Application du cours 15#2

Vous avez un problème pour cracker ou vous souhaitez parler de reversing en général...

Application du cours 15#2

Messagepar GROUPF » 18 Juillet 2017, 22:34

Bonjour,

Pour continuer mes essais de reversering, j'essaye de cracker le soft suivant :

hxxp://www.sigview.com/

Le soft protection ID indique aucune protection.

J'ai bien cherché au moins quelques dizaines d'heures mais impossible de trouver l'endroit ou le serial est comparé à la chaine de caractères.

Quelqu'un aurait une idée de la protect utilisé ?
GROUPF
Débutant
Débutant
 
Messages: 35
Inscription: 25 Avril 2017, 22:32

Re: Application du cours 15#2

Messagepar etherlord » 19 Juillet 2017, 07:36

On peut savoir ce que tu as essayé de faire ?

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2476
Inscription: 22 Mars 2004, 16:12

Re: Application du cours 15#2

Messagepar GROUPF » 19 Juillet 2017, 08:41

Ah oui désolé :)

J'ai regardé avec Protection ID, le soft n'as pas trouvé de protects.
J'ai fait un suivi en mode pas à pas avec Oly, mais j'ai rien trouvé qui ressemblerait avec une comparaison de serial.

J'ai essayé de court circuité la ligne ou il définit sir le soft est enregistré ou non, mais ça n'as pas eu d'éffets.

C'est surement tout con, mais j'ai pas réussi à trouver.
GROUPF
Débutant
Débutant
 
Messages: 35
Inscription: 25 Avril 2017, 22:32

Re: Application du cours 15#2

Messagepar GROUPF » 19 Juillet 2017, 09:15

Voila un peu de code :

Il y a plusieurs partie ou la registration est mentionnée :

ici, autour de 00007FF6E5BC5D68 :

Code: Tout sélectionner
00007FF6E5BC5B40 | E8 DF EF 08 00                    | call sigview.7FF6E5C54B24           |
00007FF6E5BC5B45 | 90                                | nop                                 |
00007FF6E5BC5B46 | 48 8D 4B E8                       | lea rcx,qword ptr ds:[rbx-18]       |
00007FF6E5BC5B4A | 48 83 C4 30                       | add rsp,30                          |
00007FF6E5BC5B4E | 5B                                | pop rbx                             |
00007FF6E5BC5B4F | E9 18 E7 08 00                    | jmp sigview.7FF6E5C5426C            |
00007FF6E5BC5B54 | CC                                | int3                                |
00007FF6E5BC5B55 | CC                                | int3                                |
00007FF6E5BC5B56 | CC                                | int3                                |
00007FF6E5BC5B57 | CC                                | int3                                |
00007FF6E5BC5B58 | CC                                | int3                                |
00007FF6E5BC5B59 | CC                                | int3                                |
00007FF6E5BC5B5A | CC                                | int3                                |
00007FF6E5BC5B5B | CC                                | int3                                |
00007FF6E5BC5B5C | CC                                | int3                                |
00007FF6E5BC5B5D | CC                                | int3                                |
00007FF6E5BC5B5E | CC                                | int3                                |
00007FF6E5BC5B5F | CC                                | int3                                |
00007FF6E5BC5B60 | 48 89 5C 24 08                    | mov qword ptr ss:[rsp+8],rbx        |
00007FF6E5BC5B65 | 48 89 6C 24 10                    | mov qword ptr ss:[rsp+10],rbp       |
00007FF6E5BC5B6A | 48 89 74 24 18                    | mov qword ptr ss:[rsp+18],rsi       |
00007FF6E5BC5B6F | 57                                | push rdi                            |
00007FF6E5BC5B70 | 48 81 EC E0 01 00 00              | sub rsp,1E0                         |
00007FF6E5BC5B77 | 48 8B 41 B0                       | mov rax,qword ptr ds:[rcx-50]       |
00007FF6E5BC5B7B | 48 8B F9                          | mov rdi,rcx                         |
00007FF6E5BC5B7E | 48 83 C1 B0                       | add rcx,FFFFFFFFFFFFFFB0            |
00007FF6E5BC5B82 | 48 63 50 0C                       | movsxd rdx,dword ptr ds:[rax+C]     |
00007FF6E5BC5B86 | 48 03 CA                          | add rcx,rdx                         |
00007FF6E5BC5B89 | E8 E6 6D 07 00                    | call sigview.7FF6E5C3C974           |
00007FF6E5BC5B8E | 0F B6 F0                          | movzx esi,al                        |
00007FF6E5BC5B91 | 4C 8D 0D 30 03 27 00              | lea r9,qword ptr ds:[7FF6E5E35EC8]  |
00007FF6E5BC5B98 | 48 8B 47 B0                       | mov rax,qword ptr ds:[rdi-50]       |
00007FF6E5BC5B9C | 4C 8D 05 FD 02 27 00              | lea r8,qword ptr ds:[7FF6E5E35EA0]  |
00007FF6E5BC5BA3 | C7 44 24 20 00 00 00 00           | mov dword ptr ss:[rsp+20],0         |
00007FF6E5BC5BAB | 48 63 50 0C                       | movsxd rdx,dword ptr ds:[rax+C]     |
00007FF6E5BC5BAF | 48 8B 4C 3A 70                    | mov rcx,qword ptr ds:[rdx+rdi+70]   |
00007FF6E5BC5BB4 | 33 D2                             | xor edx,edx                         |
00007FF6E5BC5BB6 | E8 91 F2 12 00                    | call sigview.7FF6E5CF4E4C           |
00007FF6E5BC5BBB | 4C 8B 4F C8                       | mov r9,qword ptr ds:[rdi-38]        |
00007FF6E5BC5BBF | 41 B8 40 00 00 00                 | mov r8d,40                          | 40:'@'
00007FF6E5BC5BC5 | 48 8B E8                          | mov rbp,rax                         |
00007FF6E5BC5BC8 | 49 8B 51 08                       | mov rdx,qword ptr ds:[r9+8]         |
00007FF6E5BC5BCC | 48 63 4A 0C                       | movsxd rcx,dword ptr ds:[rdx+C]     |
00007FF6E5BC5BD0 | 48 8D 54 24 40                    | lea rdx,qword ptr ss:[rsp+40]       |
00007FF6E5BC5BD5 | 4A 8B 4C 09 18                    | mov rcx,qword ptr ds:[rcx+r9+18]    |
00007FF6E5BC5BDA | FF 15 40 F3 1B 00                 | call qword ptr ds:[<&GetWindowTextA |
00007FF6E5BC5BE0 | 48 83 CB FF                       | or rbx,FFFFFFFFFFFFFFFF             |
00007FF6E5BC5BE4 | 48 8D 44 24 40                    | lea rax,qword ptr ss:[rsp+40]       |
00007FF6E5BC5BE9 | 48 8B CB                          | mov rcx,rbx                         |
00007FF6E5BC5BEC | 0F 1F 40 00                       | nop dword ptr ds:[rax]              |
00007FF6E5BC5BF0 | 48 FF C1                          | inc rcx                             |
00007FF6E5BC5BF3 | 80 3C 08 00                       | cmp byte ptr ds:[rax+rcx],0         |
00007FF6E5BC5BF7 | 75 F7                             | jne sigview.7FF6E5BC5BF0            |
00007FF6E5BC5BF9 | 48 83 F9 05                       | cmp rcx,5                           |
00007FF6E5BC5BFD | 73 23                             | jae sigview.7FF6E5BC5C22            |
00007FF6E5BC5BFF | 48 8B 47 B0                       | mov rax,qword ptr ds:[rdi-50]       |
00007FF6E5BC5C03 | 48 8D 15 CE FC 1E 00              | lea rdx,qword ptr ds:[7FF6E5DB58D8] | 7FF6E5DB58D8:"User name must be at least 5 characters long."
00007FF6E5BC5C0A | 33 F6                             | xor esi,esi                         |
00007FF6E5BC5C0C | 45 33 C9                          | xor r9d,r9d                         |
00007FF6E5BC5C0F | 45 33 C0                          | xor r8d,r8d                         |
00007FF6E5BC5C12 | 48 63 48 0C                       | movsxd rcx,dword ptr ds:[rax+C]     |
00007FF6E5BC5C16 | 48 83 C1 B0                       | add rcx,FFFFFFFFFFFFFFB0            |
00007FF6E5BC5C1A | 48 03 CF                          | add rcx,rdi                         |
00007FF6E5BC5C1D | E8 42 A0 07 00                    | call sigview.7FF6E5C3FC64           |
00007FF6E5BC5C22 | 4C 8B 4F D0                       | mov r9,qword ptr ds:[rdi-30]        |
00007FF6E5BC5C26 | 48 8D 94 24 90 00 00 00           | lea rdx,qword ptr ss:[rsp+90]       |
00007FF6E5BC5C2E | 41 B8 40 00 00 00                 | mov r8d,40                          | 40:'@'
00007FF6E5BC5C34 | 49 8B 41 08                       | mov rax,qword ptr ds:[r9+8]         |
00007FF6E5BC5C38 | 48 63 48 0C                       | movsxd rcx,dword ptr ds:[rax+C]     |
00007FF6E5BC5C3C | 4A 8B 4C 09 18                    | mov rcx,qword ptr ds:[rcx+r9+18]    |
00007FF6E5BC5C41 | FF 15 D9 F2 1B 00                 | call qword ptr ds:[<&GetWindowTextA |
00007FF6E5BC5C47 | 48 8D 8C 24 90 00 00 00           | lea rcx,qword ptr ss:[rsp+90]       |
00007FF6E5BC5C4F | 48 8B C3                          | mov rax,rbx                         |
00007FF6E5BC5C52 | 48 FF C0                          | inc rax                             |
00007FF6E5BC5C55 | 80 3C 01 00                       | cmp byte ptr ds:[rcx+rax],0         |
00007FF6E5BC5C59 | 75 F7                             | jne sigview.7FF6E5BC5C52            |
00007FF6E5BC5C5B | 48 83 F8 05                       | cmp rax,5                           |
00007FF6E5BC5C5F | 73 23                             | jae sigview.7FF6E5BC5C84            |
00007FF6E5BC5C61 | 48 8B 47 B0                       | mov rax,qword ptr ds:[rdi-50]       |
00007FF6E5BC5C65 | 48 8D 15 9C FC 1E 00              | lea rdx,qword ptr ds:[7FF6E5DB5908] | 7FF6E5DB5908:"E-Mail must be at least 5 characters long."
00007FF6E5BC5C6C | 33 F6                             | xor esi,esi                         |
00007FF6E5BC5C6E | 45 33 C9                          | xor r9d,r9d                         |
00007FF6E5BC5C71 | 45 33 C0                          | xor r8d,r8d                         |
00007FF6E5BC5C74 | 48 63 48 0C                       | movsxd rcx,dword ptr ds:[rax+C]     |
00007FF6E5BC5C78 | 48 83 C1 B0                       | add rcx,FFFFFFFFFFFFFFB0            |
00007FF6E5BC5C7C | 48 03 CF                          | add rcx,rdi                         |
00007FF6E5BC5C7F | E8 E0 9F 07 00                    | call sigview.7FF6E5C3FC64           |
00007FF6E5BC5C84 | 4C 8B 4F D8                       | mov r9,qword ptr ds:[rdi-28]        |
00007FF6E5BC5C88 | 48 8D 54 24 30                    | lea rdx,qword ptr ss:[rsp+30]       |
00007FF6E5BC5C8D | 41 B8 0A 00 00 00                 | mov r8d,A                           | A:'\n'
00007FF6E5BC5C93 | 49 8B 41 08                       | mov rax,qword ptr ds:[r9+8]         |
00007FF6E5BC5C97 | 48 63 48 0C                       | movsxd rcx,dword ptr ds:[rax+C]     |
00007FF6E5BC5C9B | 4A 8B 4C 09 18                    | mov rcx,qword ptr ds:[rcx+r9+18]    |
00007FF6E5BC5CA0 | FF 15 7A F2 1B 00                 | call qword ptr ds:[<&GetWindowTextA |
00007FF6E5BC5CA6 | 48 8D 44 24 30                    | lea rax,qword ptr ss:[rsp+30]       |
00007FF6E5BC5CAB | 0F 1F 44 00 00                    | nop dword ptr ds:[rax+rax]          |
00007FF6E5BC5CB0 | 48 FF C3                          | inc rbx                             |
00007FF6E5BC5CB3 | 80 3C 18 00                       | cmp byte ptr ds:[rax+rbx],0         |
00007FF6E5BC5CB7 | 75 F7                             | jne sigview.7FF6E5BC5CB0            |
00007FF6E5BC5CB9 | 48 83 FB 08                       | cmp rbx,8                           |
00007FF6E5BC5CBD | 73 11                             | jae sigview.7FF6E5BC5CD0            |
00007FF6E5BC5CBF | 33 F6                             | xor esi,esi                         |
00007FF6E5BC5CC1 | 48 8D 15 D8 FC 1E 00              | lea rdx,qword ptr ds:[7FF6E5DB59A0] | 7FF6E5DB59A0:"Registration key must be at least 8 characters long."
00007FF6E5BC5CC8 | 45 33 C0                          | xor r8d,r8d                         |
00007FF6E5BC5CCB | E9 A6 00 00 00                    | jmp sigview.7FF6E5BC5D76            |
00007FF6E5BC5CD0 | 85 F6                             | test esi,esi                        |
00007FF6E5BC5CD2 | 0F 84 B7 00 00 00                 | je sigview.7FF6E5BC5D8F             |
00007FF6E5BC5CD8 | 4C 8D 85 9F 05 00 00              | lea r8,qword ptr ss:[rbp+59F]       |
00007FF6E5BC5CDF | 48 8D 15 F2 FC 1E 00              | lea rdx,qword ptr ds:[7FF6E5DB59D8] | 7FF6E5DB59D8:"%suser3.key"
00007FF6E5BC5CE6 | 48 8D 8C 24 E0 00 00 00           | lea rcx,qword ptr ss:[rsp+E0]       |
00007FF6E5BC5CEE | E8 9D C2 FA FF                    | call sigview.7FF6E5B71F90           |
00007FF6E5BC5CF3 | 48 8D 15 A2 B1 1E 00              | lea rdx,qword ptr ds:[7FF6E5DB0E9C] |
00007FF6E5BC5CFA | 48 8D 8C 24 E0 00 00 00           | lea rcx,qword ptr ss:[rsp+E0]       |
00007FF6E5BC5D02 | E8 85 68 16 00                    | call sigview.7FF6E5D2C58C           |
00007FF6E5BC5D07 | 48 8B D8                          | mov rbx,rax                         |
00007FF6E5BC5D0A | 48 85 C0                          | test rax,rax                        |
00007FF6E5BC5D0D | 74 59                             | je sigview.7FF6E5BC5D68             |
00007FF6E5BC5D0F | 48 8B D0                          | mov rdx,rax                         |
00007FF6E5BC5D12 | 48 8D 4C 24 30                    | lea rcx,qword ptr ss:[rsp+30]       |
00007FF6E5BC5D17 | E8 F8 6B 16 00                    | call sigview.7FF6E5D2C914           |
00007FF6E5BC5D1C | 48 8B D3                          | mov rdx,rbx                         |
00007FF6E5BC5D1F | B9 0A 00 00 00                    | mov ecx,A                           | A:'\n'
00007FF6E5BC5D24 | E8 0B 5E 16 00                    | call sigview.7FF6E5D2BB34           |
00007FF6E5BC5D29 | 48 8B D3                          | mov rdx,rbx                         |
00007FF6E5BC5D2C | 48 8D 4C 24 40                    | lea rcx,qword ptr ss:[rsp+40]       |
00007FF6E5BC5D31 | E8 DE 6B 16 00                    | call sigview.7FF6E5D2C914           |
00007FF6E5BC5D36 | 48 8B D3                          | mov rdx,rbx                         |
00007FF6E5BC5D39 | B9 0A 00 00 00                    | mov ecx,A                           | A:'\n'
00007FF6E5BC5D3E | E8 F1 5D 16 00                    | call sigview.7FF6E5D2BB34           |
00007FF6E5BC5D43 | 48 8B D3                          | mov rdx,rbx                         |
00007FF6E5BC5D46 | 48 8D 8C 24 90 00 00 00           | lea rcx,qword ptr ss:[rsp+90]       |
00007FF6E5BC5D4E | E8 C1 6B 16 00                    | call sigview.7FF6E5D2C914           |
00007FF6E5BC5D53 | 48 8B D3                          | mov rdx,rbx                         |
00007FF6E5BC5D56 | B9 0A 00 00 00                    | mov ecx,A                           | A:'\n'
00007FF6E5BC5D5B | E8 D4 5D 16 00                    | call sigview.7FF6E5D2BB34           |
00007FF6E5BC5D60 | 48 8B CB                          | mov rcx,rbx                         |
00007FF6E5BC5D63 | E8 1C 69 16 00                    | call sigview.7FF6E5D2C684           |
00007FF6E5BC5D68 | 4C 8D 05 C9 FB 1E 00              | lea r8,qword ptr ds:[7FF6E5DB5938]  | 7FF6E5DB5938:"Trial version"
00007FF6E5BC5D6F | 48 8D 15 DA FB 1E 00              | lea rdx,qword ptr ds:[7FF6E5DB5950] | 7FF6E5DB5950:"You will have to restart the application to activate your registration key."
00007FF6E5BC5D76 | 48 8B 47 B0                       | mov rax,qword ptr ds:[rdi-50]       |
00007FF6E5BC5D7A | 45 33 C9                          | xor r9d,r9d                         |
00007FF6E5BC5D7D | 48 63 48 0C                       | movsxd rcx,dword ptr ds:[rax+C]     |
00007FF6E5BC5D81 | 48 83 C1 B0                       | add rcx,FFFFFFFFFFFFFFB0            |
00007FF6E5BC5D85 | 48 03 CF                          | add rcx,rdi                         |
00007FF6E5BC5D88 | E8 D7 9E 07 00                    | call sigview.7FF6E5C3FC64           |
00007FF6E5BC5D8D | 85 F6                             | test esi,esi                        |
00007FF6E5BC5D8F | 4C 8D 9C 24 E0 01 00 00           | lea r11,qword ptr ss:[rsp+1E0]      |
00007FF6E5BC5D97 | 0F 95 C0                          | setne al                            |
00007FF6E5BC5D9A | 49 8B 5B 10                       | mov rbx,qword ptr ds:[r11+10]       |
00007FF6E5BC5D9E | 49 8B 6B 18                       | mov rbp,qword ptr ds:[r11+18]       |
00007FF6E5BC5DA2 | 49 8B 73 20                       | mov rsi,qword ptr ds:[r11+20]       |
00007FF6E5BC5DA6 | 49 8B E3                          | mov rsp,r11                         |
00007FF6E5BC5DA9 | 5F                                | pop rdi                             |
00007FF6E5BC5DAA | C3                                | ret                                 |
00007FF6E5BC5DAB | CC                                | int3                                |
00007FF6E5BC5DAC | 48 63 41 FC                       | movsxd rax,dword ptr ds:[rcx-4]     |
00007FF6E5BC5DB0 | 48 2B C8                          | sub rcx,rax                         |
00007FF6E5BC5DB3 | E9 48 FC FF FF                    | jmp sigview.7FF6E5BC5A00            |
00007FF6E5BC5DB8 | 48 63 41 FC                       | movsxd rax,dword ptr ds:[rcx-4]     |
00007FF6E5BC5DBC | 48 2B C8                          | sub rcx,rax                         |
00007FF6E5BC5DBF | 48 83 E9 18                       | sub rcx,18                          |
00007FF6E5BC5DC3 | E9 14 F3 08 00                    | jmp sigview.7FF6E5C550DC            |
00007FF6E5BC5DC8 | 48 63 41 FC                       | movsxd rax,dword ptr ds:[rcx-4]     |
00007FF6E5BC5DCC | 48 2B C8                          | sub rcx,rax                         |
00007FF6E5BC5DCF | 48 83 E9 18                       | sub rcx,18                          |
00007FF6E5BC5DD3 | E9 20 F4 08 00                    | jmp sigview.7FF6E5C551F8            |
00007FF6E5BC5DD8 | 48 63 41 FC                       | movsxd rax,dword ptr ds:[rcx-4]     |
00007FF6E5BC5DDC | 48 2B C8                          | sub rcx,rax                         |
00007FF6E5BC5DDF | 48 83 E9 18                       | sub rcx,18                          |
00007FF6E5BC5DE3 | E9 94 F1 08 00                    | jmp sigview.7FF6E5C54F7C            |
00007FF6E5BC5DE8 | 48 63 41 FC                       | movsxd rax,dword ptr ds:[rcx-4]     |
00007FF6E5BC5DEC | 48 2B C8                          | sub rcx,rax                         |
00007FF6E5BC5DEF | 48 83 E9 18                       | sub rcx,18                          |
00007FF6E5BC5DF3 | E9 60 F2 08 00                    | jmp sigview.7FF6E5C55058            |
00007FF6E5BC5DF8 | 48 63 41 FC                       | movsxd rax,dword ptr ds:[rcx-4]     |
00007FF6E5BC5DFC | 48 2B C8                          | sub rcx,rax                         |
00007FF6E5BC5DFF | 48 83 E9 18                       | sub rcx,18                          |
00007FF6E5BC5E03 | E9 04 EC 08 00                    | jmp sigview.7FF6E5C54A0C            |
00007FF6E5BC5E08 | 48 63 41 FC                       | movsxd rax,dword ptr ds:[rcx-4]     |
00007FF6E5BC5E0C | 48 2B C8                          | sub rcx,rax                         |
00007FF6E5BC5E0F | 48 83 E9 18                       | sub rcx,18                          |
00007FF6E5BC5E13 | E9 C4 F8 08 00                    | jmp sigview.7FF6E5C556DC            |
00007FF6E5BC5E18 | 48 63 41 FC                       | movsxd rax,dword ptr ds:[rcx-4]     |
00007FF6E5BC5E1C | 48 2B C8                          | sub rcx,rax                         |
00007FF6E5BC5E1F | 48 83 E9 18                       | sub rcx,18                          |
00007FF6E5BC5E23 | E9 6C F0 08 00                    | jmp sigview.7FF6E5C54E94            |
00007FF6E5BC5E28 | 48 63 41 FC                       | movsxd rax,dword ptr ds:[rcx-4]     |
00007FF6E5BC5E2C | 48 2B C8                          | sub rcx,rax                         |
00007FF6E5BC5E2F | 48 83 E9 18                       | sub rcx,18                          |
00007FF6E5BC5E33 | E9 EC EC 08 00                    | jmp sigview.7FF6E5C54B24            |
00007FF6E5BC5E38 | 48 63 41 FC                       | movsxd rax,dword ptr ds:[rcx-4]     |
00007FF6E5BC5E3C | 48 2B C8                          | sub rcx,rax                         |
00007FF6E5BC5E3F | E9 1C FD FF FF                    | jmp sigview.7FF6E5BC5B60            |
00007FF6E5BC5E44 | 48 63 41 FC                       | movsxd rax,dword ptr ds:[rcx-4]     |
00007FF6E5BC5E48 | 48 2B C8                          | sub rcx,rax                         |
00007FF6E5BC5E4B | 48 83 E9 18                       | sub rcx,18                          |
00007FF6E5BC5E4F | E9 E4 F1 08 00                    | jmp sigview.7FF6E5C55038            |
00007FF6E5BC5E54 | 48 63 41 FC                       | movsxd rax,dword ptr ds:[rcx-4]     |
00007FF6E5BC5E58 | 48 2B C8                          | sub rcx,rax                         |
00007FF6E5BC5E5B | 48 83 E9 18                       | sub rcx,18                          |
00007FF6E5BC5E5F | E9 A4 EA 08 00                    | jmp sigview.7FF6E5C54908            |
00007FF6E5BC5E64 | 48 63 41 FC                       | movsxd rax,dword ptr ds:[rcx-4]     |
00007FF6E5BC5E68 | 48 2B C8                          | sub rcx,rax                         |
00007FF6E5BC5E6B | 48 83 E9 18                       | sub rcx,18                          |
00007FF6E5BC5E6F | E9 00 EE 08 00                    | jmp sigview.7FF6E5C54C74            |
00007FF6E5BC5E74 | CC                                | int3                                |
00007FF6E5BC5E75 | CC                                | int3                                |
00007FF6E5BC5E76 | CC                                | int3                                |
00007FF6E5BC5E77 | CC                                | int3                                |
00007FF6E5BC5E78 | CC                                | int3                                |
00007FF6E5BC5E79 | CC                                | int3                                |
00007FF6E5BC5E7A | CC                                | int3                                |
00007FF6E5BC5E7B | CC                                | int3                                |
00007FF6E5BC5E7C | CC                                | int3                                |
00007FF6E5BC5E7D | CC                                | int3                                |
00007FF6E5BC5E7E | CC                                | int3                                |
00007FF6E5BC5E7F | CC                                | int3                                |
00007FF6E5BC5E80 | 48 89 5C 24 08                    | mov qword ptr ss:[rsp+8],rbx        |
00007FF6E5BC5E85 | 48 89 74 24 10                    | mov qword ptr ss:[rsp+10],rsi       |
00007FF6E5BC5E8A | 57                                | push rdi                            |
00007FF6E5BC5E8B | 48 83 EC 20                       | sub rsp,20                          |
00007FF6E5BC5E8F | 48 8D 41 A8                       | lea rax,qword ptr ds:[rcx-58]       |
00007FF6E5BC5E93 | 48 8B D9                          | mov rbx,rcx                         |
00007FF6E5BC5E96 | 48 89 42 08                       | mov qword ptr ds:[rdx+8],rax        |
00007FF6E5BC5E9A | 49 8B F0                          | mov rsi,r8                          |
00007FF6E5BC5E9D | 48 8B 41 B0                       | mov rax,qword ptr ds:[rcx-50]       |
00007FF6E5BC5EA1 | 48 8B FA                          | mov rdi,rdx                         |
00007FF6E5BC5EA4 | 48 83 C1 B0                       | add rcx,FFFFFFFFFFFFFFB0            |
00007FF6E5BC5EA8 | 4C 63 48 04                       | movsxd r9,dword ptr ds:[rax+4]      |
00007FF6E5BC5EAC | 49 03 C9                          | add rcx,r9                          |
00007FF6E5BC5EAF | 4D 8B C8                          | mov r9,r8                           |
00007FF6E5BC5EB2 | 4C 8B C2                          | mov r8,rdx                          |
00007FF6E5BC5EB5 | 48 8D 15 B4 9E 26 00              | lea rdx,qword ptr ds:[7FF6E5E2FD70] |
00007FF6E5BC5EBC | E8 EB 4A 07 00                    | call sigview.7FF6E5C3A9AC           |
00007FF6E5BC5EC1 | 84 C0                             | test al,al                          |
00007FF6E5BC5EC3 | 75 23                             | jne sigview.7FF6E5BC5EE8            |
00007FF6E5BC5EC5 | 48 8D 4B D0                       | lea rcx,qword ptr ds:[rbx-30]       |
00007FF6E5BC5EC9 | 4C 8B C6                          | mov r8,rsi                          |
00007FF6E5BC5ECC | 48 8B D7                          | mov rdx,rdi                         |
00007FF6E5BC5ECF | E8 A8 F0 08 00                    | call sigview.7FF6E5C54F7C           |
00007FF6E5BC5ED4 | 84 C0                             | test al,al                          |
00007FF6E5BC5ED6 | 75 10                             | jne sigview.7FF6E5BC5EE8            |
00007FF6E5BC5ED8 | 48 8B 5C 24 30                    | mov rbx,qword ptr ss:[rsp+30]       |
00007FF6E5BC5EDD | 48 8B 74 24 38                    | mov rsi,qword ptr ss:[rsp+38]       |
00007FF6E5BC5EE2 | 48 83 C4 20                       | add rsp,20                          |
00007FF6E5BC5EE6 | 5F                                | pop rdi                             |
00007FF6E5BC5EE7 | C3                                | ret                                 |
00007FF6E5BC5EE8 | 48 8B 5C 24 30                    | mov rbx,qword ptr ss:[rsp+30]       |
00007FF6E5BC5EED | B0 01                             | mov al,1                            |
00007FF6E5BC5EEF | 48 8B 74 24 38                    | mov rsi,qword ptr ss:[rsp+38]       |
00007FF6E5BC5EF4 | 48 83 C4 20                       | add rsp,20                          |
00007FF6E5BC5EF8 | 5F                                | pop rdi                             |
00007FF6E5BC5EF9 | C3                                | ret                                 |
00007FF6E5BC5EFA | CC                                | int3                                |
00007FF6E5BC5EFB | CC                                | int3                                |
00007FF6E5BC5EFC | CC                                | int3                                |
00007FF6E5BC5EFD | CC                                | int3                                |
00007FF6E5BC5EFE | CC                                | int3                                |
00007FF6E5BC5EFF | CC                                | int3                                |
00007FF6E5BC5F00 | 4C 8B DC                          | mov r11,rsp                         |
00007FF6E5BC5F03 | 4D 89 4B 20                       | mov qword ptr ds:[r11+20],r9        |
00007FF6E5BC5F07 | 49 89 4B 08                       | mov qword ptr ds:[r11+8],rcx        |
00007FF6E5BC5F0B | 55                                | push rbp                            |
00007FF6E5BC5F0C | 56                                | push rsi                            |
00007FF6E5BC5F0D | 57                                | push rdi                            |
00007FF6E5BC5F0E | 48 83 EC 40                       | sub rsp,40                          |
00007FF6E5BC5F12 | 49 C7 43 D8 FE FF FF FF           | mov qword ptr ds:[r11-28],FFFFFFFFF |
00007FF6E5BC5F1A | 49 89 5B 18                       | mov qword ptr ds:[r11+18],rbx       |
00007FF6E5BC5F1E | 49 8B F0                          | mov rsi,r8                          |
00007FF6E5BC5F21 | 48 8B FA                          | mov rdi,rdx                         |
00007FF6E5BC5F24 | 48 8B D9                          | mov rbx,rcx                         |
00007FF6E5BC5F27 | 33 ED                             | xor ebp,ebp                         |


La c'est un bloc ou je pense que le logiciel permet de s'enregistrer avec un champ serial mail et user.

Par contre je ciomprends pas trop bien ce que les lignes veulent dire et comment cracker.

Il y a aussi un autre endroit en lien avec trial version (autour de 00007FF6E5BE780E)

Code: Tout sélectionner
00007FF6E5BE773D | E8 52 95 05 00                    | call sigview.7FF6E5C40C94                              |
00007FF6E5BE7742 | 48 8B 87 70 ED FF FF              | mov rax,qword ptr ds:[rdi-1290]                        |
00007FF6E5BE7749 | 48 63 50 0C                       | movsxd rdx,dword ptr ds:[rax+C]                        |
00007FF6E5BE774D | 48 8B 8C 3A 30 EE FF FF           | mov rcx,qword ptr ds:[rdx+rdi-11D0]                    |
00007FF6E5BE7755 | 45 33 F6                          | xor r14d,r14d                                          |
00007FF6E5BE7758 | 44 89 74 24 20                    | mov dword ptr ss:[rsp+20],r14d                         |
00007FF6E5BE775D | 4C 8D 0D 64 E7 24 00              | lea r9,qword ptr ds:[7FF6E5E35EC8]                     |
00007FF6E5BE7764 | 4C 8D 05 35 E7 24 00              | lea r8,qword ptr ds:[7FF6E5E35EA0]                     |
00007FF6E5BE776B | 33 D2                             | xor edx,edx                                            |
00007FF6E5BE776D | E8 DA D6 10 00                    | call sigview.7FF6E5CF4E4C                              |
00007FF6E5BE7772 | 48 8B F0                          | mov rsi,rax                                            |
00007FF6E5BE7775 | 8B 80 30 01 00 00                 | mov eax,dword ptr ds:[rax+130]                         |
00007FF6E5BE777B | 85 C0                             | test eax,eax                                           |
00007FF6E5BE777D | 0F 84 BB 00 00 00                 | je sigview.7FF6E5BE783E                                |
00007FF6E5BE7783 | 44 39 B6 34 01 00 00              | cmp dword ptr ds:[rsi+134],r14d                        |
00007FF6E5BE778A | 0F 85 A6 00 00 00                 | jne sigview.7FF6E5BE7836                               |
00007FF6E5BE7790 | 48 8B 87 70 ED FF FF              | mov rax,qword ptr ds:[rdi-1290]                        |
00007FF6E5BE7797 | 48 63 48 0C                       | movsxd rcx,dword ptr ds:[rax+C]                        |
00007FF6E5BE779B | 48 81 C1 70 ED FF FF              | add rcx,FFFFFFFFFFFFED70                               |
00007FF6E5BE77A2 | 48 03 CF                          | add rcx,rdi                                            |
00007FF6E5BE77A5 | 45 8D 4E 04                       | lea r9d,dword ptr ds:[r14+4]                           |
00007FF6E5BE77A9 | 4C 8D 05 88 E1 1C 00              | lea r8,qword ptr ds:[7FF6E5DB5938]                     | 7FF6E5DB5938:"Trial version"
00007FF6E5BE77B0 | 48 8D 15 79 14 1D 00              | lea rdx,qword ptr ds:[7FF6E5DB8C30]                    | 7FF6E5DB8C30:"Your 21-day license has expired!\n\nDo you want to enter your registration key now?"
00007FF6E5BE77B7 | E8 A8 84 05 00                    | call sigview.7FF6E5C3FC64                              |
00007FF6E5BE77BC | 83 F8 06                          | cmp eax,6                                              |
00007FF6E5BE77BF | 75 0E                             | jne sigview.7FF6E5BE77CF                               |
00007FF6E5BE77C1 | 48 8D 8F 68 ED FF FF              | lea rcx,qword ptr ds:[rdi-1298]                        |
00007FF6E5BE77C8 | E8 23 C1 00 00                    | call sigview.7FF6E5BF38F0                              |
00007FF6E5BE77CD | EB 5F                             | jmp sigview.7FF6E5BE782E                               |
00007FF6E5BE77CF | 48 8B 8F 68 F0 FF FF              | mov rcx,qword ptr ds:[rdi-F98]                         |
00007FF6E5BE77D6 | 48 8D 99 EA 07 00 00              | lea rbx,qword ptr ds:[rcx+7EA]                         |
00007FF6E5BE77DD | 44 88 33                          | mov byte ptr ds:[rbx],r14b                             |
00007FF6E5BE77E0 | 41 B9 FF 00 00 00                 | mov r9d,FF                                             |
00007FF6E5BE77E6 | 4C 8B C3                          | mov r8,rbx                                             |
00007FF6E5BE77E9 | BA A1 4A 00 00                    | mov edx,4AA1                                           |
00007FF6E5BE77EE | E8 29 74 07 00                    | call sigview.7FF6E5C5EC1C                              |
00007FF6E5BE77F3 | 48 8B 87 70 ED FF FF              | mov rax,qword ptr ds:[rdi-1290]                        |
00007FF6E5BE77FA | 48 63 48 0C                       | movsxd rcx,dword ptr ds:[rax+C]                        |
00007FF6E5BE77FE | 48 81 C1 70 ED FF FF              | add rcx,FFFFFFFFFFFFED70                               |
00007FF6E5BE7805 | 48 03 CF                          | add rcx,rdi                                            |
00007FF6E5BE7808 | 41 B9 04 00 00 00                 | mov r9d,4                                              |
00007FF6E5BE780E | 4C 8D 05 23 E1 1C 00              | lea r8,qword ptr ds:[7FF6E5DB5938]                     | 7FF6E5DB5938:"Trial version"
00007FF6E5BE7815 | 48 8B D3                          | mov rdx,rbx                                            |
00007FF6E5BE7818 | E8 47 84 05 00                    | call sigview.7FF6E5C3FC64                              |
00007FF6E5BE781D | 83 F8 06                          | cmp eax,6                                              |
00007FF6E5BE7820 | 75 0C                             | jne sigview.7FF6E5BE782E                               |
00007FF6E5BE7822 | 48 8D 8F 68 ED FF FF              | lea rcx,qword ptr ds:[rdi-1298]                        |
00007FF6E5BE7829 | E8 92 BF 00 00                    | call sigview.7FF6E5BF37C0                              |
00007FF6E5BE782E | 33 C9                             | xor ecx,ecx                                            |
00007FF6E5BE7830 | E8 E3 56 14 00                    | call sigview.7FF6E5D2CF18                              |
00007FF6E5BE7835 | CC                                | int3                                                   |
00007FF6E5BE7836 | 85 C0                             | test eax,eax                                           |
00007FF6E5BE7838 | 0F 85 84 00 00 00                 | jne sigview.7FF6E5BE78C2                               |
00007FF6E5BE783E | 44 39 B6 34 01 00 00              | cmp dword ptr ds:[rsi+134],r14d                        |
00007FF6E5BE7845 | 75 7B                             | jne sigview.7FF6E5BE78C2                               |
00007FF6E5BE7847 | 48 8D 87 68 ED FF FF              | lea rax,qword ptr ds:[rdi-1298]                        |
00007FF6E5BE784E | 48 85 C0                          | test rax,rax                                           |
00007FF6E5BE7851 | 75 05                             | jne sigview.7FF6E5BE7858                               |
00007FF6E5BE7853 | 49 8B D6                          | mov rdx,r14                                            |
00007FF6E5BE7856 | EB 15                             | jmp sigview.7FF6E5BE786D                               |
00007FF6E5BE7858 | 48 8B 87 70 ED FF FF              | mov rax,qword ptr ds:[rdi-1290]                        |
00007FF6E5BE785F | 48 63 48 0C                       | movsxd rcx,dword ptr ds:[rax+C]                        |
00007FF6E5BE7863 | 48 8D 97 70 ED FF FF              | lea rdx,qword ptr ds:[rdi-1290]                        |
00007FF6E5BE786A | 48 03 D1                          | add rdx,rcx                                            |
00007FF6E5BE786D | 41 B8 3E 7B 00 00                 | mov r8d,7B3E                                           |
00007FF6E5BE7873 | 48 8D 4D 98                       | lea rcx,qword ptr ss:[rbp-68]                          |
00007FF6E5BE7877 | E8 B4 D9 FD FF                    | call sigview.7FF6E5BC5230                              |
00007FF6E5BE787C | 90                                | nop                                                    |
00007FF6E5BE787D | 48 8B 48 08                       | mov rcx,qword ptr ds:[rax+8]                           |
00007FF6E5BE7881 | 48 63 51 0C                       | movsxd rdx,dword ptr ds:[rcx+C]                        |
00007FF6E5BE7885 | 48 8D 48 08                       | lea rcx,qword ptr ds:[rax+8]                           |
00007FF6E5BE7889 | 48 03 CA                          | add rcx,rdx                                            |
00007FF6E5BE788C | 48 8B 01                          | mov rax,qword ptr ds:[rcx]                             |
00007FF6E5BE788F | FF 50 28                          | call qword ptr ds:[rax+28]                             |
00007FF6E5BE7892 | 83 F8 01                          | cmp eax,1                                              |
00007FF6E5BE7895 | 0F 95 C3                          | setne bl                                               |
00007FF6E5BE7898 | 48 8D 4D D8                       | lea rcx,qword ptr ss:[rbp-28]                          |
00007FF6E5BE789C | E8 5F DD FD FF                    | call sigview.7FF6E5BC5600                              |
00007FF6E5BE78A1 | 48 8D 8D E8 00 00 00              | lea rcx,qword ptr ss:[rbp+E8]                          |
00007FF6E5BE78A8 | E8 57 43 05 00                    | call sigview.7FF6E5C3BC04                              |
00007FF6E5BE78AD | 48 8D 4D D8                       | lea rcx,qword ptr ss:[rbp-28]                          |
00007FF6E5BE78B1 | E8 3A BF 05 00                    | call sigview.7FF6E5C437F0                              |
00007FF6E5BE78B6 | 84 DB                             | test bl,bl                                             |
00007FF6E5BE78B8 | 74 08                             | je sigview.7FF6E5BE78C2                                |
00007FF6E5BE78BA | 33 C9                             | xor ecx,ecx                                            |
00007FF6E5BE78BC | E8 57 56 14 00                    | call sigview.7FF6E5D2CF18                              |
00007FF6E5BE78C1 | CC                                | int3                                                   |
00007FF6E5BE78C2 | 80 7F D0 00                       | cmp byte ptr ds:[rdi-30],0                             |
00007FF6E5BE78C6 | 0F 85 8A 00 00 00                 | jne sigview.7FF6E5BE7956                               |
00007FF6E5BE78CC | B9 38 01 00 00                    | mov ecx,138                                            |
00007FF6E5BE78D1 | E8 B2 EF 04 00                    | call sigview.7FF6E5C36888                              |
00007FF6E5BE78D6 | 4C 8B C8                          | mov r9,rax                                             |
00007FF6E5BE78D9 | 48 89 85 00 01 00 00              | mov qword ptr ss:[rbp+100],rax                         |
00007FF6E5BE78E0 | 48 8D 8F 68 ED FF FF              | lea rcx,qword ptr ds:[rdi-1298]                        |
00007FF6E5BE78E7 | 48 85 C9                          | test rcx,rcx                                           |
00007FF6E5BE78EA | 75 05                             | jne sigview.7FF6E5BE78F1                               |



Voila peut être que avec ça, quelqu'un pourra m'aider ;)

Merci
GROUPF
Débutant
Débutant
 
Messages: 35
Inscription: 25 Avril 2017, 22:32

Re: Application du cours 15#2

Messagepar CoolAlien » 19 Juillet 2017, 14:20

Rapide petit check, semble que le soft est protéger par IsDebuggrPresent :wink:
ce qui peut modifier le comportement du logiciel dans le dbg.
Avatar de l’utilisateur
CoolAlien
Apprenti
Apprenti
 
Messages: 68
Inscription: 16 Août 2016, 19:19

Re: Application du cours 15#2

Messagepar etherlord » 19 Juillet 2017, 15:06

%suser3.key ?

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2476
Inscription: 22 Mars 2004, 16:12

Re: Application du cours 15#2

Messagepar Bango » 19 Juillet 2017, 17:10

Je suis de l'avis sous entendu par etherlord :P
A mon avis, quand tu saisis un couple name/serial, qui a le bon format, il l'enregistre dans le registre.
Et au redémarrage.... il va checker ;) donc.... RegCreatKeyEx / RegQueryValueEx / ... ...
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1527
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: Application du cours 15#2

Messagepar GROUPF » 19 Juillet 2017, 19:14

Voila ce que ça a donné au niveau code assembleur :

Code: Tout sélectionner
00007FF83620E8FC | 48 8B 0D 55 2C 04 00     | mov rcx,qword ptr ds:[7FF836251558]     |
00007FF83620E903 | 48 8D 15 4E 45 02 00     | lea rdx,qword ptr ds:[7FF836232E58]     | 7FF836232E58:"RegEnumKeyExW"
00007FF83620E90A | FF 15 70 1B 01 00        | call qword ptr ds:[<&GetProcAddress>]   |
00007FF83620E910 | 48 89 05 F1 2D 04 00     | mov qword ptr ds:[7FF836251708],rax     |
00007FF83620E917 | 4C 8B D0                 | mov r10,rax                             |
00007FF83620E91A | 48 85 C0                 | test rax,rax                            |
00007FF83620E91D | 75 08                    | jne gdiplus.7FF83620E927                |
00007FF83620E91F | FF 15 0B 1A 01 00        | call qword ptr ds:[<&GetLastError>]     |
00007FF83620E925 | EB 33                    | jmp gdiplus.7FF83620E95A                |
00007FF83620E927 | 48 8B 84 24 98 00 00 00  | mov rax,qword ptr ss:[rsp+98]           |
00007FF83620E92F | 4C 8B CB                 | mov r9,rbx                              |
00007FF83620E932 | 48 89 44 24 38           | mov qword ptr ss:[rsp+38],rax           |
00007FF83620E937 | 4C 8B C7                 | mov r8,rdi                              |
00007FF83620E93A | 48 83 64 24 30 00        | and qword ptr ss:[rsp+30],0             |
00007FF83620E940 | 8B D6                    | mov edx,esi                             |
00007FF83620E942 | 48 83 64 24 28 00        | and qword ptr ss:[rsp+28],0             | [rsp+28]:"minkernel\\ntdll\\ldrinit.c"
00007FF83620E948 | 48 8B CD                 | mov rcx,rbp                             |
00007FF83620E94B | 48 83 64 24 20 00        | and qword ptr ss:[rsp+20],0             |
00007FF83620E951 | 49 8B C2                 | mov rax,r10                             |
00007FF83620E954 | FF 15 8E 1E 01 00        | call qword ptr ds:[7FF8362207E8]        |
00007FF83620E95A | 48 8B 5C 24 60           | mov rbx,qword ptr ss:[rsp+60]           |
00007FF83620E95F | 48 8B 6C 24 68           | mov rbp,qword ptr ss:[rsp+68]           |
00007FF83620E964 | 48 8B 74 24 70           | mov rsi,qword ptr ss:[rsp+70]           |
00007FF83620E969 | 48 83 C4 50              | add rsp,50                              |
00007FF83620E96D | 5F                       | pop rdi                                 |
00007FF83620E96E | C3                       | ret                                     |
00007FF83620E96F | CC                       | int3                                    |
00007FF83620E970 | 48 89 5C 24 08           | mov qword ptr ss:[rsp+8],rbx            |
00007FF83620E975 | 48 89 6C 24 10           | mov qword ptr ss:[rsp+10],rbp           |
00007FF83620E97A | 48 89 74 24 18           | mov qword ptr ss:[rsp+18],rsi           |
00007FF83620E97F | 57                       | push rdi                                |
00007FF83620E980 | 48 83 EC 50              | sub rsp,50                              |
00007FF83620E984 | 4C 8B 15 75 2D 04 00     | mov r10,qword ptr ds:[7FF836251700]     |
00007FF83620E98B | 49 8B D9                 | mov rbx,r9                              |
00007FF83620E98E | 49 8B F8                 | mov rdi,r8                              |
00007FF83620E991 | 8B F2                    | mov esi,edx                             |
00007FF83620E993 | 48 8B E9                 | mov rbp,rcx                             |
00007FF83620E996 | 4D 85 D2                 | test r10,r10                            |
00007FF83620E999 | 75 34                    | jne gdiplus.7FF83620E9CF                |
00007FF83620E99B | E8 6C FE FF FF           | call gdiplus.7FF83620E80C               |
00007FF83620E9A0 | 85 C0                    | test eax,eax                            |
00007FF83620E9A2 | 75 65                    | jne gdiplus.7FF83620EA09                |
00007FF83620E9A4 | 48 8B 0D AD 2B 04 00     | mov rcx,qword ptr ds:[7FF836251558]     |
00007FF83620E9AB | 48 8D 15 B6 44 02 00     | lea rdx,qword ptr ds:[7FF836232E68]     | 7FF836232E68:"RegEnumValueW"
00007FF83620E9B2 | FF 15 C8 1A 01 00        | call qword ptr ds:[<&GetProcAddress>]   |
00007FF83620E9B8 | 48 89 05 41 2D 04 00     | mov qword ptr ds:[7FF836251700],rax     |
00007FF83620E9BF | 4C 8B D0                 | mov r10,rax                             |
00007FF83620E9C2 | 48 85 C0                 | test rax,rax                            |
00007FF83620E9C5 | 75 08                    | jne gdiplus.7FF83620E9CF                |
00007FF83620E9C7 | FF 15 63 19 01 00        | call qword ptr ds:[<&GetLastError>]     |
00007FF83620E9CD | EB 3A                    | jmp gdiplus.7FF83620EA09                |
00007FF83620E9CF | 48 8B 84 24 98 00 00 00  | mov rax,qword ptr ss:[rsp+98]           |
00007FF83620E9D7 | 4C 8B CB                 | mov r9,rbx                              |
00007FF83620E9DA | 48 89 44 24 38           | mov qword ptr ss:[rsp+38],rax           |
00007FF83620E9DF | 4C 8B C7                 | mov r8,rdi                              |
00007FF83620E9E2 | 48 8B 84 24 90 00 00 00  | mov rax,qword ptr ss:[rsp+90]           |
00007FF83620E9EA | 8B D6                    | mov edx,esi                             |
00007FF83620E9EC | 48 89 44 24 30           | mov qword ptr ss:[rsp+30],rax           |
00007FF83620E9F1 | 48 8B CD                 | mov rcx,rbp                             |
00007FF83620E9F4 | 48 83 64 24 28 00        | and qword ptr ss:[rsp+28],0             | [rsp+28]:"minkernel\\ntdll\\ldrinit.c"
00007FF83620E9FA | 49 8B C2                 | mov rax,r10                             |
00007FF83620E9FD | 48 83 64 24 20 00        | and qword ptr ss:[rsp+20],0             |
00007FF83620EA03 | FF 15 DF 1D 01 00        | call qword ptr ds:[7FF8362207E8]        |
00007FF83620EA09 | 48 8B 5C 24 60           | mov rbx,qword ptr ss:[rsp+60]           |
00007FF83620EA0E | 48 8B 6C 24 68           | mov rbp,qword ptr ss:[rsp+68]           |
00007FF83620EA13 | 48 8B 74 24 70           | mov rsi,qword ptr ss:[rsp+70]           |
00007FF83620EA18 | 48 83 C4 50              | add rsp,50                              |
00007FF83620EA1C | 5F                       | pop rdi                                 |
00007FF83620EA1D | C3                       | ret                                     |
00007FF83620EA1E | CC                       | int3                                    |
00007FF83620EA1F | CC                       | int3                                    |
00007FF83620EA20 | 48 83 EC 38              | sub rsp,38                              |
00007FF83620EA24 | 4C 8B 15 ED 2C 04 00     | mov r10,qword ptr ds:[7FF836251718]     |
00007FF83620EA2B | 4D 85 D2                 | test r10,r10                            |
00007FF83620EA2E | 75 37                    | jne gdiplus.7FF83620EA67                |
00007FF83620EA30 | E8 D7 FD FF FF           | call gdiplus.7FF83620E80C               |
00007FF83620EA35 | 85 C0                    | test eax,eax                            |
00007FF83620EA37 | 75 58                    | jne gdiplus.7FF83620EA91                |
00007FF83620EA39 | 48 8B 0D 18 2B 04 00     | mov rcx,qword ptr ds:[7FF836251558]     |
00007FF83620EA40 | 48 8D 15 31 44 02 00     | lea rdx,qword ptr ds:[7FF836232E78]     | 7FF836232E78:"RegOpenKeyExA"
00007FF83620EA47 | FF 15 33 1A 01 00        | call qword ptr ds:[<&GetProcAddress>]   |
00007FF83620EA4D | 48 89 05 C4 2C 04 00     | mov qword ptr ds:[7FF836251718],rax     |
00007FF83620EA54 | 4C 8B D0                 | mov r10,rax                             |
00007FF83620EA57 | 48 85 C0                 | test rax,rax                            |
00007FF83620EA5A | 75 0B                    | jne gdiplus.7FF83620EA67                |
00007FF83620EA5C | 48 83 C4 38              | add rsp,38                              |
00007FF83620EA60 | 48 FF 25 C9 18 01 00     | jmp qword ptr ds:[<&GetLastError>]      |
00007FF83620EA67 | 48 8B 44 24 60           | mov rax,qword ptr ss:[rsp+60]           |
00007FF83620EA6C | 48 8D 15 ED F4 01 00     | lea rdx,qword ptr ds:[7FF83622DF60]     | 7FF83622DF60:"Control Panel\\International"
00007FF83620EA73 | 48 89 44 24 20           | mov qword ptr ss:[rsp+20],rax           |
00007FF83620EA78 | 41 B9 19 00 02 00        | mov r9d,20019                           |
00007FF83620EA7E | 49 8B C2                 | mov rax,r10                             |
00007FF83620EA81 | 45 33 C0                 | xor r8d,r8d                             |
00007FF83620EA84 | 48 C7 C1 01 00 00 80     | mov rcx,FFFFFFFF80000001                |
00007FF83620EA8B | FF 15 57 1D 01 00        | call qword ptr ds:[7FF8362207E8]        |
00007FF83620EA91 | 48 83 C4 38              | add rsp,38                              |
00007FF83620EA95 | C3                       | ret                                     |
00007FF83620EA96 | CC                       | int3                                    |
00007FF83620EA97 | CC                       | int3                                    |
00007FF83620EA98 | 48 89 5C 24 08           | mov qword ptr ss:[rsp+8],rbx            |
00007FF83620EA9D | 48 89 74 24 10           | mov qword ptr ss:[rsp+10],rsi           |
00007FF83620EAA2 | 57                       | push rdi                                |
00007FF83620EAA3 | 48 83 EC 30              | sub rsp,30                              |
00007FF83620EAA7 | 4C 8B 15 3A 2C 04 00     | mov r10,qword ptr ds:[7FF8362516E8]     |
00007FF83620EAAE | 41 8B D9                 | mov ebx,r9d                             |
00007FF83620EAB1 | 48 8B FA                 | mov rdi,rdx                             |
00007FF83620EAB4 | 48 8B F1                 | mov rsi,rcx                             |
00007FF83620EAB7 | 4D 85 D2                 | test r10,r10                            |
00007FF83620EABA | 75 34                    | jne gdiplus.7FF83620EAF0                |
00007FF83620EABC | E8 4B FD FF FF           | call gdiplus.7FF83620E80C               |
00007FF83620EAC1 | 85 C0                    | test eax,eax                            |
00007FF83620EAC3 | 75 4A                    | jne gdiplus.7FF83620EB0F                |
00007FF83620EAC5 | 48 8B 0D 8C 2A 04 00     | mov rcx,qword ptr ds:[7FF836251558]     |
00007FF83620EACC | 48 8D 15 B5 43 02 00     | lea rdx,qword ptr ds:[7FF836232E88]     | 7FF836232E88:"RegOpenKeyExW"
00007FF83620EAD3 | FF 15 A7 19 01 00        | call qword ptr ds:[<&GetProcAddress>]   |
00007FF83620EAD9 | 48 89 05 08 2C 04 00     | mov qword ptr ds:[7FF8362516E8],rax     |
00007FF83620EAE0 | 4C 8B D0                 | mov r10,rax                             |
00007FF83620EAE3 | 48 85 C0                 | test rax,rax                            |
00007FF83620EAE6 | 75 08                    | jne gdiplus.7FF83620EAF0                |
00007FF83620EAE8 | FF 15 42 18 01 00        | call qword ptr ds:[<&GetLastError>]     |
00007FF83620EAEE | EB 1F                    | jmp gdiplus.7FF83620EB0F                |
00007FF83620EAF0 | 48 8B 44 24 60           | mov rax,qword ptr ss:[rsp+60]           |
00007FF83620EAF5 | 44 8B CB                 | mov r9d,ebx                             |
00007FF83620EAF8 | 48 89 44 24 20           | mov qword ptr ss:[rsp+20],rax           |
00007FF83620EAFD | 45 33 C0                 | xor r8d,r8d                             |
00007FF83620EB00 | 49 8B C2                 | mov rax,r10                             |
00007FF83620EB03 | 48 8B D7                 | mov rdx,rdi                             |
00007FF83620EB06 | 48 8B CE                 | mov rcx,rsi                             |
00007FF83620EB09 | FF 15 D9 1C 01 00        | call qword ptr ds:[7FF8362207E8]        |
00007FF83620EB0F | 48 8B 5C 24 40           | mov rbx,qword ptr ss:[rsp+40]           |
00007FF83620EB14 | 48 8B 74 24 48           | mov rsi,qword ptr ss:[rsp+48]           |
00007FF83620EB19 | 48 83 C4 30              | add rsp,30                              |
00007FF83620EB1D | 5F                       | pop rdi                                 |
00007FF83620EB1E | C3                       | ret                                     |
00007FF83620EB1F | CC                       | int3                                    |
00007FF83620EB20 | 40 53                    | push rbx                                |
00007FF83620EB22 | 48 83 EC 70              | sub rsp,70                              |
00007FF83620EB26 | 4C 8B 15 E3 2B 04 00     | mov r10,qword ptr ds:[7FF836251710]     |
00007FF83620EB2D | 48 8B D9                 | mov rbx,rcx                             |
00007FF83620EB30 | 4D 85 D2                 | test r10,r10                            |
00007FF83620EB33 | 75 38                    | jne gdiplus.7FF83620EB6D                |
00007FF83620EB35 | E8 D2 FC FF FF           | call gdiplus.7FF83620E80C               |
00007FF83620EB3A | 85 C0                    | test eax,eax                            |
00007FF83620EB3C | 75 7A                    | jne gdiplus.7FF83620EBB8                |
00007FF83620EB3E | 48 8B 0D 13 2A 04 00     | mov rcx,qword ptr ds:[7FF836251558]     |
00007FF83620EB45 | 48 8D 15 4C 43 02 00     | lea rdx,qword ptr ds:[7FF836232E98]     | 7FF836232E98:"RegQueryInfoKeyW"
00007FF83620EB4C | FF 15 2E 19 01 00        | call qword ptr ds:[<&GetProcAddress>]   |
00007FF83620EB52 | 48 89 05 B7 2B 04 00     | mov qword ptr ds:[7FF836251710],rax     |
00007FF83620EB59 | 4C 8B D0                 | mov r10,rax                             |
00007FF83620EB5C | 48 85 C0                 | test rax,rax                            |
00007FF83620EB5F | 75 0C                    | jne gdiplus.7FF83620EB6D                |
00007FF83620EB61 | 48 83 C4 70              | add rsp,70                              |
00007FF83620EB65 | 5B                       | pop rbx                                 |
00007FF83620EB66 | 48 FF 25 C3 17 01 00     | jmp qword ptr ds:[<&GetLastError>]      |
00007FF83620EB6D | 48 83 64 24 58 00        | and qword ptr ss:[rsp+58],0             |
00007FF83620EB73 | 45 33 C9                 | xor r9d,r9d                             |
00007FF83620EB76 | 48 83 64 24 50 00        | and qword ptr ss:[rsp+50],0             |
00007FF83620EB7C | 45 33 C0                 | xor r8d,r8d                             |
00007FF83620EB7F | 48 83 64 24 48 00        | and qword ptr ss:[rsp+48],0             |
00007FF83620EB85 | 33 D2                    | xor edx,edx                             |
00007FF83620EB87 | 48 83 64 24 40 00        | and qword ptr ss:[rsp+40],0             |
00007FF83620EB8D | 48 8B CB                 | mov rcx,rbx                             |
00007FF83620EB90 | 48 8B 84 24 B8 00 00 00  | mov rax,qword ptr ss:[rsp+B8]           |
00007FF83620EB98 | 48 89 44 24 38           | mov qword ptr ss:[rsp+38],rax           |
00007FF83620EB9D | 49 8B C2                 | mov rax,r10                             |
00007FF83620EBA0 | 48 83 64 24 30 00        | and qword ptr ss:[rsp+30],0             |
00007FF83620EBA6 | 48 83 64 24 28 00        | and qword ptr ss:[rsp+28],0             | [rsp+28]:"minkernel\\ntdll\\ldrinit.c"
00007FF83620EBAC | 48 83 64 24 20 00        | and qword ptr ss:[rsp+20],0             |
00007FF83620EBB2 | FF 15 30 1C 01 00        | call qword ptr ds:[7FF8362207E8]        |
00007FF83620EBB8 | 48 83 C4 70              | add rsp,70                              |
00007FF83620EBBC | 5B                       | pop rbx                                 |
00007FF83620EBBD | C3                       | ret                                     |
00007FF83620EBBE | CC                       | int3                                    |
00007FF83620EBBF | CC                       | int3                                    |
00007FF83620EBC0 | 48 89 5C 24 08           | mov qword ptr ss:[rsp+8],rbx            |
00007FF83620EBC5 | 57                       | push rdi                                |
00007FF83620EBC6 | 48 83 EC 40              | sub rsp,40                              |
00007FF83620EBCA | 4C 8B 15 27 2B 04 00     | mov r10,qword ptr ds:[7FF8362516F8]     |
00007FF83620EBD1 | 49 8B D9                 | mov rbx,r9                              |
00007FF83620EBD4 | 48 8B F9                 | mov rdi,rcx                             |
00007FF83620EBD7 | 4D 85 D2                 | test r10,r10                            |
00007FF83620EBDA | 75 34                    | jne gdiplus.7FF83620EC10                |
00007FF83620EBDC | E8 2B FC FF FF           | call gdiplus.7FF83620E80C               |
00007FF83620EBE1 | 85 C0                    | test eax,eax                            |
00007FF83620EBE3 | 75 58                    | jne gdiplus.7FF83620EC3D                |
00007FF83620EBE5 | 48 8B 0D 6C 29 04 00     | mov rcx,qword ptr ds:[7FF836251558]     |
00007FF83620EBEC | 48 8D 15 BD 42 02 00     | lea rdx,qword ptr ds:[7FF836232EB0]     | 7FF836232EB0:"RegQueryValueExA"
00007FF83620EBF3 | FF 15 87 18 01 00        | call qword ptr ds:[<&GetProcAddress>]   |
00007FF83620EBF9 | 48 89 05 F8 2A 04 00     | mov qword ptr ds:[7FF8362516F8],rax     |
00007FF83620EC00 | 4C 8B D0                 | mov r10,rax                             |
00007FF83620EC03 | 48 85 C0                 | test rax,rax                            |
00007FF83620EC06 | 75 08                    | jne gdiplus.7FF83620EC10                |
00007FF83620EC08 | FF 15 22 17 01 00        | call qword ptr ds:[<&GetLastError>]     |
00007FF83620EC0E | EB 2D                    | jmp gdiplus.7FF83620EC3D                |
00007FF83620EC10 | 48 8B 44 24 78           | mov rax,qword ptr ss:[rsp+78]           |
00007FF83620EC15 | 48 8D 15 64 F3 01 00     | lea rdx,qword ptr ds:[7FF83622DF80]     | 7FF83622DF80:"NumShape"
00007FF83620EC1C | 48 89 44 24 28           | mov qword ptr ss:[rsp+28],rax           | [rsp+28]:"minkernel\\ntdll\\ldrinit.c"
00007FF83620EC21 | 4C 8B CB                 | mov r9,rbx                              |
00007FF83620EC24 | 48 8B 44 24 70           | mov rax,qword ptr ss:[rsp+70]           |
00007FF83620EC29 | 45 33 C0                 | xor r8d,r8d                             |
00007FF83620EC2C | 48 89 44 24 20           | mov qword ptr ss:[rsp+20],rax           |
00007FF83620EC31 | 48 8B CF                 | mov rcx,rdi                             |
00007FF83620EC34 | 49 8B C2                 | mov rax,r10                             |
00007FF83620EC37 | FF 15 AB 1B 01 00        | call qword ptr ds:[7FF8362207E8]        |
00007FF83620EC3D | 48 8B 5C 24 50           | mov rbx,qword ptr ss:[rsp+50]           |
00007FF83620EC42 | 48 83 C4 40              | add rsp,40                              |
00007FF83620EC46 | 5F                       | pop rdi                                 |
00007FF83620EC47 | C3                       | ret                                     |
00007FF83620EC48 | 48 89 5C 24 08           | mov qword ptr ss:[rsp+8],rbx            |
00007FF83620EC4D | 48 89 74 24 10           | mov qword ptr ss:[rsp+10],rsi           |
00007FF83620EC52 | 57                       | push rdi                                |
00007FF83620EC53 | 48 83 EC 40              | sub rsp,40                              |
00007FF83620EC57 | 4C 8B 15 C2 2A 04 00     | mov r10,qword ptr ds:[7FF836251720]     |
00007FF83620EC5E | 49 8B D9                 | mov rbx,r9                              |
00007FF83620EC61 | 48 8B FA                 | mov rdi,rdx                             |
00007FF83620EC64 | 48 8B F1                 | mov rsi,rcx                             |
00007FF83620EC67 | 4D 85 D2                 | test r10,r10                            |
00007FF83620EC6A | 75 34                    | jne gdiplus.7FF83620ECA0                |
00007FF83620EC6C | E8 9B FB FF FF           | call gdiplus.7FF83620E80C               |
00007FF83620EC71 | 85 C0                    | test eax,eax                            |
00007FF83620EC73 | 75 54                    | jne gdiplus.7FF83620ECC9                |
00007FF83620EC75 | 48 8B 0D DC 28 04 00     | mov rcx,qword ptr ds:[7FF836251558]     |
00007FF83620EC7C | 48 8D 15 45 42 02 00     | lea rdx,qword ptr ds:[7FF836232EC8]     | 7FF836232EC8:"RegQueryValueExW"
00007FF83620EC83 | FF 15 F7 17 01 00        | call qword ptr ds:[<&GetProcAddress>]   |
00007FF83620EC89 | 48 89 05 90 2A 04 00     | mov qword ptr ds:[7FF836251720],rax     |
00007FF83620EC90 | 4C 8B D0                 | mov r10,rax                             |
00007FF83620EC93 | 48 85 C0                 | test rax,rax                            |
00007FF83620EC96 | 75 08                    | jne gdiplus.7FF83620ECA0                |
00007FF83620EC98 | FF 15 92 16 01 00        | call qword ptr ds:[<&GetLastError>]     |
00007FF83620EC9E | EB 29                    | jmp gdiplus.7FF83620ECC9                |
00007FF83620ECA0 | 48 8B 44 24 78           | mov rax,qword ptr ss:[rsp+78]           |
00007FF83620ECA5 | 4C 8B CB                 | mov r9,rbx                              |
00007FF83620ECA8 | 48 89 44 24 28           | mov qword ptr ss:[rsp+28],rax           | [rsp+28]:"minkernel\\ntdll\\ldrinit.c"
00007FF83620ECAD | 45 33 C0                 | xor r8d,r8d                             |
00007FF83620ECB0 | 48 8B 44 24 70           | mov rax,qword ptr ss:[rsp+70]           |
00007FF83620ECB5 | 48 8B D7                 | mov rdx,rdi                             |
00007FF83620ECB8 | 48 89 44 24 20           | mov qword ptr ss:[rsp+20],rax           |
00007FF83620ECBD | 48 8B CE                 | mov rcx,rsi                             |
00007FF83620ECC0 | 49 8B C2                 | mov rax,r10                             |
00007FF83620ECC3 | FF 15 1F 1B 01 00        | call qword ptr ds:[7FF8362207E8]        |
00007FF83620ECC9 | 48 8B 5C 24 50           | mov rbx,qword ptr ss:[rsp+50]           |
00007FF83620ECCE | 48 8B 74 24 58           | mov rsi,qword ptr ss:[rsp+58]           |
00007FF83620ECD3 | 48 83 C4 40              | add rsp,40                              |
00007FF83620ECD7 | 5F                       | pop rdi                                 |
00007FF83620ECD8 | C3                       | ret                                     |
00007FF83620ECD9 | CC                       | int3                                    |
00007FF83620ECDA | CC                       | int3                                    |
00007FF83620ECDB | CC                       | int3                                    |
00007FF83620ECDC | 49 3B D0                 | cmp rdx,r8                              |
00007FF83620ECDF | 73 61                    | jae gdiplus.7FF83620ED42                |
00007FF83620ECE1 | 48 89 5C 24 08           | mov qword ptr ss:[rsp+8],rbx            |
00007FF83620ECE6 | 48 89 74 24 10           | mov qword ptr ss:[rsp+10],rsi           |
00007FF83620ECEB | 48 89 7C 24 18           | mov qword ptr ss:[rsp+18],rdi           |
00007FF83620ECF0 | 4C 8B D2                 | mov r10,rdx                             |
00007FF83620ECF3 | 4C 8D 4A 04              | lea r9,qword ptr ds:[rdx+4]             |
00007FF83620ECF7 | 48 8B F9                 | mov rdi,rcx                             |
00007FF83620ECFA | EB 32                    | jmp gdiplus.7FF83620ED2E                |
00007FF83620ECFC | 49 63 19                 | movsxd rbx,dword ptr ds:[r9]            |
00007FF83620ECFF | 49 8D 51 FC              | lea rdx,qword ptr ds:[r9-4]             |
00007FF83620ED03 | 48 8D 0C 9B              | lea rcx,qword ptr ds:[rbx+rbx*4]        |
00007FF83620ED07 | 8B 74 8F 04              | mov esi,dword ptr ds:[rdi+rcx*4+4]      |
00007FF83620ED0B | EB 15                    | jmp gdiplus.7FF83620ED22                |
00007FF83620ED0D | 4C 63 1A                 | movsxd r11,dword ptr ds:[rdx]           |
00007FF83620ED10 | 4B 8D 0C 9B              | lea rcx,qword ptr ds:[r11+r11*4]        |
00007FF83620ED14 | 3B 74 8F 04              | cmp esi,dword ptr ds:[rdi+rcx*4+4]      |
00007FF83620ED18 | 7D 0D                    | jge gdiplus.7FF83620ED27                |
00007FF83620ED1A | 44 89 5A 04              | mov dword ptr ds:[rdx+4],r11d           |
00007FF83620ED1E | 48 83 EA 04              | sub rdx,4                               |
00007FF83620ED22 | 49 3B D2                 | cmp rdx,r10                             |
00007FF83620ED25 | 73 E6                    | jae gdiplus.7FF83620ED0D                |
00007FF83620ED27 | 89 5A 04                 | mov dword ptr ds:[rdx+4],ebx            |
00007FF83620ED2A | 49 83 C1 04              | add r9,4                                |
00007FF83620ED2E | 4D 3B C8                 | cmp r9,r8                               |
00007FF83620ED31 | 76 C9                    | jbe gdiplus.7FF83620ECFC                |
00007FF83620ED33 | 48 8B 5C 24 08           | mov rbx,qword ptr ss:[rsp+8]            |
00007FF83620ED38 | 48 8B 74 24 10           | mov rsi,qword ptr ss:[rsp+10]           |
00007FF83620ED3D | 48 8B 7C 24 18           | mov rdi,qword ptr ss:[rsp+18]           |
00007FF83620ED42 | C3                       | ret                                     |
00007FF83620ED43 | CC                       | int3                                    |
00007FF83620ED44 | 48 8B C4                 | mov rax,rsp                             |
00007FF83620ED47 | 48 89 58 18              | mov qword ptr ds:[rax+18],rbx           |
00007FF83620ED4B | 4C 89 48 20              | mov qword ptr ds:[rax+20],r9            |
00007FF83620ED4F | 89 50 10                 | mov dword ptr ds:[rax+10],edx           |
00007FF83620ED52 | 55                       | push rbp                                |
00007FF83620ED53 | 56                       | push rsi                                |
00007FF83620ED54 | 57                       | push rdi                                |
00007FF83620ED55 | 41 54                    | push r12                                | r12:"minkernel\\ntdll\\ldrinit.c"
00007FF83620ED57 | 41 55                    | push r13                                |
00007FF83620ED59 | 41 56                    | push r14                                |
00007FF83620ED5B | 41 57                    | push r15                                | r15:"LdrpInitializeProcess"
00007FF83620ED5D | 48 8D 68 C1              | lea rbp,qword ptr ds:[rax-3F]           |
00007FF83620ED61 | 48 81 EC 00 01 00 00     | sub rsp,100                             |
00007FF83620ED68 | 33 FF                    | xor edi,edi                             |
00007FF83620ED6A | 49 63 D8                 | movsxd rbx,r8d                          |
00007FF83620ED6D | 21 7D 47                 | and dword ptr ss:[rbp+47],edi           |
00007FF83620ED70 | 48 8D 45 87              | lea rax,qword ptr ss:[rbp-79]           |
00007FF83620ED74 | 21 7C 24 78              | and dword ptr ss:[rsp+78],edi           |
00007FF83620ED78 | 44 8B F2                 | mov r14d,edx                            |
00007FF83620ED7B | 48 89 44 24 68           | mov qword ptr ss:[rsp+68],rax           |
00007FF83620ED80 | 8B F1                    | mov esi,ecx                             |
00007FF83620ED82 | 48 8D 45 87              | lea rax,qword ptr ss:[rbp-79]           |
00007FF83620ED86 | 89 4C 24 50              | mov dword ptr ss:[rsp+50],ecx           |
00007FF83620ED8A | 48 89 44 24 60           | mov qword ptr ss:[rsp+60],rax           |
00007FF83620ED8F | 8D 57 08                 | lea edx,dword ptr ds:[rdi+8]            |
00007FF83620ED92 | 8D 47 10                 | lea eax,dword ptr ds:[rdi+10]           |
00007FF83620ED95 | 44 8B E1                 | mov r12d,ecx                            |
00007FF83620ED98 | 45 33 ED                 | xor r13d,r13d                           |
00007FF83620ED9B | 89 44 24 70              | mov dword ptr ss:[rsp+70],eax           |
00007FF83620ED9F | 44 8D 47 02              | lea r8d,dword ptr ds:[rdi+2]            |
00007FF83620EDA3 | 89 44 24 74              | mov dword ptr ss:[rsp+74],eax           |
00007FF83620EDA7 | 48 8D 4C 24 60           | lea rcx,qword ptr ss:[rsp+60]           |
00007FF83620EDAC | 44 89 6C 24 40           | mov dword ptr ss:[rsp+40],r13d          |
00007FF83620EDB1 | E8 2A 29 EE FF           | call gdiplus.7FF8360F16E0               |
00007FF83620EDB6 | 48 8B 4D 6F              | mov rcx,qword ptr ss:[rbp+6F]           |
00007FF83620EDBA | 4C 8B F8                 | mov r15,rax                             | r15:"LdrpInitializeProcess"
00007FF83620EDBD | 48 85 C0                 | test rax,rax                            |
00007FF83620EDC0 | 75 37                    | jne gdiplus.7FF83620EDF9                |
00007FF83620EDC2 | 8D 5F 01                 | lea ebx,dword ptr ds:[rdi+1]            |
00007FF83620EDC5 | 48 85 C9                 | test rcx,rcx                            |
00007FF83620EDC8 | 74 0E                    | je gdiplus.7FF83620EDD8                 |
00007FF83620EDCA | 48 8B 01                 | mov rax,qword ptr ds:[rcx]              |
00007FF83620EDCD | 8B D3                    | mov edx,ebx                             |
00007FF83620EDCF | 48 8B 00                 | mov rax,qword ptr ds:[rax]              |
00007FF83620EDD2 | FF 15 10 1A 01 00        | call qword ptr ds:[7FF8362207E8]        |
00007FF83620EDD8 | 48 8B 4D 77              | mov rcx,qword ptr ss:[rbp+77]           |
00007FF83620EDDC | 48 85 C9                 | test rcx,rcx                            |
00007FF83620EDDF | 74 0E                    | je gdiplus.7FF83620EDEF                 |
00007FF83620EDE1 | 48 8B 01                 | mov rax,qword ptr ds:[rcx]              |
00007FF83620EDE4 | 8B D3                    | mov edx,ebx                             |
00007FF83620EDE6 | 48 8B 00                 | mov rax,qword ptr ds:[rax]              |
00007FF83620EDE9 | FF 15 F9 19 01 00        | call qword ptr ds:[7FF8362207E8]        |
00007FF83620EDEF | BF 03 00 00 00           | mov edi,3                               |
00007FF83620EDF4 | E9 A2 03 00 00           | jmp gdiplus.7FF83620F19B                |
00007FF83620EDF9 | 48 89 08                 | mov qword ptr ds:[rax],rcx              |
00007FF83620EDFC | 4C 8B C3                 | mov r8,rbx                              |
00007FF83620EDFF | 48 8B 45 77              | mov rax,qword ptr ss:[rbp+77]           |
00007FF83620EE03 | 49 89 47 08              | mov qword ptr ds:[r15+8],rax            | r15+8:"ializeProcess"
00007FF83620EE07 | 48 8B 85 87 00 00 00     | mov rax,qword ptr ss:[rbp+87]           |
00007FF83620EE0E | 48 89 5C 24 58           | mov qword ptr ss:[rsp+58],rbx           |
00007FF83620EE13 | BB 01 00 00 00           | mov ebx,1                               |
00007FF83620EE18 | 48 85 C0                 | test rax,rax                            |
00007FF83620EE1B | 0F 84 8B 00 00 00        | je gdiplus.7FF83620EEAC                 |
00007FF83620EE21 | 44 8B 60 04              | mov r12d,dword ptr ds:[rax+4]           |
00007FF83620EE25 | 8B 48 0C                 | mov ecx,dword ptr ds:[rax+C]            |
00007FF83620EE28 | 41 03 CC                 | add ecx,r12d                            |
00007FF83620EE2B | 44 89 64 24 50           | mov dword ptr ss:[rsp+50],r12d          |
00007FF83620EE30 | 3B F1                    | cmp esi,ecx                             |
00007FF83620EE32 | 0F 8F 3A 03 00 00        | jg gdiplus.7FF83620F172                 |


Mais bon je pige rien du tou, en plus c'est dans un module appellé gdiplus.dll, c'est pas das le main...

Une idée ???
GROUPF
Débutant
Débutant
 
Messages: 35
Inscription: 25 Avril 2017, 22:32

Re: Application du cours 15#2

Messagepar etherlord » 20 Juillet 2017, 07:32

faut pas chercher dans les DLL systèmes, tu as trouvé l'endroit où il demande les infos pour l'enregistrement, c'est là qu'il faut creuser...

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2476
Inscription: 22 Mars 2004, 16:12

Re: Application du cours 15#2

Messagepar HappyMan » 20 Juillet 2017, 08:22

GROUPF a écrit:J'ai bien cherché au moins quelques dizaines d'heures mais impossible de trouver l'endroit ou le serial est comparé à la chaine de caractères.


C'est bien là le problème, dans la majorité des cas il n'y a pas de comparaison du sérial.
Pourquoi ? Parce que c'est trop basique, la preuve c'est le premier truc que tu as appris dans les tuto.

Tu as une bonne piste à explorer: Mettre des BP sur les appels au registre (tuto technique des API), essayer de suivre et regarder ce que deviennent ces données

Le reversing est récursif, tu fais plusieurs passes sur la même cible à chaque fois tu en apprends un peu plus sur sa logique user/psw. Il faut comprendre le schéma d'ensemble. Et seulement à ce moment tu sera capable de modifier cette logique ou de proposer un couple user/psw qui fonctionne.

HM

PS:une piste... c'est pas dans le registre que c'est stocké mais dans un fichier, mais le principe est le même. Il va bien falloir le lire le fichier à un moment. Et le soft est gentil il te dit quand il va le lire... au redémarrage de l'exe
Qui rira n'amasse pas mousse.
A la saint Barnabé on fait la chasse au boulet.
A la saint Alban la misère s'abat sur le gland.
Avatar de l’utilisateur
HappyMan
Mega Crackeur !
Mega Crackeur !
 
Messages: 296
Inscription: 21 Novembre 2006, 11:43
Localisation: Paris

Re: Application du cours 15#2

Messagepar HappyMan » 20 Juillet 2017, 15:24

Je viens de trouver une faille, qui permet de s'enregistrer assez facilement, franchement pas le plus compliqué.

je peux fournir un serial valide pour n'importe quel couple nom/email respectant les conditions de longueur requises
Qui rira n'amasse pas mousse.
A la saint Barnabé on fait la chasse au boulet.
A la saint Alban la misère s'abat sur le gland.
Avatar de l’utilisateur
HappyMan
Mega Crackeur !
Mega Crackeur !
 
Messages: 296
Inscription: 21 Novembre 2006, 11:43
Localisation: Paris

Re: Application du cours 15#2

Messagepar Hao » 20 Juillet 2017, 20:27

Sinon ça passe également en patchant deux ou trois trucs. C'est crade... c'est bien... :aie:
Avatar de l’utilisateur
Hao
Crackeur de bas niveau
Crackeur de bas niveau
 
Messages: 113
Inscription: 27 Novembre 2013, 22:24

Re: Application du cours 15#2

Messagepar HappyMan » 21 Juillet 2017, 10:09

C'est pas beau de patcher à la tronçonneuse...et pis la place de tronçonneur fou est déjà prise.

Par contre comme j'ai vu que tu savais où était la vérif du sérial tu dois pouvoir transformer le soft en self keygen.
Soit tu ajoutes un Call messagebox apres "LA" routine - lvl 1 quoique... comme la fenêtre principale n'est pas encore lancée, faut ouvrir une fenêtre etc. pfff...chiant
Soit tu obliges le soft à modifier le fichier de licence pour y mettre le bon serial - lvl 2 (là ça serait du patch propre)

Ca oblige à relocaliser un peu les instructions car à cet endroit y a pas beaucoup de place libre, mais toute les API nécessaires sont déjà dedans, une chose de moins à faire.
Qui rira n'amasse pas mousse.
A la saint Barnabé on fait la chasse au boulet.
A la saint Alban la misère s'abat sur le gland.
Avatar de l’utilisateur
HappyMan
Mega Crackeur !
Mega Crackeur !
 
Messages: 296
Inscription: 21 Novembre 2006, 11:43
Localisation: Paris

Re: Application du cours 15#2

Messagepar HappyMan » 21 Juillet 2017, 14:14

Il y avait une petie subtilité, merci Hao pour me l'avoir pointé du doigt.

N'empêche qu'on est arrivé au bout. Et j'ai envie de dire bravo aux développeurs car c'est bien fait. Enfin pas trop mal quoi.
J'ai pris pas mal de plaisir à fouiller dans ce binaire. C'est un bon challenge.

HM
Qui rira n'amasse pas mousse.
A la saint Barnabé on fait la chasse au boulet.
A la saint Alban la misère s'abat sur le gland.
Avatar de l’utilisateur
HappyMan
Mega Crackeur !
Mega Crackeur !
 
Messages: 296
Inscription: 21 Novembre 2006, 11:43
Localisation: Paris

Re: Application du cours 15#2

Messagepar Hao » 21 Juillet 2017, 15:25

Bien joué !
Une bonne chose de faite. :mrgreen: C'est plus gratifiant de trouver un serial qui fonctionne que de patcher à la truelle.
Avatar de l’utilisateur
Hao
Crackeur de bas niveau
Crackeur de bas niveau
 
Messages: 113
Inscription: 27 Novembre 2013, 22:24

Suivante

Retourner vers Reversing

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités

cron