h*i*t*m*a*n*P*r*o

Vous avez un problème pour cracker ou vous souhaitez parler de reversing en général...

Re: h*i*t*m*a*n*P*r*o

Messagepar etherlord » 30 Novembre 2016, 16:31

Pas tant que ça en fait..

Dans Olly v2, menu Option -> Options -> Debugging -> Exception : tu retrouve toutes les options de la première fenêtre, pour les options d'analyse, c'est dans Options -> Options -> Analysis (ev. Advanced)

C'est pas du 100%, mais la majorité y est

Sinon pour les version utilisée, je te conseillerais de prendre l'habitude d'utiliser différents outils, et même différentes version de certains outils. Cela s'avère parfois utile, et surtout si l'utilisation d'un produit
spécifique est bloquée par une protection, savoir utiliser des alternatives peut être un gros gain de temps.

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2490
Inscription: 22 Mars 2004, 16:12

Re: h*i*t*m*a*n*P*r*o

Messagepar rvq35 » 03 Décembre 2016, 19:49

Bango a écrit:Oui, mais là tu vois bien que tu n'as pas quelque chose de "conventionel" avec un CALL.User32.GetWindowTextW, mais l'api a subi une sorte d'"encapsulation". Mais rien ne t'empêche d'aller poser un BP directement sur l'import de l'API, en faisant CTRL+G -> GetWindowTextW

oui mais quand je fais ça il m'envoie dans user32 alors tu le mets où le BP car il n'y a aucun lien dans le module principal
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: h*i*t*m*a*n*P*r*o

Messagepar dionosis » 04 Décembre 2016, 22:31

Salut,

rvq35 a écrit:oui mais quand je fais ça il m'envoie dans user32 alors tu le mets où le BP car il n'y a aucun lien dans le module principal

La réponse se trouve dans ta citation.
Si néanmoins ça n'est pas assez clair alors voilà un indice sur comment espérer obtenir une réponse : Salut, Merci, Svp, Bye.
:wink:

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: h*i*t*m*a*n*P*r*o

Messagepar rvq35 » 05 Décembre 2016, 07:12

Bonjour Dionosis,
Le cracking c'est quelque chose d'ingrat car tu lis et relis des tutos, tu refais les cours de Ga, tu essaies de revenir sur des crackmes que tu as déjà crackés et plus t'en fais et plus t'as l'impression d'être largué !
je vous remercie tous pour vos aides mais pourtant je passe un temps fou à chercher. C'est vrai, je cours plusieurs lièvres à la fois mais il y a plusieurs choses qui me chiffonnent en même temps.
Ici, ce fameux Hxxtman, il faut que je trouve la solution et je suis tenace. Désolé de revenir sur des questions qui vous paraissent évidentes à vous autres qui êtes des cracs, mais votre aide m'est toujours précieuse.
Alors merci de m'éclairer sur le conseil de Bango.
@ +
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: h*i*t*m*a*n*P*r*o

Messagepar dionosis » 05 Décembre 2016, 13:46

Salut,

rvq35 a écrit:tu essaies de revenir sur des crackmes que tu as déjà crackés et plus t'en fais et plus t'as l'impression d'être largué

Raison de plus s'il en faut pour ne surtout pas négliger la politesse de base envers ceux qui tentent d'apporter un peu d'aide. :)

rvq35 a écrit:merci de m'éclairer sur le conseil de Bango

Bango a écrit:rien ne t'empêche d'aller poser un BP directement sur l'import de l'API, en faisant CTRL+G -> GetWindowTextW

rvq35 a écrit:quand je fais ça il m'envoie dans user32 alors tu le mets où le BP car il n'y a aucun lien dans le module principal

Comme expliqué, tu fais CTRL+G, tu copies 'GetWindowTextW', tu sélectionnes 'USER32.GetWindowTextW', puis tu cliques sur 'Follow expression'.
Tu vas atterrir directement sur le code de l'api en 0x7xxxxxxx, là tu poses un bp directement sur la première ligne par exemple.

Qu'est ce que ça fait ?
Eh bien à défaut de pouvoir trouver toutes les occurences de ton programme qui invoquent cette api, tu te positionnes directement dedans (dans l'api).
Si ce sont les paramètres où le résultat qui t'intéressent alors pas besoin de plus.
Si c'est l'emplacement d'appel dans le module principal qui t'intéresse alors une fois breaké dedans, comme tu sais que tu viens de ton module principal et que tu vas y retourner, deux possibilités s'offrent à toi :
- remonter la pile (cf http://www.forumcrack.com/viewtopic.php?f=6&t=5174)
- executer le code jusqu'à y retourner (cf de nombreux tutos, souvent à base de CTRL+F9).

Tu sais qu'il va y avoir un casse.
L'idéal serait de chopper les braqueurs à la sortie de chez eux quand ils s'y rendent, mais malheureusement tu n'as aucun moyen de savoir d'où ils partent, et au mieux tu sais à peu près quand est-ce qu'ils partent mais même pas précisément.
Qu'est ce que tu fais ?
Bah tu campes à la banque faute de mieux !
Il faudra filtrer tous les clients légitimes mais c'est toujours mieux que rien.
Si c'est eux qui t'intéressent alors les serrer sur place suffira.
Si c'est leur planque qui t'intéresse alors, soit tu te sers de l'historique de leur gps, soit tu les files lorsqu'ils y retournent.

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: h*i*t*m*a*n*P*r*o

Messagepar rvq35 » 06 Décembre 2016, 19:37

merci Dionosis
j'ai suivi tes instructions, c'est à dire qu'après avoir mis un BP sur la ligne INT USER32.get windowsW, je fais F9 et me retrouve ainsi dans le module principal. Là, si je vais dans la pile comme expliqué et clic droit follow in dissasembler il me donne le nom de l'argument1 alors que si je fais CTL+F9 et F8 les noms des arguments sont différents.
Mais ce que je ne comprends pas c'est pourquoi il ne me propose pas la saisie de mon serial alors que l'api sert justement à vérifier ce qui est entré. Sur la photo de Bango on voyait son serial ? Y a un truc, non ?
Qu'en pensez vous ? sans sérial on tourne en rond. Je pense que si je démarre bien là dessus ça devrait être bon signe pour le fishing. Merci en tout cas
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: h*i*t*m*a*n*P*r*o

Messagepar Bango » 07 Décembre 2016, 09:33

rvq35 a écrit:Je pense que si je démarre bien là dessus ça devrait être bon signe pour le fishing.

Je pense que, d'autant plus que tu ne saisis qu'un serial (sans name, mail ou autre info d'identification), il y a plusieurs serials valides possibles. Donc à mon avis il est très improbable qu'un fishing soit possible :roll:
C'est plutôt un calcul sur une partie du serial qui vérifie une autre partie, ou un checksum ou je ne sais quoi. En tout cas, je mettrai pas une pièce sur le fait qu'un serial valide soit visible en clair... :mrgreen:
Et dans tous les cas... trouver le mode de calcul du serial, c'est une chose, encore faut-il qu'il n'y ait pas de check online du serial après :mrgreen: Sinon, autant chercher à patcher le tout dès maintenant :roll: :wink:
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1537
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: h*i*t*m*a*n*P*r*o

Messagepar rvq35 » 07 Décembre 2016, 11:52

Bonjour Bango
Je pensais que j'aurais pu faire comme ici :
hxxps://repo.zenk-security.com/Reversin ... 20soft.pdf
donc tu penses qu'il faut trouver le bon saut à noper ?
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: h*i*t*m*a*n*P*r*o

Messagepar Bango » 07 Décembre 2016, 16:37

Bah cet exemple là, c'est pas à proprement parlé du fishing... c'est plutôt une analyse de routine pour en déterminer un serial. Ceci dit, le serial est determiné par le nom entré. Pas dans le cas de ton soft, où il n'y a pas de nom mais que le serial. Alors à moins que ce soit un soft en mousse avec des serials valides hardcodés.... tu ne pourras pas suivre cet exemple.
rvq35 a écrit:donc tu penses qu'il faut trouver le bon saut à noper ?

Non, mais il faut arrêter avec ça. Le reverse ne se résume pas à inverser un saut magique! C'est réducteur pour les développeurs, mais pas que. Pour les reversers aussi :P
Et encore je ne vais pas rameuter le baboon sur l'histoire de l'inversion de saut, sinon tu vas manger de la patate et de la banane à en faire une indigestion :lol:
Les tutos sont là pour donner une idée, un raisonnement sur une manière de procéder, pour expliquer un fonctionnement global. Ce n'est pas une parole d'évangile. Pour faire du reverse sur des applications commerciales, avec des protections plus ou moins bien pensées, il faut impérativement travailler, progresser et faire des découvertes personnelles pour comprendre le schéma de protection dans sa globalité. Et à moins de trouver le tuto détaillé sur le soft qu'on analyse, il n'existe aucun tuto à suivre à la lettre pour être sur à 100% de péter un soft. Et heureusement sinon ça n'aurait plus aucun intérêt de faire du reverse... :roll: :wink:
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1537
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: h*i*t*m*a*n*P*r*o

Messagepar rvq35 » 07 Décembre 2016, 20:02

Je vois que je suis mal barré, n'est ce pas ? mais quand même pourquoi que je ne parviens pas à avoir cette fenêtre de saisie de sérial comme tu avais sur l'image que tu as mise ?
il faut mettre le BP ailleurs pour accéder à cette saisie ? et le BP hardware changerait quoi ?
moi qui pensais que ça ressemblait fortement au lien indiqué
merci de votre aide
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: h*i*t*m*a*n*P*r*o

Messagepar dionosis » 11 Décembre 2016, 22:24

Salut,

Bango a écrit:à moins de trouver le tuto détaillé sur le soft qu'on analyse, il n'existe aucun tuto à suivre à la lettre pour être sur à 100% de péter un soft

Eh ben je viens de chercher des fois que et ...
Je suis tombé sur le saint graal !
Si j'avais su !

Donc pour péter n'importe quel soft avec notepad c'est par ici :
hXXps://www.youtube.com/watch?v=4d0eN0iS5-4
450k+ vues, ça ne peut qu'être vrai. :lol:

rvq35 a écrit:pourquoi que je ne parviens pas à avoir cette fenêtre de saisie de sérial comme tu avais sur l'image que tu as mise ?

Je viens de télécharger l'install pour voir.
Tu lances, tu cliques sur 'Paramètres', tu cliques sur l'onglet 'Licence'.

rvq35 a écrit:Je vois que je suis mal barré, n'est ce pas ?

Bah du coup je vois au passage qu'il s'agit d'un malware scanner, on peut donc logiquement penser qu'il y a des chances pour que les gars ne soient pas des noobs en rce.
Après y'a toujours des surprises hein ...
Mais effectivement ça sera probablement au-dessus de ton niveau actuel.
En tous cas ça ne t'empêche pas d'essayer, ça ne sera pas perdu.

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: h*i*t*m*a*n*P*r*o

Messagepar rvq35 » 12 Décembre 2016, 22:35

Bonsoir Dionosis
C'est bien cette combine, sauf que le fichier txt est complètement codé du début à la fin et impossible de déceler quoi que ce soit ! (du moins pour ma cible)
sinon, je sais comment entrer le sérial dans le menu comme tu le dis mais je voulais dire qu'en suivant dans olly les instructions de Bango, avec le bp sur l'api en question, la boite de dialogue pour saisir un code quelconque n'apparait plus et donc comment tracer si on ne peut pas saisir de serial.
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: h*i*t*m*a*n*P*r*o

Messagepar Bango » 13 Décembre 2016, 15:42

dionosis a écrit:Eh ben je viens de chercher des fois que et ...
Je suis tombé sur le saint graal !
Si j'avais su !

Donc pour péter n'importe quel soft avec notepad c'est par ici :
hXXps://www.youtube.com/watch?v=4d0eN0iS5-4
450k+ vues, ça ne peut qu'être vrai.


rvq35 a écrit:Bonsoir Dionosis
C'est bien cette combine, sauf que le fichier txt est complètement codé du début à la fin et impossible de déceler quoi que ce soit ! (du moins pour ma cible)


:shock: :refl1: :refl2: :refl1:
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1537
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: h*i*t*m*a*n*P*r*o

Messagepar dionosis » 14 Décembre 2016, 00:11

Salut,

rvq35 a écrit:C'est bien cette combine, sauf que le fichier txt est complètement codé du début à la fin et impossible de déceler quoi que ce soit ! (du moins pour ma cible)

Zut j'avais pas mis assez de :lol: :lol: :lol: :lol: :lol: !
Entre ça et l'autre post sur les data string, c'est l'échec de l'humour pour moi ces derniers jours ... :lol:
T'as vraiment essayé ?

Je vais jeter un oeil à ta cible pour voir si je pense que tu peux y parvenir en l'état.

Edit:
Bon c'est vraiment pas simple. J'ai localisé le secteur dans lequel ça se passe je pense bien, mais c'est vraiment très fouilli et faudrait nettoyer.
En tous cas tu peux très probablement oublier le fishing, et même le saut qui occasionne le MB BadBoy ne t'aidera pas, ça se passe en amont.
Ya pas mal de complications que tu ne sauras à mon avis pas contourner.
C'est pas pour te décourager mais je pense que tu n'as pas le niveau.
Ah et l'interface ne fonctionne pas ou partiellement seulement si elle ne se trouve pas sur l'écran principal.

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: h*i*t*m*a*n*P*r*o

Messagepar rvq35 » 14 Décembre 2016, 18:10

bonsoir, c'est vrai que la cible n'est pas très facile. J'ai repéré des endroits intéressants pour lesquels j'ai voulu modifier certains sauts (il faut bien tester n'est ce pas?) mais à chaque fois, soit le soft ne se lance plus, soit lorsque je veux faire suivant après analyse, il indique "le programme a cessé de fonctionner" :cry:
J'ai essayé de modifier avec Explorer suite en mettant rewrite comme indiqué sur un cours mais ça donne pas plus.
T'as raison, je dois me résigner pour l'instant et m'attaquer à autre chose, quitte à revenir dessus lorsque je serai plus armé
en tout cas merci de vos aides :D
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

PrécédenteSuivante

Retourner vers Reversing

Qui est en ligne

Utilisateurs parcourant ce forum: Bing [Bot] et 3 invités