H*D*D*L*L*F.4.40.exe

Vous avez un problème pour cracker ou vous souhaitez parler de reversing en général...

H*D*D*L*L*F.4.40.exe

Messagepar rvq35 » 06 Janvier 2017, 13:12

merci Etherlord. Je ne voudrais pas mélanger les sujets, quoique tout ça est un peu lié :
ce matin j'ai dû faire un formatage bas niveau sur carte SD et j'ai téléchargé l'utilitaire H*D*D*L*L*F.4.40.exe. Très simple, pas d'installation et un seul fichier exe. J'ai vu qu'il y a un code de débridage. Ma question est simple et je pense que le message goodboy n'est pas difficile à trouver :roll:
pourquoi lorsque je mets en F2 que ce soit sur l'api MessageBox, ou toute autre d'ailleurs, il ne breake pas !
est ce dû au fait qu'il y a une api Isdebuggerpresent dans la cible ?
perso je pense que oui mais je ne devrais dans ce cas pas pouvoir l'utiliser du tout sous Olly, non ?
Si je dis que les sujets sont liés c'est parce que dans H-tman.pro il y a aussi l'Api Isdebuggerpresent, mais c'est pas si facile que ça pour la neutraliser je trouve (ce fameux eax qu'il faut shunter)
Moi qui voulait me faire la main sur cette petite cible :cry:
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: h*i*t*m*a*n*P*r*o

Messagepar HappyMan » 06 Janvier 2017, 14:51

Bonjour,

Je n'ai pas eu de problème pour lancer ta cible et effectivement il est un peu plus simple ;)

Je te mets sur la piste: le code semble devoir faire 19 caracteres, une fois le code vérifié ET bon il l'enregistre dans un fichier .license
Ce fichier est vérifié à chaque démarrage du logiciel.

il n'utilise pas de messagebox ;)

HM
Qui rira n'amasse pas mousse.
A la saint Barnabé on fait la chasse au boulet.
A la saint Alban la misère s'abat sur le gland.
Avatar de l’utilisateur
HappyMan
Mega Crackeur !
Mega Crackeur !
 
Messages: 296
Inscription: 21 Novembre 2006, 11:43
Localisation: Paris

Re: h*i*t*m*a*n*P*r*o

Messagepar rvq35 » 06 Janvier 2017, 15:23

merci HappyMan. Et quid de l'api Isdebuggerpresent ? on peut laisser ou faut il le shunter obligatoirement? Je croyais que quand il y avait celle-ci dans un soft, il n'était pas possible de lancer Olly par F9, or là on peut ?
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: h*i*t*m*a*n*P*r*o

Messagepar HappyMan » 06 Janvier 2017, 15:35

isdebuggerpresent ne pose ici aucun probleme. meme sans plugin
Si tu poses un BP dessus en 44A4A8, ca ne break pas .

HM

PS: tu peux tenter de bruteforcer la routine de vérif, sachant que tu attends soit 38 pour la version Home ou 3A pour la version commerciale

Code=1111111111111111111
Debut:
Call verif
si exa = 38 ou eax=3A alors stop et affiche le Code
Code=code+1
goto Debut

tu fais +1 sur le code dans la limite des caracteres que tu veux tester (pas la peine de tester les minuscules)
Qui rira n'amasse pas mousse.
A la saint Barnabé on fait la chasse au boulet.
A la saint Alban la misère s'abat sur le gland.
Avatar de l’utilisateur
HappyMan
Mega Crackeur !
Mega Crackeur !
 
Messages: 296
Inscription: 21 Novembre 2006, 11:43
Localisation: Paris

Re: h*i*t*m*a*n*P*r*o

Messagepar rvq35 » 06 Janvier 2017, 17:25

Exact, alors il sert à quoi ? mais ce qui est curieux c'est que ça ne break nulle part ! On ne peut pas mettre de BP car ça n'a aucun effet. Je pense qu'il faut aller sur le code rechercher directement comme tu dis un fichier license. Moi j'avais pensé plutôt à une création dans regedit compte tenu des api présents.
Il y aurait un fichier qui s'appellerait LLFtool.license je suppose... pas si simple, surtout que t'as trouvé le nombre de caractère :roll:
je pense que c'est intéressant vers 0042E6F8
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: h*i*t*m*a*n*P*r*o

Messagepar HappyMan » 06 Janvier 2017, 18:57

Je n'ai pas eu de problème pour poser de BP
Commence par trouver une string .license tu verras la routine de test poses un BP et analyse un peu le code.

HM
Qui rira n'amasse pas mousse.
A la saint Barnabé on fait la chasse au boulet.
A la saint Alban la misère s'abat sur le gland.
Avatar de l’utilisateur
HappyMan
Mega Crackeur !
Mega Crackeur !
 
Messages: 296
Inscription: 21 Novembre 2006, 11:43
Localisation: Paris

Re: h*i*t*m*a*n*P*r*o

Messagepar HappyMan » 07 Janvier 2017, 18:24

Bon en regardant d'un peu plus près ta cible n'est vraiment pas compliquée ;)

pas besoin de bruteforcer pour trouver un serial home ou commercial.
C'est une bonne cible pour commencer le reversing

HM
Qui rira n'amasse pas mousse.
A la saint Barnabé on fait la chasse au boulet.
A la saint Alban la misère s'abat sur le gland.
Avatar de l’utilisateur
HappyMan
Mega Crackeur !
Mega Crackeur !
 
Messages: 296
Inscription: 21 Novembre 2006, 11:43
Localisation: Paris

Re: h*i*t*m*a*n*P*r*o

Messagepar dionosis » 08 Janvier 2017, 19:51

Salut,

HappyMan a écrit:C'est une bonne cible pour commencer le reversing

Ah?
T'es sûr de ton coup ?
De ce que je m'en souviens du rapide coup d'oeil que j'avais jeté, c'est plutôt une bonne cible pour décourager les débutants.
En tous cas ça n'avait pas l'air simple.

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: h*i*t*m*a*n*P*r*o

Messagepar HappyMan » 08 Janvier 2017, 20:35

Salut,

Je ne parle pas de la première (hittrucpro) qui effectivement n'est pas des plus simples.
Mais hddmachin lui est plutôt simpliste.

HM
Qui rira n'amasse pas mousse.
A la saint Barnabé on fait la chasse au boulet.
A la saint Alban la misère s'abat sur le gland.
Avatar de l’utilisateur
HappyMan
Mega Crackeur !
Mega Crackeur !
 
Messages: 296
Inscription: 21 Novembre 2006, 11:43
Localisation: Paris

Re: h*i*t*m*a*n*P*r*o

Messagepar rvq35 » 10 Janvier 2017, 13:36

bonjour
Simple, c'est vite dit, en tout cas pas pour moi. Les routines de vérifications sont différentes de celles qui figurent dans les tutos classiques que ce soit dans les cours GA ou quelques autres que j'ai pu voir sur internet. Pas de recherche de serial de manière que je nommerai de conventionnel. En effet, je ne vois pas les classiques messagebox ou api style Getdigitem ou Getwindows ... ou d'autres rencontrés habituellement (je parle de ce que j'ai pu voir, même sur des contournements de Regcreate...
Cette cible est sans doute simple et idéale pour un débutant, aussi, ce serait le profil idéal pour compléter les cours du guide Daemons, ne trouvez vous pas ? Ici, on penserait tout de suite à rechercher la messagebox et à remonter en arrière. Si vous connaissez d'autres cibles du type avec explications, je suis preneur. Merci
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: h*i*t*m*a*n*P*r*o

Messagepar dionosis » 10 Janvier 2017, 13:42

Salut,

@HappyMan>
Ah oui désolé, j'avais zappé de remonter le fil.

@rvq35>
Je pense que tu devrais créer un nouveau thread.

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: h*i*t*m*a*n*P*r*o

Messagepar HappyMan » 10 Janvier 2017, 14:31

Salut rvq35,

Si c'est un tuto tout fait que tu veux, pourquoi pas j'ai déjà toute les copies d'écran.

Maintenant franchement en regardant dans les String data on trouve son bonheur, identifier la routine de test du serial n'est pas très compliqué et le résultat attendu non plus.

Le plus gros du boulot c'est de savoir ce que fait la routine de vérification (il y a 2 instructions asm a connaitre ou a découvrir).

L'attitude a adopter ici comme avec beaucoup de cible, c'est l'essai récursif a grand coup de F8:

Tu trouve un endroit intéressant à analyser
tu remonte un peu au debut de la routine (genre push ebp)
Tu regarde ce qui est passé en argument avant un call
Tu regarde ce qui en ressort (si abcde est l'argument et ABCDE la sortie, tu sais ce que fait le call)
Tu ajoute des commentaires dans l'exe
Un call peut être un call de vérif (le code entré est l'argument, 0 est la sortie), commente "routine de vérif" et cherche a savoir quel doit être la sortie si le serial est bon.
Ensuite trace à l'intérieur du call, pour comprendre la routine de vérification

En faisant ça plusieurs fois avec des serials différents, de différente longeur tu finiras par comprendre chaque fonction.

HM
PS: ouvre un nouveau sujet ;)
Qui rira n'amasse pas mousse.
A la saint Barnabé on fait la chasse au boulet.
A la saint Alban la misère s'abat sur le gland.
Avatar de l’utilisateur
HappyMan
Mega Crackeur !
Mega Crackeur !
 
Messages: 296
Inscription: 21 Novembre 2006, 11:43
Localisation: Paris

Re: H*D*D*L*L*F.4.40.exe

Messagepar rvq35 » 14 Janvier 2017, 14:46

même mieux, le serial est indiqué dans la pile en 0012FF5C pour la home Licence. C'est trop facile en effet, :lol:
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: H*D*D*L*L*F.4.40.exe

Messagepar rahan76f » 16 Janvier 2017, 23:23

Salut ,

j'ai jeté un coup d’œil et je trouve pas les mêmes adresses que toi même pour la pile. (peu être normal je ne sais pas)

exemple :
Code: Tout sélectionner
CPU Disasm
Address   Hex dump          Command                                  Comments
004EF21D  |.  8B45 DC       MOV EAX,DWORD PTR SS:[LOCAL.9]
004EF220  |.  8D55 E0       LEA EDX,[LOCAL.8]
004EF223  |.  E8 9CD6F2FF   CALL 0041C8C4
004EF228  |.  8B45 E0       MOV EAX,DWORD PTR SS:[LOCAL.8]
004EF22B  |.  8D55 F8       LEA EDX,[LOCAL.2]
004EF22E  |.  E8 E9D2F2FF   CALL 0041C51C
004EF233  |.  8B45 F8       MOV EAX,DWORD PTR SS:[LOCAL.2]
004EF236  |.  E8 D1F2FFFF   CALL 004EE50C        *********************j'ai suivi ce call (f7) mais rien d’intéressant :-(
004EF23B  |.  8945 E8       MOV DWORD PTR SS:[LOCAL.6],EAX
004EF23E  |.  8955 EC       MOV DWORD PTR SS:[LOCAL.5],EDX
004EF241  |.  837D EC 00    CMP DWORD PTR SS:[LOCAL.5],0
004EF245      75 04         JNE SHORT 004EF24B
004EF247  |.  837D E8 38    CMP DWORD PTR SS:[LOCAL.6],38
004EF24B  |>  74 14         JE SHORT 004EF261
004EF24D  |.  837D EC 00    CMP DWORD PTR SS:[LOCAL.5],0
004EF251      0F85 9C000000 JNE 004EF2F3                              ********mauvais serial
004EF257  |.  837D E8 3A    CMP DWORD PTR SS:[LOCAL.6],3A
004EF25B      0F85 92000000 JNE 004EF2F3                              *******  mauvais serial
004EF261  |>  8D45 D8       LEA EAX,[LOCAL.10]
004EF264  |.  E8 4399FFFF   CALL 004E8BAC
004EF269  |.  8B55 D8       MOV EDX,DWORD PTR SS:[LOCAL.10]
004EF26C  |.  8D45 F4       LEA EAX,[LOCAL.3]
004EF26F  |.  B9 6CF34E00   MOV ECX,004EF36C                         ; UNICODE "\l*l*f*t*o*o*l*.*l*i*c*e*n*s*e"


modifier les deux saut (jne en je, ok ce n'est pas terrible mais j'aime bien tester) ne marche pas même si le message est correct, mais je n'ai pas trouvé ce fichu serial lol

bonne soirée

rahan
Avatar de l’utilisateur
rahan76f
Crackeur confirmé
Crackeur confirmé
 
Messages: 151
Inscription: 29 Août 2010, 10:27

Re: H*D*D*L*L*F.4.40.exe

Messagepar HappyMan » 17 Janvier 2017, 08:09

Salut Rahan76f,

C'est normal que tu n'ais pas les mêmes adresses, l'image base dépend du système et la pile est allouée dynamiquement au lancement du programme.
Bref si tu lances le prog X foix sur le même système tu aura toujours les mêmes adresses pour les instructions, mais jamais les mêmes adresses de pile.

Et puis contrairement à rvq35 je n'ai jamais vu le serial en clair ni dans la pile ni ailleurs.
Par contre tu devrais revoir ton jugement sur ce commentaire:

004EF236 |. E8 D1F2FFFF CALL 004EE50C *********************j'ai suivi ce call (f7) mais rien d’intéressant :-(

Voilà j'ai tout dis

HM
Qui rira n'amasse pas mousse.
A la saint Barnabé on fait la chasse au boulet.
A la saint Alban la misère s'abat sur le gland.
Avatar de l’utilisateur
HappyMan
Mega Crackeur !
Mega Crackeur !
 
Messages: 296
Inscription: 21 Novembre 2006, 11:43
Localisation: Paris

Suivante

Retourner vers Reversing

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités