Scanning -> C:\Documents and Settings\Xylitol\Bureau\foome {part I}.exe
File Type : Exe, Size : 11264 (02C00h) Byte(s)
[!] File appears to have no protection or is using an unknown protection
MD5 du keygenMe: 2a2592726448585000eb3ad5304c1bc3File Type : Exe, Size : 11264 (02C00h) Byte(s)
[!] File appears to have no protection or is using an unknown protection
On peut remarquer ici que le KeygenMe ne possède aucune protection Anti-Reversing particulière, ce qui va nous faire gagner un peu de temps au final.
Aperçu du KeygenMe :
[+] Charger le KeygenMe dans OllyDbg.
[+] Click Droit >> Search For >> All Referenced Text String
004012A3 SUB ESP,8 (Initial CPU selection)
00401324 MOV DWORD PTR SS:[EBP-168],foome_{p.0040 ASCII "OLLYDBG.EXE"
0040132E MOV DWORD PTR SS:[EBP-164],foome_{p.0040 ASCII "idag.exe"
00401338 MOV DWORD PTR SS:[EBP-160],foome_{p.0040 ASCII "windbg.exe"
00401403 MOV DWORD PTR SS:[ESP+8],foome_{p.004030 ASCII "U sUck"
0040140B MOV DWORD PTR SS:[ESP+4],foome_{p.004030 ASCII "t4pZ"
00401431 MOV DWORD PTR SS:[ESP],foome_{p.0040302C ASCII " [ foome part I by fyuw]",LF,LF,"Login : "
00401447 MOV DWORD PTR SS:[ESP],foome_{p.0040305F ASCII "%s"
00401466 MOV DWORD PTR SS:[ESP],foome_{p.00403062 ASCII "Need more 5 char..."
00401494 MOV DWORD PTR SS:[ESP],foome_{p.00403076 ASCII "Need less 10 char..."
004014AF MOV DWORD PTR SS:[ESP],foome_{p.0040308B ASCII "pwd : "
004014C5 MOV DWORD PTR SS:[ESP],foome_{p.00403092 ASCII "%d"
0040151A MOV DWORD PTR SS:[ESP+8],foome_{p.004030 ASCII "Iz N0t da g00d password"
00401522 MOV DWORD PTR SS:[ESP+4],foome_{p.004030 ASCII "t4pZ"
0040154D MOV DWORD PTR SS:[ESP+8],foome_{p.004030 ASCII "U win.. make a keygen"
00401555 MOV DWORD PTR SS:[ESP+4],foome_{p.004030 ASCII "t4pZ"
004017DB MOV DWORD PTR SS:[ESP],foome_{p.004030E8 ASCII "w32_sharedptr->size == sizeof(W32_EH_SHARED)"
004017E7 MOV EAX,foome_{p.00403118 ASCII "../../gcc-3.4.5/gcc/config/i386/w32-shared-ptr.c"
004017F9 MOV DWORD PTR SS:[ESP],foome_{p.0040314C ASCII "GetAtomNameA (atom, s, sizeof(s)) != 0"
00401805 MOV ECX,foome_{p.00403118 ASCII "../../gcc-3.4.5/gcc/config/i386/w32-shared-ptr.c"
00401324 MOV DWORD PTR SS:[EBP-168],foome_{p.0040 ASCII "OLLYDBG.EXE"
0040132E MOV DWORD PTR SS:[EBP-164],foome_{p.0040 ASCII "idag.exe"
00401338 MOV DWORD PTR SS:[EBP-160],foome_{p.0040 ASCII "windbg.exe"
00401403 MOV DWORD PTR SS:[ESP+8],foome_{p.004030 ASCII "U sUck"
0040140B MOV DWORD PTR SS:[ESP+4],foome_{p.004030 ASCII "t4pZ"
00401431 MOV DWORD PTR SS:[ESP],foome_{p.0040302C ASCII " [ foome part I by fyuw]",LF,LF,"Login : "
00401447 MOV DWORD PTR SS:[ESP],foome_{p.0040305F ASCII "%s"
00401466 MOV DWORD PTR SS:[ESP],foome_{p.00403062 ASCII "Need more 5 char..."
00401494 MOV DWORD PTR SS:[ESP],foome_{p.00403076 ASCII "Need less 10 char..."
004014AF MOV DWORD PTR SS:[ESP],foome_{p.0040308B ASCII "pwd : "
004014C5 MOV DWORD PTR SS:[ESP],foome_{p.00403092 ASCII "%d"
0040151A MOV DWORD PTR SS:[ESP+8],foome_{p.004030 ASCII "Iz N0t da g00d password"
00401522 MOV DWORD PTR SS:[ESP+4],foome_{p.004030 ASCII "t4pZ"
0040154D MOV DWORD PTR SS:[ESP+8],foome_{p.004030 ASCII "U win.. make a keygen"
00401555 MOV DWORD PTR SS:[ESP+4],foome_{p.004030 ASCII "t4pZ"
004017DB MOV DWORD PTR SS:[ESP],foome_{p.004030E8 ASCII "w32_sharedptr->size == sizeof(W32_EH_SHARED)"
004017E7 MOV EAX,foome_{p.00403118 ASCII "../../gcc-3.4.5/gcc/config/i386/w32-shared-ptr.c"
004017F9 MOV DWORD PTR SS:[ESP],foome_{p.0040314C ASCII "GetAtomNameA (atom, s, sizeof(s)) != 0"
00401805 MOV ECX,foome_{p.00403118 ASCII "../../gcc-3.4.5/gcc/config/i386/w32-shared-ptr.c"
anti-débogues:
OLLYDBG.EXE
idag.exe
windbg.exe
Le programme check dans la liste des processus pour voir si il y a un des trois l'a chargé dedans, si il le found, le foome s'auto kill, foutez des nops ou renommez le fichier OLLYDBG.EXE par autre chose et voilà,
now: retournez dans les string data references:
"Need more 5 char..."
"Need less 10 char..."
Votre nom doit faire plus de 5 caractères et moins de 10 caractères pour continuer la routine
Double clickez sur "pwd : " dans les SDR
Placez un point d'arrêt sur:
004014B6 |. E8 49060000 CALL<JMP.&msvcrt.printf>
Lancez le fooMe (touche F9 par défaut), entrez votre nom et validez
olol on break c'est beaucoup trop tôt !
olol (bis) le registre: ECX 0022FE00 ASCII "xylitol"
bon supprimez le point d'arrêt, olol, la fonction scanf, olol le bordel en dessous se pourrait t'il que...
Placez un point d'arrêt en 0040150A, tapez un faux serial, regardez dans le dump
EAX=00002A75 <- 10869 Stack SS:[0022FE2C]=00007A69 <- 31337 Le bon serial et stoké dans EAX... kewl on a serialfish le truc mais c'était pas le but quoi... Enfin bon now on avance, on connait désormais la routine.
Routine de Génération de Serial Valide:
004014D1 |. 0FBE9D 8AFEFFFF MOVSX EBX,BYTE PTR SS:[EBP-176] ; |||
004014D8 |. 8D85 88FEFFFF LEA EAX,DWORD PTR SS:[EBP-178] ; |||
004014DE |. 890424 MOV DWORD PTR SS:[ESP],EAX ; |||
004014E1 |. E8 0E060000 CALL Strlen ; ||\strlen
004014E6 |. 89C2 MOV EDX,EAX ; ||
004014E8 |. 89D0 MOV EAX,EDX ; ||
004014EA |. 01C0 ADD EAX,EAX ; ||
004014EC |. 01D0 ADD EAX,EDX ; ||
004014EE |. C1E0 09 SHL EAX,9 ; ||
004014F1 |. 01D0 ADD EAX,EDX ; ||
004014F3 |. 01C3 ADD EBX,EAX ; ||
004014F5 |. 8B85 A0FEFFFF MOV EAX,DWORD PTR SS:[EBP-160] ; ||
004014FB |. 890424 MOV DWORD PTR SS:[ESP],EAX ; ||
004014FE |. E8 F1050000 CALL Strlen ; |\strlen
00401503 |. 29C3 SUB EBX,EAX ; |
00401505 |. 89D8 MOV EAX,EBX ; |
00401507 |. 83C0 0C ADD EAX,0C ; |
0040150A |. 3985 B4FEFFFF CMP DWORD PTR SS:[EBP-14C],EAX ; | Comparaison Final entre le Serial Entré & le Sérial Réel
004014D8 |. 8D85 88FEFFFF LEA EAX,DWORD PTR SS:[EBP-178] ; |||
004014DE |. 890424 MOV DWORD PTR SS:[ESP],EAX ; |||
004014E1 |. E8 0E060000 CALL Strlen ; ||\strlen
004014E6 |. 89C2 MOV EDX,EAX ; ||
004014E8 |. 89D0 MOV EAX,EDX ; ||
004014EA |. 01C0 ADD EAX,EAX ; ||
004014EC |. 01D0 ADD EAX,EDX ; ||
004014EE |. C1E0 09 SHL EAX,9 ; ||
004014F1 |. 01D0 ADD EAX,EDX ; ||
004014F3 |. 01C3 ADD EBX,EAX ; ||
004014F5 |. 8B85 A0FEFFFF MOV EAX,DWORD PTR SS:[EBP-160] ; ||
004014FB |. 890424 MOV DWORD PTR SS:[ESP],EAX ; ||
004014FE |. E8 F1050000 CALL Strlen ; |\strlen
00401503 |. 29C3 SUB EBX,EAX ; |
00401505 |. 89D8 MOV EAX,EBX ; |
00401507 |. 83C0 0C ADD EAX,0C ; |
0040150A |. 3985 B4FEFFFF CMP DWORD PTR SS:[EBP-14C],EAX ; | Comparaison Final entre le Serial Entré & le Sérial Réel
Détails:
004014D1 |. 0FBE9D 8AFEFFFF MOVSX EBX,BYTE PTR SS:[EBP-176] |Prend la 3e Lettre du Login que l'on place dans EBX
004014D8 |. 8D85 88FEFFFF LEA EAX,DWORD PTR SS:[EBP-178] |Insère le Contenue du Login dans EAX
004014DE |. 890424 MOV DWORD PTR SS:[ESP],EAX |Aucune utilité particluière pour la Génération du Serial
004014E1 |. E8 0E060000 CALL strlens |Strlen() renvoi la Longueur du Login Entré (Xylitol : 7)
004014E6 |. 89C2 MOV EDX,EAX |Déplace le contenue de EAX dans EDX
004014E8 |. 89D0 MOV EAX,EDX |Déplace le contenue de EDX dans EAX
004014EA |. 01C0 ADD EAX,EAX |EAX = EAX * 2 (Xylitol : 7*2). Soit 7h + 7h = Eh
004014EC |. 01D0 ADD EAX,EDX |EAX = EAX + EDX (EDX = 7h)
004014EE |. C1E0 09 SHL EAX,9 |Décalage dans EAX de 9 Rangs vers la Gauche
004014F1 |. 01D0 ADD EAX,EDX |Additionne EDX à EAX
004014F3 |. 01C3 ADD EBX,EAX |Additionne EAX à EBX
004014F5 |. 8B85 A0FEFFFF MOV EAX,DWORD PTR SS:[EBP-160] |EAX = "windbg.exe"
004014FB |. 890424 MOV DWORD PTR SS:[ESP],EAX |Aucune utilité dans l'algorithme, paramètre pour l'API Strlen
004014FE |. E8 F1050000 CALL |EAX = A (en hexa, 10 en decimale), EDX est écrasé, et ECX = "windbg.exe"
00401503 |. 29C3 SUB EBX,EAX |Soustrait EAX à EBX
00401505 |. 89D8 MOV EAX,EBX |Déplace le contenue de EBX dans EAX
00401507 |. 83C0 0C ADD EAX,0C |Additionne 0C à EAX
0040150A |. 3985 B4FEFFFF CMP DWORD PTR SS:[EBP-14C],EAX |Compare le Vrai Serial au Sérial Entré par l'Utilisateur
[+] Remarque : N'oubliez pas qu'en ASM, chaques Calculs effectués sont effectués en Héxadécimal !!
004014D8 |. 8D85 88FEFFFF LEA EAX,DWORD PTR SS:[EBP-178] |Insère le Contenue du Login dans EAX
004014DE |. 890424 MOV DWORD PTR SS:[ESP],EAX |Aucune utilité particluière pour la Génération du Serial
004014E1 |. E8 0E060000 CALL strlens |Strlen() renvoi la Longueur du Login Entré (Xylitol : 7)
004014E6 |. 89C2 MOV EDX,EAX |Déplace le contenue de EAX dans EDX
004014E8 |. 89D0 MOV EAX,EDX |Déplace le contenue de EDX dans EAX
004014EA |. 01C0 ADD EAX,EAX |EAX = EAX * 2 (Xylitol : 7*2). Soit 7h + 7h = Eh
004014EC |. 01D0 ADD EAX,EDX |EAX = EAX + EDX (EDX = 7h)
004014EE |. C1E0 09 SHL EAX,9 |Décalage dans EAX de 9 Rangs vers la Gauche
004014F1 |. 01D0 ADD EAX,EDX |Additionne EDX à EAX
004014F3 |. 01C3 ADD EBX,EAX |Additionne EAX à EBX
004014F5 |. 8B85 A0FEFFFF MOV EAX,DWORD PTR SS:[EBP-160] |EAX = "windbg.exe"
004014FB |. 890424 MOV DWORD PTR SS:[ESP],EAX |Aucune utilité dans l'algorithme, paramètre pour l'API Strlen
004014FE |. E8 F1050000 CALL |EAX = A (en hexa, 10 en decimale), EDX est écrasé, et ECX = "windbg.exe"
00401503 |. 29C3 SUB EBX,EAX |Soustrait EAX à EBX
00401505 |. 89D8 MOV EAX,EBX |Déplace le contenue de EBX dans EAX
00401507 |. 83C0 0C ADD EAX,0C |Additionne 0C à EAX
0040150A |. 3985 B4FEFFFF CMP DWORD PTR SS:[EBP-14C],EAX |Compare le Vrai Serial au Sérial Entré par l'Utilisateur
[+] Remarque : N'oubliez pas qu'en ASM, chaques Calculs effectués sont effectués en Héxadécimal !!
À présent que l'on en sait un peu plus sur la Routine Principale du Keygen, nous allons
pouvoir reprogrammer celle-ci et en faire un Keygen fonctionnel et Valide. Sophocle a programmé un Keygen en Python et 0vercl0k en C. Je ne souhaitais pas coder un Keygen en utilisant un langage qui avait déjà été usité, et par conséquent, j'ai opté pour l'ASM de Windows, à savoir MASM.
Par soucis de clairvoyance, je ne vous insère ici que la fonction de génération du Serial Valide.
Routine MASM:
MOV EDX,EAX
MOV EAX,EDX
ADD EAX,EAX
ADD EAX,EDX
SHL EAX,9
ADD EAX,EDX
ADD EBX,EAX
PUSHAD ;Sauvegarde tout les Registres
MOV ECX, EDX ;Insère la Longueur du Login dans ECX (Correction Trouvé lors du Debug)
XOR EDX, EDX ;Compteur pour la Longueur de la Chaine.
LEA ESI, szName ;On pointe la Chaine à Analyser.
JMP Strlen
Char_Traite:
MOV EBX, EAX ;On met le caractère contenue dans AL dans BX
JMP Continue ;On continue sur la Routine du Keygen
Strlen:
CMP EDX,3 ;Compare si EDX vaut 3 (3e Char)
JE Char_Traite ;Si c'est le cas, on JMP sur la Fonction Char_Traite
LODSB ;Charge dans AL le caractère courant et pointe le suivant.
OR EAX, EAX ;On test si c'est la fin de la chaine.
JZ Continue ;Si c'est le cas, on sort de la routine.
INC EDX ;On rajoute un caractère de plus dans la chaine.
JMP Strlen ;Saute sur le caractère suivant de la chaine.
Continue:
POPAD ;Restaure tout les Registres
ADD EBX, ECX
MOV EAX,0Ah
SUB EBX,EAX
MOV EAX,EBX
ADD EAX,0Ch
MOV EAX,EDX
ADD EAX,EAX
ADD EAX,EDX
SHL EAX,9
ADD EAX,EDX
ADD EBX,EAX
PUSHAD ;Sauvegarde tout les Registres
MOV ECX, EDX ;Insère la Longueur du Login dans ECX (Correction Trouvé lors du Debug)
XOR EDX, EDX ;Compteur pour la Longueur de la Chaine.
LEA ESI, szName ;On pointe la Chaine à Analyser.
JMP Strlen
Char_Traite:
MOV EBX, EAX ;On met le caractère contenue dans AL dans BX
JMP Continue ;On continue sur la Routine du Keygen
Strlen:
CMP EDX,3 ;Compare si EDX vaut 3 (3e Char)
JE Char_Traite ;Si c'est le cas, on JMP sur la Fonction Char_Traite
LODSB ;Charge dans AL le caractère courant et pointe le suivant.
OR EAX, EAX ;On test si c'est la fin de la chaine.
JZ Continue ;Si c'est le cas, on sort de la routine.
INC EDX ;On rajoute un caractère de plus dans la chaine.
JMP Strlen ;Saute sur le caractère suivant de la chaine.
Continue:
POPAD ;Restaure tout les Registres
ADD EBX, ECX
MOV EAX,0Ah
SUB EBX,EAX
MOV EAX,EBX
ADD EAX,0Ch
Au final, un algorithme respecté et fonctionnel, sur un Keygen assez rudimentaire, mais qui permet de bien s'initier au Reversing.
Et on va se quitter sur une petite screen réjouissante:
