ollydbg v2

Sur tous les programmes qui servent à cracker.

ollydbg v2

Messagepar thecarpenter746 » 16 Avril 2015, 09:54

Salut à tous

Je suis sous ollydbg2 en train de debugger un prog développé sous windev.

Enfin peu importe, car ma question est d'ordre général :

lorsque je lance l'appli sous ollydbg, j'ai une fenetre qui me demande un ID et une clé.
Lorsque je valide, un message s'affiche me disant que mes IDs sont incorrect.

Au moment de l'affichage, j'aimerais connaitre exactement l'offset de la fonction qui affiche cet message d'erreur? J'ai bien sûr essayé de mettre en pause, mais ça ne me renvoi pas du tout au bon endroit, car le prog execute encore du code apres cet affichage.

J'ai également essayé de regarder dans les references strings, mais le message n'y apparait pas.

Comment procéder svp?

merci d'avance
thecarpenter746
Visiteur
Visiteur
 
Messages: 12
Inscription: 12 Avril 2015, 10:06

Re: ollydbg v2

Messagepar etherlord » 17 Avril 2015, 06:23

Le message d'erreur est probablement affiché suite à l'appel du API type MessageBox, en posant un Break-Point sur l'API, si c'est la bonne, le debugger te rendra la main là où le message
va s'afficher.

viewtopic.php?f=6&t=5174

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2476
Inscription: 22 Mars 2004, 16:12

Re: ollydbg v2

Messagepar Martinooooo » 19 Avril 2015, 18:06

Euh c'est du WinDev.
= le code est compilée à la volée à partir d'un bytecode crypté

==>
- le code du logiciel (et non du framework) change d'offset à chaque démarrage
- le code du logiciel se situe généralement dans une section RWE sans nom, autour des sections de l'exécutable
==>
- à part si tu arrives à décrypter, décompresser, comprendre le bytecode précompilé windev (il n'y a aucun outil public permettant de faire ça), recompresser, re-crypter; tu ne pourras pas patcher
- les strings sont dans le bytecode précompilé, mais qui est crypté, donc tu ne les trouveras pas
- pour tracer, c'est souvent plus simple de regarder toutes les sections sans nom RWE, et de foutre des bp à l'arrache


Petit cadeau, ça ressemble à ça du windev compilé:
Image

P'tét qu'un jour si vous êtes sages et que j'ai du temps pour les rendre plus propres, je publierai mes tools WinDev ;)
Acme::Don't
Acme::Bleach
Acme::Pony
Lingua::Romana::Perligata
The Lingua::Romana::Perligata makes it makes it possible to write Perl programs in Latin. (If you have to ask "Why?", then the answer probably won't make any sense to you either.)
Avatar de l’utilisateur
Martinooooo
Maître des ténèbres
Maître des ténèbres
 
Messages: 575
Inscription: 19 Août 2008, 08:20
Localisation: DR8, le + utile DRx

Re: ollydbg v2

Messagepar Bango » 20 Avril 2015, 08:14

Martinooooo a écrit:P'tét qu'un jour si vous êtes sages et que j'ai du temps pour les rendre plus propres, je publierai mes tools WinDev


Ça c'est de la mesquinerie! :P
Avoir fait des tools pour rendre ça moins dégueu et le dire aux autres, sans leur prêter... c'est petit! :lol:
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1527
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: ollydbg v2

Messagepar Martinooooo » 20 Avril 2015, 12:16

Bango a écrit:Avoir fait des tools pour rendre ça moins dégueu et le dire aux autres, sans leur prêter... c'est petit! :lol:


:mrgreen: :mrgreen:
Non, honnêtement j'ai honte de leur code et de leur fonctionnement ;) C'est déjà un miracle que ça ne crashe pas.
Acme::Don't
Acme::Bleach
Acme::Pony
Lingua::Romana::Perligata
The Lingua::Romana::Perligata makes it makes it possible to write Perl programs in Latin. (If you have to ask "Why?", then the answer probably won't make any sense to you either.)
Avatar de l’utilisateur
Martinooooo
Maître des ténèbres
Maître des ténèbres
 
Messages: 575
Inscription: 19 Août 2008, 08:20
Localisation: DR8, le + utile DRx

Re: ollydbg v2

Messagepar thecarpenter746 » 20 Avril 2015, 19:32

Salut à tous,

J'ai comme l'impression que vous vous liguez contre moi pour me démoraliser. :D
D’après ce que je lis, je n'ai pas beaucoup d'espoir de réussir ce que je veux faire, d'autant plus que je n'ai certainement pas du tout le même niveau de "cracking" que vous.
Si c'est trop compliqué pour mon petit cerveau, je vais de voir abandonner..... :wink:

merci quand meme
thecarpenter746
Visiteur
Visiteur
 
Messages: 12
Inscription: 12 Avril 2015, 10:06

Re: ollydbg v2

Messagepar dionosis » 20 Avril 2015, 22:34

Salut,

@thecarpenter>
Ca n'est pas vraiment que c'est compliqué, mais plutôt que c'est fastidieux. En tous cas pour commencer le reverse ça n'est je pense pas le meilleur choix.
Comme te l'a très bien expliqué Martinooooo et comme j'ai tenté de te l'expliquer en privé, il s'agit dans le cas présent de code virtualisé. L'approche ne ressemblera donc ici à rien d'autre que ... ben du windev.

Après mon avis c'est que peu importe le résultat, mettre les mains dans le cambouis lorsqu'il s'agit d'une cible qui nous intéresse personnellement ne peut être que bénéfique pour l'apprentissage.
Peut-être y reviendras tu d'ici quelques années mieux armé et en attendant ça t'aura permis d'élargir ta vision de ce qu'il est possible de rencontrer et de te familiariser avec l'utilisation des outils. Tiens pour l’anecdote j'ai dernièrement personnellement keygené en quelques heures un soft sur lequel je m'étais cassé les dents des jours et des jours durant sans presque n'y rien comprendre il y a quelques années de ça en raison de la présence de crypto sym + crypto asym + hashs + justement virtualisation de code (un protector, pas windev). Crois moi tout ce temps que tu passeras à essayer de comprendre ne sera quoi qu'il en soit pas perdu si tu décides d'approfondir le rce ! :)

Par ailleurs le reverse windev est très très peu documenté. Mon avis est que c'est du au fait que bien que windev soit extrêmement abordable en terme de coding, le résultat produit lui est extrêmement lent et lourd (un simple hello world faisait à l'époque tout de suite dans les 20 mo si ma mémoire est bonne). Qui plus est la licence est onéreuse. La conséquence c'est que l'on en trouve très majoritairement dans les grosses administrations sur des outils internes, ou bien dans les petites pme soucieuses de produire rapidement une grande quantité d'outils ne nécessitant vraiment pas de rapidité d’exécution.
Il est donc très rare de voir une application développée en windev intéressant ne serait-ce qu'une quantité moyenne de personnes. Ca n'est donc pas suffisamment sexy pour les reversers à part éventuellement dans le cadre d'un audit pro.
Le corolaire en revanche c'est que 99% de la sécurité des applications développées en windev vient justement uniquement du moteur windev ; parce que ça n'en vaut pas la peine, parce pas de temps supplémentaire à y consacrer, et puis tout simplement bien souvent aussi parce que pas les compétences non plus. Il est donc parfois possible de fisher relativement facilement une appli windev.

Essaye, tu verras bien. Par contre ne te pointe pas les mains dans les poches, il faut au moins déjà que tu ais les bases du reverse pour comprendre un peu ce qu'il se passe.

@Martinooooo>
Si un jour tu releases, je serai preneur, ne serait ce que par curiosité ! 8)

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43


Retourner vers Outils

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité