quequero.org

illo · Newbie Joined: 14 Aug 2005 Posts: 7

ho scoperto da un mesetto l'UIC e mi è subito piaciuta, sporattutto per le numerose guide molto chiare.
come molti nuovi utenti ho tentato di installare softice senza successo, quindi ho ripiegato su ollydbg (che ha funzionato SUBITO!!) e mi sono letto la guida su questo sito.
come primo programma da crakkare ho scelto G*M*F*C* pro (http://g*m.c*n*c.free.fr/en/download.php), e' un software x macchine cnc e dura 30 giorni dopodichè bisogna registrarsi. il mio problema è che l'ho installato prima di finire la macchina cnc x vedere se l'elettronica funzionava, e ora che è tutto finito non posso più provarla (e quindi decidere se acquistare il software o meno)...
PEiD dice che il software e' stato scritto in Microsoft Visual C++ 6.0 [Debug]
con W32Dasm ho disassemblato l'exe e cercato di capire il funzionamento delle parti "interessanti"
poi ho provato a usare olly (l'avevo già usato con successo nei tuttorial) ma all'avvio mi appare una finestra che dice:

"Module 'cnc1' has entry point outside the code (as specified in the PE header). Maybe this file is self-extracting or self-modifyng. please keep it in mind when setting breakpoints"

significa che quando il programma viene caricato in memoria si modifica?
c'e' qualche soluzione?

attendo randellate

pelledoca · Newbie Joined: 15 May 2004 Posts: 27

Vuol dire che cnc1.dll (sotto %SystemRoot%\system32) è packed: PECompact 1.68 - 1.84 -> Jeremy Collake.

Da notare il seguente interessante blocchetto di codice:

illo · Newbie Joined: 14 Aug 2005 Posts: 7

quella parte di codice è contenuta nel file cnc1.dll?
ho guardato la descrizione su un sito di PEcompact, ma non è specificato se fa anche il procedimento inverso.. come faccio a decomprimerlo?
dal codice che hai postato sembra che mi basterebbe far saltare il programma all'istruzione 00415c24 quando inserisco il codice sbagliato...

peppeviruz · Intermediate Joined: 27 Oct 2002 Posts: 70

no, il codicee lo trovi nel disassemblato dell'exe!!!
Ciao!!

illo · Newbie Joined: 14 Aug 2005 Posts: 7

ma... che disassemblatore usate?? ad esempio a me alla riga 00415C31 c'e' l'istruzione mov ecx, dword ptr [esp +3C] anziche il salto condizionato O_O

pelledoca · Newbie Joined: 15 May 2004 Posts: 27

illo,

il fatto che tu abbia istruzioni diverse nelle posizioni da me riportate è esclusivamente dovuto al fatto che tu hai un diverso sistema operativo. Io uso windows 2000 ... tu con ogni probabilità XP.
Come ha detto peppeviruz, la sezione di codice che ho riportato si trova nell'exe non nella dll. Metti un bpx sulle 2 funzioni esportate dalla DLL (SharewareReg e AppIsRegistered) ed attendi che Olly breaki sulle stesse ... dovresti cosi giungere al blocco di codice in questione.

pelledoca

illo · Newbie Joined: 14 Aug 2005 Posts: 7

scusa non sapevo che le istruzioni cambiassero valore a seconda del sistema operativo..
è per questo che HIEV premendo F3 passa dal modo Address a quello Offset (distanza dall'inizio del file)? altrimenti le modifiche sarebbero valide solo sulla macchina in cui vengono fatte?
suppongo sia qui che si decide tutto vero?

se mi dicessi la distanza dall'inizio del file dovrei trovarlo a botta sicura no?

ho provato a brekkare sulle funzioni con olly, ma non ho capito cosa vuol dire "funzioni esportate dalla dll"
comunque ho provato a scrivere bp AppIsRegistered e bpx AppIsRegistered
nel primo caso finisco qui

mentre nel secondo appare una finestra (intermodular calls) piena di chiamate a funzioni (credo).
comunque non c'e' traccia del codice che hai postato Sad

come ultima speranza mi sono pasato tutto il codice del programma da W32dasm, l'unica cosa che ho trovato è questa (a me sembra interessante ma sono niubbo quindi...)

sei sicuro di aver scaricato la versione PRO e non la PE?

pelledoca · Newbie Joined: 15 May 2004 Posts: 27

illo,

onestamente non ricordo la versione scaricata ... ci ho dato un occhio veloce e non trovando l'applicazione di alcun interesse l'ho subito cancellata.
Le istruzioni *non* cambiano da sistema operativo a sistema operativo. Quello che *puo* cambiare è la posizione in memoria in cui viene caricato il binario. In altre parole, le istruzioni che ho mostrato si trovano in una posizione in memoria diversa quando l'applicazione viene eseguita su XP.

Le DLL *esportano* funzioni nel senso che mettono a disposizione una serie di funzioni ai programmi che possono essere interessati ad invocarle. In Olly puoi semplicemente richiedere l'elenco delle funzioni importate/esportate dall'exe e mettere un breakpoint sulle 2 funzioni gia discusse. Questo ti dovrebbe consentire di individuare la locazione del blocco di codice che ho postato.

pelledoca

illo · Newbie Joined: 14 Aug 2005 Posts: 7

pelledoca · Newbie Joined: 15 May 2004 Posts: 27

CTRL+N in OllyDbg

pelledoca

illo · Newbie Joined: 14 Aug 2005 Posts: 7

ho provato a cercarla con ctrl - N (comando molto interessante) ma non c'e' neanche l'ombra della funzione appisregistered e neanche di riferimenti alla dll cnc1 Sad

mi sto rileggendo la guida di assembly perchè ancora ho difficoltà a interpretare alcune istruzioni e vorrei capire cosa combina il programma in questa parte di codice.
soprattutto Shareware limit e DateIsSetBack

mi sono letto il tutorial sui processori intel, penso di aver capito la parte di segmento e offset, ma se uno passa da un processore a 16 bit ad uno a 32 o 64 bit dovrebbe infischiarsene del problema di arrivare a 1 Mbyte di indirizzamento con vari trucchetti, tanto già con 32 bit si riesce a indirizzare 2^32 ~ 4Gbyte.. no?

Zero_G · Posted: Tue Aug 23, 2005 5:09 pm Post subject:

illo, innanzitutto ti consiglio di buttare W32Dasm perché è pieno di bachi; è meglio se guardi il disassemblato direttamente dentro Olly oppure usi IDA, che è ancora meglio, ma più complicata/o. Idea

cmq il programma l'ho scaricato anch'io, se ho un pochino di tempo ci dò un'occhiata stasera... Wink

-=[Zero_G]=-
_________________
"To see a World in a grain of Sand,
Hold Infinity in palm of your Hand."

pelledoca · Newbie Joined: 15 May 2004 Posts: 27

illo,

non ci vuole un genio per capire che DateIsSetBack controlla se hai modificato la data del sistema riportandola indietro rispetto all'ultima rilevata, che AppIsExpired controlla che l'applicazione non abbia terminato il periodo di trial e che AppIsRegistered controlla se i dati di registrazione sono corretti.
Tutti restituiscono un valore booleano. Basta una piccola patch .... ed è fatta!!

pelledoca

Zero_G · Posted: Tue Aug 23, 2005 9:44 pm Post subject: Zero_G - GMFC = 1 - 0

siccome i breakpoint su GetDlgItemTextA o GetWindowTextA sembrano non funzionare su questo programma, devi passare ad un altro tipo di attacco che in questo caso potrebbe essere quello di sfruttare un altro punto debole: hai notato che quando sbagli il seriale viene mostrato un MessageBox di errore... Wink

**MINI-TUTORIAL "POST ESTIVO"**

PARTE 1: Troviamo il punto debole

1.1) carica GMFC.exe in OllyDbg e lancialo così com'è, ignorando la segnalazione del driver mancante, altrimenti avresti un break anche su quello. una volta premuto OK, il debugger si lamenta che cnc1.dll ha l'entry point fuori dalla sezione del codice... come t'ha detto pelledoca è packato, quindi lasciamolo bollire nel suo brodo ed ignoriamolo; i programmatori sono stati così geniali da criptare SOLO la dll che si occupa della verifica della registrazione, ma forse non si sono ricordati che la validazione del seriale viene comunque passata al livello superiore, cioè all'eseguibile che importa la DLL, GMFC.exe nel nostro caso. Mr. Green

1.2) a questo punto dovresti avere la finestra che ti chiede la License Key e, siccome sappiamo già che verrà fuori il MessageBox, torniamo in Olly e clicchiamo sulla E in alto che ti mostra l'elenco dei moduli richiamati dall'eseguibile (come vedi, c'è anche cnc1.dll, schiaffata senza pietà dentro C:\Windows\System32... Sad

)

1.3) scegli USER32.DLL, la libreria di sistema che contiene MessageBoxA, premi il tasto destro, clicca su "View Names" e sempre con il destro attiva un breakpoint su MessageBoxA; adesso hai sotto controllo l'export di questa funzione dalla sua libreria nativa, quindi in qualsiasi momento l'eseguibile principale la richiamerà, Olly intercetterà la call.

1.4) torna nel programma, scrivi un numero a caso, premi OK e TADAH! ecco Olly sul palcoscenico! (questa frase fa sempre un certo effetto... :roftl: ) ovviamente non sarai in GMFC ma in USER32 e più precisamente all'"entry point" della funzione MessageBox; premi F8 varie volte per scorrere fino all'effettiva call che visualizza il messaggio d'errore, Olly andrà in pausa e te switcha su GMFC, premi OK ed il controllo ritornerà in mano al debugger. premi F8 un altro paio di volte fino al RETN, F8 un'altra volta e (per fortuna) sarai direttamente dentro GMFC (lo vedi scritto in alto nel titolo della finestra CPU).

PARTE 2: Risaliamo la corrente (da bravi reverser salmonati, o salmoni reversati Laughing

)

2.1) a regola dovresti essere all'indirizzo 00493589 ed adesso dobbiamo trovare il punto in cui lui decide che il codice non va bene e chiama il MessageBox; salendo di qualche linea ti accorgerai facilmente che il problema è più a monte, perché la funzione comincia a 004934D1 ed a quel punto il seriale è già considerato sbagliato. Rolling Eyes

2.2) come fare allora? semplice, se hai "studiato" un pochino saprai che i punti di rientro delle call vengono accumulate nello stack che viene considerato come una pila a cui si accede tramite PUSH e POP, quindi scendendo andremo verso la sorgente (si va in basso nella finestra dello stack di OllyDbg, ma in realtà gli indirizzi crescono quando risaliamo la pila). Smile

2.3) comincia a scorrere lo stack in giù e ti accorgerai che la stringa "Invalid key..." è presente varie volte (questo perché viene passata da un livello all'altro come il testimone di una staffetta) e questo ti fa capire che l'errore era già nell'aria prima dei corrispondenti RETURN (se usi il mio schema di colori sono in celeste su sfondo nero); ad un certo punto (è a distanza circa 350 bytes dalla cima dello stack [ESP]) troverai una serie di numeri che non sono indirizzi relativi (sono il risultato dei calcoli fatti sul seriale), poi ancora quella stringa ed alla fine incontrerai il puntatore all'SE, molto utile in questo caso perché è indicatore della fine della catena dei gestori delle eccezioni ed infatti nel blocco successivo la stringa non c'è più ed alla prima posizione troviamo un simpatico "RETURN to GMFC.00415C7B from GMFC.004935F0" che ci illumina la via. clicchiamoci con il destro e scegliamo "Follow in Disassembler..." Idea

PARTE 3: Faccia a faccia col nemico

3.1) piano piano la nebbia si dirada e si capisce meglio come quella strana DLL viene usata dal programma... innanzitutto possiamo ottenere una lista delle funzioni da essa esportata per avere le idee più chiare; clicchiamo ancora sulla E in alto, ma stavolta facciamo "View Names" su cnc1.dll e questa è la lista che otteniamo (ti ho asteriscato le più "sospette"...):

illo · Newbie Joined: 14 Aug 2005 Posts: 7

innanzitutto grazie a pelledoca e Zero_G! avrete la mia eterna riconoscenza per l'aiuto datomi Smile

ho appena letto molto velocemente il post (il tempo è tiranno), appena posso mettermi tranquillo davanti al pc vi faccio sapere com'e' andata.
@Zero_G
il programma serve per controllare una macchina cnc che utilizza l'elettronica MM2001 di cui ci sono svariati schemi nella rete.
serve a tagliare il polistirolo, in particolare le ali & fusoliere degli aeromodelli.