h*i*t*m*a*n*P*r*o

Vous avez un problème pour cracker ou vous souhaitez parler de reversing en général...

Re: h*i*t*m*a*n*P*r*o

Messagepar dionosis » 16 Mars 2017, 01:32

Salut,

rvq35 a écrit:y a pas un problème ?

C'est parce que CTRL+P c'est pour Olly 1.
Pour Olly 2 c'est ALT+P.

Ensuite tu fais F6 plusieurs fois comme conseillé par Bango.

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: h*i*t*m*a*n*P*r*o

Messagepar rvq35 » 16 Mars 2017, 21:34

Bonsoir Dionosis
Je pense que je ne me fais pas comprendre car voici ce que je voudrais :
modifier à titre de test des codes d'instruction (sauts, valeurs ...) et ne pas avoir à enregistrer car c'est pénible c'est tout un protocole alors que ce serait si simple d'avoir un enregistrer sous...
voilà, donc après les modif, le veux voir ce que ça donne, alors je ré initialise par Ctrl+F2 et là il remet tout comme au début. A partir de là tu dis de faire Alt+P mais il n'y a aucune réaction, c'est comme si je faisais dans le vide. Si je fait F6 plusieurs fois, ça me rend à tout de rôle mes écrans actifs, mais de toute façon je suis sur le module CPU. Alors, ce n'est pas possible ce que je veux ou alors je n'ai pas compris ce que tu disais de faire ? :evil:
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: h*i*t*m*a*n*P*r*o

Messagepar dionosis » 17 Mars 2017, 21:23

Salut,

Bon je viens de regarder dans un Olly 2 tout neuf parce que ça m'étonnait que tu n'y arrives pas.
Et en fait désolé mais effectivement ce shortcut n'est pas présent de base. :oops:
J'ai du l'ajouter via [Options] > [Shortcuts...] il y a longtemps de cela.

Donc soit tu l'ajoutes comme expliqué, soit tu ouvres manuellement la fenêtre via [View] > [Patches].

:)

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: h*i*t*m*a*n*P*r*o

Messagepar rvq35 » 17 Mars 2017, 22:52

merci Dionosis :D
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: h*i*t*m*a*n*P*r*o

Messagepar JUNLAJUBALAM » 21 Décembre 2017, 13:48

Salut à tous!

Pris par la curiosité, je déterre le sujet qui date déjà de quelques mois...

En suivant le schéma de validation pour les fichiers de licence de la version "free", je suis arrivé facilement à trouver le byte qu'il faut patcher pour la version commerciale. La protection est plus que ça, en tout cas pour la version actuelle (3.7.20): quand on modifie un byte dans la hot zone (où il fait toutes les vérifs), le soft ne démarre plus. C'est un checksum mais il est spécial. Aussitôt on ouvre l'exe dans le débugger, il efface toute une partie du code de la routine patchée, ce qui fait qu'il nous envoie en enfer sans aucun avertissement... Chequez vous mêmes:

Image

Ceci arrive même si on break On System Breakpoint et pas sur l'EP...

On peut contourner cette prot avec un loader mais je voudrais comprendre comment elle marche.

Quelqu'un pourrait éclairer les ténèbres??? :mrgreen:
CR4CK1NG TH3 C0D3 4 F5N!
Avatar de l’utilisateur
JUNLAJUBALAM
 
Messages: 8
Inscription: 20 Octobre 2017, 20:41
Localisation: In your mind

Re: h*i*t*m*a*n*P*r*o

Messagepar Hao » 22 Décembre 2017, 15:02

Un TLS callback peut-être ? Je suis curieux de savoir également.

Apparemment il remplace un bloc de 4096 bytes par des 0 là ou il y a eu modification du code.
Et ça ne semble pas s'appliquer qu'à la routine du validation du fichier de licence, mais à l'ensemble de la section code.

Pour info, la version 32bits ne semble pas disposer de la protection et est donc patchable.
Avatar de l’utilisateur
Hao
Mega Crackeur !
Mega Crackeur !
 
Messages: 264
Inscription: 27 Novembre 2013, 22:24

Re: h*i*t*m*a*n*P*r*o

Messagepar JUNLAJUBALAM » 23 Décembre 2017, 00:04

No. Pas de TLS_CB puisqu'il ne break pas en TLS Callback avec x64bdg... Ida 7.0 ne montre pas des TLS non plus, par contre il donne une petite info lorsqu''on debugue:
7FF70553AF59: The instruction at "0x7FF70553AF59" referenced memory at "0x8". The required data was not placed into memory because of an I/O error status of "0x7FF70553B000" (exc.code c0000006, tid 5048).
PDBSRC: loading symbols for 'C:\Users\JUNLA\Desktop\hitmanpro_x64.exe'...
Couldn't retrieve file information.


Clairement dans ce cas c'est une erreur de lecture car code absent :lol:

C'est intéressant par contre que la x86 ne soit pas protégée... :?: Je n'avais pas essayé :roll:
CR4CK1NG TH3 C0D3 4 F5N!
Avatar de l’utilisateur
JUNLAJUBALAM
 
Messages: 8
Inscription: 20 Octobre 2017, 20:41
Localisation: In your mind

Re: h*i*t*m*a*n*P*r*o

Messagepar Hao » 18 Janvier 2018, 11:50

Le fichier exécutable a été signé numériquement (Authenticode).

Code: Tout sélectionner
https://msdn.microsoft.com/fr-fr/library/ms537359%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396

En enlevant la vérification des signatures au boot de Windows (F8), la version patchée du soft se lance sans problème.
Maintenant, il faut trouver comment enlever ou modifier la signature du fichier... :roll:

A noter que la version x86 est signée de la même façon. Je n'ai pas été confronté au problème car je l'ai testé sur un Windows XP. Sur un OS 32bits plus récent je suppose que ça réagit de la même façon que sur la version 64bits.

[EDIT] Il semblerait que le sujet ai déjà été abordé sur le forum (le contraire m'aurait étonné) : http://www.forumcrack.com/viewtopic.php?f=6&t=7150&hilit=Authenticode
Avatar de l’utilisateur
Hao
Mega Crackeur !
Mega Crackeur !
 
Messages: 264
Inscription: 27 Novembre 2013, 22:24

Re: h*i*t*m*a*n*P*r*o

Messagepar JUNLAJUBALAM » 01 Février 2018, 10:21

merci pour cette piste Hao, j'y vais creuser :wink:
CR4CK1NG TH3 C0D3 4 F5N!
Avatar de l’utilisateur
JUNLAJUBALAM
 
Messages: 8
Inscription: 20 Octobre 2017, 20:41
Localisation: In your mind

Précédente

Retourner vers Reversing

Qui est en ligne

Utilisateurs parcourant ce forum: Google [Bot] et 5 invités