n*i*t*r*o p*r*o

Vous avez un problème pour cracker ou vous souhaitez parler de reversing en général...

n*i*t*r*o p*r*o

Messagepar rvq35 » 06 Janvier 2016, 23:33

bonjour et bonne année à tous
je me lance sur n*i*t*r*o p*r*o mais j'ai du mal à trouver la routine du sérial
par les apis, toute une cargaison et je ne retrouve pas de messagebox, la méthode de la pile n'est pas opérationnelle, pas de sdr bien entendu et je ne retrouve rien en memory map. le serial est de la forme xxxxxx-xxxxxx-xxxxxx et que du chiffre. j'aurai besoin juste d'un petit coup de pouce, un indice juste pour le départ. J'aimerais trouver le saut à modifier dans un premier temps, le serial par la suite naturellement.
merci
Dernière édition par baboon le 12 Janvier 2016, 07:11, édité 1 fois.
Raison: Modification du post pour masquer le nom de l'application...
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: nitro pro

Messagepar rvq35 » 06 Janvier 2016, 23:38

pardon j'oubliais ...
Code: Tout sélectionner
h__p://www.clubic.com/lancer-le-telechargement-139408-0-nitro-pdf-professional.html
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: nitro pro

Messagepar dionosis » 09 Janvier 2016, 00:04

Salut rvq35,

D'abord deux petites remarques :
- on ne donne pas le nom d'une appli directement, on le brouille d'une manière ou d'une autre
- rien ne sert de créer un second post lorsque personne n'a encore répondu derrière

Ensuite, quand tu dis que la méthode de la pile n'est pas opérationnelle, c'est à dire ?
Parce que seul un reverser sait cacher efficacement ce genre de traces, donc c'est assez rare.

Enfin, tu devrais préciser je pense la version sur laquelle tu travailles, 32 ou 64 bits.

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: nitro pro

Messagepar rvq35 » 09 Janvier 2016, 06:06

merci Dionosis pour ta réponse. Désolé pour le lien direct.
je suis en 32 bits. J'essaie de trouver dans la Dump un message relatif au mauvais sérial choisi et je pose un bp dessus mais je ne retrouve rien dans la pile. Je ne crois pas que c'est le vrai message affiché sur le mauvais sérial que je retrouve en dump
Quelle différence entre harware bp, memory bp ou toggle bp ?
et pourquoi certain return to ... sont en rouge dans la pile et d'autres en noir ? pas évident tout ça ...
Comme je disais sur l'autre post en divers, il y a un fossé entre les cours du guide et la réalité (vrai logiciel)
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: nitro pro

Messagepar AmandaLear » 10 Janvier 2016, 20:45

Tu regardes quel exe ou dll ?

Parce que la procédure d'activation (serial/activation en ligne/hors ligne) se trouve dans le fichier ControlActication.exe. Il te suffit de regarder les strings, imports et exports présents dans cet exe.
Avatar de l’utilisateur
AmandaLear
Elève
Elève
 
Messages: 46
Inscription: 06 Octobre 2015, 17:42

Re: nitro pro

Messagepar dionosis » 12 Janvier 2016, 00:51

Salut,

dionosis a écrit:on ne donne pas le nom d'une appli directement, on le brouille d'une manière ou d'une autre

rvq35 a écrit:Désolé pour le lien direct.

Je parlais de n*i-t_r.o p/r/o pour le coup.

"quote a écrit:Quelle différence entre harware bp, memory bp ou toggle bp ?

Sans rentrer dans le détail (go google ou mieux fait des tests en essayant d'écrire un mini debugger) :
- hardware : renseigné directement dans les debug register du cpu, on touche pas au code -> 4 max
- int3 : écrit temporairement 0xCC à l'adresse dans le code -> virtuellement illimités
- memory : joue sur les droits de la page mémoire (4k) contenant et ajoute l'adresse à une liste pour post check -> virtuellement illimités
- toggle : :lol: c'est pas un type de bp, c'est l'action d'inverser l'état d'activation du bp concerné, un 'xor 1 ' en gros

rvq35 a écrit:et pourquoi certain return to ... sont en rouge dans la pile et d'autres en noir ? pas évident tout ça ...

J'avais jamais fait attention à ça tiens, tu m'as fait ressortir un olly tout propre pour regarder et de primes abords il semble que sont en noir tous les return obsolètes/consomés ainsi que le next return, et que sont en rouge tous les return stackés à venir. Ca doit donc être rapport à la stack frame, si < ebp alors noir, sinon rouge.

Faut créer des nouveaux threads pour ce genre de question, c'est plus facile à trouver pour ceux qui cherchent à porstériori et tu auras plus de chance d'obtenir une réponse que si c'est noyé dans un autre thread comme ici.

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: n*i*t*r*o p*r*o

Messagepar rvq35 » 14 Janvier 2016, 19:57

bonsoir
je passe donc le ControlActivation.exe dans olly et fait une recherche de Messagebox dans les apis.
j'en trouve 3, je met un bp sur les 3, un coup de F9 mais je tombe sur une exception 000006BA (exeption is no continuable). Dans Protection ID, rien de particulier n'est signalé. Pourquoi je ne parviens pas sur ma boite de message qui me permettrait de saisir un code puis faire une recherche par la suite ? mais là, plus possible de faire de AltF9 ou autre touche. blocage.
idem, si je veux utiliser la pile, comme je n'ai pas de message box qui s'affiche pour saisir et utiliser la manip préconisée, je dois prosrire cette méthode. Les recherches par strings comme le suggère Amanda n'est pas si utile que cela car je ne retrouve pas le message de renvoi "numero de licence non valide"
pourtant je suis certain que la protection est relativement simple.
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: n*i*t*r*o p*r*o

Messagepar Bango » 15 Janvier 2016, 09:47

Passe les exceptions ;)

Code: Tout sélectionner
https://stackoverflow.com/questions/7875828/ollydbg-throwing-exceptions
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1527
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: n*i*t*r*o p*r*o

Messagepar rvq35 » 16 Janvier 2016, 14:23

[/quote]
le paramétrage d'Olly (cocher en options )ne change pas le fait que je tombe toujours sur ces messages d'exception mais je choisi donc de passer outre effectivement comme le dit Bango[quote="Bango"]Passe les exceptions

Lorsque je modifie des sauts, pour ne pas avoir à "enregistrer sous" mon fichier modifié à chaque fois, quel moyen permet de relancer le fichier dans olly sans qu'il ne réinitialise les modifs faites ? en inversant les flags il ne conserve que pour tracer ligne par ligne et si faut à chaque fois qu'on change un saut créer un fichier .exe bis, on n'a pas fini ! merci
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: n*i*t*r*o p*r*o

Messagepar dionosis » 17 Janvier 2016, 03:10

Salut,

rvq35 a écrit:

Mais de rien. :)

rvq35 a écrit:Lorsque je modifie des sauts, pour ne pas avoir à "enregistrer sous" mon fichier modifié à chaque fois, quel moyen permet de relancer le fichier dans olly sans qu'il ne réinitialise les modifs faites ? en inversant les flags il ne conserve que pour tracer ligne par ligne et si faut à chaque fois qu'on change un saut créer un fichier .exe bis, on n'a pas fini ! merci

Tu as une solution intermédiaire qui consiste à ALT+B puis ESPACE sur les lignes concernées pour réappliquer rapidement tes patches.

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: n*i*t*r*o p*r*o

Messagepar rvq35 » 17 Janvier 2016, 16:32

moi je tombe directement sur l'onglet des BP ! j'utilise olly V2. Ca ne marche pas comme tu le dis Dionosis. En fait je voudrais voir le fonctionnement direct de ma cible à chaque fois que je modifie quelque chose et ne pas avoir à enregistrer sous un autre nom et réamorcer l'exe car je n'en finis plus.
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: n*i*t*r*o p*r*o

Messagepar dionosis » 17 Janvier 2016, 20:35

Salut,

rvq35 a écrit:

Mais de rien. :)

rvq35 a écrit:moi je tombe directement sur l'onglet des BP !

Ah oui, me suis trompé, l'habitude du B.
C'est ALT+P.

rvq35 a écrit:En fait je voudrais voir le fonctionnement direct de ma cible à chaque fois que je modifie quelque chose et ne pas avoir à enregistrer sous un autre nom et réamorcer l'exe car je n'en finis plus.

Ce que tu décris consiste à poser un BP sur ton branchement, puis à jouer sur le flag influent (souvent Z).

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: n*i*t*r*o p*r*o

Messagepar rvq35 » 25 Mai 2017, 14:38

Bonjour
Je me décide à reprendre cette cible mais j'aurai une question avant toute chose:
lorsqu'on nope un code 'call, saut ..., il se créé une cassure liée à cette modification si bien que si c'est un call qu'on supprime, dans la routine du call, on ne peut plus aller sur jump from dans la fenêtre centrale car il n'y a plus de référence.
on voit bien d'ailleurs que le trait vertical est rompu à cet endroit
Seule solution que j'ai est de supprimer tous les fichier UDD et de repartir à zéro. Et là je retrouve bien mes liens
Il existe une autre solution ?
Je ne sais pas si je suis clair mais comme on ne peut pas copier une copie partielle d'écran ici, faut toujours passer par hosting pics par exemple et ç'est un peu dommage
merci
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: n*i*t*r*o p*r*o

Messagepar rvq35 » 25 Mai 2017, 15:13

Pour reprendre ma cible j'ai 2 solutions :
soit je cracke à vrai dire soit je recherche un serial valide
Mais avant toute chose je regarde la liste des api succeptibles de m'intéresser. Je précise que j'ai suivi les conseils de Amanda Lear et j'ai pris la bonne cible !
messageboxW (pas A mais W ici) mais ça donne rien. Pourtant c'est bien une message box qui dit "mauvais sérial" ?
regcreatekeyexw : je pensais effectivement noper et le forcer à créer une clé de registre par un serail bidon
isdebuggerpresent : je ne vois pas son intérêt car à priori il n'empêche pas de passer par un désassembleur
Donc pas de api qui m'inspire vraiment. Alors j'essai de mettre un serial (que du chiffre car il ne veut pas de lettre) et F9 mais je ne retrouve pas ce serial dans la pile qui me permettrait de mettre un BP dans la dump et de tracer par la suite.
Il faudrait trouver un endroit stratégique pour insérer un BP dans le module principal car dès que je fais ok sur le message, il retourne sur ntdll.
ce que j'appelle la méthode de la pile ne m'inspire guère et les api pas terrible. Il faut que je trouve l'endroit où placer le BP pour tomber dessus après ok sur le message badboy et sans aller sur ntdll. A coup de F8 et d'analyse de registres je devrais y voir plus clair, non ?
Si quelqu'un peu m'éclairer ce serait sympa car je mettais ma main à couper qu'il y a une validation de serail par clé de registre. Au fait pourquoi isi ce n'est que des messageboxw et pas boxA ? Idem regcreate
(la question précédente est en rapport)
merci
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: n*i*t*r*o p*r*o

Messagepar etherlord » 29 Mai 2017, 08:01

rvq35 a écrit:Il existe une autre solution ?


Demander à Olly de refaire une analyse du code ?

messageboxW (pas A mais W ici) mais ça donne rien. Pourtant c'est bien une message box qui dit "mauvais sérial" ?


MessageBoxW : Unicode
MessageBoxA : Ansi

Une messagebox, n'est rien d'autre qu'une fenêtre Windows minimaliste. Pas obligé de passer par l'API MessageBox pour la créer.

isdebuggerpresent : je ne vois pas son intérêt car à priori il n'empêche pas de passer par un désassembleur


Il faut se méfier des à priori..... :)

Donc pas de api qui m'inspire vraiment. Alors j'essai de mettre un serial (que du chiffre car il ne veut pas de lettre) et F9 mais je ne retrouve pas ce serial dans la pile qui me permettrait de mettre un BP dans la dump et de tracer par la suite.


Scanne la mémoire à la recherche du serial

Il faudrait trouver un endroit stratégique pour insérer un BP dans le module principal car dès que je fais ok sur le message, il retourne sur ntdll.


GetWindowsText ?

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2476
Inscription: 22 Mars 2004, 16:12

Suivante

Retourner vers Reversing

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités

cron