Voilà cette fois-ci je poste dans la bonne section

Vous avez un problème pour cracker ou vous souhaitez parler de reversing en général...

Voilà cette fois-ci je poste dans la bonne section

Messagepar CoolAlien » 28 Mai 2017, 18:53

Je reviens avec ma cible qui est un logiciel d'auto click avec possibilité de macro pour la souris. Après quelques tests je me suis aperçu que je me suis fait berner par le logiciel en question je m'explique.
Le logiciel comporte plusieurs IsDebuggerPresent qui sont plus ou moins interconnectés entre eux, ce qui rend leur désactivation un petit peu chiant heureusement que ça soit Olly ou X64dbg ce type de protection ne fait pas long feu.
Là où je me suis fait avoir comme un bleu, c'est que l'enregistrement du logiciel ne se fait pas par un code mais par une adresse e-mail, on tape donc une adresse e-mail bidon et si on n'a pas effectué le payement on a un beau message qui nous invite à passer par la case PayPal dans le cas contraire on a un message qui nous annonce que la version est 100 % opérationnels.
Or dans les tests que j'ai effectués j'ai trouvé l'endroit où il m'affiche le message comme quoi ma version était 100 % opérationnels de la j'ai très rapidement retracé le JNZ qui m'y amenait.
Et c'est là que je me suis fait avoir histoire de tester je n'ai pas fait de JMP ou de NOP j'ai simplement modifié le drapeau Z en l'occurrence et là comme je le prévoyais mon logiciel s'est retrouvé avec le bon message et aucun problème particulier. J'ai quitté mon debugger j'ai relancé mon logiciel d'Auto click et là je n'avais plus la case qui m'invite à m'enregistrer.
La conclusion est simple il doit écrire des trucs dans la base de registre ou ailleurs pour lui signifier que la version est bien enregistrée.

Mais comme je voulais pousser l'exercice un petit peu plus loin, je voulais implémenter directement dans l'installateur ma modification, histoire que si on l'installe on tape n'importe quelle adresse mail et on est d'office en version enregistrée.
Il suffisait juste que je NOP mon JNZ et l'affaire était dans le sac, ça c'est pour la théorie :lol:
pour la pratique je m'étais réaménagé un espace de travail vierge, remise à zéro de la base de registre etc. j'ai réinstallé mon logiciel d'Autoclick et j'ai donc NOP mon JNZ, de la j'ai sauvegardé tout ça j'ai exécuté mon logiciel et la grosse surprise le pointeur sourit est devenu fou et je me suis retrouvé avec des dizaines de fenêtres qui s'ouvraient qui se fermaient.
Je suis très rapidement arrivé à la conclusion que ce salopard (le logiciel hein) devait avoir quelque part une routine qui teste l'intégrité du logiciel, je suppose que le plus simple est que quelque part dans le logiciel il y a un call ou autre qui vas voir si le JNZ est bien la où il est censé être et malheureusement pour moi comme il n'y a plus héhéhé.

Donc ma question est de mémoire il me semble que c'est oui mais je sais plus où j'ai lu ça et comment le faire, y a-t-il moyen de trouver ce qui pointe vers cette offset, en gros le truc qui référence tous les endroits du programme qui interroge cette adresse.

J'avais étudié une deuxième approche qui consistait à copier la clé du registre après l'enregistrement du logiciel, je m'étais dit il suffit de recopier la clé de registre valide et le logiciel se retrouve d'office enregistré.
Là aussi ça ne semble pas aussi simple que ça, j'ai sauvegardé la clé de la base de registre après avoir refait un nettoyage j'ai réinstallé le logiciel, j'ai fusionné ma clé précédemment sauvegardée avec ma base de registre mais là aussi le logiciel semble avoir remarqué quelque chose de bizarre et actif donc pas toutes les options du logiciel et m'invite à m'enregistrer. Donc là aussi il doit sauvegarder quelque chose probablement ailleurs que dans la base de registre.
Donc deuxième question y a-t-il un logiciel simple pour surveiller ce que fait mon logiciel, c'est-à-dire les écritures au niveau de la base de registre mais également ailleurs.
J'ai trouvé des logiciels qui faisaient sa mais en gros il faisait un instantané de la base de registre et une comparaison avant, après ce que personnellement je trouve très lourd puisque les fichiers de rapports mentionnent tous les changements au niveau du système y compris avec des logiciels qui n'ont rien à voir avec ce que je suis en train de faire.
Je cherche donc une solution qui permet de cibler précisément une application et non pas tout le système.
Avatar de l’utilisateur
CoolAlien
Apprenti
Apprenti
 
Messages: 68
Inscription: 16 Août 2016, 19:19

Re: Voilà cette fois-ci je poste dans la bonne section

Messagepar crackme40 » 28 Mai 2017, 23:23

Hello CoolAlien,

Apres avoir regarder sur le net, j'ai trouvé cela

hxxps://www.crystalidea.com/uninstall-tool/install-tracker-installation-monitor

Je pense que cela repond a la question suivante : "Je cherche donc une solution qui permet de cibler précisément une application et non pas tout le système."

Je dirais que cela serait a tester :D
crackme40
Apprenti
Apprenti
 
Messages: 63
Inscription: 06 Septembre 2012, 21:36

Re: Voilà cette fois-ci je poste dans la bonne section

Messagepar Bango » 29 Mai 2017, 07:33

Avec celui-là, tu peux filtrer par processus:
Code: Tout sélectionner
https://technet.microsoft.com/fr-fr/sysinternals/processmonitor.aspx
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1527
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: Voilà cette fois-ci je poste dans la bonne section

Messagepar CoolAlien » 29 Mai 2017, 09:34

Merci à vous deux, je vais regarder ça, à première vue la solution de Bango ressemble plus a ce que je cherchais, mais je vais regarder les deux.
Cette nuit j'ai eu l'idée d'une autre option c'est utiliser un logiciel type thinapp vs cameyo, j'installe mon logiciel d'autoclick, je modifie mon flag, il est donc enregistrer et de la j'utilise cameyo et hop, j'ai mon truc autoclick portable et enregistrer....
Mais intellectuellement la solution ne me plaît pas, même si cela marchera probablement, vu que je veux démonter la protection et la comprendre 8)


D’ailleurs j'ai déjà chargé une version cracker dans le but de comparer ma future version cracker avec la version cracker d'un autre histoire de voir si l'approche a été la même.
Avatar de l’utilisateur
CoolAlien
Apprenti
Apprenti
 
Messages: 68
Inscription: 16 Août 2016, 19:19

Re: Voilà cette fois-ci je poste dans la bonne section

Messagepar CoolAlien » 29 Mai 2017, 12:42

Bon, mon astuce avec Cameyo ça fonctionne :twisted: , un truc si j'exécute mon fichier portable sous sandboxie il ne trouve pas la registration.
par contre si je l'exécute sous Windows la ça marche, j'ai du mal a comprendre ce qui diffère :?:
Avatar de l’utilisateur
CoolAlien
Apprenti
Apprenti
 
Messages: 68
Inscription: 16 Août 2016, 19:19

Re: Voilà cette fois-ci je poste dans la bonne section

Messagepar dionosis » 31 Mai 2017, 22:42

Salut,

CoolAlien a écrit:un truc si j'exécute mon fichier portable sous sandboxie il ne trouve pas la registration

Les accès à la base de registre sont partiellement voir intégralement simulés sous sandbox.

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: Voilà cette fois-ci je poste dans la bonne section

Messagepar CoolAlien » 01 Juin 2017, 08:25

Remarque le truc avec Cameyo, c'était juste un essai pour le fun, comme je le disais intellectuellement parlent se genre d'artifice ne me convient pas :P
Avatar de l’utilisateur
CoolAlien
Apprenti
Apprenti
 
Messages: 68
Inscription: 16 Août 2016, 19:19


Retourner vers Reversing

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 5 invités