CrackMe 6/10 | C++ | Anti-Debug | Strings Encrypt

0/10

encrypted bytes ^ 0x5A

 

декриптор строк

import ida_kernwin
import idc
import ida_bytes

xor_key = [0x5a, 0xc3, 0x1f, 0xb7, 0x8e, 0xd2, 0x4b, 0xa9]
def decrypt_string(encrypted_str_addr):
str_len = 0
for _ in range(100):
b = ida_bytes.get_byte(encrypted_str_addr + str_len)
if b == 0:
break
str_len += 1
print("String length:", str_len)
encrypted_str = ida_bytes.get_bytes(encrypted_str_addr, str_len)
decrypted = bytearray()
for i in range(str_len):
decrypted.append(encrypted_str[i] ^ xor_key[i % len(xor_key)])
return decrypted.decode(errors='ignore')

encrypted_addr = ida_kernwin.ask_addr(0, "Enter encrypted string address:")
decrypted_str = decrypt_string(encrypted_addr)
ida_kernwin.msg("Decrypted string: {}".format(decrypted_str))
idc.set_cmt(encrypted_addr, "Decrypted: {}".format(decrypted_str), 0)

Python

import ida_kernwin

import idc

import ida_bytes



xor_key = [0x5a, 0xc3, 0x1f, 0xb7, 0x8e, 0xd2, 0x4b, 0xa9]

def decrypt_string(encrypted_str_addr):

    str_len = 0

    for _ in range(100):

        b = ida_bytes.get_byte(encrypted_str_addr + str_len)

        if b == 0:

            break

        str_len += 1

    print("String length:", str_len)

    encrypted_str = ida_bytes.get_bytes(encrypted_str_addr, str_len)

    decrypted = bytearray()

    for i in range(str_len):

        decrypted.append(encrypted_str[i] ^ xor_key[i % len(xor_key)])

    return decrypted.decode(errors='ignore')



encrypted_addr = ida_kernwin.ask_addr(0, "Enter encrypted string address:")

decrypted_str = decrypt_string(encrypted_addr)

ida_kernwin.msg("Decrypted string: {}".format(decrypted_str))

idc.set_cmt(encrypted_addr, "Decrypted: {}".format(decrypted_str), 0)

вот начеркал скрипт иды для тех кто хочет расшифровать строки

начало

сразу в глаза бросаеться xor декрипт строки. ключ: 5a c3 1f b7 8e d2 4b a9. он также лежит по адрессу 038498

я выше приложил скрипт декрипта строк

антидебаг

выглядит так се если честно. вот результат

первые 2 функции выглядят похоже. если упускать string encryption:

// вырезал расшифровку и дешифровку
kernelHandle = GetModuleHandleA(kernel32dll);
if ( !kernelHandle )
return 0;
ProcAddress = GetProcAddress(kernelHandle, str_GetProcAddress);
v10 = -1;
if ( !ProcAddress )
return 0;
v14 = (unsigned int (*)(void))((__int64 (__fastcall *)(HMODULE, _BYTE *))ProcAddress)(
kernelHandle,
str_IsRemoteDebuggerPresent);
return v14 && v14() != 0;

C

  // вырезал расшифровку и дешифровку

  kernelHandle = GetModuleHandleA(kernel32dll);

  if ( !kernelHandle )

    return 0;

  ProcAddress = GetProcAddress(kernelHandle, str_GetProcAddress);

  v10 = -1;

  if ( !ProcAddress )

    return 0;

  v14 = (unsigned int (*)(void))((__int64 (__fastcall *)(HMODULE, _BYTE *))ProcAddress)(

                                  kernelHandle,

                                  str_IsRemoteDebuggerPresent);

  return v14 && v14() != 0;

дальше идет проверка на peb которую кстати x64dbg умеет обходить без плагинов

следуюющие 2 функции уже поинтерестнее

CheckParrent

для начала берем имя родительского процесса

и дальше там сложные расшифровки и тд и проверка на блеклист

CheckBadWindow

тут примерно так же

как же выглядит блеклист?

не очень читаемо но суть вы уловили

дальше идут страшные проверки которые мы упустим тк мне лень думать в 2 часа ночи

потом мы ставим бряк на любую инструкцию и вот те на. нас ликвидируют(
дело вот в чем

если вкратце то то он считает хеш секции с кодом и проверяет его на целостность

решение

просто меняем в скрипте ключ на xor_key = [0x5a]

неплохо но думаю не 6/10