|
waganono
|
 |
« le: 15 Novembre 2005 à 21:32:47 » |
|
C quoi cette erreur : "Impossible d effectuer une partie d'une requête ReadProcessMemory..." au lancemen du prog??
J'ai déassembler le truc avec IDA pro et j obtiens au point d'entrée du programme un code qui affiche juste une messagebox.
D'autre part je sais ke le binaire est détecté en tant que UPX x.xx - > 1.24 modified par PEID et StudPE et qu'il y a une section de l executable qui contient
des données (surement le code du crackme).
Mais c'est quoi cette erreur?
Vous avez des infos interessantes?
|
|
|
|
|
Journalisée
|
|
|
|
|
|
SeVeN
|
 |
« #1 le: 16 Novembre 2005 à 03:30:33 » |
|
de mémoire, c'est un truc qui a été codé avec la demo de delphi 5. Et apparament y'a un bug dans l'affichage de la nag qui dit que c'est une demo. Enfin je ne sais plus trop, mais en tout cas il faut juste inverser un saut et on accede au crackme.
En tout cas, c'est encore un niveau qui a été mis sur le site sans verification.
|
|
|
|
|
Journalisée
|
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS d- s+:- a-- C+++ UL++ P++ L++ E W++ N+ o-- K- w++
O-- M V- PS+ PE++ Y+ PGP t 5 X++ R+ tv-- b+ DI D+
G e- h+ r- y+
------END GEEK CODE BLOCK------
|
|
|
|
|
waganono
|
|
« #2 le: 16 Novembre 2005 à 22:08:47 » |
|
C bon j'ai reussi à enlever cette histoire d'erreur avec ReadProcessMemory.
Mais cette fois ya un autre pépin, j'ai essayé de desassembler de mille façons l'EXE mais ya qu'un petit code de 6 lignes pour afficher une
messagebox : "Tu n as pas a etre là" (au point d'entree du programme Section : sos, en 430000)). Et dans le reste des sections ya plein de donnés surement packé mais je ne vois pas de loader?
Ya un truc spécial à faire? faut tenter un décrypatge des sections manuellement (c un XOR ou un autre truc du genre)?
|
|
|
|
|
Journalisée
|
|
|
|
|
|
SeVeN
|
|
« #3 le: 17 Novembre 2005 à 11:51:01 » |
|
J'ai pas le temps de regarder là (un train a prendre) mais en tout cas n'écoute pas ce que j'ai dis plus haut, je me suis trompé de crackme, celui dont tu parles c'est du VB (j'ai pas regardé le fichier mais si tu as une section sos, c'est du VB, il **orthographe !** que ca sos à l'époque)
|
|
|
|
|
Journalisée
|
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS d- s+:- a-- C+++ UL++ P++ L++ E W++ N+ o-- K- w++
O-- M V- PS+ PE++ Y+ PGP t 5 X++ R+ tv-- b+ DI D+
G e- h+ r- y+
------END GEEK CODE BLOCK------
|
|
|
|
|
Nebelmann
|
|
« #4 le: 20 Novembre 2005 à 10:58:56 » |
|
Comment faut faire pour virer cette p**in d'erreur de requête ReadProcessMemory? Faut-il aller bidouiller dans le PE header?
Ca m'a pas l'air évident comme challenge...
|
|
|
|
|
Journalisée
|
-- Nebelmann -- Registered linux user #429186«Si les lecteurs étaient des compilateurs, les posteurs feraient peut-être davantage attention à ce qu'ils écrivent...» |
|
|
|
|
waganono
|
|
« #5 le: 22 Novembre 2005 à 14:24:16 » |
|
Oui il faut bidouiller ds le PE Header, en fait le PELOADER de windows n'arrive pas à lire la mémoire du processus qu'il est en train de lancer, du coup le processus n'arrive même pas au point d'entrée. Il y a quelques propriétés à changer pour que les sections de l'executable puissent être "read" par le PELOADER.
Mais une fois ça de corriger, c'est une tout autre histoire ki commence?
Si quelqu'un avait une petite info ce serait pas de refus
|
|
|
|
|
Journalisée
|
|
|
|
|
|
SeVeN
|
|
« #6 le: 22 Novembre 2005 à 16:08:02 » |
|
Bon j'ai eu le temps de regarder. Donc là, l'entrypoint de l'executable a été deplacé pour qu'il pointe vers une section bidon, qui affiche une messagebox. Le but ici c'est de retrouver le veritable entrypoint. On sait que c'est packé par UPX (merci PEiD) Maintenant, on sait aussi que UPX insert un loader de decompression, toujours le meme. A toi de le retrouver
|
|
|
|
|
Journalisée
|
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS d- s+:- a-- C+++ UL++ P++ L++ E W++ N+ o-- K- w++
O-- M V- PS+ PE++ Y+ PGP t 5 X++ R+ tv-- b+ DI D+
G e- h+ r- y+
------END GEEK CODE BLOCK------
|
|
|
|
|
Nebelmann
|
|
« #7 le: 22 Novembre 2005 à 17:30:03 » |
|
Je peux pas le désassembler... il faut donc trouver l'entry point dans un éditeur hexa, c'est bien ça??
Ou alors faut changer des trucs dans les sections avant?
|
|
|
|
|
Journalisée
|
-- Nebelmann -- Registered linux user #429186«Si les lecteurs étaient des compilateurs, les posteurs feraient peut-être davantage attention à ce qu'ils écrivent...» |
|
|
|
|
SeVeN
|
|
« #8 le: 22 Novembre 2005 à 17:41:29 » |
|
Ah oui il faut deja avoir corrigé l'histoire du ReadProcessMemory, je repondais a waganono. Les sections d'abord, l'entrypoint apres  |
|
|
|
|
Journalisée
|
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS d- s+:- a-- C+++ UL++ P++ L++ E W++ N+ o-- K- w++
O-- M V- PS+ PE++ Y+ PGP t 5 X++ R+ tv-- b+ DI D+
G e- h+ r- y+
------END GEEK CODE BLOCK------
|
|
|
|
|
waganono
|
|
« #9 le: 22 Novembre 2005 à 21:55:38 » |
|
ça y ai j'ai enfin trouvé l'entry point et j'ai viré les protek anti-debug,
la feuille du crackme s'affiche bien mais faut faire quoi? g un compteur ki arrete pas de tourner et un editbox dans lequel c galère d'écrire...
bizarre...
|
|
|
|
|
Journalisée
|
|
|
|
|
|
SeVeN
|
|
« #10 le: 22 Novembre 2005 à 22:48:00 » |
|
faut arreter les compteurs et pouvoir ecrire dans l'editbox si je me rappelle bien.
|
|
|
|
|
Journalisée
|
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS d- s+:- a-- C+++ UL++ P++ L++ E W++ N+ o-- K- w++
O-- M V- PS+ PE++ Y+ PGP t 5 X++ R+ tv-- b+ DI D+
G e- h+ r- y+
------END GEEK CODE BLOCK------
|
|
|
|
|
waganono
|
|
« #11 le: 23 Novembre 2005 à 13:54:57 » |
|
ben la jcomprend vraiment pas, j'ai viré tous les timers et mis le même texte dans les 2 editbox puis clique sur vérifier, ça me fait une toute petite fenetre avec en titre bravo et c'est tout.
Ya encore un truc spécial à faire?
|
|
|
|
|
Journalisée
|
|
|
|
|
|
Arch Enemy
|
|
« #12 le: 11 Décembre 2005 à 13:29:59 » |
|
je comprends pas,
c'est un crackme packé, donc forcément doit yavoir un PUSHAD et un POPAD non?
ben la ya que des POPAD
donc je suis paumé
|
|
|
|
|
Journalisée
|
Pitite phrase
Les enfants sur les sieges arrières sont sources d'accidents,
les accidents sur les sièges arrières sont sources d'enfants!!! ^^
|
|
|
|
|
Nebelmann
|
|
« #13 le: 11 Décembre 2005 à 17:42:14 » |
|
hem hem... les pushad/popad sont propres aux UPX, mais y'a d'autres packeurs qui utilisent d'autres choses... (et ca monte une team de cracking  ) |
|
|
|
|
Journalisée
|
-- Nebelmann -- Registered linux user #429186«Si les lecteurs étaient des compilateurs, les posteurs feraient peut-être davantage attention à ce qu'ils écrivent...» |
|
|
|
|
freespirit
|
|
« #14 le: 27 Février 2006 à 12:21:31 » |
|
j' ai le meme probléme que Wagonono quand je clique sur vérifier j'ai une toute petite fenetre qui s'affiche. J' ai éssayer de valider l'épreuve avec la valeur des compteurs à l'arret, mais cela ne fonctionne pas. Faut il envoyer la solution au concepteur de l'épreuve pour qu'il nous retourne le bon pass? Ou y a t'il une reel raison pour que la fenetre afficher soit toute petite et démunie de texte ?
|
|
|
|
|
Journalisée
|
La théorie détermine l'observation. (Albert Einstein)
|
|
|
|
|
IRC
Newbie Connect
Liens
Partenaires
Réglement
Goodies
L'incubateur
L'équipe
Hall Of Fame
