Salut à tous
Je suis sous ollydbg2 en train de debugger un prog développé sous windev.
Enfin peu importe, car ma question est d'ordre général :
lorsque je lance l'appli sous ollydbg, j'ai une fenetre qui me demande un ID et une clé.
Lorsque je valide, un message s'affiche me disant que mes IDs sont incorrect.
Au moment de l'affichage, j'aimerais connaitre exactement l'offset de la fonction qui affiche cet message d'erreur? J'ai bien sûr essayé de mettre en pause, mais ça ne me renvoi pas du tout au bon endroit, car le prog execute encore du code apres cet affichage.
J'ai également essayé de regarder dans les references strings, mais le message n'y apparait pas.
Comment procéder svp?
merci d'avance
ollydbg v2
7 messages
• Page 1 sur 1
ollydbg v2
par thecarpenter746 » 16 Avril 2015, 09:54
- thecarpenter746
- Visiteur
- Messages: 12
- Inscription: 12 Avril 2015, 10:06
Re: ollydbg v2
par etherlord » 17 Avril 2015, 06:23
Le message d'erreur est probablement affiché suite à l'appel du API type MessageBox, en posant un Break-Point sur l'API, si c'est la bonne, le debugger te rendra la main là où le message
va s'afficher.
viewtopic.php?f=6&t=5174
etherlord
va s'afficher.
viewtopic.php?f=6&t=5174
etherlord
- etherlord
- Triumvirat
- Messages: 2615
- Inscription: 22 Mars 2004, 16:12
Re: ollydbg v2
par Martinooooo » 19 Avril 2015, 18:06
Euh c'est du WinDev.
= le code est compilée à la volée à partir d'un bytecode crypté
==>
- le code du logiciel (et non du framework) change d'offset à chaque démarrage
- le code du logiciel se situe généralement dans une section RWE sans nom, autour des sections de l'exécutable
==>
- à part si tu arrives à décrypter, décompresser, comprendre le bytecode précompilé windev (il n'y a aucun outil public permettant de faire ça), recompresser, re-crypter; tu ne pourras pas patcher
- les strings sont dans le bytecode précompilé, mais qui est crypté, donc tu ne les trouveras pas
- pour tracer, c'est souvent plus simple de regarder toutes les sections sans nom RWE, et de foutre des bp à l'arrache
Petit cadeau, ça ressemble à ça du windev compilé:
P'tét qu'un jour si vous êtes sages et que j'ai du temps pour les rendre plus propres, je publierai mes tools WinDev
= le code est compilée à la volée à partir d'un bytecode crypté
==>
- le code du logiciel (et non du framework) change d'offset à chaque démarrage
- le code du logiciel se situe généralement dans une section RWE sans nom, autour des sections de l'exécutable
==>
- à part si tu arrives à décrypter, décompresser, comprendre le bytecode précompilé windev (il n'y a aucun outil public permettant de faire ça), recompresser, re-crypter; tu ne pourras pas patcher
- les strings sont dans le bytecode précompilé, mais qui est crypté, donc tu ne les trouveras pas
- pour tracer, c'est souvent plus simple de regarder toutes les sections sans nom RWE, et de foutre des bp à l'arrache
Petit cadeau, ça ressemble à ça du windev compilé:
P'tét qu'un jour si vous êtes sages et que j'ai du temps pour les rendre plus propres, je publierai mes tools WinDev
Acme::Don't
Acme::Bleach
Acme::Pony
Lingua::Romana::Perligata
Acme::Bleach
Acme::Pony
Lingua::Romana::Perligata
The Lingua::Romana::Perligata makes it makes it possible to write Perl programs in Latin. (If you have to ask "Why?", then the answer probably won't make any sense to you either.)
-
Martinooooo - Maître des ténèbres
- Messages: 577
- Inscription: 19 Août 2008, 08:20
- Localisation: DR8, le + utile DRx
Re: ollydbg v2
par Bango » 20 Avril 2015, 08:14
Martinooooo a écrit:P'tét qu'un jour si vous êtes sages et que j'ai du temps pour les rendre plus propres, je publierai mes tools WinDev
Ça c'est de la mesquinerie!
Avoir fait des tools pour rendre ça moins dégueu et le dire aux autres, sans leur prêter... c'est petit!
\ô/
-
Bango - Modérateur
- Messages: 1606
- Inscription: 23 Juillet 2007, 15:33
- Localisation: Gotham city
Re: ollydbg v2
par Martinooooo » 20 Avril 2015, 12:16
Bango a écrit:Avoir fait des tools pour rendre ça moins dégueu et le dire aux autres, sans leur prêter... c'est petit!
Non, honnêtement j'ai honte de leur code et de leur fonctionnement
C'est déjà un miracle que ça ne crashe pas.Acme::Don't
Acme::Bleach
Acme::Pony
Lingua::Romana::Perligata
Acme::Bleach
Acme::Pony
Lingua::Romana::Perligata
The Lingua::Romana::Perligata makes it makes it possible to write Perl programs in Latin. (If you have to ask "Why?", then the answer probably won't make any sense to you either.)
-
Martinooooo - Maître des ténèbres
- Messages: 577
- Inscription: 19 Août 2008, 08:20
- Localisation: DR8, le + utile DRx
Re: ollydbg v2
par thecarpenter746 » 20 Avril 2015, 19:32
Salut à tous,
J'ai comme l'impression que vous vous liguez contre moi pour me démoraliser.
D’après ce que je lis, je n'ai pas beaucoup d'espoir de réussir ce que je veux faire, d'autant plus que je n'ai certainement pas du tout le même niveau de "cracking" que vous.
Si c'est trop compliqué pour mon petit cerveau, je vais de voir abandonner.....
merci quand meme
J'ai comme l'impression que vous vous liguez contre moi pour me démoraliser.
D’après ce que je lis, je n'ai pas beaucoup d'espoir de réussir ce que je veux faire, d'autant plus que je n'ai certainement pas du tout le même niveau de "cracking" que vous.
Si c'est trop compliqué pour mon petit cerveau, je vais de voir abandonner.....
merci quand meme
- thecarpenter746
- Visiteur
- Messages: 12
- Inscription: 12 Avril 2015, 10:06
Re: ollydbg v2
par dionosis » 20 Avril 2015, 22:34
Salut,
@thecarpenter>
Ca n'est pas vraiment que c'est compliqué, mais plutôt que c'est fastidieux. En tous cas pour commencer le reverse ça n'est je pense pas le meilleur choix.
Comme te l'a très bien expliqué Martinooooo et comme j'ai tenté de te l'expliquer en privé, il s'agit dans le cas présent de code virtualisé. L'approche ne ressemblera donc ici à rien d'autre que ... ben du windev.
Après mon avis c'est que peu importe le résultat, mettre les mains dans le cambouis lorsqu'il s'agit d'une cible qui nous intéresse personnellement ne peut être que bénéfique pour l'apprentissage.
Peut-être y reviendras tu d'ici quelques années mieux armé et en attendant ça t'aura permis d'élargir ta vision de ce qu'il est possible de rencontrer et de te familiariser avec l'utilisation des outils. Tiens pour l’anecdote j'ai dernièrement personnellement keygené en quelques heures un soft sur lequel je m'étais cassé les dents des jours et des jours durant sans presque n'y rien comprendre il y a quelques années de ça en raison de la présence de crypto sym + crypto asym + hashs + justement virtualisation de code (un protector, pas windev). Crois moi tout ce temps que tu passeras à essayer de comprendre ne sera quoi qu'il en soit pas perdu si tu décides d'approfondir le rce !
Par ailleurs le reverse windev est très très peu documenté. Mon avis est que c'est du au fait que bien que windev soit extrêmement abordable en terme de coding, le résultat produit lui est extrêmement lent et lourd (un simple hello world faisait à l'époque tout de suite dans les 20 mo si ma mémoire est bonne). Qui plus est la licence est onéreuse. La conséquence c'est que l'on en trouve très majoritairement dans les grosses administrations sur des outils internes, ou bien dans les petites pme soucieuses de produire rapidement une grande quantité d'outils ne nécessitant vraiment pas de rapidité d’exécution.
Il est donc très rare de voir une application développée en windev intéressant ne serait-ce qu'une quantité moyenne de personnes. Ca n'est donc pas suffisamment sexy pour les reversers à part éventuellement dans le cadre d'un audit pro.
Le corolaire en revanche c'est que 99% de la sécurité des applications développées en windev vient justement uniquement du moteur windev ; parce que ça n'en vaut pas la peine, parce pas de temps supplémentaire à y consacrer, et puis tout simplement bien souvent aussi parce que pas les compétences non plus. Il est donc parfois possible de fisher relativement facilement une appli windev.
Essaye, tu verras bien. Par contre ne te pointe pas les mains dans les poches, il faut au moins déjà que tu ais les bases du reverse pour comprendre un peu ce qu'il se passe.
@Martinooooo>
Si un jour tu releases, je serai preneur, ne serait ce que par curiosité !
++
@thecarpenter>
Ca n'est pas vraiment que c'est compliqué, mais plutôt que c'est fastidieux. En tous cas pour commencer le reverse ça n'est je pense pas le meilleur choix.
Comme te l'a très bien expliqué Martinooooo et comme j'ai tenté de te l'expliquer en privé, il s'agit dans le cas présent de code virtualisé. L'approche ne ressemblera donc ici à rien d'autre que ... ben du windev.
Après mon avis c'est que peu importe le résultat, mettre les mains dans le cambouis lorsqu'il s'agit d'une cible qui nous intéresse personnellement ne peut être que bénéfique pour l'apprentissage.
Peut-être y reviendras tu d'ici quelques années mieux armé et en attendant ça t'aura permis d'élargir ta vision de ce qu'il est possible de rencontrer et de te familiariser avec l'utilisation des outils. Tiens pour l’anecdote j'ai dernièrement personnellement keygené en quelques heures un soft sur lequel je m'étais cassé les dents des jours et des jours durant sans presque n'y rien comprendre il y a quelques années de ça en raison de la présence de crypto sym + crypto asym + hashs + justement virtualisation de code (un protector, pas windev). Crois moi tout ce temps que tu passeras à essayer de comprendre ne sera quoi qu'il en soit pas perdu si tu décides d'approfondir le rce !
Par ailleurs le reverse windev est très très peu documenté. Mon avis est que c'est du au fait que bien que windev soit extrêmement abordable en terme de coding, le résultat produit lui est extrêmement lent et lourd (un simple hello world faisait à l'époque tout de suite dans les 20 mo si ma mémoire est bonne). Qui plus est la licence est onéreuse. La conséquence c'est que l'on en trouve très majoritairement dans les grosses administrations sur des outils internes, ou bien dans les petites pme soucieuses de produire rapidement une grande quantité d'outils ne nécessitant vraiment pas de rapidité d’exécution.
Il est donc très rare de voir une application développée en windev intéressant ne serait-ce qu'une quantité moyenne de personnes. Ca n'est donc pas suffisamment sexy pour les reversers à part éventuellement dans le cadre d'un audit pro.
Le corolaire en revanche c'est que 99% de la sécurité des applications développées en windev vient justement uniquement du moteur windev ; parce que ça n'en vaut pas la peine, parce pas de temps supplémentaire à y consacrer, et puis tout simplement bien souvent aussi parce que pas les compétences non plus. Il est donc parfois possible de fisher relativement facilement une appli windev.
Essaye, tu verras bien. Par contre ne te pointe pas les mains dans les poches, il faut au moins déjà que tu ais les bases du reverse pour comprendre un peu ce qu'il se passe.
@Martinooooo>
Si un jour tu releases, je serai preneur, ne serait ce que par curiosité !
++
-
dionosis - Maître des ténèbres
- Messages: 507
- Inscription: 09 Octobre 2009, 21:43
7 messages
• Page 1 sur 1
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité