain features and functions of the platform.
OK
REJECT