Cominciamo il nostro approccio facendo finta di non sapere nulla del programma vittima. Facciamolo partire e vediamo subito una bella paginetta blu piena di incitazioni: compra il programma qua, compra il programma l� ecc ecc. Chiudiamo la pagina e nel caso stessimo usando il programma per un periodo di tempo superiore a quello di evaluation, addirittura una piccola dialog in alto rompe ancora. Va bene, ci� basta per invogliarci a reversarlo: andiamo su Help/Enter your registration code, mettiamo come user Graftal e come serial 1234567890. Clicchiamo OK e una finestrella stile msgbox ci informa che il serial � sbagliato.
Benissimo, chiudiamo tutto e apriamo subito ollydbg caricando winace.exe. Per la nostra gioia, � packato, pi� precisamente con l'aspack. Anche qua, un packer tritato e ri-tritato, non vedo quindi il motivo di un manual unpacking: unpackatelo con un qualsiasi unpacker e ricaricate olly. Il programma d� un msgbox di errore poich� l'import table � un po' 'smanettata' ma a noi non interessa: possiamo semplicemente noppare la call a MessageBox o modificare qualche jump, o semplicemente lasciar perdere. A questo punto dobbiamo trovare un punto debole in cui mettere qualche breakpoint. Si comincia sempre con i soliti, MessageBox, GetWindowText, GetDlgItemText et similia. Facciamo partire il prog, mettiamo user e serial e notiamo subito che ollydbg dorme sonni tranquilli. Togliamo i bp e cominciamo ad analizzare la string reference in cerca delle solite frasi. Si trova solo qualcosa come "Serial required", "Username", "Company name" ecc. Insomma, niente che possa far accendere qualche lampadina ;). Una cosa che mi piace fare quando sono in cerca di un punto in cui brekkare, � andare nell'about box. Ecco che ci sono le info di registrazione, nel nostro caso il programma � "Unregistered". Sempre tenendo olly aperto, � arrivato il momento di decompilare il programma col DeDe: ebbene s�, � programmato in delphi =) (evviva l'ottimizzazione del codice :P). DeDe ci dovrebbe dare una gran mano, facciamogli quindi analizzare l'eseguibile e dopo un po' di attesa possiamo vedere da dove cominciare. Andiamo nei Forms dove sono presenti le finestre del programma. Purtroppo, nemmeno qua la famosa lampadina si accende, tanto che ci troviamo immersi nel buio :\. Andiamo allora nelle Procedures ma anche qua niente di niente. Chiudiamo allora DeDe perch� come abbiamo visto, non ci � di aiuto. A questo punto dovreste aver cominciato a pensare che, semplicemente, il winace.exe _non_ contiene la procedura di registrazione e addirittura nemmeno quella che fa vedere l'aboutbox. Tra le dll che ci sono nella cartella di installazione del programma, acetools.dll e acev2.dll sono le uniche che potrebbe includere qualcosa di interessante. Lasciate per� perdere acetools.dll poich� � acev2.dll che contiene il necessario. Possiamo usare il wpe (incluso nel WARK) per vedere le funzioni esportate ma purtroppo crasha :P (almeno nella versione 1.3). Apriamolo con IDA e guardiamo prima di tutto la string reference: verso il fondo troviamo tante frasi del tipo "Registration succesfull..", "Unregistered version" e simili, ma ci� si riferisce all'ActiveAce, quindi fate attezione perch� non � quello che stavamo cercando. (Nonostante ci�, la chiave di registro in cui viene salvato il serial ha in effetti ActiveAce nel nome). Avrete pero probabilmente notato che nella Names Window c'� una funzione mooolto sospetta, ACERegister: ebbene s�, abbiamo (finalmente :P) trovato il punto d'attacco. Se avete tenuto aperto olly con winace.exe caricato, fate pure che chiudere tutte le altre istanze del debugger e concetriamoci sull'eseguibile. Volendo potevamo accorciare notevolmente la nostra ricerca andando a guardare tra le prime funzioni usate dal winace.exe dove perlappunto si vede la chiamata a ACERegister: ho per� preferito fare un giro un po' pi� largo cos� da analizzare tutte le opzioni che avevamo a disposizione, invece che gettarci subito sulla pi� facile ;). Ok, mettiamo un bp e facciamo partire il programma, inseriamo i dati e premiamo OK. Finalmente olly brekka e possiamo cominciare a reversare.
Steppiamo nella call premendo due volte F7, saltiamo la prima call steppandoci sopra mentre la seconda call comincia ad interessarci:

.. MOV EAX,DWORD PTR SS:[EBP+C] ;mette il serial in eax CALL acev2.00851CF3          ;strlen CMP EAX,1B                   ;serial lungo 1Bh? JE SHORT acev2.0086D964      ;se s�, allora ok .. > MOV EDX,DWORD PTR SS:[EBP+C] MOV EAX,acev2.008BA214       ;ASCII "1234567890" CALL acev2.00851E4A          ;strcpy MOV EAX,acev2.008BA214       ;stringa appena copiata in eax CALL acev2.00851A36          ;inutile CALL acev2.008609AD          ;ecco la nostra call

Siccome il serial deve essere lungo 1Bh (ovvero 27) caratteri, riavviamo il programma e inseriamo un dummy serial della lunghezza giusta.
Io ho usato 1234567890ASDASDASDQ1234567. Questa volta il je salta e possiamo entrare nella call 008609AD con tranquillit�. Qui, la prima call che incontriamo � inutile (fa solo un mov eax, 1 e oltrettutto appena usciti dalla call c'� un test eax, eax seguito da je .. insomma, niente di pi� inutile :P); entriamo nella seconda call e finalmente arriviamo alla prima parte veramente importante del codice.

.. MOV EBX,18                    ;18h bytes da azzerare XOR EDX,EDX                   ;0 LEA EAX,DWORD PTR SS:[EBP-30] ;indirizzo da azzerare CALL acev2.00853C0D           ;memset MOV EBX,18                    ;18h bytes da copiare MOV EDX,acev2.008BA217        ;ASCII "4567890ASDASDASDQ1234567" LEA EAX,DWORD PTR SS:[EBP-18] ;indirizzo in cui copiare CALL acev2.00853C55           ;strncpy

Il codice � chiarissimo, l'unica cosa che mi premeva di sottolineare, � che i primi 3 char del serial vengono proprio "tagliati", tanto da farci insospettire: � probabile che ci siano 3 caratteri speciali da mettere all'inizio. Ma ne parleremo pi� avanti, per adesso continuiamo ad analizzare la prima routine:

In questo loop il serial viene modificato, da insieme di caratteri, diventa insieme di numeri: bisogna ovviamente fare attenzione, non � una specie di atoi, semplicemente quando un carattere del serial viene trovato nell'"alfabeto", l'indice di array di quest'ultimo viene usato per creare il "serial numerico": 07060504 0A000908 1A0A0D1A 0D1A0A0D 03020118 07060504

008606F8 >MOV ECX,17 ;loop di 18h iterazioni (nota il jl qua sotto) 008606FD JMP SHORT 00860704 008606FF >DEC ECX 00860700 TEST ECX,ECX 00860702 JL SHORT 0086073B 00860704 > XOR EDX,EDX 00860706 >/IMUL EAX,DWORD PTR DS:[EDX+EBP-30],22;ebp-30 � inizialmente vuoto 0086070B |MOV DWORD PTR DS:[EDX+EBP-30],EAX     ;salva il risultato 0086070F |ADD EDX,4                             ;passa alla dword dopo 00860712 |CMP EDX,14                            ;finito il loop? 00860715 ^\JNZ SHORT acev2.00860706             ;se no, salta 00860717 MOVZX EAX,BYTE PTR[ECX+EBP-18];primo numero del "serial numerico"+ecx (= 17h) in eax 0086071C ADD DWORD PTR SS:[EBP-30],EAX ;lo aggiunge nella locazione di memoria 0086071F XOR EAX,EAX                   ;azzera eax 00860721 >/MOV EDX,DWORD PTR [EAX+EBP-30];prende il primo numero della locazione di memoria 00860725 |SHR EDX,18                     ;shr per vedere se dei byte non stanno nella dword 00860728 |ADD DWORD PTR DS:[EAX+EBP-2C],EDX;in quel caso lo aggiunge nella dword precedente 0086072C |MOV BYTE PTR [EAX+EBP-2D],0;mette uno 0 cos� in una dword sono presenti 3byte 00860731 |ADD EAX,4                  ;contatore delle iterazioni 00860734 |CMP EAX,18                 ;finite queste iterazioni? 00860737 ^|JE SHORT acev2.008606FF   ;se si, ricomincia il loop precedente questo 00860739 ^\JMP SHORT acev2.00860721  ;se no, ricomincia questo loop

Questa parte di codice, � in realt� un loop suddiviso in due loop pi� piccoli: � da questo loop che noi ricaviamo una variabile numerica che sar� ci� che l'RSA andr� a criptare: � quindi molto importante; in particolare, usando il dummy serial scritto precedentemente tale numero sar�: 00301B1E 0052FF51 006C2D0F 006E478B 00E7A6B1. Notate gli zeri presenti all'inizio di ogni dword.

Anche qua roba molto elementare: mette a posto le dword di prima, in modo da non avere zeri all'inizio.
Ok, finita questa parte, troviamo dopo poche righe di codice un push con l'indirizzo del "numero" (facciamo che chiamare cosi questo numero qua: 1E 1B 30 51 FF 52 0F 2D 6C 8B 47 6E B1 A6 E7) seguito da una call. Di sicuro avviene tutto l�

.. ENTER 360,0 SUB EBP,19A MOV ECX,EAX MOV EBX,11E                   ;numero di byte da processare XOR EDX,EDX                   ;valore da mettere in quei byte LEA EAX,DWORD PTR SS:[EBP+7A] ;indirizzo in quei mettere il valore in edx CALL 00853C0D                 ;memset (ZeroMemory in questo caso) MOV EBX,10                    ;numero di byte da copiare MOV EDX,00860B95              ;indirizzo da cui copiare EAX,DWORD PTR SS:[EBP+7E]     ;indirizzo in cui copiare CALL 00853C55                 ;strncpy MOV DWORD PTR SS:[EBP+7A],0   ;mette 0 in [indirizzo-1dw] XOR EAX,EAX                   ;contatore 00860EFD >/CMP WORD PTR [EAX+EBP+7E],0;finita la stringa? 00860F03 |JE SHORT 00860F0C           ;se si, esci dal loop 00860F05 |INC EAX 00860F06 |INC EAX 00860F07 |INC DWORD PTR SS:[EBP+7A]   ;inc il numero di word presenti nel numero 00860F0A ^\JMP SHORT 00860EFD         ;rifai il loop MOV EBX,11A XOR EDX,EDX LEA EAX,DWORD PTR SS:[EBP-1C2] CALL acev2.00853C0D ;ZeroMemory MOV EBX,10 MOV EDX,ECX LEA EAX,DWORD PTR SS:[EBP-1C2] ;il numero CALL acev2.00853C55            ;ri-copialo nello stack

Tutto questo casino serve solo per prepararsi ad effettuare il crypting (che avviene nella prossima call): bisogna che facciate comunque l'abitudine al casino che c'� nel winace, perch� di codice davvero inutile ne � pieno (vi ho pure risparmiato tutte quelle righe di codice presenti nello stesso winace.exe che non fanno assolutamente NULLA e servono solo per distrarre i leims :P). Oltretutto, ai programmatori � piaciuto molto pacioccare con lo stack, lo azzerano e lo usano come una mega-variabile di continuo: la cosa positiva � che almeno tutte le cose assolutamente necessarie le tengono nelle variabili, siccome nello stack potrebbero essere cancellate e/o manomesse, e questo ci aiuta nella fase del reversing, poich� siamo sempre sicuri se una cosa � utile o meno.

LEA EBX,DWORD PTR SS:[EBP+7A] ; Modulo ('N') LEA EDX,DWORD PTR SS:[EBP-1C6]; Il nostro numero LEA EAX,DWORD PTR SS:[EBP-A6] ; Zona inutilizzata CALL 00860E49                 ; cripta!

Il modulo N scelto dai programmatori � il seguente: E9EF370510CB9DB54CA78CC94A3495. Notate anche che ogni variabile ha sempre una dword che la precede, in cui si trova un numero che indica la quantit� di word presenti nella variabile stessa. Questo viene in aiuto nei loop, dove si pu� sapere con velocit� e soprattutto praticit� (siccome la velocit�, a quanto pare, non � l'obiettivo di questi programmatori, un codice peggiore solo il vb lo fa :P) il numero di iterazioni da fare nei loop. In eax troviamo il buffer che riceve il valore del numero criptato dall'rsa. Bene, adesso entriamo nella call e vediamo di trovare le "prove" che indicano che il winace usa l'rsa (ricordate che noi non dovremmo saperlo :P) e successivamente, ci mettiamo a trovare un modo per codare un keygen.

Questa parte ha in realt� bisogno di un po' di spiegazioni, ho infatti preferito non incollare tutta la marea di codice che usa il programma solo per moltiplicare due numeri il cui risultato � pi� grande di una dword (o due numeri che sono anch'essi pi� grandi di una dword).
Inizialmente, il programma prende il modulo e tramite il loop che ho copiato qua sopra, raddoppia tale valore e ogni volta salva il numero risultante in una variabile (da notare come ognuna di queste variabili siano a distanza di 11Eh byte tra di loro). Dopo aver creato molti di questi numeri (che in realt� sono delle costanti, poich� ricavati da un modulo, che altro non � che una costante) passa a elevare alla terza il nostro numero: questo � un passo importante; infatti, fino ad adesso non avevamo avuto modo di pensare che l'algo potesse essere basato su rsa. In questo punto del programma, abbiamo incontrato quindi una costante e un elevamento a potenza. E' per� ancora poco, anche perch� molti algo si basano su delle costanti senza usare l'rsa, ecco quindi che l'elevamento a potenza da solo non ci dice in realt� nulla. Dobbiamo quindi procedere ancora nel codice per renderci meglio conto cosa ci troviamo di fronte.

Siamo finalmente arrivati al loop "decisivo", quello che cripta la stringa. L'algo non � troppo complesso, ma � fatto in una maniera che ci viene molto difficile, se non impossibile, fare un keygen senza sapere che l'rsa � implementato nell'algo. Abbiamo 2 call da analizzare, quindi penso sia il caso di procedere, cos� possiamo finire tutto il codice che abbiamo trovato qua e poi passare ad una spiegazione pi� dettagliata.

PUSH ECX PUSH ESI LEA ECX,DWORD PTR DS:[EBX+EBX-2] ;una delle molte costanti calcolate prima ADD EAX,ECX ;calcola l'indirizzo del numero (^3) ADD EDX,ECX ;e quello di una delle costanti 00860BBC>/DEC EBX 00860BBD |CMP EBX,-1 00860BC0 |JE SHORT acev2.00860BEC     ;finito il loop? 00860BC2 |MOVZX ESI,WORD PTR DS:[EAX] ;l'ultima word del numero 00860BC5 |MOVZX ECX,WORD PTR DS:[EDX] ;l'ultima word della costante 00860BC8 |DEC EAX 00860BC9 |DEC EAX 00860BCA |DEC EDX 00860BCB |DEC EDX 00860BCC |CMP ESI,ECX ;uguali? se si rifai, non devono esserlo 00860BCE^\JE SHORT acev2.00860BBC MOVZX ECX,WORD PTR DS:[EAX+2] ;mette le due word in ecx.. MOVZX EAX,WORD PTR DS:[EDX+2] ;..ed eax CMP ECX,EAX JLE SHORT acev2.00860BE4 ;ecx minore di eax? MOV EAX,1                ;se no, va bene POP ESI POP ECX RETN 00860BE4 >MOV EAX,-1     ;se si, niente da fare POP ESI POP ECX RETN 00860BEC >XOR EAX,EAX POP ESI POP ECX RETN

Non penso ci sia molto da dire su questa semplice call, se non che viene chiamata due volte nel loop principale (ovvero quello che abbiamo analizzato poco pi� sopra); adesso capiremo anche a cosa serve, infatti andiamo ad analizzare assieme la call2..

00860BF1 PUSH ESI 00860BF2 PUSH EDI 00860BF3 ENTER 10,0 00860BF7 MOV DWORD PTR SS:[EBP-10],0 ;variabili usate per vedere se.. 00860BFE MOV DWORD PTR SS:[EBP-4],1; ..il risultato del sub �.. 00860C05 MOV DWORD PTR SS:[EBP-8],0; ..negativo o positivo 00860C0C >/DEC ECX ;loop di 9 iterazioni (perch� 9 sono le word) 00860C0D |CMP ECX,-1 00860C10 |JE acev2.00860C7C ;finito il loop? 00860C16 |MOVZX ESI,WORD PTR DS:[EAX]  ;una word del numero trovata dalla call1 00860C19 |MOV DWORD PTR SS:[EBP-C],ESI ;salvalo nello stack 00860C1C |INC EAX                      ;passa alla word dopo 00860C1D |INC EAX 00860C1E |CMP DWORD PTR SS:[EBP+10],0 ;cmp numero_di_word_da_processare, 0 00860C22 |JE SHORT acev2.00860C2E     ;finito il loop? 00860C24 |MOVZX ESI,WORD PTR DS:[EDX] ;una word della costante (trovata dalla call1) 00860C27 |DEC DWORD PTR SS:[EBP+10]   ;dec word_da_processare 00860C2A |INC EDX                     ;passa alla word dopo 00860C2B |INC EDX 00860C2C |JMP SHORT acev2.00860C30 00860C2E>|XOR ESI,ESI 00860C30>|CMP DWORD PTR SS:[EBP-10],0 ;ebp-10 � settato se nell'iterazione precedente.. 00860C34 |JE SHORT acev2.00860C37     ;..il risultato del sub � stato un numero negativo 00860C36 |INC ESI 00860C37>|CMP ESI,DWORD PTR SS:[EBP-C] 00860C3A |JBE SHORT acev2.00860C43 00860C3C |MOV EDI,1   ;risultato negativo? 00860C41 |JMP SHORT acev2.00860C45 00860C43>|XOR EDI,EDI ;risultato positivo? 00860C45>|MOV DWORD PTR SS:[EBP-10],EDI ;salva 00860C48 |MOV EDI,DWORD PTR SS:[EBP-C]  ;in edi una word del numero 00860C4B |SUB EDI,ESI                   ;in esi una word di una delle costanti: sottrai 00860C4D |MOV WORD PTR DS:[EBX],DI;salva il risultato sovrascrivendo la word del numero 00860C50 |INC EBX                 ;passa alla word dopo 00860C51 |INC EBX 00860C52 |TEST DI,DI 00860C55 |JE SHORT acev2.00860C5D ;non dovrebbe saltare mai Oo' 00860C57 |MOV ESI,DWORD PTR SS:[EBP-4] 00860C5A |MOV DWORD PTR SS:[EBP-8],ESI 00860C5D>|CMP DWORD PTR SS:[EBP+10],0 00860C61 |JNZ SHORT acev2.00860C77 00860C63 |CMP DWORD PTR SS:[EBP-10],0 ;check numero di iterazioni rimanenti 00860C67 |JNZ SHORT acev2.00860C77 00860C69 |TEST ECX,ECX 00860C6B |JLE SHORT acev2.00860C7C 00860C6D |MOV EAX,DWORD PTR SS:[EBP-4] 00860C70 |ADD EAX,ECX 00860C72 |MOV DWORD PTR SS:[EBP-8],EAX 00860C75 |JMP SHORT acev2.00860C7C 00860C77>|INC DWORD PTR SS:[EBP-4]    ;inc iterazioni_fatte 00860C7A^\JMP SHORT acev2.00860C0C    ;ricomincia il loop 00860C7C>MOV EAX,DWORD PTR SS:[EBP-8] ;return iterazioni_fatte 00860C7F LEAVE 00860C80 POP EDI 00860C81 POP ESI 00860C82 RETN 4

Questa � la call in cui avviene materialmente il cripting. Il tutto viene calcolato tramite il sub edi, esi: questo ha una importante conseguenza a mio parere, il fatto che l'rsa viene quasi "nascosto", o almeno si tenta di nasconderlo, dietro questa istruzione. Mi spiego meglio. Quando pensiamo all'rsa, le prime due cose che ci vengono in mente sono C = M^e mod N e M = C^d mod N: ci viene in mente, di conseguenza, un elevamento a potenza e una divisione. Sebbene non venga preso in considerazione il quoziente della divisione, bens� il resto, inzialmente non avevo pensato che, in effetti, fare il mod e fare la sottrazione � la stessa identica cosa, potete provarci con due numeri presi dal loop qua sopra e vedrete cosa intendo dire: la call1 che abbiamo analizzato prima, fa s� che il sub e il mod siano in effetti equivalenti, infatti devono sussistere delle condizioni tra due numeri affinch� si possa dire sub = mod; la condizione � che ecx sia maggiore di eax (cfr il disasm della call1 spiegata poco pi� sopra). Fino a qua abbiamo visto la maggior parte del codice, ma ci manca ancora una parte fondamentale: come avviene, materialmente, il checking del serial? Dobbiamo uscire da un po' di call e steppare poi fino a questo punto (tutta la parte precedente il codice qua sotto � inutile per i nostri scopi, quindi ve la risparmio ;).

Se vi ricordate, verso l'inizio, abbiamo notato che i primi 3 char del serial non vengono proprio considerati: ecco il motivo; ci sono in effetti 3 char speciali che vengono usati per fare il check. Possiamo scegliere 3 caratteri qualsiasi, se provate a modificare il keygen, vedrete che con una qualsiasi combinazione di char (tranne WIN) il serial cambia ma viene accettato lo stesso dal winace. Con moltissima probabilit� questi 3 char sono "ACE" =). Supponendo ci�, riavviamo il programma e inseriamo come serial ACE4567890ASDASDASDQ1234567 e ritorniamo qui. Steppiamo nella prima call, ricordandoci che le due chiamate sono uguali: