OkoKeygenMe#1 tutorial

Mettez à disposition vos propres cours de cracking ou des cours que vous trouvez intéressant.

OkoKeygenMe#1 tutorial

Messagepar Neitsa » 09 Août 2004, 23:25

Bonjour à tous,

le tutorial sur le KeygenMe d'oko, voilà le sommaire:

Observation
PARTIE VB
Localisation de la routine
Anti-softice
Routine d’extraction de l’EXE
Programme Externe
Trouver l’OEP
Identification du packer
Décryptage du code
Vérification d’intégrité du code
Anti Softice par Handler INT3 – détection ‘BCHK’
Anti débugging par vérification d’opcode CC
Décryptage des sections
Loader d’API
Vérification d’intégrité du code
Protection Anti-debugging : IsDebuggerPresent
Protection Anti-Softice par INT 68
Préparation du JMP sur l’OEP
UnPacking d’ExeStealth
Dump du processus
Reconstruction de l’IAT en mode manuel
Le Programme en C
Localisation de la routine
Le crackme VB, suite et Fin
A lire
Remerciements


hmmm, il fait 27 pages... :lol: j'ai essyé de détailler assez clairement chaque partie, avec une analyse (relativement compréhensible ) d'ExeStealth.

Vous trouverez des indications pour le rebuild manuel d'IAT quand Imprec est dans la panade.

L'archive contient le tut, le keygen et ses sources, et le programme unpacké.

ARCHIVE DU TUT

Merci à vous, Amicalement, Neitsa.
Neitsa
 

Messagepar mars » 10 Août 2004, 06:03

salut Neitsa

j'ai fini de lire ton tutorial, et j'ai une question a te poser:
Pour faire ton dump, tu fais une boucle infinie sur l'OEP
Moi, je croyais qu'on avait besoin de faire une boucle infinie qu'avec softice et pas avec ollydbg?

Sinon pour le crackme, j'avais trouvé qu'il y avait un fichier oko.exe
avec des parametres a passer mais la suite est bien compliquée....

merci pour ce tutorial

:D
mars
Crackeur de folie !!!!
Crackeur de folie !!!!
 
Messages: 403
Inscription: 17 Avril 2004, 02:14

Messagepar oko » 10 Août 2004, 10:00

Salut Neitsa !

Alors ça c'est du tutorial !!!

J'ai pas encore fini de le lire mais alors c'est vraiment bien écrit, bien expliqué, bien illustré...
Vraiment complet !!

Merci beaucoup pour ton boulot !! (quand j'l'aurais fini j'aurais ptet bien des questions ouai ;))

+
Avatar de l’utilisateur
oko
Monster Crackeur !!!
Monster Crackeur !!!
 
Messages: 359
Inscription: 22 Avril 2004, 17:25

Messagepar BeatriX » 10 Août 2004, 10:25

Terrible ce tuto !!! Bravo neitsa pour ce boulot. Je trouve que tu es l'un des rares à expliquer les trop connus anti-debugger genre BCHK, INT 3...l'histoire d'ouvrir le driver de SI, je ne l'ai trouvé nul part ! Tu détailles bien ta démarche ! On en veut encore !!! :-)
Image
Avatar de l’utilisateur
BeatriX
Modérateur
Modérateur
 
Messages: 1302
Inscription: 13 Juin 2004, 15:07

Messagepar Deamon » 10 Août 2004, 10:57

27 pages ! t'as dû bien détaillé là :P merci bcp !
Deamon

Les connaissances qu'on a cherchées restent, celles qu'on n'a pas cherchées se perdent. [Baden-Powell]
En un mot : cherche sur Google avant de demander !
Avatar de l’utilisateur
Deamon
Triumvirat
Triumvirat
 
Messages: 4374
Inscription: 25 Janvier 2004, 12:46
Localisation: Devant mon PC

Messagepar -=[KoP]=- » 10 Août 2004, 11:47

Super merci bcp :)
On a toujours besoin d'un plus petit que soit.
Le Roi des patates !-=|[Kop]|=-King of Patatoes !

moij je m'autoproclame ---kop (oui 3* moins rien que ça)

à bientôt je suis retourné au boulo !
Avatar de l’utilisateur
-=[KoP]=-
Monster Crackeur !!!
Monster Crackeur !!!
 
Messages: 371
Inscription: 14 Mars 2004, 15:14

Messagepar le_traître » 10 Août 2004, 12:03

beau tutorial, c'est clair (27 pages en aussi peu de temps, t'était motivé dis-donc!).
Je suppose que ça fera un autre très bon tut sur le site du rif...
le_traître
 

Messagepar etherlord » 10 Août 2004, 13:03

Joli travail, felicitation Neitsa, on aimerait voir plus de tutos de cette
qualite.

As-tu deja travaille avec les fichiers arguments avec Olly ? dans le
cadre du VB, c'est parfois interessant....

http://ollydbg.win32asmcommunity.net/in ... =1&page=-1

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2596
Inscription: 22 Mars 2004, 16:12

Messagepar Neitsa » 10 Août 2004, 14:23

Bonjour,

Merci à tous :D !

Pour faire ton dump, tu fais une boucle infinie sur l'OEP
Moi, je croyais qu'on avait besoin de faire une boucle infinie qu'avec softice et pas avec ollydbg?


Effectivement, Mars , la boucle 'JMP EIP' n'est pas obligatoire, mais je la pratique tout le temps. Plusieurs raisons à cela:

-1) Certains programmes consoles ont tendance à ne pas attendre quand ils font leur traitement, et vont directement sur un Exit, du coup on à pas le temps de faire un dump si on lance le programme sans boucle infinie.

-2) La plupart des programmes disposent d'anti-debugging et le simple fait de lancer le programme conduit à ces anti-débugs qui font sortir du programme, le font crasher ou modifient les valeurs des datas ou encore le code du programme, du coup on se retrouve avec un dump crashé sans comprendre pourquoi.

C'est pourquoi j'utilise toujours une boucle infinie, cela permet de se prémunir d'éventuelles erreurs.

As-tu deja travaille avec les fichiers arguments avec Olly ?


ah ! Merci Etherlord, je ne connaissais pas du tout ! C'est vraiment intéressant.


Si vous avez d'autres questions n'hésitez pas, je tenterais d'y répondre dans la mesure du possible.

Amicalement, Neisa.
Neitsa
 

Messagepar Kaine » 10 Août 2004, 21:25

Du très bon boulot Neitsa ! ;)
Tout est bien fichu autant sur la forme que sur le contenu. Félicitations !
Kaine
Modérateur
Modérateur
 
Messages: 1311
Inscription: 19 Mars 2004, 14:50
Localisation: Chez moi


Retourner vers Tutoriels

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité