Ben trovati a tutti...

oggi per mantenere una vecchia promessa parliamo di Opera..un browser veloce ...e che non me ne faccio nulla.

il tut lo divido in 3 parti:cracking,reversing e keygeneretor(che lo farete voi! ammesso che riesca a reversare correttamente tutte le protezioni incontrate..e francamente lo dico per la vostra salute mentale evitate anche solo di sperarci...)..Il tut mi � venuto un p� lunghetto ma soprattutto un p� intrecciato..non � per nulla difficile solo si perde il segno..

Beh sappiate che non � solo colpa mia...(Que indovina il perch�! :-p)

SoftIce (lui il solo, l'unico l'impareggiabile Sice)

OllyDbg (Mitico non ci sono altri termini)

OllyDump (Altrimenti come dumpiamo...??)

PeId (Ormai � un must)

IDA ..la donna della mia vita (dopo la solita Barbara.. :-p..)

un gran culo....(serve sempre nella vita...)

Dove scaricarlo immagino lo troverete facilmente....

Solo una cosa...questo tut riguarda la versione senza java...probabilmente � lo stesso...ma non ho verificato....

 

Bene si parte...

Per prima cosa.....senza neanche analizzare le protezioni vediamo quanto � tosto Opera...

se mi conoscete vi ricorderete che sono quello dei puntini e del cervello spento(almeno all'inizio)...quindi spengo il cervello e clicco su opera... e gi� che ci sono metto qualche puntino...qua e l�...

Appena il prog parte, appare una nag in alto con della noiosa publicit�..hey per� almeno mi f� scegliere che genere preferisco...uhm..gentili...!Nel men� Help c'� una voce:"REGISTER OPERA".Ci clicco sopra e mi chiede user,soci�t� e code!li metto a muzzo (avvio sice) metto qualche bpx su qualche api..per intenderci le solite e...no niente...uhm...vuoi vedere che ho trovato un programma protetto in un modo decente..?

Allora che fare?beh supponendo di averlo registrato...quando si riavvia dove legge il seriale corretto?dal registro o da un file...risposta ovvia!

Quindi parto dal File...bpx openfileA

...e si! Sice poppa...premo F5..F5 e opera si avvia...lo chiudo ...lo riapro e di nuovo F5,poi F11 e arrivo al primo jnz in opera...lo faccio saltare...e poi F5.Ehy non ho pi� pubblicit�....

Che protezione tosta...speriamo di non incontrarla mai pi�....

Quindi siccome non voglio scomodare sempre sice devo modificare quel jnz...(tanto per la cronaca � all'indirizzo 67BADE4E)...La domanda ovvia � quale file devo modificare?un occhiata con LordPe o qualunque altro editor del Pe mostra che � nel file Opera.dll..ed � packata con aspack(lo rivela PeID).Uffa!

E anche l'eseguibile opera.exe � packato..e anche tutte le altre librerie....

Conclusione potrei patcharlo al volo grazie ad un tutorial di beneder0 su "winamp 5.05 code injection" e sarebbe anche una bella soluzione se solo avessi un compilatore a portata di mano....sfortunatamente non ce l'ho.

Io non ho voglia di sbattermi e osservo che l'eseguibile � veramente piccolo...per quanto possa essere compresso non pu� essere troppo grande...quindi unpacco questo!

Per fare le cose bene...leggetevi i vari tutorial su come unpaccare Aspack 1.2..alla UIC ce ne sono almeno 2 stupendi.

Apro OllyDbg con OllyDump(cos� evito di sbattermi...non mi preoccupo neanche della IAT..lascio fare tutto a Olly...tanto questo eseguibile importa solo 10 o 12 funzioni...) trovo OEP steppando alla cieca e saltando i vari loop...e arrivo all'istruzione all'indirizzo 4153BA..poco prima di un ret...ancora qualche riga e voill� sono all'OEP (all'indirizzo 4011C0) quindi dumpo con ollydump e gli dico di ricostruire la IAT..aspetto qualche secondo e fine tutto fatto..grazie olly!!!:-D

Avvio il file dumpato e ci steppo dentro fino ad arrivare a LoadLibrary...se guardo cosa pusha prima trovo Opera.dll...bene qui � dove dice a opera.dll di unpaccarsi...subito dopo ci sono delle istruzioni che controllano il buon esito...

L'idea � di modificare ora,dopo che si � unpaccato in memoria la dll,quel jnz scrivendo qualche riga in assembly

per prima cosa costringo quel jmp a saltare sempre (all'indirizzo 401225)..dico quel jmp subito dopo LoadLibrary...poi all'indirizzo di arrivo scrivo in sice a eip:

mov edi,6374

mov 67BADE4E,di

xor edi,edi

jmp 401025

cosa f�..?semplice dico all'eseguibile subito dopo il LoadLibrary salta...fai edi=6374h(il valore di un jz a 63 + avanti scritto in opcode ovviamente)...poi metti questo valore all'indirizzo 67BADE4E(quello trovato prima)..poi azzera edi e ritorna dove eri prima (jmp 401025)...

Avvio e si!funge tutto....

Ok fine....della parte senza cervello.

Ora lo accendo e....non credo cambier� molto :-D ...l'ho lasciato l� dove era nell'ultimo tut..su una ragazza stupenda...)

cmq ora arriva la parte di reversing...o se preferite � appena finita l'introduzione...(non me ne faccio niente di crackare opera mi interessa vedere che protezioni ha e per farlo ho dovuto vedere quanto resisteva ad un attacco classico...)

Notate che qui cerco di reversare le protezioni di Opera contro un seriale fasullo...spero di beccarle tutte..in caso contrario..Beh..nessuno � infallibile...! :-D

Procediamo con ordine...abbiamo un programma e vogliamo reversarlo...per prima cosa serve una Strategia:

1)Cerchiamo un tutorial anche vecchio su questo programma.....e ahia nulla...cavolo stavolta niente aiuto tranne uno del 99/2000 che non mi serve a molto...

2)Analizziamo le protezioni......non c'� molto da dire ..� protetto con aspack,che si prende la briga di cancellare i breakpoint,di cancellare la IT,di rompere le scatole, ma almeno in questo caso non sembrano esserci protezioni anti debugger...

3)Studiamo contromisure alle protezioni...che fare??beh dumpiamo e poi ci pensa IDA...e gi� che ci sono...per dumpare uso il loader di ollydbg...per quanto riguarda i breakpoint...aspack li modifica all'avvio..ma solo quelli che riguardano il prog(cio� opera)...basta trovare un punto dove entrare poco dopo aspack e semplicemente risettarli da l� e dovrebbero funzionare..almeno fino a che non riavviamo il prog(in altre parole ci serve un api di wondows su cui brekkare...cos� gi� che ci siamo ci mangiamo un p� di miele(Ok riconosco che questa era pessima e anche datata...l'avranno gi� scritta in molti...!

4)Analizziamo il programma sprotetto.....Beh che dire ..IDA ..tu solamente tu...

5)decidiamo una strategia di attacco alle limitazioni...serve un cervello ..questo � un atto di pura creazione e di libera fantasia ...insomma puro ingegno

Dopo questa tabellina dei compitini...procediamo con il reversing...finalmente ci si diverte!

Compito n1...omissis!

Compito n2...gi� svolto!

Compito n3:

Ora mi tocca anche fari i compiti..sigh!che � sono tornato al liceo??Mah!

Visto che gli ostacoli sono nella libreria Opera.dll e stante il fatto che l'eseguibile dovreste averlo gi� unpackato prima...Unpackiamo Opera.Dll!Chiamiamo il fido Olly,gli facciamo caricare la nostra libreria e cerchiamo l'OEP..Lo troviamo all'indirizzo67E24BC9 ...per arrivarci leggetevi i tutorial oppure andate a caso e ogni volta che incontrate un jz o jnz mettete un bpx dove non arrivate(es:se incontrate un jz 445533 e z=0 allora non salta ma voi mettete un bel bpx all'indirizzo in cui sarebbe arrivato, in questo caso 445533.,.eh no! non � un numero di telefono..)vedrete che da qualche parte arrivate...se proprio volete arrivarci senza fare nulla basta mettere un bpx all'indirizzo 67F8A39A...

Ok siamo all'OEP..che facciamo...?OllyDump e dumpa tutto..e gi� che ci sei ricostruisci la IAT che non ho voglia di fermarmi prima che venga distrutta e dumparla da l�...Grande OllyDump riesce a fare tutto!!!

Ora basta Olly..� il momento di IDA! :-D

ma questo � un altro compito e quindi...:

Compito n4:

Lanciate Ida...gli dite di caricare la dll appena dumpata..togliete la crocietta su make import segment ,caricate le flirt che vi servono e .....aspettate..molto tempo....quasi 40 minuti sul mio pc.. SIGH!

Per prima cosa andiamo su imported function....siamo alla ricerca di qualche api che scriva in una finestrella..mi spiace hai sbagliato codice...!

e la troviamo..si chiama SetWindowTextW...(beh non arrabbiatevi sono sempre le stesse...)

Bene..proviamo..!clikkiamo su register,nome,soci�t� e code..e in sice bpx SetWindowTextW.poi invio!e sice poppa!:-D Ora da qui possiamo mettere tutti i bpx che vogliamo!e aspack non romper� pi�!

Siamo sempre alla ricerca della parte in cui f� il check del nostro code...

A rigore da SetWindowTextW basta procedere a ritroso per trovare il jz/jnz (sono sempre queste...in genere!) che ci interessa..oppure visto che nella introduzione ho spiegato come crackarlo modificando un jnz....basta arrivare alla call chiamata poco prima e analizzare quella!

Ma noi NO!Vogliamo la strada difficile..quella senza sapere nulla...vogliamo i muri...le scalate impossibili...le difficolt�.....insomma noi vogliamo andare sotto Names(in IDA) cercare Code e volare l� dove IDA ci indica..cio� semplicemente cliccarci sopra!

Che strada Difficile eh?

Ok siamo qui..da ora inizia il codice...mi iniziava a mancare...

Per la cronaca all'indirizzo 67CE14E5 ..salva l'indirizzo del mio code..scritto in formato unicode..mentre al 67CE14ED fa lo stesso in ascii...poi se provate con sice o Olly a mettere un bel bpx all'indirizzo 67CE14F5 e fate eax=zero o cmq non lo fate saltare appare Opera Registered!bene!sappiamo che il processo di registered � gestito dalla call all'indirizzo 67CE14F0 ,sappiamo che alla fine deve essere EAX=ZERO e sappiamo anche che l'unico valore richiamato dalla call � l'indirizzo del nostro code...!

Con sice potete anche notare che prima della call si ha  eax=zero...

Non vi poppa sice?certo perch� come avevo gi� detto bisogna prima entrare nel prog dopo che si � unpaccato e poi mettere l� tutti i bpx che volete..in pratica e questa � l'ultima volta che lo dico:bpx SetWindowTextW e poi cliccate su ok..sice poppa mettete tutti i bpx che volete e ci siamo capiti!

Andiamo ad analizzare la Call con quel nome assurdo...:Ricordate alla fine eax deve essere Zero!

Gi� che ci sono ho rinominato le call contenute con nomi + umani...

Come sempre si parte dal fondo...Siamo o non siamo REVERSER??vogliamo eax=zero..se passiamo da 67CE159E sicuramente non lo sar�...perch�?perch� se salta arriviamo all'OR e l� farebbe EAX OR FFFFFFFF e non pu� fare zero (se proprio insistete 0 OR 0=0 ..1 OR 0=1 e 1 OR 1=0)...e noi non lo possiamo permettere...conclusione non deve mai saltare...e per fare ci� basta guardare quando salta...

Allora NON salta mai se eax=zero...lo potete vedere agli indirizzi..67CE155F ,67CE1571 ,67CE157F e 67CE158D...come si f� a vederlo..?esistono le Xref...Osserviamo inoltre che sono tutti indirizzi preceduti da una call...bene ognuna di quelle call deve fare eax=zero..!Ora non resta che reversare le quattro call tenendo presente che alla loro uscita dovr� sempre essere eax=zero!

Inizio cagate:

--------------------------------------------------------------------------------------------------------------

Che pacchia la vita del reverser...!quasi quasi spengo nuovamente il cervello..che se no consumo troppi neuroni...si ma non fatelo che tra poco arriva il bello...e poi i neuroni sono fatti per essere bruciati ..come la vita � fatta per essere vissuta...e internet per essere navigato..ed io per essere fermato ..altrimenti continuo fino a domani!

Ma visto che ormai ho iniziato....troppo tardi!non siete riusciti a fermarmi...nel mezzo del cammin di nostra vita...mi ritrovai in una selva oscura...che la retta via era smarrita..ehy sono un poeta...:-D

Sto degenerando!

Una volta un mio amico,Asterix,si invent� una poesia...la dovrei dedicare ad una certa persona(cos� poi mi trovo scritto potere alle donne...) ma siccome si pu� usare qualunque nome o nick...Que per te:

Que mia amata,

il mio cuore batte all'impazzata...

Tu ragion della mia vita,

Dolcezza mia infinita.

Ok Fine cagate....cmq � bella!

In un modo o nell'altro dobbiamo anche divertirci...

--------------------------------------------------------------------------------------------------------------

Riprendiamo da dove eravamo rimasti

Andiamo ad analizzare la prima call..(ma poi perch� parlo con la prima persona plurale??che c'entra NOI???):

Per prima cosa osserviamo le Xref...ce ne sono 3!La domanda giusta � perch� 3?Saranno mica 1 Check all'avvio,uno alla chiusura e il terzo?Dicevo il terzo magari quando clikkiamo su about??Come trovare la risposta a questo dubbio che mi attanaglia il cuore?Semplice mettiamo un bpx 67CE15A3 e vediamo quando sice poppa...per la chiusura del prog e per l'about non c'� problema...ma per l'avvio Aspack modifica i nostri bpx ricordate?allora lasciamo attiva la solita bpx sulla solita api oppure all'inizio abbiamo usato openfilea...scegliete voi...

Dopo queste righe inutili...tanto la risposta era scontata ed affermativa passiamo ad analizzare la call...

Troviamo subito una call...seguita da un test eax,eax e un jz...come al solito se eax=0 salta...e se salta evito un OR che mi farebbe eax diverso da zero...conclusione la call 67D21F75 dev fare eax=zero...ricordatelo per dopo quando andremo ad analizzarla...!

Per ora continuiamo..dicevamo se eax=zero allora salta(evita l'OR) e ci troviamo all'indirizzo 67CE15B0..

Salva esi nello stack,pusha 1 e chiama una funzione 67CE15CB...fa esi=3Dh...come?pusha 3Dh nello stack e poi mette questo valore in esi...ed inizia un loop...richiama la stessa funzione di prima 67CE15CB ma con parametro 0 stavolta e usa come variabile di controllo esi!lo decrementa ad ogni giro..e continua finch� non � esi=zero...quindi fa eax=zero ,recupera esi ed esce!Abbiamo incontrato 2 call nuove...che fanno?analizziamole partendo dalla seconda che mi � pi� simpatica...

In pratica controlla con che valore � stata chiamata...mette in ecx un indirizzo..poi se � stata chiamata con un valore 0 non salta e sovrascrive ecx con l'indirizzo 67F126D0 altrimenti salta questa istruzione...poi applica una particolare cura ad eax e salva il valore in 67F126D0..esatto lo stesso indirizzo...

In pratica la prima volta viene chiamata con 1...cos� mette in 67F126D0 un valore..giusto per inizializzare...poi dopo viene richiamata con parametro 0 e prende il valore in quell'indirizzo e vi applica la stessa "cura" e poi lo risalva....in pratica inizializza dei valori...

Passiamo all'altra..non ho voglia di scrivere tutto quindi beccatevi il riassunto..tanto il metodo per reversarla lo sapete deve fare eax=zero quindi non deve passare dall'OR...dicevo cosa fa?semplice fa un controllo per vedere se ha inizializzato delle arrays correttamente..come?controlla la loro lunghezza...ecco spiegato i vari strlen e strcmp...prende la lunghezza di un arrays e la v� a confrontare con un valore fisso...queste arrays sono molto importanti...interverranno dopo....

Fine prima Func1CheckCode...ricapitolando abbiamo eax=0 quindi non salta il jnz all'indirizzo 67CE15CF..e arriaviamo alla seconda Func2CheckCode...ma non potevo darci dei nomi pi� umani?tipo Func1 e cos� via?Si potevo ma poi era troppo facile...!

Per comodit� vi riporto un pezzetto di codice...

Dunque salva nello stack il mio code,mette in eax un indirizzo(suppongo ci metter� qualcosa...)e poi lo salva nello stack...quindi chiama la Func2CheckCode...se esce con eax=zero allora non saltare e prosegui..altrimenti errore...

E cavoli � lunghetta...portate pazienza:

Cosa fa?allora prende il mio code,mette in al il valore ascii di"-"(=2Dh) poi controlla se � presente alla posizione 1,7,D,13,19 altrimenti salta a 67D21736 e fa eax diverso da zero...e noi non vogliamo..conclusione deve esserci un "-" in quelle posizioni..i valori sono in esadecimale ovviamente!Poi arriva all'indirizzo 67D216B6 ..salva esi ..che per inciso contiene l'indirizzo del mio code e chiama strlen per vedere quanto � lungo...se � uguale a 1F allora non fare errore...siccome 1Fh=31d ho che la stringa del mio code deve essere lunga 31 caratteri ,con i trattini in posizioni specifiche..deve essere del tipo  1-66667-90123-56789-12345-78901..inutile che proviate tanto non funziona � solo un esempio...

Continuiamo ora siamo all'indirizzo 67D216C2:

Assegna eax come puntatore ad una variabile di indirizzo "indirizzo"(che fantasia che ho)..mette in questa variabile o se preferite nel contenuto di eax il valore ascii della prima lettera(o numero)del mio code..incrementa eax di 4..in pratica gli assegna un altro indirizzo e gi� che c'� inizializza una variabile...si st� preparando per un loop moolto importante...anzi a due loop molto importanti...:-D

li chiamer� piccolo loop e grande loop...

incontriamo prima il piccolo loop quindi..

Intanto cominciamo a dire che stante la struttura del code:1-66667-90123-56789-12345-78901 ecceto il primo numero(ripeto uso la parola cifra ,numero o lettera indifferentemente sarebbe meglio dire il carattere..se non fosse che mi � antipatico) che sono 5 gruppi di caratteri(non lo user� mai pi�) � ovvio aspettarsi un loop ripetuto per 5 volte...e la prima lettera del miocode...non viene controllata ..per ORA!

Cosa fa questo loop?Evito di scriverlo a parole e vi scrivo uno pseudo C:

code="1-........."

ebx=0

esi=0

temp_code=1

edi=code

for(esi=0;esi<5;esi++){

eax=*(esi+edi)

eax=strchr(eax,addr)

if eax==0 break

eax=eax-74

eax=eax AND FF

eax=eax*temp_code

ebx=ebx+eax

temp_code=temp_code *32

}

primo non ho messo i ";" non ne avevo voglia ,secondo manca la dicchiarazione delle variabile ..terzo mancano altre cose...

alla fine del loop deve essere ebx non deve avere il byte + grande settato o meglio deve essere qualcosa minore di 0FFFFFFFh=268435455d altrimenti codice sbagliato....

temp_code � un valore che viene moltiplicato per 32h ad ogni loop... quindi

vale 1   , 50   , 2500   , 125000   , 6250000  in decimale ovviamente!

quindi indicando con X Y Z T L i valori ascii in decimale delle lettere da cercare(alle quali abbiamo gi� sottratto 74 e fatto la cura di cercare nella tabella...cio� difatto sarebbero gli indirizzi della tabella - 74 e poi presi solo gli 8 bit minori..) si ha

X*1 + Y*50 + Z*2500 + T*125000 + L*6250000 <  268435455

L'idea � di  trovare gruppi di lettere che le soddisfino...

Intanto cominciamo col dire che valori ritorna la tabellina...

TABELLINA = "abcdefhijkmnprstuvwxyzABCDEFHJKLMNPQRSTUVWXY345678"

e di fatto viene ritornata la posizione... ad a viene associato 0..questo perch� dalla call strchr viene ritornato l'indirizzo del carattere trovato...e siccome la tabella parte dall'indirizzo pushato la posizione nella stringa � indirizzo della lettera - indirizzo inizio stringa.....OK � banale ma io l'ho detto lo stesso...

Facciamo un esempio se usiamo "aaaaa" quanto f�?f� 0 perch� ad "a" � associato un valore 0...siccome a "b" � asscoiato un valore 1 se scriviamo "bbbbb" cosa otteniamo?otteniamo 1*1+1*50+1*2500+1*125000+1*6250000=6377551d=61504Fh e possiamo verificarlo mettendo un bel bpx all'indirizzo 67D21715...

In pratica per semplificarvi le cose vi dico che vanno bene tutti i codici purch� l'ultima lettera sia nella tabellina minore di X compresa..insomma qualunque lettera (e non numero che venga nella tabellina prima di Y)...

Uno sproloquio per dire questa cagata...

Tanto per fare il punto della situazione quella specie di codice che ho scritto sopra e che disconosco non serve a nulla..basta richiedere che il gruppo di 5 lettere finisca con un a lettera minore di Y..

Ora arriva il secondo loop..quello grande!

Siccome indirizzo contiene al suo interno un secondo indirizzo...eax diventa un puntatore al secondo indirizzo e alla fine del piccolo loop, il valore di ebx viene salvato nel contenuto di eax cio� nel contenuto del secondo indirizzo...poi questo secondo indirizzo viene incrementato(secondo_indirizzo = secondo_indirizzo +4) stiamo creando un array con i valori di ebx...in pratica se ebx vale rispettuvamente 1,2,3,4,5 (valori originakle eh?) e supponiamo che indirizzo valga F abbiamo *(F)=1...*(F+4)=2...*(F+8)=3...*(F+C)=4...*(F+10)=5

Scommettiamo che verranno usati  dopo..per qualche controllo aggiuntivo...?Sono Importantissimi...sono 5 numeri e vengono usati alla fine del tut...

Ehy abbiamo finito la Func2CheckCode ne abbiamo solo altre 2..accidenti a me e a quando faccio promesse senza senso...Ma ormai non ha senso piange sul latte versato..voce dal s� fuggita + richiamar non vale..non si trattien l'australe quando dall'arco usc�...

Per prima cosa che parametri passiamo a questa call?solo il solito indirizzo...andate su a rivederlo se volete..

Solito sistema...voglio eax=zero...non devo passare da qualche parte...entrambe le call devono fare eax=zero..

E gi� che ci siamo ....ricevono entrambe come unico parametro il contenuto del solito indirizzo...

Che f�?ricordate quell'array che dicevo prima...bene prende il contenuto di ogni puntatore e lo xora con il contenuto del puntatore successivo e il risultato lo mette nel primo puntatore..ed esegue il loop 4 volte..

Alla uscita fa sempre eax=zero...quello che volevamo...

Beh ottiene dei valori...se serviranno ci ritorneremo dopo...(potete giurarci...)

La seconda call

Per la solita cura si intende la funzione gi� analizzata che se richiamata con "0" faceva una cosa ..se richiamata con "1" ne faceva un altra...beh i commenti ci sono..sembrano anche chiari..sembrano!:-D

Il nocciolo del discorso (per ora) � che eax=zero comunque...!

Andiamo di volata alla Func4CheckCode..Finalmente alla fine....Si..tranquilli ancora 1000/2000 righe e abbiamo finito... :-p

Viene richiamata col solito indirizzo in eax e poi pushato nello stack..

Ahhhhhhhhhhhh.......ancora 3 Call da analizzare...basta.............Ahhhhhhhhhhhhhhh!!!!!!!!!!!!

Ok scusate lo sfogo...

Analizziamo con calma...beh almeno ci provo...inizio ad essere esausto..!!!

Per prima cosa fa posto alle variabili...salva 2 cose....un indirizzo che contiene la prima lettera del mio code...e un indirizzo di una tabella...se proprio volete lo potete vedere con Olly o Sice...Quindi la call 67D2173E prende questi due valori e fa qualcosa...poi modifica eax e se eax non � zero arriva in 67D218DD dove sicuramente eax non sar� mai zero...ed esce cos�...conclusione di qui non deve passare...e generalizzando...eax DEVE essere zero all'uscita di ognuna delle call qui dentro....arriviamo poi ai vari CMP...se vogliamo (E noi vogliamo) eax NON zero deve assolutamente saltare in uno dei due ultimi jz(Guardate i commenti...)..lo vediamo dopo cmq..!No aspetta decido che lo vediamo ora...supponiamo di essere all'indirizzo 67D218C1...abbiamo un test eax,eax e dopo un jnz che non deve essere eseguito..conclusione deve essere eax uguale a zero...poi subito dopo abbiamo un cmp tra eax ed *(ebp+var_1C) e dopo deve saltare...quindi *(var_1C) deve essere ZERO...ma var_1C � un puntatore al "solito indirizzo"...converr� ricordarlo...DEVE CONTENERE ZERO..

NOTA : "Al Solito Indirizzo" non � una pizzeria o roba simile...eh!Intesi?Ok..continuiamo...

Ora entriamo nella prima call...

Ricordate eax deve essere zero all'uscitita di ognuna delle 3 call...e poi FINE!

Nuova tabella ="emwWbvfpshatckyzdij"

E alcuni commenti li capirete quando arriverete alla fine del tut..cmq tanto per darvi le idee..copia dei valori da un array in un altra e li modifica facendo degli OR...ma alla fine di queste 3 call..si richieder� che siano uguali!Conclusioni l'OR non deve modificarli...cio� deve essere 0 il secondo membro...vedere fine tut

Bene Bene Bene...AIUTOOOO...per prima cosa osserviamo che arg_4 altro non � che il "solito indirizzo" quello usato nelle call precedenti per intenderci...che contiene un array...(vedi sopra...) vedremo tra poco...che esi+4 sar� molto importante perch� verr� fatto un check..e dovr� essere 0 perch� ci� avvenga *(esi+4) deve finire per 0....infatti quella serie di operazioni dopo servono tra le altre cose a shiftare a destra *(esi+4) di 4..uccidere il resto...e rishiftarlo nella posizione originale...poi un bel AND 7F e se zero sono moolto felice..

Ma la domanda �:cosa � stato messo nelle call precedenti in *(esi+4)?Uffa Un attimo di pazienza...ve lo spiego dopo aver finito di analizzare le ultime call..per ragioni di pura simpatia ed antipatia personali per alcune cose...

Ok mentre il loop che f�?controlla che la prima lettera del mio code sia contenuta entro il 18-esimo posto nella tabellina (scritta poco fa) ...p�o essere cio� solo uno di questi valori..."emwWbvfpshatckyzdij"...altrimenti errore...

e assegna la posizione nel "solito indirizzo"+4

nel contenuto del  "solito indirizzo" c'� una sfilza di 0 quindi -> solito indirizzo ha contenuto 00 00 00 00 yx

con yx posizione in esadecimale del primo carattere del mio code...

Bene siamo alla fine della prima call...Avanti alla seconda..!!!Con cosa viene richiamata?Con due parametri...il solito indirizzo che punta alla prima lettera del mio code...e il secondo che punta alla solita tabellina..ormai azzerata e vi preannucio che questa call � lunghetta...Ah qui var_1C non c'entra nulla con quello di prima...

Puntualizziamo subito una cosa...qui all'inizio abbiamo incontrato una cosa del tipo ecx=[tabellina+4] e poi eax=[ecx+4] e eax=[ecx+8]...bene ecx+4 � la posizione nella tabellina partendo dal valore 0....la cosa da notare � che ecx+4 � l'indirizzo ebp-18 fuori da questa call ...e ecx+8 � l'indirizzo ebp-14 sempre fuori da questa call e se guardate all'indirizzo 67D218CB vedrete che  debbono essere uguali rispettivamente a 3 e a 5...ecco perch� nel codice ho scritto che sono valori costanti...ovviamente si tratter� di andare a vedere dove e come vengono settati...ma questa � un altra storia e sar� l'ultima prima della  fine del tut...

Parliamo dei due piccoli loop..che fanno?...Beh applicano una cura ad un valore passato...e la cura � esattamente la stessa per entrambi..solo vengono richiamati con due parametri ciascuno..si ma diversi..

int loop(char a[],int edi,int c){

    int b=(int )a;

   while(c){

        a=a*a;   //costringe ad essere interi...

        a= a ^edi;

        c--;

    };

    return a;

};

In pratica vengono richiamati con due stringhe a[] diverse..una � yxes e l'altra � ebabyxes..poi edi viene preso dalla memoria(beh in un caso � edx ma a parte il nome ,il valore viene settato allo stesso modo) e il numero di loop � diverso..per il primo 5 e per il secondo 8...poi il valore che ritornano viene messo nella variabile con cui vengono chiamati...

static char var1[4]="sexy";

static char var2[8]="sexybabe";

chiamante(int maschera1,int maschera2){

    int numero1=5

    int numero2=8;

    (int) var1=loop(var1,maschera1,numero1);

    (int) var2=loop(var2,maschera2,numero2);

};

Ora il grande loop....che setter� i valori maschera1 e maschera2...viene ripetuto per 31 volte(31d=1Fh)

vi sono una serie di operazioni...che modificano edx poi settano edi..rimodificano edx..indicando edx1 ed edx2 il valore di edx prima e dopo la modifica di edi..si ha...edx1=0,1,2 ciclicamente ed edx2=1,2,0 anche qui ciclicamente...in pratica...

edx1 = 0   allora   edx2 = 1

edx1 = 1   allora   edx2 = 2

edx1 = 2   allora   edx2 = 0

Sembrava complicato eh?

poi:

maschera1 = *("solito indirizzo"+0Ch+edx1)

maschera2 = *("solito indirizzo"+0Ch+edx2)

In conclusione edi ed edx(che ho chiamato maschera1 e maschera2) assumono gli stessi valori....solo che a turni diversi...

Poi finito il grande loop che ripeto deve continuare per 1Fh volte...

for(int i;i<31;i++){

    maschera1 = *("solito indirizzo"+0Ch+edx1);

    maschera2 = *("solito indirizzo"+0Ch+edx2);

    chiamante(maschera1,maschera2);

};

Ovviamente mancano i valori di maschera1 e maschera2...e vederemo dopo quali sono...anche perch� vengono generati a partire dal mio code...

Come nel caso precedente disconosco quello che ho scritto...mi riferisco soprattutto a quello che dovrebbe essere C...non tanto perch� � sbagliato concettualmente quanto per il fatto che mi conosco e di errori..sono certo ve ne troverete....Cmq ripeto il keygen � compito per casa..e  soprattutto per chi legge...! :-p

poi alla fine della call..incontriamo

ebx = ebx AND 0F0F0F0h

eax = eax AND 0F0F0F0Fh

ebx = ebx OR eax

*(INDIRIZZO)=ebx...SICCOME ho gi� spiegato che lo voglio uguale a qualcosa di altro..(vedi indirizzo 67D218B3) deve essere un opportuno valore di ebx...

E anche L'ultima call..GRANDE SIAMO ALLA FINE..........viene richiamata con un solo valore...

Che poi sta Gloria chi �?Mah sono impazzito...uhmm..lo sono sempre stato...

Questa call fa un po di controlli..alla fine spiegher� come me ne esco da questa call...

Ed ora gli ultimi cmp...che vi riporto perch� sono sadico...

Eh cavolo ho appena scoperto che � uscita la nuova versione di Opera...Opera 8.0 pazienza la versione 7.54u � sempre disponibile sul sito se proprio la volete vedere...e cmq fa gli stessi controlli...ed � protetta allo stesso modo...e soprattutto si registra con lo stesso serial...quindi se ne trovate uno valido per la versione qui descritta ...vale anche per quella nuova...anzi se voi usate il sistema bpx openfile e arrivate al 67C38D1C e gli dite guarda che ti stai sbagliando ..devi saltare...il programma parte gi� registrato...hey � la prima volta che supero una protezione senza neanche aver visto cosa fa il programma protetto...

Restano degli indirizzi da sistemare...si proprio quelli che avevo promesso di spiegare alla fine del tut..eh SI!la fine del tut � quasi arrivata...e quindi vediamo cosa succede in quegli indirizzi noiosissimi...

Intanto cominciamo col partire dall'istruzione all'indirizzo 67D218D1  richiede che il suo contenuto sia uguale a 5 o a 2 !

Vediamo ..se guardiamo poche righe sopra...all'indirizzo 67D218C6 si richiede che il contenuto di var_1C sia zero..le ragioni ve le ho gi� spiegate (eax deve essere zero per prima...) e dove viene settato a zero?ma prima vi ho spiegato che var_1C  � un puntatore alla nuova tabella....vogliamo sia zero...ma dove viene modificato per l'ultima volta?se guardate su scoprite che f� ci� nella prima call ..ci sono i commenti..guardate all'indirizzo 67D217B0 ..e siccome non viene pi� modificato basta che venga messo in [eax]=ecx con ecx=0 gi� che ci siamo poche righe sotto viene fatto [eax+8]=edx....eax+8 sarebbe in questo caso var_14...e deve quindi essere settata a 5 o a 2...cio� edx=5 oppure edx =2...!

Bene la domanda ora �:come riesco a metterci i valori che voglio?

Intanto ci focalizziamo sulla prima delle tre call...visto che abbiamo capito che � l� il casino...

Ora Guardiamo all'indirizzo 67D218B3...c'� un cmp ..devono essere uguali...ma in quegli indirizzi cosa c'�?..ci sono dei numeri settati nella prima call e alla fine della seconda...vi ricordate quando ho detto che viene copiata un array in un altra e i valori vengono modificati?ecco ora sapete perch� non devono essere modificati ..e siccome vengono ORati(grande neologismo...) con qualcosa..beh quel qualcosa deve essere ZERO (vi prego accettatelo cos� perch� non ce la faccio pi� a spiegarlo,se proprio volete conferme usate il fido sice o Olly e guardate gli indirizzi...)...(insomma diciamo che a questi numeri poi verr� applicato qualche controllo nella 3 call e questi controlli vengono superati da tutti quei numeri che non vengono modificati qui...i controlli in questione saranno dei div e si richieder� che edx sia zero...e no non ve lo spiego il perch� i 3 numeri passano automaticamente il controllo se non vengono modificati...diciamo che vengono generati apposta cosi?e perch� non ve lo spiego??Perch� non lo so! :-p

Le richieste edx= 2 o 5 e cmp edi,edx (ad indirizzi diversi e quindi i valori non sono in relazione banale...) implicano ecx=0000xy0t (dove t pu� essere 2 o A se voglio che edx sia uguale a 2) e di qui segue che edi � zero...Uffa che fatica...

Traccia del perch�: (ecx<<1) AND F7  = 2 o 5 e  (ecx AND 1)= zero queste sono due condizioni che devono valere per lo stesso ecx..segue che ecx � della forma precedente e quindi edi sar� sempre zero...e quindi non modificher� i valori...beh almeno cos� credo...uso "F" per indicare qualunque valore...tanto se ci metto 0 sono gi� sicuro che funzioni..allora ragiono da pessimista e mi chiedo alla peggio che condizionio deve soddisfare...

ecx AND 1 = 0 implica che ecx=FFFFFFFx con x numero pari...0 2 4 6 8 A C E

(ecx << 1) AND 7F = 2 richiede che sia ecx = FFFFFF0A oppure FFFFFF02

quindi ecx = FFFFFF0A dove le "F" possono essere qualunque altro valore ...anche 0

ma richiedo inoltre che

ecx AND 0F00 = 0F00 questo � soddisfatto per ecx = FFFFFxFF con x = 1 3 5 7 9 B D F

se quardate nella prima call ho scritto anche che ecx -> cx ..gli vengono cancellati i 2 byte grandi

conclusione...ecx = 0x0A con x = 1 3 5 7 9 B D F ma ecx di partenza pu� essere del tipo ecx=FFFF0F0A

Ma voglio che i 3 numeri non vengano moficati dagli OR e l'unico modo � richiedere che ecx=00000F0A

Oh finalmente ne sono uscito da questo casino di numeri...compatisco chi sta leggendo in questo momento...

Se vi arrendete e non riuscite +  leggere cmq personalmente ed umanamente vi capisco...

Questo riguarda la prima parte del cmp...il secondo numero viene modificato dalla seconda call...nelle ultime istruzioni...

Gi� ma i numeri passati..dove vengono generati???..uhm..nella Func2CheckCode!!!vi ricordate piccolo loop...e grande loop?bene servono per scassare l'anima e anche per generare 5 numeri...si 5 di cui 4 li conoscete il 5 viene modificato nella func3Checkcode e diventa quel famoso ecx fatto 0F02 o 0F0A...

E questo dovrebbe sistemare quei jnz / jz che danno tantoo fasitidio...

Ehy alla fine ci siamo arrivati in fondo...

Ma riassumiamo i controlli...(evito volutamente di parlare di tutte le uscite sbagliate che hanno le call):

-Il mio code deve soddisfare il requisito di essere X-xxxxY-xxxxY-xxxxY-xxxxY-xxxxY dove Y pu� assumere solo valori nella tabella minori di ...e X deve appartenere alla nuova tabella....

-Preso il mio code...nella Func2CheckCode con i loop vengono generati 5 numeri...

-Nella Func3CheckCode i numeri generati vengono mastruzzati...

-Arriviamo nella Func4CheckCode e vengono applicate le due cure previste dalla prima call e dalla seconda.. e ovviamente devono essere uguali!..poi  i primi 3 numeri vengono sottoposti a controlli nella 3 call e se tutto � andato a buon fine allora si registra e

FINE controlli...

Tanta fatica per scrivere le 5 righe finali...

Keygenerator

Non vi preoccupate non ho intenzione di farlo...

Solo potreste tentare per forza bruta..il vantaggio sta che non avreste bisogno di fare altro..prendete le righe gi� pronte del disassemblato le ordinate per gruppi mettete qualche istruzione in c che le richiama (tipo "__asm__") e gli passate dei valori casuali come input...provare provare che prima o poi ci arrivate..!Magari mettendo delle limitazioni ai valori dei numeri..Es se ecx deve essere ...e viene generato solo a partire dal 2 al 6 numero del mio code...beh potete cercare dei valori tali che questo sia vero...Cmq visto che nessuno � tanto pazzo da leggere questo tutorial e anche da scrivere un keygenerator per questo programma...inutile sprecare il fiato :-p

Ed ora un bel Uninstall..tanto io uso Firefox...decisamente migliore...Free ma soprattutto OpenSource

Come dite?? Il compito 5 dov'�?beh � per casa naturalmente....

 

luca                                                                                         30/04/2005

Bene Bene...

Inizia la parte dei saluti..

Per prima cosa ringrazio Que e tutto lo staff per il loro lavoro...senza voi sarebbe molto pi� difficile.

E mi raccomando non pensate che lo faccio se no,non mi pubblica il tut... :-p

Saluto come sempre Grappolo,Asterix,Diego e Corrado (beh anche Giulia)...e gi� che ci sono anche Paolo, Anna, Stefano,Guido,Alessandro e Aldo...

Stavolta aggiungo anche Vale e Nina...

E immancabilmente la signorina B.!(...e stavolta lei mi piace un p� meno di ieri... :-p)

Che saluti al femminile...

Vorrei ricordare che il software va comprato e  non rubato, dovete registrare il vostro prodotto dopo il periodo di valutazione. Non mi ritengo responsabile per eventuali danni causati al vostro computer determinati dall'uso improprio di questo tutorial. Questo documento è stato scritto per invogliare il consumatore a registrare legalmente i propri programmi, e non a fargli fare uso dei tantissimi file crack presenti in rete, infatti tale documento aiuta a comprendere lo sforzo che ogni sviluppatore ha dovuto portare avanti per fornire ai rispettivi consumatori i migliori prodotti possibili.

Reversiamo al solo scopo informativo e per migliorare la nostra conoscenza del linguaggio Assembly.