Conditonal Break OLLYDBG

Sur tous les programmes qui servent à cracker.

Conditonal Break OLLYDBG

Messagepar Jayce » 26 Septembre 2016, 16:35

Salut à tous
je voudrais breaker sur l'API CreateFileW sous condition que la chaine de caractère soit: "C:\WINDOWS\blablabla".
explication: "ESP+4" a pour valeur "12F0A4" qui pointe l'adresse mémoire 0015D688 contenant la chaine "C:\WIND........." donc

bp CreateFileW, [esp+4]==15D688 fonctionne :)
bp CreateFileW, unicode [[esp+4]]=="c:" fonctionne :)
bp CreateFileW, unicode [[esp+4]]=="c:\" ne fonctionne pas avec l'erreur unknown character sequence :? .

quelqu’un a t'il déjà vu ce problème?

merci par avance pour votre aide.
Avatar de l’utilisateur
Jayce
 
Messages: 5
Inscription: 22 Septembre 2016, 16:34

Re: Conditonal Break OLLYDBG

Messagepar dionosis » 26 Septembre 2016, 17:35

Salut,

Essaye avec "c:\\".
Ca devrait fonctionner ('\' étant le caractère d'échappement).

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: Conditonal Break OLLYDBG

Messagepar Jayce » 27 Septembre 2016, 15:04

Salut,
Merci dionosis pour cette réponse .
Je confirme après essai le Break avec cette syntaxe.
un grand merci :D

Maintenant je bloque sur autre chose et je ne trouve pas d'info sur ce problème: :?
sur le soft que l’essai de forcer, une boite de dialogue s'affiche avec un code utilisateur xxxx-xxxx-xxxx-xxxx qui change après chaque installation du programme.
l'utilisateur rentre un code d'activation du même format ce qui valide le bouton OK si le code est bon.

pour l’instant je cherche la boucle qui crée le code utilisateur donc je trace le code F8-F7 juste avant la présence en mémoire du xxxx-xxxx-xxxx-xxxx et voici:
j'arrive dans USER32 à
MOV EAX DWORD.... à ce moment pas de xxxx-xxxxx..... en mémoire.
INT 2B ....... là je fait F7 ou F8 et j'arrive direct sur un autre BP ou bien le prog s’exécute???

ma question est comment faire pour voir ce qui se passe après le MOV EAX DWORD
@+
Avatar de l’utilisateur
Jayce
 
Messages: 5
Inscription: 22 Septembre 2016, 16:34

Re: Conditonal Break OLLYDBG

Messagepar dionosis » 28 Septembre 2016, 00:16

Salut,

"INT 2B" ?!
Pas normal.

En tous cas tu n'as pas besoin de tracer dans user32, tu vas t'épuiser en vain.
Trace en step-over (F8) sur les call user32.

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: Conditonal Break OLLYDBG

Messagepar Bango » 28 Septembre 2016, 08:32

je dirais même plus. Si tu es "dans user32", alors reviens à ton module principal (CTRL+F9 -execute til RETN puis F8)

Pour ce cas de figure, les GetDlgItemTextA/W GetWindowTextA/W fonctionne toujours. Voire GetWindowTextLengh.
Et parfois la recherche hasardeuse de constantes a de bons effets :P ( PUSH 2D, la longueur attendue de la chaîne, etc...)

Et bien sûr, qui dit activation de bouton dit EnableWindow. Ca peut avoir l'air con mais ça ne s'occupe pas que des fenêtres ;):
MSDN a écrit:Enables or disables mouse and keyboard input to the specified window or control. When input is disabled, the window does not receive input such as mouse clicks and key presses. When input is enabled, the window receives all input.


Simple curiosité, comment s'appelle ce soft? ça me fait penser à quelque chose.
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1537
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: Conditonal Break OLLYDBG

Messagepar Jayce » 28 Septembre 2016, 09:59

salut.

Je vais suivre vos conseilles et prendre le problème autrement.
pour l'instant je cherche à comprendre le système d’enregistrement.
ce que j’ai trouver pour le moment:

-le soft (p*o*l*y*b*o*a*r*d de chez b*o*o*l*&*p*a*r*t*n*e*r) écrit deux fichiers brouillés par une clé générée avec lAPI xxtimexx quelque chose comme cela. fichier nommé "s*d*a*t*a*b*l.sav.bin" de 240bytes et un autre "0fc92f12406.xkx"
-ces 2 fichiers sont complémentaire.
-la portion de s*d*a*t*a*b*l à l'offset 166 est utilisé.
-le soft génère un code utilisateur par rapport à ces 2 fichiers.

je cherche donc à suivre la portion de code qui crée le code utilisateur avec les données de ces fichiers afin de faire l'inverse et créer un keygen.

pouvez-vous me dire si ma démarche est bonne?
:attention: si vous connaissez ce soft, ne me donnez pas une solution toute faite, je voudrais trouver par moi même, certes avec de l'aide je pense... :wink:

@+
Avatar de l’utilisateur
Jayce
 
Messages: 5
Inscription: 22 Septembre 2016, 16:34

Re: Conditonal Break OLLYDBG

Messagepar Bango » 28 Septembre 2016, 17:08

Jayce a écrit:je cherche donc à suivre la portion de code qui crée le code utilisateur avec les données de ces fichiers afin de faire l'inverse et créer un keygen.

pouvez-vous me dire si ma démarche est bonne?


Tu peux aussi tenter de comprendre comment le serial est généré à partir du hardware ID. C'est peut être basique :roll: ou pas :P
M'enfin, à mon avis recréer la routine qui génère le HWID n'est pas une priorité... puisque c'est une donnée déjà connue. Ca pourra être un p'tit plus après, mais il faut d'abord être en mesure de générer le serial en fonction de cet identifiant ;)
A mon avis...
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1537
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: Conditonal Break OLLYDBG

Messagepar dionosis » 28 Septembre 2016, 17:50

Salut,

Je suis tout à fait d'accord avec Bango surtout que si le soft est multi-plateformes, il est très fortement probable que la routine de génération de l'hardware id change, alors qu'il est très faiblement probable que celle de vérification du serial par rapport à celui-ci change (à un petit plateform id près éventuellement).

Economise toi.

++
Avatar de l’utilisateur
dionosis
Maître des ténèbres
Maître des ténèbres
 
Messages: 507
Inscription: 09 Octobre 2009, 21:43

Re: Conditonal Break OLLYDBG

Messagepar Jayce » 28 Septembre 2016, 18:39

Bien reçue. :wink:

je prend vos conseils en compte pour la suite de mon analyse .
je vous tiens informé.

Merci

@+
Avatar de l’utilisateur
Jayce
 
Messages: 5
Inscription: 22 Septembre 2016, 16:34


Retourner vers Outils

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 7 invités

cron