breakpoint dans olly

Vous avez un problème pour cracker ou vous souhaitez parler de reversing en général...

breakpoint dans olly

Messagepar jean02 » 09 Août 2017, 09:40

Bonjour,
je cherche à mettre un breakpoint dans olly sur le bouton 'activer' de la fenetre 'activation' d'un soft avec protection par serial
il est téléchargeable ici : https://mega.nz/#!NB5AHTiT!e7d53jNwbkeRjpTVgiTV-GucG2ZZBeRhvcdPHwn4SjY
j'ai bien trouver quelque chose à l'adresse 0066D1D2 mais cela me dirige sur rien d'intéressant , je ne comprends pas ou est la routine pour le serial , si quelqu'un à 5 minutes ....
jean02
Elève
Elève
 
Messages: 48
Inscription: 15 Juin 2015, 11:44

Re: breakpoint dans olly

Messagepar etherlord » 10 Août 2017, 14:14

Si le bouton est une ressource, il y a un ID associé au bouton. Il y a une boucle quelque part qui traite les messages Windows, potentiellement c'est dans cette boucle qu'il faudrait filtrer l'ID.

Si tu doit entrer un serial, tu peut aussi breaker sur l'API qui va lire le contenu de la box ou tu entre le serial.

Tu peut aussi chercher en mémoire où il va stocker ton serial, et poser un BP à la lecture de cet endroit mémoire.

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2490
Inscription: 22 Mars 2004, 16:12

Re: breakpoint dans olly

Messagepar jean02 » 10 Août 2017, 14:53

etherlord a écrit:
Tu peut aussi chercher en mémoire où il va stocker ton serial, et poser un BP à la lecture de cet endroit mémoire.

etherlord


merci de ta réponse , avec winhex , je remarque bien ou se trouve le texte en mémoire qui est pris pour faire le serial , mais avec olly , impossible de poser un break à ces endroits , je ne vois pas comment le faire sur olly car la zone mémoire est limité (en bas à droite)
jean02
Elève
Elève
 
Messages: 48
Inscription: 15 Juin 2015, 11:44

Re: breakpoint dans olly

Messagepar etherlord » 11 Août 2017, 07:27

en bas à droite c'est el contenu de la pile, la mémoire, c'est en bas à gauche.....

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2490
Inscription: 22 Mars 2004, 16:12

Re: breakpoint dans olly

Messagepar Hao » 11 Août 2017, 17:10

Tu peux utiliser l'api USER32.MessageBoxA pour break sur le message Code d'activation incorrect. Après tu remontes la pile.
Un petit indice si tu veux fish un serial valide : LUA...

A toi de bien interpréter.

Une fois que tu as compris ça, le fishing est assez simple. :D
Avatar de l’utilisateur
Hao
Crackeur de bas niveau
Crackeur de bas niveau
 
Messages: 131
Inscription: 27 Novembre 2013, 22:24

Re: breakpoint dans olly

Messagepar jean02 » 11 Août 2017, 19:57

Hao a écrit:Tu peux utiliser l'api USER32.MessageBoxA pour break sur le message Code d'activation incorrect. Après tu remontes la pile.
Un petit indice si tu veux fish un serial valide : LUA...

A toi de bien interpréter.

Une fois que tu as compris ça, le fishing est assez simple. :D

merci de ta réponse
je ne comprends pas bien ta phrase : 'Un petit indice si tu veux fish un serial valide : LUA...'
tu fais référence à lua5.1.dll , effectivement cela se passe apparement la dedans mais dur dur ton indice .
j'ai réussi à breaker dans la mémoire avec un ctrl M ,mais la suite est corsé et longue ....
jean02
Elève
Elève
 
Messages: 48
Inscription: 15 Juin 2015, 11:44

Re: breakpoint dans olly

Messagepar Hao » 13 Août 2017, 12:18

Tu oublies le deuxième indice...

Mais pour le coup, être dans la lune, peut aider.
Avatar de l’utilisateur
Hao
Crackeur de bas niveau
Crackeur de bas niveau
 
Messages: 131
Inscription: 27 Novembre 2013, 22:24

Re: breakpoint dans olly

Messagepar jean02 » 13 Août 2017, 14:09

je n'ai pas vu de deuxième indices , donc pour le coup , être dans la 'lune' ne me dit rien non plus :aie: :aie: :aie:
:D :D :D
jean02
Elève
Elève
 
Messages: 48
Inscription: 15 Juin 2015, 11:44

Re: breakpoint dans olly

Messagepar jean02 » 13 Août 2017, 15:06

je suis en 00492BC8 mais j'ai l'impression que tout est déjà jouer et impossible de remonter plus haut , je ne sais pas vraiment comment faire....
jean02
Elève
Elève
 
Messages: 48
Inscription: 15 Juin 2015, 11:44

Re: breakpoint dans olly

Messagepar Hao » 13 Août 2017, 16:58

styck007 a écrit:je suis en 00492BC8 mais j'ai l'impression que tout est déjà jouer et impossible de remonter plus haut , je ne sais pas vraiment comment faire....


Une fois que tu as break sur la MessageBox, fouille un peu dans la pile. Regarde plus précisément les chaînes de caractères.
Tu peux aussi chercher dans la mémoire les différentes occurrences du numéro de tel/mail ou le serial que tu as entré. Fouille au alentours.

Les chaînes de caractères. Certaines d'entre-elles ne te semble pas étranges ?

Peut-être que tu te focalise trop sur le langage d'assemblage...
Avatar de l’utilisateur
Hao
Crackeur de bas niveau
Crackeur de bas niveau
 
Messages: 131
Inscription: 27 Novembre 2013, 22:24

Re: breakpoint dans olly

Messagepar jean02 » 13 Août 2017, 17:27

Hao a écrit:
styck007 a écrit:je suis en 00492BC8 mais j'ai l'impression que tout est déjà jouer et impossible de remonter plus haut , je ne sais pas vraiment comment faire....


Une fois que tu as break sur la MessageBox, fouille un peu dans la pile. Regarde plus précisément les chaînes de caractères.
Tu peux aussi chercher dans la mémoire les différentes occurrences du numéro de tel/mail ou le serial que tu as entré. Fouille au alentours.

Les chaînes de caractères. Certaines d'entre-elles ne te semble pas étranges ?

Peut-être que tu te focalise trop sur le langage d'assemblage...

oui c'est ce que j'ai fait mais rien de bien clair , d'habitude c'est beaucoup plus simple , la je coince grave , je me doute qu'il a simplement fait un cryptage RSA ou autre de la première chaine pour faire le serial , mais mon break doit être trop tard est je n'arrive pas à remonter avant
jean02
Elève
Elève
 
Messages: 48
Inscription: 15 Juin 2015, 11:44

Re: breakpoint dans olly

Messagepar Hao » 13 Août 2017, 17:32

Code: Tout sélectionner
https://fr.wikipedia.org/wiki/Lua


Le deuxième indice était le verbe : interpréter.
Avatar de l’utilisateur
Hao
Crackeur de bas niveau
Crackeur de bas niveau
 
Messages: 131
Inscription: 27 Novembre 2013, 22:24

Re: breakpoint dans olly

Messagepar jean02 » 13 Août 2017, 18:53

Hao a écrit:
Code: Tout sélectionner
https://fr.wikipedia.org/wiki/Lua


Le deuxième indice était le verbe : interpréter.


oui j'avais bien vu la dll lua5.1 mais cela ne m'avance pas plus , il faudrait que je break à chaque appel de la dll ? et que j'interprète les api ?
jean02
Elève
Elève
 
Messages: 48
Inscription: 15 Juin 2015, 11:44

Re: breakpoint dans olly

Messagepar Hao » 13 Août 2017, 19:13

Non, rassure-toi, c'est bien plus simple. La routine de vérification du serial, donc la routine qui t'intéresse, n'est pas présente sous forme de langage machine dans le PE. Elle n'est donc pas directement débuggable. Ne cherche pas a t'embarquer dans le fonctionnement intrinsèque de la bibliothèque lua5.1. La solution est beaucoup plus simple.

Toujours quand tu break sur la messagebox (ou du moins quand le soft est lancé), recherche les occurrences de la chaîne Code d'activation incorrect. dans la mémoire. En faisant une recherche binaire via la memory map, comme ça tu es sûr de ne rien louper.
A certains endroits, la chaîne n'est pas isolée. Il y a du contenu à proximité. Qu'est-ce que tu vois ?
Avatar de l’utilisateur
Hao
Crackeur de bas niveau
Crackeur de bas niveau
 
Messages: 131
Inscription: 27 Novembre 2013, 22:24

Re: breakpoint dans olly

Messagepar jean02 » 14 Août 2017, 00:26

oui effectivement j'ai bien vu du code simple en ascii et si j'en déduit quelque chose c'est :
de supprimer les <<< et >>> qui se trouve dans id et de le 'BlowfishDecrypter' avec l'email
j'ai essayer avec
http://dev.ramin-hossaini.com/encrypt/
mais rien y fait ...
je doit mis prendre comme un éléphant dans un magasin de porcelaine ...
jean02
Elève
Elève
 
Messages: 48
Inscription: 15 Juin 2015, 11:44

Suivante

Retourner vers Reversing

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités