Red-Fox-Any-DVD-HD

Vous avez un problème pour cracker ou vous souhaitez parler de reversing en général...

Red-Fox-Any-DVD-HD

Messagepar JUNLAJUBALAM » 06 Février 2018, 12:58

Bonjour à tous,

J'ai un problème avec ce soft (r*e*d*f*o*x S*e*t*u*p*A*n*y*D*V*D*). Je n'arrive pas à l’analyser car il a des anti-dedbg qui détectent les BP et les HBP. J'ai testé les plugins et configs pour VMProtect, Themida, Obsidium, Arma mais rien n'y fait, il continue à les détecter. Quelqu’un sait comment faire dans ce cas ou a une piste à partager? J'aimerais aussi savoir si dans ce forum il y a un tuto ou un topic qui développe bien le sujet des checks d'intégrité (hardcode et memory) qui détectent les BPs et empêchent de patcher ou d'utiliser des loaders. S'il y en a pas, il serait bien de lister les méthodes utilisées pour ce type de protection et les astuces pour les contourner. Merci.

Salute a tutti ;)

EDIT : pas de liens même indirects sur le site d'un éditeur, merci. etherlord
CR4CK1NG TH3 C0D3 4 F5N!
Avatar de l’utilisateur
JUNLAJUBALAM
 
Messages: 8
Inscription: 20 Octobre 2017, 20:41
Localisation: In your mind

Re: Red-Fox-Any-DVD-HD

Messagepar etherlord » 07 Février 2018, 08:37

Tu utilise quoi comme debugger ? tu a essayé d'autres outils ? il est packé ou lisible dans un desassembleur ?

les plugins que tu a testé, en fonction de quelque chose que tu a trouvé ou c'était juste pour essayer ?

L'anti-debug de base c'est IsDebuggerPresent, il est utilisé dans ton soft ?

ehterlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2538
Inscription: 22 Mars 2004, 16:12

Re: Red-Fox-Any-DVD-HD

Messagepar JUNLAJUBALAM » 07 Février 2018, 19:58

Salut ehterlord,

Il n'est pas packed.

https://imgur.com/WvUkHzQ
https://imgur.com/f7u2g3r

J'ai testé pour voir si j'arrivais à bypasser le checks des BP, comme d'habitude. J'ai essayé ollydbg avec les plugins et configs suivants. Aucun ne marche:

https://imgur.com/Mkorum6
https://imgur.com/RwhPzhP
https://imgur.com/6wgVq2g
https://imgur.com/UWca010

x64dbg pour finir, avec syllahide:
https://imgur.com/5BXCZ3q

Aucun ne marche, j'obtiens toujours ces erreurs:

https://imgur.com/Le5167Z
https://imgur.com/xFDKmzK
https://imgur.com/eWFQ7Na

Il ne reste que l'analyse en statique :(

Ensuite, il faudra trouver une méthode pour patcher... peut-être avec DLL inject? Pour l'instant, pas de lumière au bout du tunel :|

edit:

Il manquait le crypto scan:

Function Name : CRC32b
Offset Address : 0006A8AE
Virtual Address : 0046B2AE
FCT.Information : A cyclic redundancy check (CRC) is a non-secure hash function
_______________________________________________________________________________________________

Function Name : CRC32b
Offset Address : 00365AAE
Virtual Address : 007664AE
FCT.Information : A cyclic redundancy check (CRC) is a non-secure hash function
_______________________________________________________________________________________________

Function Name : CRC32b
Offset Address : 00365ABD
Virtual Address : 007664BD
FCT.Information : A cyclic redundancy check (CRC) is a non-secure hash function
_______________________________________________________________________________________________

Function Name : CRC32b
Offset Address : 00365ACC
Virtual Address : 007664CC
FCT.Information : A cyclic redundancy check (CRC) is a non-secure hash function
_______________________________________________________________________________________________

Function Name : CRC32b
Offset Address : 00365ADB
Virtual Address : 007664DB
FCT.Information : A cyclic redundancy check (CRC) is a non-secure hash function
_______________________________________________________________________________________________

Function Name : CRC32b
Offset Address : 00365AEA
Virtual Address : 007664EA
FCT.Information : A cyclic redundancy check (CRC) is a non-secure hash function
_______________________________________________________________________________________________

Function Name : CRC32b
Offset Address : 00365AF9
Virtual Address : 007664F9
FCT.Information : A cyclic redundancy check (CRC) is a non-secure hash function
_______________________________________________________________________________________________

Function Name : CRC32b
Offset Address : 00365B08
Virtual Address : 00766508
FCT.Information : A cyclic redundancy check (CRC) is a non-secure hash function
_______________________________________________________________________________________________

Function Name : CRC32b
Offset Address : 00365B17
Virtual Address : 00766517
FCT.Information : A cyclic redundancy check (CRC) is a non-secure hash function
_______________________________________________________________________________________________

Function Name : CRC32
Offset Address : 0033B02A
Virtual Address : 0073BA2A
FCT.Information : A cyclic redundancy check (CRC) is a non-secure hash function
_______________________________________________________________________________________________

Function Name : CRC32
Offset Address : 0060A7B0
Virtual Address : 00A0F1B0
FCT.Information : A cyclic redundancy check (CRC) is a non-secure hash function
_______________________________________________________________________________________________

Function Name : CRC32
Offset Address : 0060A5B8
Virtual Address : 00A0EFB8
FCT.Information : A cyclic redundancy check (CRC) is a non-secure hash function
_______________________________________________________________________________________________

Function Name : MD4
Offset Address : 0016AED9
Virtual Address : 0056B8D9
FCT.Information : MD4 is a message digest algorithm designed by Ronald Rivest of MIT in 1990
_______________________________________________________________________________________________

Function Name : MD4
Offset Address : 0016AEF9
Virtual Address : 0056B8F9
FCT.Information : MD4 is a message digest algorithm designed by Ronald Rivest of MIT in 1990
_______________________________________________________________________________________________

Function Name : MD4
Offset Address : 0016AF23
Virtual Address : 0056B923
FCT.Information : MD4 is a message digest algorithm designed by Ronald Rivest of MIT in 1990
_______________________________________________________________________________________________

Function Name : MD4
Offset Address : 0016AF4A
Virtual Address : 0056B94A
FCT.Information : MD4 is a message digest algorithm designed by Ronald Rivest of MIT in 1990
_______________________________________________________________________________________________

Function Name : MD4
Offset Address : 0016AF6C
Virtual Address : 0056B96C
FCT.Information : MD4 is a message digest algorithm designed by Ronald Rivest of MIT in 1990
_______________________________________________________________________________________________

Function Name : MD5
Offset Address : 0016FAC8
Virtual Address : 005704C8
FCT.Information : MD5 is a widely used Cryptographic hash function with a 128-bit hash value
_______________________________________________________________________________________________

Function Name : MD5
Offset Address : 003A4E3F
Virtual Address : 007A583F
FCT.Information : MD5 is a widely used Cryptographic hash function with a 128-bit hash value
_______________________________________________________________________________________________

Function Name : SHA-0/SHA-1
Offset Address : 0016B0C5
Virtual Address : 0056BAC5
FCT.Information : The SHA is a set of cryptographic hash function designed by (NSA) in 1993
_______________________________________________________________________________________________

Function Name : SHA-0/SHA-1
Offset Address : 0016B0E9
Virtual Address : 0056BAE9
FCT.Information : The SHA is a set of cryptographic hash function designed by (NSA) in 1993
_______________________________________________________________________________________________

Function Name : SHA-0/SHA-1
Offset Address : 0016B10B
Virtual Address : 0056BB0B
FCT.Information : The SHA is a set of cryptographic hash function designed by (NSA) in 1993
_______________________________________________________________________________________________

Function Name : SHA-0/SHA-1
Offset Address : 0016B12D
Virtual Address : 0056BB2D
FCT.Information : The SHA is a set of cryptographic hash function designed by (NSA) in 1993
_______________________________________________________________________________________________

Function Name : SHA-0/SHA-1
Offset Address : 0016B15D
Virtual Address : 0056BB5D
FCT.Information : The SHA is a set of cryptographic hash function designed by (NSA) in 1993
_______________________________________________________________________________________________

Function Name : SHA-256
Offset Address : 000E8002
Virtual Address : 004E8A02
FCT.Information : Cryptographic hash function (SHA-2 family) with (256 bits) digest length
_______________________________________________________________________________________________

Function Name : SHA-256
Offset Address : 003231E2
Virtual Address : 00723BE2
FCT.Information : Cryptographic hash function (SHA-2 family) with (256 bits) digest length
_______________________________________________________________________________________________

Function Name : SHA-512
Offset Address : 00323187
Virtual Address : 00723B87
FCT.Information : Cryptographic hash function (SHA-2 family) with (512 bits) digest length
_______________________________________________________________________________________________

Function Name : SHACAL
Offset Address : 006145A0
Virtual Address : 00A18FA0
FCT.Information : SHACAL-1 && SHACAL-2 are block ciphers based on hash from the SHA family
_______________________________________________________________________________________________

Function Name : TEA / xTEA
Offset Address : 00345AFD
Virtual Address : 007464FD
FCT.Information : Tiny Encryption Algorithm (TEA) Operates on 64-bit blocks and uses a 128-bit key
_______________________________________________________________________________________________

Function Name : TEA / xTEA
Offset Address : 00345B1D
Virtual Address : 0074651D
FCT.Information : Tiny Encryption Algorithm (TEA) Operates on 64-bit blocks and uses a 128-bit key
_______________________________________________________________________________________________

Function Name : TEA / xTEA
Offset Address : 00346B2E
Virtual Address : 0074752E
FCT.Information : Tiny Encryption Algorithm (TEA) Operates on 64-bit blocks and uses a 128-bit key
_______________________________________________________________________________________________

Function Name : TEA / xTEA
Offset Address : 00346B4A
Virtual Address : 0074754A
FCT.Information : Tiny Encryption Algorithm (TEA) Operates on 64-bit blocks and uses a 128-bit key
_______________________________________________________________________________________________

Function Name : TEAN
Offset Address : 003462DD
Virtual Address : 00746CDD
FCT.Information : New Tiny Encryption Algorithm Operates on 64-bit blocks and uses a 128-bit key
_______________________________________________________________________________________________

Function Name : TEAN
Offset Address : 00346302
Virtual Address : 00746D02
FCT.Information : New Tiny Encryption Algorithm Operates on 64-bit blocks and uses a 128-bit key
_______________________________________________________________________________________________

Function Name : TEAN
Offset Address : 0034634F
Virtual Address : 00746D4F
FCT.Information : New Tiny Encryption Algorithm Operates on 64-bit blocks and uses a 128-bit key
_______________________________________________________________________________________________

Function Name : TEAN
Offset Address : 00346371
Virtual Address : 00746D71
FCT.Information : New Tiny Encryption Algorithm Operates on 64-bit blocks and uses a 128-bit key
_______________________________________________________________________________________________

Function Name : Blowfish
Offset Address : 0066B0A0
Virtual Address : 00A6FAA0
FCT.Information : Blowfish is a keyed, symmetric block cipher, designed in 1993 by Bruce Schneier
_______________________________________________________________________________________________
CR4CK1NG TH3 C0D3 4 F5N!
Avatar de l’utilisateur
JUNLAJUBALAM
 
Messages: 8
Inscription: 20 Octobre 2017, 20:41
Localisation: In your mind

Re: Red-Fox-Any-DVD-HD

Messagepar Bango » 08 Février 2018, 08:57

Hello,

peut-être les interruptions? 0xCCh
Chez moi, pas de problème avec les HBP. J'ai pas de config particulière si ce n'est phant0m et strongOD.

=> h___ps://www.codeproject.com/Articles/30815/An-Anti-Reverse-Engineering-Guide#BpInt3

une autre méthode:
h__p://www.openrce.org/reference_library/anti_reversing_view/38/Detecting%20Breakpoints%20by%20CRC/

ou encore:
h__p://antukh.com/blog/2015/01/19/malware-techniques-cheat-sheet/

De mémoire le fichier de licence, ou de config je sais plus, contient des Alternate Data Stream (ADS):
h__ps://blogs.technet.microsoft.com/askcore/2013/03/24/alternate-data-streams-in-ntfs/
h__p://assiste.com/ADS_Alternate_Data_Stream.html

Bon courage ;)
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1557
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: Red-Fox-Any-DVD-HD

Messagepar Hao » 08 Février 2018, 10:35

Bango a écrit:Chez moi, pas de problème avec les HBP. J'ai pas de config particulière si ce n'est phant0m et strongOD.


Ça dépend ou tu les places. Toute la section code n'est pas protégée.
Le soft se laisse debugger tranquillement au début, puis les choses se gâtent quand il fait appel au module ElbyCDIO :
Code: Tout sélectionner
CPU Disasm
Address   Hex dump                      Command                                                        Comments
00781071  |.  50                        PUSH EAX                                                       ; /Procname = "Q"
00781072  |.  51                        PUSH ECX                                                       ; |hModule => [0C7C1DC] = 10000000 ('ElbyCDIO')
00781073  |.  FF15 C4508600             CALL DWORD PTR DS:[<&KERNEL32.GetProcAddress>]                 ; \KERNEL32.GetProcAddress
00781079  |.  A3 C800C900               MOV DWORD PTR DS:[AnyDVDtray.0C900C8],EAX
0078107E  |>  8B15 C800C900             MOV EDX,DWORD PTR DS:[AnyDVDtray.0C900C8]                      ; ASCII " 2"
00781084      FFD2                      CALL EDX                                                       ; ElbyCDIO.ElbyCDIO_Perform
Avatar de l’utilisateur
Hao
Mega Crackeur !
Mega Crackeur !
 
Messages: 264
Inscription: 27 Novembre 2013, 22:24

Re: Red-Fox-Any-DVD-HD

Messagepar JUNLAJUBALAM » 08 Février 2018, 12:53

Merci Bango pour le liens. Cela va compléter ma collection :mrgreen: encore faut-il trouver le temps pour tous les lire :lol:
Hao, le module en question est un module système? Tu me donnes une piste que je vais explorer ce soir :twisted:
CR4CK1NG TH3 C0D3 4 F5N!
Avatar de l’utilisateur
JUNLAJUBALAM
 
Messages: 8
Inscription: 20 Octobre 2017, 20:41
Localisation: In your mind

Re: Red-Fox-Any-DVD-HD

Messagepar Hao » 08 Février 2018, 14:09

JUNLAJUBALAM a écrit:Merci Bango pour le liens. Cela va compléter ma collection :mrgreen: encore faut-il trouver le temps pour tous les lire :lol:
Hao, le module en question est un module système? Tu me donnes une piste que je vais explorer ce soir :twisted:

Non, c'est une une dll installée avec le soft. Elle est signée Elaborate Bytes AG.
Apparemment ça fait partie d'un driver qui permet d'émuler un contrôleur de stockage (pour les lecteurs virtuels).
Je pense que l’exécutable est protégé par ce module.
Avatar de l’utilisateur
Hao
Mega Crackeur !
Mega Crackeur !
 
Messages: 264
Inscription: 27 Novembre 2013, 22:24


Retourner vers Reversing

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité