NewbieContest

C quoi cette erreur : "Impossible  d effectuer une partie d'une requête  ReadProcessMemory..." au lancemen du prog??
J'ai déassembler le truc avec IDA pro et j obtiens au point d'entrée du programme un code qui affiche juste une messagebox.
D'autre part je sais ke le binaire est détecté en tant que UPX x.xx - > 1.24 modified par PEID et StudPE et qu'il y a une section de l executable qui contient
des données (surement le code du crackme).
Mais c'est quoi cette erreur?

Vous avez des infos  interessantes?

de mémoire, c'est un truc qui a été codé avec la demo de delphi 5. Et apparament y'a un bug dans l'affichage de la nag qui dit que c'est une demo. Enfin je ne sais plus trop, mais en tout cas il faut juste inverser un saut et on accede au crackme.

En tout cas, c'est encore un niveau qui a été mis sur le site sans verification.

C bon j'ai reussi à enlever cette histoire d'erreur avec ReadProcessMemory.
Mais cette fois ya un autre pépin, j'ai  essayé de desassembler de mille façons l'EXE mais ya qu'un petit code de 6 lignes pour afficher une
messagebox : "Tu n as pas a etre là" (au point d'entree du programme Section : sos, en 430000)). Et dans le reste des sections ya plein de donnés surement packé mais je ne vois pas de loader?

Ya  un truc spécial à faire? faut tenter un décrypatge des sections manuellement (c un XOR ou un autre truc du genre)?

J'ai pas le temps de regarder là (un train a prendre) mais en tout cas n'écoute pas ce que j'ai dis plus haut, je me suis trompé de crackme, celui dont tu parles c'est du VB (j'ai pas regardé le fichier mais si tu as une section sos, c'est du VB, il **orthographe !** que ca sos à l'époque)

Comment faut faire pour virer cette p**in d'erreur de requête ReadProcessMemory? Faut-il aller bidouiller dans le PE header?

Ca m'a pas l'air évident comme challenge...

Oui il faut bidouiller ds le PE Header, en fait le PELOADER de windows n'arrive pas à lire la mémoire du processus qu'il est en train de lancer, du coup le processus n'arrive même pas au point d'entrée. Il y a quelques propriétés à changer pour que les sections de l'executable puissent être "read" par le PELOADER.
Mais une fois ça de corriger, c'est une tout autre histoire ki commence?

Si quelqu'un avait une petite info ce serait pas de refus

Bon j'ai eu le temps de regarder. Donc là, l'entrypoint de l'executable a été deplacé pour qu'il pointe vers une section bidon, qui affiche une messagebox. Le but ici c'est de retrouver le veritable entrypoint. On sait que c'est packé par UPX (merci PEiD) Maintenant, on sait aussi que UPX insert un loader de decompression, toujours le meme. A toi de le retrouver

Je peux pas le désassembler... il faut donc trouver l'entry point dans un éditeur hexa, c'est bien ça??
Ou alors faut changer des trucs dans les sections avant?

Ah oui il faut deja avoir corrigé l'histoire du ReadProcessMemory, je repondais a waganono. Les sections d'abord, l'entrypoint apres ;)

ça y ai j'ai enfin trouvé l'entry point et j'ai viré les protek anti-debug,
 la feuille du crackme s'affiche bien mais faut faire quoi? g un compteur ki arrete pas de tourner et un editbox dans lequel c galère d'écrire...

bizarre...

faut arreter les compteurs et pouvoir ecrire dans l'editbox si je me rappelle bien.

ben la jcomprend vraiment pas, j'ai viré tous les timers et mis le même texte dans les 2 editbox puis clique sur vérifier, ça me fait une toute petite fenetre avec en titre bravo et c'est tout.

Ya encore un truc spécial à faire?

je comprends pas,
c'est un crackme packé, donc forcément doit yavoir un PUSHAD et un POPAD non?
ben la ya que des POPAD
donc je suis paumé

hem hem... les pushad/popad sont propres aux UPX, mais y'a d'autres packeurs qui utilisent d'autres choses...
(et ca monte une team de cracking :rolleyes:)

j' ai le meme probléme que Wagonono quand je clique sur vérifier j'ai une toute petite fenetre qui s'affiche. J' ai éssayer de valider l'épreuve avec la valeur des compteurs à l'arret, mais cela ne fonctionne pas. Faut il envoyer la solution au concepteur de l'épreuve pour qu'il nous retourne le bon pass? Ou y a t'il une reel raison pour que la fenetre afficher soit toute petite et démunie de texte ?

Bon ben on lira les tuts de Nebelman avec attention... les autres, on s'en méfiera :)))

:lol:

Il est vrai que remettre en cause PEID n'est pas de bonne augure et meme si sa consonance laisse croire qu'il **orthographe !** aller se faire anculer. Je ne croit pas qu'il faille faire la meme chose avec ces discourts ;)

ça dépend si on prononce "péd" ou "p-e-i-d" comme moi je le fais

ou encore pi-i-aille-di

US go home !

bon j'avoue, mon empathie et trés subjectif mais je l'ai tellement utilisé avec de petit élan de colére :mad: que le blasféme m'est venu à l'esprit. :idea: ggrr mes sentiments ont encore outre passé ma raison.:oops:

Décidement cette message box m'en fait voir de toutes les couleurs je sais quelle appellé par _vbaNew2 qui push deux arguments. Au debut je pensée que c'était le titre et le contenu et qu' il sufisait de pusher le bon message mais il n'en ait rien.
De plus, je m'interroge sur ce contenu car le seul string que j'ai trouvé est une phrase du style "brovo je vois que t'es arrivez a passer toutes les protections communique moi ce passe ...." j ai beau rentrer se passe pour valider l'épreuve ca ne fonctionne pas. Et en admetant que celui-ci est le bon, la partie des timers et de l 'edit de box ne sers à rien vu qu'on un acces à la string à ce moment la de l'épreuve. Donc je tourne en rond depuis 1 semaines pour savoir que dois je faire ou trouver.
J'ais lu un tuto sur le camouflage de string et la simulation d'api (que je n'ai pas encore  tout compris) serai-ce le cas ici ?

Salut.
Bon en faite ici si je me souviens bien j'avais du refaire le crackme parce qu'il y avait eu un prob avec le site, puis a un moment donné le crackme n'y était plus et donc j'ai du le redonner à folcan. Le seul problème c'est que c'est le fouilli sur mes disques et donc j'ai donné une version que je n'avais pas achevée et qui donc reste assez simple comme le gars en haut l'a dit. Donc si vous avez trouver le pass du crackme veuillez me le communiquez via un mail et je vous donnerai le pass à valider. Bien sur communiquer moi votre démarche ;-)
Je ne suis plus très souvent sur le net c'est temps ci et donc il se peut que je ne vous réponde pas de suite mais j'y répondrais.
Voilà a+

ps : si je trouves le temps, je vais refaire le crackme pour que vous puissiez directement valider.
Enfin ca laisse le temps à certain de pouvoir faire ce crackme facilement. ^^

Bon je viens de finir ce crackme... En fait j'ai fait l'ancienne et la nouvelle version :evil:
J'ai d'abord débuté par la version disponible sur le site et qui, comme le dit sos, ne contient pas le bon code pour valider sur le site :O Honnetement ca m'a "un peu" gonflé... Puis j'ai retrouvé sur une de mes clés USB l'ancienne version (quelques différences mineures avec la nouvelle version) qui contient le bon code... Bref si vous voulez etre un tantinet respectueux des gens qui essaient de resoudre les challenges :
1. soit vous remettez l'ancienne version du crackme sur le site ; je l'envoie parallement a Nms au cas ou mais j'imagine que je n'etais pas le seul a l'avoir...
2. soit vous changez le pass de validation pour que ca colle avec le crackme actuel
Ma preference va a la solution 1 parce que l'ancienne version dispose d'un petit truc supplementaire sympa...

Enfin pour conclure, a mon avis ce n'est pas un crackme mais plutot un "correctme" car en l'etat ca ne fonctionne pas sans modifier l'executable. Ce n'est pas une critique car je trouve le concept educatif :D mais plutot une information (meme si tout a deja ete dit par Seven :wink: )...

PS : en attendant la correction (1 ou 2) sur le site, je peux envoyer l'ancienne version (qui valide =D ) par mail a ceux qui le souhaitent ; envoyez moi un MP avec votre email

tiens, Phoenix1024, vous-ici =D

Tu vas bien ? :)

Et oui comme on dit Fontaine je ne boirai pas de ton eau...

Ca va. J'avais quelques minutes de temps libre =D

Suite au mail de Phoenix, j'ai remis l'ancienne version.
Amusez-vous bien.

J'allais recoder l'affaire, ajouter **No Sms** trucks (;-)) ca m'enlève une épine du pied pour un moment.
Je me souviens plus du pq j'avais du recoder l'affaire > ptete que folcan s'en souviens(un prob au site - j'avais recoder sur le m^m code source :rolleyes:)> moi dans mes logs, je m'y perds ...

Enfin en tout cas Merci :-).
(Tout ceux à qui j'avais demandé sur le chan, l'avait perdu.)

Hello

Après vérification la version du crackme fournie n'était toujours pas la bonne.

J'ai normalement corrigé ça et celle disponible maintenant est la version originale (avec le passe qui valide sur le site).

Désolé pour les désagréments :?

Voila
++

Merci pour cette petite précision ... :wink:

Je devrais peut-être aussi l'indiquer sur la page du challenge en fait... =)

Oui c'est bien celui-là
Merci S0410N3

quelqu'un pourrait m'aider pr cette epreuve g reussi a la umpacker mais ensuite je suis perdu **orthographe !** pourrait maider

J'ai un petit soucis avec ce crackme :evil:,

Je pense l'avoir correctement unpacké car j'arrive à le désassembler avec IDA ... et il se lance toujours correctement. Cependant je pense qu'il doit contenir du code anti-désassembleur (style cca ou junk peut-être) car j'ai tout de même quelques incohérences lorsque j'essaie de le debugger. Je me documente actuellement sur le sujet pour valider ou invalider mon hypothèse.

Lorsque je le lance normalement ce crackme dans une VM Windows 2K sans aucun logiciel il m'affiche toujours une boite de dialogue me disant avoir détecté SoftIce :shock: et là j'avoue être un peu perdu.
D'après mon analyse du code désassemblé, cette boite de dialogue s'affiche tout le temps qu'il y ait ou qu'il n'y ait pas de debbuger.
Je ne vois donc même pas les compteurs qui tournent décris dans les précédents posts.
Je me demande s'il ne faut pas modifier l'entrypoint du crackme pour résoudre ce problème ...

Je souhaiterai juste savoir si je suis loin du Chemin ... :rolleyes:

:)
20 min à essayé de trouver une phrase pour t'aider, ca vaut ce que ca vaut :
"To Be Or Not To Be? That is the question"

Salut,

Je ne comprends pas bien l'objectif une fois qu'on a fait tout ce qu'il fallait pour avoir la fenêtre avec un compteur.

Une piste ?

C'est une kowazu il n'y a probablement pas de réel objectif :)
Après je ne m'en souviens plus...
Une fois passées les étapes chiantes du packing chez kowazu généralement c'est trivial après.

Si cela peut aider quelqu'un, cela est faisable sans arrêter les compteurs. Du moins, il ne me semble pas que je les ai arrêtés.

ferbos

Bonjour tout le monde,

ça fait un moment que je suis bloqué sur cette épreuve. j'explique ma situation.
J'ai bien réussi à régler le problème de process read donc j'obtiens le message "Tu ne devrais pas être là". Ensuite on me dit que c'est packé avec "UPX-Scrambler RC1.x", je vois ce qui ressemble à une routine de loader mais quand je place l'eip au début de la routine ça crash...
j'essaye de voir s'il y a pas un autre endroit ou il y aurait une routine mais je vois pas trop.
Des indices?

Cordialement

Salut CQD

Si tu n'arrives pas unpacker, tu as peut être mal géré la 1ere partie. Sinon ca reste du classique.

Acharne toi cette épreuve en vaut vraiment la peine.

Donc si je comprend bien l'EP est dans la nouvelle section (celle avec la msgbox) et je dois le changer pour qu'il exécute la section sos.

Comment je peux trouver l'adresse de l'entry point dans sos?

Un peu d'aide serait appréciée :)

Merci

Bonjour,

J'ai effectué toutes les opérations préalables d'unpack/sections/EP/anti-debug etc etc  =).. Je prendrais néanmoins volontiers un conseil sur les timers en VB5, car en désassemblant je ne voit pas moyen d'arrêter ceux-ci, de les désactiver, supprimer ou autre.. Si quelqu'un a des infos la-dessus je le remercie d'avance  =D

Salutations !

Le noyau de cette crackme est un classique du genre.
Bien documenté sur le web.
Pour débuter, aussi un classique est présent document ici:
https://www.newbiecontest.org/forums/index.php?topic=746.0 (https://www.newbiecontest.org/forums/index.php?topic=746.0)

Help! J'ai passé toutes les protections (du moins je pense, et j’espère grrr  :mad:). Je me retrouve avec une toute petite fenêtre avec juste un compteur et un bouton "À propos". Pas d'autres timer, de edit box (quoique le timer semble être inscrit dans une edit box) ou de bouton "Vérifier" comme il est dit dans certains postes. Mais possible que ces indications ne soient plus valides (suites au changement de version). Donc est-ce que je suis bien arrivé à destination? Et si oui, une petite piste sur ce qu'il faut faire?

Merci.

Salut,
A priori tu n'as pas encore tout découvert... Creuse encore pour lever le voile sur certains points !
Et pour la suite : cherche à rester logique !

Drake