logo

Knowledge Is Power

 
 

- Reinit des nouveaux posts -

- Recherche -

Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
Vous logger : Login Pass

Reverse Engineering >> getright, protection utilisee Newtopic | Reply
poster txt
Kes
Inscrit le 30-04-2002
Avatar
Posté le 04-01-2003 19:00

non, non, non, je vous rassure tout de suite il ne s\'agit pas d\'une demande de crack pour getright....
Je parle de la dernière version en date (le version 5)
J\'ai essayé de decompiler avec windasm le prog: rien d\'utilisabe
Je boot avec softice: me dit de fermer le debogeur
Bref, je me emande coment les crackers qui ont sortis un keygen pour le soft on bien pu faire, comment on t il reussit a sortir les infos necessaire pour faire ca ?
Programme particulier ? moyen de faire sauter la protection, analyse des données windasm que j\'ai pas compris (bizare: je prend des bites sortis avec un editeur hexa je les cherche dans windasm, et je les trouve pas :/
profil | mail | edit | quote
valdeux
Inscrit le 04-07-2002
Avatar
Posté le 04-01-2003 21:14

Il y a des anti-anti-softice
_________________________
Les CD d\'AOL, ca fait des supers freesbees. <? phpSecure; ?>.
profil | mail | Website | edit | quote
Kes
Inscrit le 30-04-2002
Avatar
Posté le 06-01-2003 03:21

Quote:

Le 04-01-2003 21:14, valdeux a écrit :
___________________________________________________
Il y a des anti-anti-softice



oui mais ce n\'est pas une protection softice, c\'est une protection anti debugger, et par quel methode arrive t on a passer cet anti debugger ? outil au pif (demarche: tiens celui la marche ?), ou logique permettant d\'aboutir a une solution ?
Ou reconnais t on une protection particuliere pour laquelle on applique une solution deja connue ?
(si oui comment ?)
Enfin bref si quelqu\'un sait comment faire un crack ou un keygen ou me^me un serial pour getright peut il expliquer sa demarche intellectuelle ?
profil | mail | edit | quote
Emper0r
Inscrit le 16-06-2002
Avatar
Posté le 06-01-2003 17:50

Quote:

oui mais ce n\'est pas une protection softice, c\'est une protection anti debugger, et par quel methode arrive t on a passer cet anti debugger ? outil au pif (demarche: tiens celui la marche ?), ou logique permettant d\'aboutir a une solution ?
Ou reconnais t on une protection particuliere pour laquelle on applique une solution deja connue ?
(si oui comment ?)
Enfin bref si quelqu\'un sait comment faire un crack ou un keygen ou me^me un serial pour getright peut il expliquer sa demarche intellectuelle ?



Oui il y a plusieurs solution antisoftice ou anti debugger,
Il faut que tu trouve le moyen de le desassemblé.
Regarde avec procdump ou un editeur hexa si tu trouve la signature d\'un packer/crypteur.
Si tu trouve rien pause un bp avec SI sur l\'entrypoint, a mon avis tu va tombé sur un decryptage/décompréssage, débrouille toi a faire un dump manuel et récrit le bon EP.
Ensuite tu pourra le déssasemblé.
Sinon continu a tracé et fait sauter les protects au fur et a mesure.
_________________________
http://www.s0h.cc/~emper0r/
profil | mail | Website | edit | quote
Kes
Inscrit le 30-04-2002
Avatar
Posté le 06-01-2003 19:14

au risque de paraitre lourd je ne comprend pas toute tes abreviation bp pour break point ca va, le reste pas trop par contre.
Quel est l\'interet de mettre un break point sur le point d\'entrée ? et on fait ca comment (pas softice ?)
profil | mail | edit | quote
pepone
Inscrit le 22-08-2002
Posté le 06-01-2003 21:01

si je comprend bien il faudrais lancer le prog en passant pas le loader de softice et y poser un bp

mais kel bp mettre?
_________________________

profil | edit | quote
Emper0r
Inscrit le 16-06-2002
Avatar
Posté le 06-01-2003 22:18

BP == BreackPoint
EP == Entry Point
SI == SOftIce

Je pense que si l\'on ne peut pas désassemblé le prog utilise un packer et/ou crypteur.
Il faut regarder le nom des sections pour commencé souvent ca donne un indice.
Ou regarder les strigs avec un editeur hexa des fois on trouve les signature de c crypteur et/ou packeur.


Pour pauser un bp sur l\'ep je déconseille le loader qui marche pas tout le temps et ou il faut souvent changé le droits des sections.
Pour poser ce bp on le pause comme un bp une adresse banale.
Je v quand meme pas dire comment vous trouvez l\'adresse de l\'EP ... si ?


Le debuggeur de Wdasm est aussi a mon avis trés pratique dans ce cas on peut poser un bp sur l\'EP plus simplement, et permet d\'y voir plus clair souvent.


L\'avantage de pauser un bp sur l\'ep c que a mon avis vous allez tomber direct dans la routine de décryptage/dépackage.

L\'aissez le faire et une fois que vous voyez sont jmp ou il passe la main au prog, faite un \'a\' modifiez le code pour le faire tourner en boucle.
Un petit dump de la task avec procdump et il reste plus qu\'a refaire les calculs pour l\'ep.
La on ce retrouve avec un binaire fonctionnant et que l\'on peut déssasembler.
Ensuite en commencant par tracer du début on pourra trouver les anti debuggeur et les faire sauté facilement.


Peut etre que je me trompe pour le packer/crypteur m\'enfin ca m\'étonnerais de plus en plus de shareware en utilise, et dans 95% des cas si on ne peut déssasemblé le code ca vient de la.
Ou alors en faisant mumuse avec le pe header on peut planter wdams aussi

Ta essayer avec ida ? parceque franchement wdasm pour déssasemblé c vraiment nul, il vaut mieux IDA. En général je me servais que du debuggeur de wdasm que je trouve tres bien sinon le déssasemblage avec IDA.
_________________________
http://www.s0h.cc/~emper0r/
profil | mail | Website | edit | quote
Emper0r
Inscrit le 16-06-2002
Avatar
Posté le 06-01-2003 22:20

Au fait désolé de pas pouvoir mieux vous aidez mais j\'ai plus de windows la, donc peut pas regarder.
Enfin si tu pouvais me donner les infos sur le PE header deja je te dirais si c packer et/ou crypter
_________________________
http://www.s0h.cc/~emper0r/
profil | mail | Website | edit | quote
Kes
Inscrit le 30-04-2002
Avatar
Posté le 06-01-2003 23:14

ben a mon avis la protection est differente: pas de packer ni de crypteur: pourquoi ?
Ben c\'est simple les ressources sont disponible avec reshack or si elle ete crypté on y aurait pas acces, par ailleurs avec unpack le truc est reconnu comme du visual C++.
Et pourtant pas de strn ref avec windasm ...
profil | mail | edit | quote
Emper0r
Inscrit le 16-06-2002
Avatar
Posté le 07-01-2003 00:00

Excuse moi j\'avais mal lu, quand tu disais rien d\'utilisable dans wdasm je pensé que tu avait rien de correct.
Je suis sur le pc a mon pere avec un bon windows j\'ai downlaod getright sur le site officiel la derniere version 4.5e et effectivement il est pas crypté / packer je prend wdasm et je regarde...
_________________________
http://www.s0h.cc/~emper0r/
profil | mail | Website | edit | quote
Emper0r
Inscrit le 16-06-2002
Avatar
Posté le 07-01-2003 00:35

Bon voila ce que je vient de trouver vite fait ce soir, ca peut pas t\'aider certainement

* Possible StringData Ref from Data Obj ->\"RegistrationCode\"
|
:00401732 68F81B5A00 push 005A1BF8
:00401737 8D45EC lea eax, dword ptr [ebp-14]
:0040173A 57 push edi
:0040173B 50 push eax
:0040173C B9B03C5B00 mov ecx, 005B3CB0
:00401741 C645FC04 mov [ebp-04], 04
:00401745 E8CB091300 call 00532115
:0040174A FF30 push dword ptr [eax]
:0040174C 8D45E4 lea eax, dword ptr [ebp-1C]
:0040174F C645FC05 mov [ebp-04], 05

* Possible StringData Ref from Data Obj ->\"%s\"
|
:00401753 68F41B5A00 push 005A1BF4
:00401758 50 push eax
:00401759 E8F5EF1100 call 00520753
:0040175E 83C40C add esp, 0000000C
:00401761 8D4DEC lea ecx, dword ptr [ebp-14]
:00401764 C645FC04 mov [ebp-04], 04
:00401768 E860581200 call 00526FCD
:0040176D 8D4DE4 lea ecx, dword ptr [ebp-1C]
:00401770 E8EB0F0B00 call 004B2760
:00401775 85C0 test eax, eax
:00401777 7474 je 004017ED
:00401779 8D45EC lea eax, dword ptr [ebp-14]

* Possible Reference to String Resource ID=00327: \"You Have Registered GetRight. Thank You!\"


.....


Le RegistrationCode est le nom de la text box qui contient notre code.

J\'ai pas encore vérifier mais rien qu\'a lire ca je dirais
ce call 004B2760 sert a metre eax a 0 ou non suivant que le code est bon ou pas. Si eax == 0 le saut en effectué
le je 004017ED

Plusieurs solution a tester

-Essaye de noppé de saut (enfin j\'aime pas ca c lame et il y a certainemetn une autre protection)

-Palcer dans le call:
mov eax, 1
ret
suivie évantuellement de nop

-Touver comment on génére des codes valides.



Il y a bien un anti debeug qui a l\'air intérréssant.
Je me recoit un NtTerminateProcess a la détection de breackpoint
_________________________
http://www.s0h.cc/~emper0r/
profil | mail | Website | edit | quote
Kes
Inscrit le 30-04-2002
Avatar
Posté le 07-01-2003 22:45

nan nan, la derniere version en date pour moi était la 5.03 beta (maintenant c\'est la 5.04 beta)
et le serial est différent...
profil | mail | edit | quote
Emper0r
Inscrit le 16-06-2002
Avatar
Posté le 08-01-2003 12:12

Je comprend pas sur le site officiel il y a:
\"Click any link below to download GetRight® 4.5e.
(2.0MB for Windows95/98/Me/NT/2000/XP, released November 4, 2002.) \"

La derniere version sur le site est bien la 4.5e. Alors je comprend pas ou tu la trouvé.

Souvent les sérials ne fonctionne pas d\'une version a l\'autre mais la routine d\'enregistrement est la meme, il change juste un petit qq chose dans le calcul de sérial.
_________________________
http://www.s0h.cc/~emper0r/
profil | mail | Website | edit | quote
Nessy
Inscrit le 10-03-2002
Avatar
Posté le 08-01-2003 17:02

Salut

pour les versions beta c ici :

http://www.getright.com/beta50.html
_________________________
" Un homme habile élève des remparts.
Une femme habile détruit des remparts. "

Che King (Shijing)
profil | Website | edit | quote
pepone
Inscrit le 22-08-2002
Posté le 08-01-2003 20:24

tiens te revoilà nessy? ca fé plaisir
_________________________

profil | edit | quote
Nessy
Inscrit le 10-03-2002
Avatar
Posté le 08-01-2003 23:41

Salut pepone

Ca me fait plaisir a moi aussi de revenir

Si g été si lgtps absente c car g subi un ENORME chagrin d\'amour

Mais me revoila !

V me coucher moi lol

aurai je abusé de ==> ??? seul mes poumons le savent lol
_________________________
" Un homme habile élève des remparts.
Une femme habile détruit des remparts. "

Che King (Shijing)
profil | Website | edit | quote
-jB-
Inscrit le 15-07-2003
Posté le 15-07-2003 09:04

La version 5 de GetRight est packée avec Armadillo.
Ricardo Narvajas a fait un tut très détaillé à ce sujet, dispo sur son FTP et dans plein d\'autres endroits
_________________________
jB / FFF
profil | mail | edit | quote
Newtopic | Reply

Online : Dorothyhyday, FelipeBub, Felipekt, Jamesgroub, Jarockkr, Krtbpwhomia, owaviohiolono, Robertbeply et 96 Guests


Retour Index NewFFR Repository : http://taz.newffr.com
Cagades à Stick : http://alcane.newffr.com
Forum HTML et Archive -> ici
ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com
Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) )
Retour haut de page