OLLYDBG E DELPHI PARTE II
Autore : Coco
Traduzione Italiana : DesTroYer
Published
at: http://quequero.org
Continuiamo il nostro percorso e vediamo come attaccare i programmi in DELPHI
con OllyDbg. Nel tutorial precedente abbiamo visto come trovare la parte di
codice che viene eseguita quando premiamo un bottone, vedemmo anche come mediante
il nome del bottone o dei menù siamo arrivati al codice, ma come possiamo
fare quando il bottone non è un bottone normale? o senza nome? o se è un'immagine?,
bene in questo tutorial vedremo tutte queste cose che a prima vista sembrano
più complicate di quello che realmente sono.
In questo tute utilizzeremo un altro Crackme: FIREWORX CRACKME10
DESCRIZIONE:
Ho scelto questo crackme per due ragioni: è "grafico" e
le API, non pungono (almeno direttamente):
Eseguiamo il Crackme e vediamo che ha qualcosa di differente… non ha i classici
bottoni…
Molto bello, ma fate bene attenzione
al bottone OK, è una Immagine, se lo pressi non succede niente ( a prima vista)
e non ci servono i BMSG (?), non ci sono , Stringhe con relativi messaggi
di errore, e se fosse poco non funziona nessuna API. , direttamente, Mmmmm…
Che facciamo ora?, chiaro! (leggiamo il tutorial n. 1;) dobbiamo fare in
modo che Olly brekka non appena pressiamo OK, come nel tutorial precedente
cerchiamo: "nome del bottone+Click" ricordiamo che il botoncino
diceva: "Registrare" e troviamo: "Registrar1click" ti
starai domandando ora come faremo se è una Immagine e non ha nome?
Nella tutorial precedente spiegai che "per tutti gli elementi che si
possano cliccare..." quindi non importa se è un'immagine o no.
Andiamo…Prima di tutto apriamo il Crackme con l'OllyDbg:
Olly c'informa che l'eseguibile è compresso, quello che dobbiamo fare è decomprimerlo.
Per vedere come è compresso utilizziamo PEID8:
E’ compresso con: ASPACK 1.06x, pressando
il bottone UNPACK
Avremo l'archivio decompresso in alcuni secondi.
Effettivamente il Crackme passa di un volume originale di 202 KB a 448 KB.
Apriamo l'eseguibile decompresso in OllyDbg, ora non mostra nessun messaggio.
Vediamo:
pressiamo CTRL +B e cerchiamo l'evento "CLICK”
Olly ferma in vari Eventi, ricordare che il bottone che cerchiamo è un po' speciale poiché è un'immagine, continuiamo a pressare CTRL +L ( vediamo il successivo)
Nota: incominceremo a vedere le "FORMs" di DELPHI questo ci dice che stiamo su quello che c'interessa, TForm1)
Ci si ferma in:
RICORDARE: Portarsi su circa 2 o 3 linee sopra in questo caso fino a:
00453E4E /943E4500 DD CRACKME1.00453E94
premiamo ENTER, per seguire (FOLLOW)
il comando, e cadiamo in:
00453E94 /. 55 PUSH EBP <-----------qui
00453E95 |. 8BEC MOV EBP,ESP
00453E97 |. 6A 00 PUSH 0
00453E99 |. 6A 00 PUSH 0
00453E9B |. 6A 00 PUSH 0
00453E9D |. 53 PUSH EBX
00453E9E |. 56 PUSH ESI
00453E9F |. 57 PUSH EDI
00453EA0 |. 8BF8 MOV EDI,EAX
00453EA2 |. 33C0 XOR EAX,EAX
Questo è il pezzo di codice che si esegue quando pressiamo OK nel Crackme, mettiamo un BP (F2) e ricominciamo tutto, CTRL +F2
Reinseriamo nuovamente i dati, nome
e seriale, e pressiamo "OK” automáticamente Olly brekka.
Se tracciamo poche linee sotto vedremo il seriale valido.
CONCLUSIONI:
BENE… spero che queste tecniche vi aiutino nel momento di affrontare grandi
rivali.
Hai "già l'informazione… ora usala…"
Co2_Cracker [email protected]
Traduzione Italiana : DesTroYer