reverse de VST plugin

Vous avez un problème pour cracker ou vous souhaitez parler de reversing en général...

reverse de VST plugin

Messagepar jackselecta » 17 Septembre 2017, 11:05

Bonjour à tous et à toutes,

Je souhaiterais cracker un plugin VST (donc une dll), pour cela j'utilise comme logiciel hôte Ableton Live.
le VST me demande un simple serial, donc jusque là, pas de soucis.
Image

1 -- Au départ, j'ai lancé Ableton Live et je l'ai ensuite attaché à Ollydbg (File --> attach).
2 -- Ensuite, j'ai pu trouver le dll dans la fenetre "Executable Module", je me suis empressé de placer des breaks à tout va à l’intérieur du module.

Là, déjà un problème, aucun break n'est pris quand je lance le debug !!

3 -- Je me suis rendu compte qu'en fait le VST créait un processus enfant à chaque appel, chaque fois que je créer une piste dans Ableton Live (chaque processus permettait d'afficher la fenêtre du plugin ainsi que la textbox pour saisir le serial).
Image

4 -- J'ai pu localiser le "Thread" en question, j'essaye alors de l'ouvrir dans la fenêtre CPU d'Olly mais ca me bloque dans le module "Ntdll" (Comme le montre l'image au dessus), et aucune trace du serial bidon que j'ai tapé auparavant dans les registres.

Le plus miraculeux j'ai pu par hasard tomber sur le registre ou se trouvait le serial bidon (placé dans EAX) après plusieurs tentatives, mais je suis incapable de le refaire.

Y a t il un moyen de debugger les processus enfant? Est ce que j'ai compris un truc de travers?
Merci d'avance.
jackselecta
Visiteur
Visiteur
 
Messages: 10
Inscription: 25 Janvier 2015, 06:48

Re: reverse de VST plugin

Messagepar serum2 » 18 Septembre 2017, 02:19

Bonjour jackselecta,

J'ai telechargé la dernière version de Serum en windows 32 bits
Mais chez moi, ça ne me propose pas l'enregistrement par serial et ça me donne le message suivant:
Thank you for trying the Serum Demo
The demo does not save, and stop producing song afer 20 minutes per use


Je pense que tu dois avoir une version plus ancienne avec une période d'essai de 3 jours?

Mais contrairement à toi, j'arrive à breaker facilement sur des stings data dans serum.dll en utilisant la même technique que toi.
(par exemple, ça breake sur la string "Demo Version" chez moi)

Moi j'ai utilisé autre chose que Ableton Live pour lancer le plugin : vsthost (logiciel gratuit)
j'ai fait "fichier, nouveau plugin" et j'ai été cherché la dll
j'ai cliqué sur l’icône avec un rond et un trait rouge "éditeur du plugin" pour que ça affiche le plugin

peut être que tu aura plus de réussite en utilisant vsthost pour lancer ton plugin?

Bye
serum2
 
Messages: 2
Inscription: 18 Septembre 2017, 01:26

Re: reverse de VST plugin

Messagepar jackselecta » 18 Septembre 2017, 21:13

merci pour ta réponse et désolé pour le retard.
J'ai eu cette version démo que j'ai téléchargé sur le site officiel qui m'indiquait le même message, j'ai donc téléchargé une autre version sur le net sans passer par le site officiel (pourtant c'est une version limité, je ne sais pas pourquoi ces deux logiciels n'affichent pas la même chose). C'est pour cela que je n'ai pas les mêmes choses.

Effectivement, je me demande si c'est Ableton qui foutrait le dawa, il a des appels à la fonction "isDebbugerPresent" à quelques endroits et puis c'est une vrai usine a gaz à débugger. Je vais tester ce logiciel que tu proposes, je pense que la solution se trouve la.

Je reviens à cette version "démo" (la première version que j'ai pu tester et également celle que tu as), le VST affiche des images avec le texte "demo", ce qui me laisse penser que c'est une DLL qui sera seulement une démo (donc pas de jump qui vérifie une quelconque license). Ce qui veut dire qu'après avoir suivi le lien internet vers le site de paiement via le VST (et après avoir vidé ton compte en banque pour acheter ce logiciel), le site te propose de télécharger la VRAI version du plugin.
Je suppose que c'est comme ca, ce qui veut dire que cracker ce logiciel sert a rien car ca ne restera qu'une version Démo.
Pourtant le fait de retrouver des "Strings" dans cette version démo du genre "entrer un serial" me laisse espérer que je me trompe.

Je te tiens au jus si j'ai d'autres infos
jackselecta
Visiteur
Visiteur
 
Messages: 10
Inscription: 25 Janvier 2015, 06:48

Re: reverse de VST plugin

Messagepar serum2 » 18 Septembre 2017, 21:52

Effectivement le fait de trouver une string comme "Serial Number Accepted" peut aussi faire penser qu'il s'agit d'une version complète.
Ils envoient peut être un fichier contenant un serial qu'il faut copier à un endroit précis lorsqu'on achete la license?
peut être que la license est stockée ici: C:\Users\XXXXX\AppData\Roaming\Xfer\Serum
ou bien la: C:\Users\XXXXX\Documents\Xfer\Serum Presets\System

Mais je pense que ta stratégie qui consiste à partir d'une version qui demande le serial est la bonne.
Tu vas sans doute progresser bien plus vite.
serum2
 
Messages: 2
Inscription: 18 Septembre 2017, 01:26

Re: reverse de VST plugin

Messagepar jackselecta » 19 Septembre 2017, 16:14

J'ai pu constater après plusieurs tentatives que le logiciel créer un fichier user.dat.
Pour mes tests, j'ai téléchargé une ancienne version et un serial valide que j'ai trouvé sur le net, si on supprime ce fichier la licence n'existe plus. J'ai essayé de l'ouvrir avec un éditeur hexadécimal mais ça a l'air d'être crypté.

J'ai également réussi à cibler la routine qui permet de calculer si le serial est valide, j'ai pu constater que le serial n'est qu'en lettres majuscule ( le logiciel contrôle chaque caractère dans fourchette de valeur ASCII) et commence forcément par un S, par la suite, il s'enchaîne une série de calcul prenant en compte les valeurs hexadécimal des caractères saisis.

Merci encore pour le tuyau sur logiciel VSThost car ça m'a permis, comme tu peux le constater, à pas mal avancer
jackselecta
Visiteur
Visiteur
 
Messages: 10
Inscription: 25 Janvier 2015, 06:48


Retourner vers Reversing

Qui est en ligne

Utilisateurs parcourant ce forum: Google [Bot] et 2 invités