logo

Knowledge Is Power

 
 

- Reinit des nouveaux posts -

- Recherche -

Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
Vous logger : Login Pass

Reverse Engineering >> Ollydbg 110: pluggin findcrypt Newtopic | Reply
poster txt
bib0
Inscrit le 25-02-2005
Avatar
Posté le 04-04-2012 17:00

Salut à tous,

Si vous avez 30s, j'aurai besoin d'un petit coup de main des reverser de newffr.
Voilà. Pour tester le pluggin findcrypt pour ollydbg110, et la détection du XOR, j'ai codé cet XOR tt nul:

#include <windows.h>
#include <stdio.h>

char *pXORData;
char pData []="aaaa";
char pKey []="TITI";
unsigned int cubKey;

void xor_loop(char *pData, const char* pKey, unsigned int cubKey);

int main(){
/*printf("pData: %s\n",pData);*/
cubKey=strlen(pData);
xor_loop(pData,pKey,cubKey);
}

void xor_loop(char *pData, const char* pKey, unsigned int cubKey)
{
int i;
printf("clair: %s\n",pData);
for(unsigned int n = 0; n < cubKey; n++){
pData[n]=pData[n]^pKey[n];
}
printf("chiffre: %s\n",pData);
return;
}
A l'écran, ça donne:
clair: aaaa
chiffre: 5(5(

Malheureusement, le pluggin findcrypt détecte rien. Zauriez une idée?

@++

Bibo

[ Ce Message a été édité par: bib0 le 2012-04-04 17:11 ]
profil | edit | quote
bib0
Inscrit le 25-02-2005
Avatar
Posté le 05-04-2012 11:19

Strange!
Même le pluggin KANAL v2.93 de PEID détecte rien.

@++

Bibo
profil | edit | quote
clanger
Inscrit le 04-04-2007
Posté le 06-04-2012 11:39

Ces plugins ne détectent que les algorithmes de chiffrement "standards". Ceux-ci, en plus d'être les plus fréquemment utilisés, exploitent le plus souvent des tables de permutation connues qui sont faciles à identifier dans un code binaire.

En conséquence, ces plugins ne sont pas adaptés à la recherche d'un simple camouflage XOR.
profil | edit | quote
bib0
Inscrit le 25-02-2005
Avatar
Posté le 10-05-2012 16:56

Salut à tous,

J'aurais une petite question pour les reverser de Newffr.. En lançant le pluggin KANAL v2.93 de PEID sur un exe, je récupère:

CryptCreateHash [Import] :: 00123004 :: 00524004
Referenced (Hash: MD5) at 004E7D3B
CryptHashData [Import] :: 00123008 :: 00524008
Referenced at 004E7D69
DES [key schedule] [char] :: 00177C30 :: 00579230
Referenced at 004E9303
DES [sbox] :: 00177C60 :: 00579260
Referenced at 004E8CBD
Referenced at 004E8D40

Donc à priori, on aurait du chiffrement DES qq part.
Est-ce qu'il y aurait un moyen de remonter à la clef de chiffrement?

@++

Bib0

En jetant un œil à l'adresse 0x004E8CBD, j'ai:

004E8CBA |. 8B0C8D 6092570>|MOV ECX,DWORD PTR DS:[ECX*4+579260]
004E8CC1 |. 0B0C9D 6094570>|OR ECX,DWORD PTR DS:[EBX*4+579460]
004E8CC8 |. 8BD8 |MOV EBX,EAX
004E8CCA |. C1EB 08 |SHR EBX,8
004E8CCD |. 83E3 3F |AND EBX,3F
004E8CD0 |. 0B0C9D 6096570>|OR ECX,DWORD PTR DS:[EBX*4+579660]
004E8CD7 |. 83E0 3F |AND EAX,3F
004E8CDA |. 0B0C85 6098570>|OR ECX,DWORD PTR DS:[EAX*4+579860]
004E8CE1 |. 8B02 |MOV EAX,DWORD PTR DS:[EDX]
004E8CE3 |. 33C6 |XOR EAX,ESI
004E8CE5 |. 8BD8 |MOV EBX,EAX
004E8CE7 |. C1EB 18 |SHR EBX,18
004E8CEA |. 83E3 3F |AND EBX,3F
004E8CED |. 8B1C9D 6093570>|MOV EBX,DWORD PTR DS:[EBX*4+579360]
004E8CF4 |. 8BE8 |MOV EBP,EAX
004E8CF6 |. C1ED 10 |SHR EBP,10
004E8CF9 |. 83E5 3F |AND EBP,3F
004E8CFC |. 0B1CAD 6095570>|OR EBX,DWORD PTR DS:[EBP*4+579560]
004E8D03 |. 8BE8 |MOV EBP,EAX
004E8D05 |. C1ED 08 |SHR EBP,8
004E8D08 |. 83E5 3F |AND EBP,3F
004E8D0B |. 0B1CAD 6097570>|OR EBX,DWORD PTR DS:[EBP*4+579760]
004E8D12 |. 83E0 3F |AND EAX,3F
004E8D15 |. 0B1C85 6099570>|OR EBX,DWORD PTR DS:[EAX*4+579960]
004E8D1C |. 83C2 04 |ADD EDX,4
004E8D1F |. 0BD9 |OR EBX,ECX
004E8D21 |. 33FB |XOR EDI,EBX
004E8D23 |. 8BC7 |MOV EAX,EDI
004E8D25 |. C1C8 04 |ROR EAX,4
004E8D28 |. 3302 |XOR EAX,DWORD PTR DS:[EDX]
004E8D2A |. 83C2 04 |ADD EDX,4
004E8D2D |. 8BC8 |MOV ECX,EAX
004E8D2F |. C1E9 18 |SHR ECX,18
004E8D32 |. 8BD8 |MOV EBX,EAX
004E8D34 |. C1EB 10 |SHR EBX,10
004E8D37 |. 83E3 3F |AND EBX,3F
004E8D3A |. 83E1 3F |AND ECX,3F
004E8D3D |. 8B0C8D 6092570>|MOV ECX,DWORD PTR DS:[ECX*4+579260]
profil | edit | quote
jehv
Inscrit le 29-08-2006
Posté le 11-06-2012 21:40

Quote:
Est-ce qu'il y aurait un moyen de remonter à la clef de chiffrement?

faut remonter avant ca DES [key schedule] [char] :: 00177C30 :: 00579230
Quote:
En jetant un œil à l'adresse 0x004E8CBD, j'ai: ***

Non ca ressemble plus au début de l'algo de permutation qu'autres chose

dsl pour la réponse tardive, pas vu ton topic avant
_________________________
it's all about life
profil | edit | quote
Newtopic | Reply

Online : acoqemiqk, agatamuyaar, AntonioUntog, Bikpoext, Bjknoilm, Byuzooke, eqxaaxujkupe, esecokesufwo, esumoxobkeru, ifinafiw, ifuketohow, ihizupuxatel, imarexezunaki, ioropxu, iwifebqnej, ixaqelaro, izugihuhopif, Knyjoype, olamunuxoq, olasipaskonu, opeficelukap, oteejiped, ourlotakilig, RubinDef, ToshkaComma, ucuqewuvez, umewivpi, uotuzegesiq, uquqejek, uucidaruxw, Vcxjoppy, VcxPiola et 73 Guests


Retour Index NewFFR Repository : http://taz.newffr.com
Cagades à Stick : http://alcane.newffr.com
Forum HTML et Archive -> ici
ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com
Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) )
Retour haut de page