Application du cours numéro 15

Vous avez un problème pour cracker ou vous souhaitez parler de reversing en général...

Re: Application du cours numéro 15

Messagepar crackme40 » 25 Mai 2017, 09:28

Merci etherlord

Je vais voir pour installer olly avec un plugin. J'ai vu qu'il existe un plugin qui affiche l'Id de resource :D

hxxps://tuts4you.com/download.php?view.3622
crackme40
Apprenti
Apprenti
 
Messages: 63
Inscription: 06 Septembre 2012, 21:36

Re: Application du cours numéro 15

Messagepar crackme40 » 30 Mai 2017, 13:55

Bonjour,

Pour ceux que cela intéresse, j'ai trouvé le code où il génère le bon serial :)

Code: Tout sélectionner
CPU Disasm
Address   Hex dump          Command                                  Comments
01AD6B55    E8 AA4FFCFF     CALL crdchkreg.01A9BB04                  ; Donne le serial
01AD6B5A    8B85 CCFDFFFF   MOV EAX,DWORD PTR [EBP-234]              ;<=== ICI


Voila
crackme40
Apprenti
Apprenti
 
Messages: 63
Inscription: 06 Septembre 2012, 21:36

Re: Application du cours numéro 15

Messagepar crackme40 » 30 Mai 2017, 14:09

Et quand je disais ceci :

"Alors en fait, la valeur d'EAX doit être egale a 649B (3C69+2832=649B)"

La valeur sortie dans EAX quand le serial est bon, c'est : D9F6
crackme40
Apprenti
Apprenti
 
Messages: 63
Inscription: 06 Septembre 2012, 21:36

Re: Application du cours numéro 15

Messagepar GROUPF » 30 Mai 2017, 21:36

Salut,

j'ai pas pigé, tu pourrais m'expliquer ?
Quand la valeur doit etre égale c'est que tu additionne tous les chiffre du premier serial et tous ceux du deuxième et tu somme ?

Y'aurai moyen que tu donne un exemple ?

Merci beaucoup !
GROUPF
Débutant
Débutant
 
Messages: 35
Inscription: 25 Avril 2017, 22:32

Re: Application du cours numéro 15

Messagepar crackme40 » 31 Mai 2017, 05:11

Hello GROUPF

Quand tu rentres le bon serial, et qu'il arrive ici

Code: Tout sélectionner
    048164B3 | E8 50 F7 FF FF           | call <crdchkreg.sub_4815C08>                     
    048164B8 | 0F B7 04 24              | movzx eax,word ptr ss:[esp]                       
    048164BC | 3D 5B 9C 00 00           | cmp eax,9C5B                                     


EAX a la valeur D9F6, je l'ai testé avec deux users et serials different. :D

J'ai rectifié car, je pensais que ce que j'avais ecris c'etait bon. Mais c'etait pas le cas. :P
crackme40
Apprenti
Apprenti
 
Messages: 63
Inscription: 06 Septembre 2012, 21:36

Re: Application du cours numéro 15

Messagepar dionosis » 31 Mai 2017, 22:50

Salut,

Woa je pensais pas que vous vous acharneriez comme ça. 8)

Désolé mais zéro motive de lire tout le backlog (je passe peu et en flash en ce moment), mais votre cible c'est du delphi.
C'est basé sur des pseudo scripts / configs en ressources.
On en parle à plusieurs endroits (ex <ICI>).

Ce qu'il vous faut c'est 'resource hacker' et surtout 'idr'.

Aller courage, vous aller y arriver.
J'essayerai de voir si je peux vous aider un peu quand je repasserai si vous n'avez pas trouvé.

++

Edit:

Bon j'ai regardé quand même parce que ça a attisé ma curiosité.
Pas de complication, y'a qu'à follow et 10 minutes après vous avez le schéma.

Code: Tout sélectionner
Form TFRAREGISTERCODE
    clkRegister.TSebCommandLink
        TSebCommandLink.Click   ->  005E0F40
            call @Controls@TControl@Click$qqrv (at 005E0F96)    ->  0046D8C4
                call _TfrmRegister_fraRegisterCodesRegisterClick (at 0046D928)  ->  007555C8
                    call @RegisterButtonClickRealHandle ->  007556B8
                        call @SerialCheck (at 0075576A) ->  00750B60
                            call @SerialCheckEx ->  007514A8
                                Resolve "crdchkreg.dll"."CheckRegStatus" (at 00751666)
                                call CheckRegStatus (at 00751726)   ->  00456F1C (non rebasé)


A partir de là vous avez tout pour keygener.

J'ai regardé la version que je viens de dl, la 7.51, sha1 602d2dad------------------------d4321e8c.

Désolé si ça a déjà été dit auquel cas ignorez just ce message.

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: Application du cours numéro 15

Messagepar crackme40 » 01 Juin 2017, 05:26

Hello dionosis

Qu'est ce que "idr" ?

Et comment as tu eu cette partie de code ?

Code: Tout sélectionner
Form TFRAREGISTERCODE
    clkRegister.TSebCommandLink
        TSebCommandLink.Click   ->  005E0F40
            call @Controls@TControl@Click$qqrv (at 005E0F96)    ->  0046D8C4
                call _TfrmRegister_fraRegisterCodesRegisterClick (at 0046D928)  ->  007555C8
                    call @RegisterButtonClickRealHandle ->  007556B8
                        call @SerialCheck (at 0075576A) ->  00750B60
                            call @SerialCheckEx ->  007514A8
                                Resolve "crdchkreg.dll"."CheckRegStatus" (at 00751666)
                                call CheckRegStatus (at 00751726)   ->  00456F1C (non rebasé)


J'ai trouvé cela, est ce la même chose ?

hxxp://octopuslabs.io/legend/blog/archives/1472/1472.htm

Merci
crackme40
Apprenti
Apprenti
 
Messages: 63
Inscription: 06 Septembre 2012, 21:36

Re: Application du cours numéro 15

Messagepar Bango » 02 Juin 2017, 08:47

\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1527
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: Application du cours numéro 15

Messagepar crackme40 » 02 Juin 2017, 17:05

Merci Bango
crackme40
Apprenti
Apprenti
 
Messages: 63
Inscription: 06 Septembre 2012, 21:36

Re: Application du cours numéro 15

Messagepar GROUPF » 03 Juin 2017, 13:24

Salut Crack,

Je comprends pas comment tu trouves un 'bon serial'. C'est surement une question bête mais j'ai pas du suivre tout :=)

Merci pour votre aide !
GROUPF
Débutant
Débutant
 
Messages: 35
Inscription: 25 Avril 2017, 22:32

Re: Application du cours numéro 15

Messagepar crackme40 » 04 Juin 2017, 10:14

Hello GROUPF

Tu sais que la bonne valeur est D9F6
Tu cherches "cmp eax,9C5B " et tu mets dans EAX la bonne valeur

Tu sais que la generation du bon serial est ici

Code: Tout sélectionner
CPU Disasm
Address   Hex dump          Command                                  Comments
039C6B55    E8 AA4FFCFF     CALL crdchkreg.0398BB04
039C6B5A    8B85 CCFDFFFF   MOV EAX,DWORD PTR [EBP-234]             


Tu fais une recherche sur "MOV EAX,DWORD PTR [EBP-234]"
Tu mets un BP sur "CALL crdchkreg.0398BB04" Et ensuite tu recurepes la bonne valeur dans le MOV

Et voila
crackme40
Apprenti
Apprenti
 
Messages: 63
Inscription: 06 Septembre 2012, 21:36

Re: Application du cours numéro 15

Messagepar GROUPF » 04 Juin 2017, 11:40

Merci !
GROUPF
Débutant
Débutant
 
Messages: 35
Inscription: 25 Avril 2017, 22:32

Précédente

Retourner vers Reversing

Qui est en ligne

Utilisateurs parcourant ce forum: Bing [Bot] et 3 invités