- Ayuda de otro cracker más experto (por ejemplo Estado+Porcino)

CÓMO CRACKEAR TECHFACTS 95:

Objetivo: TechFacts 95.
Versión: 1.30 3/7/97
Nombre del ejecutable: Teckfct95.exe
Website: http://ourworld.compuserve.com/homepage/deansoft
Tamaño del ejecutable: 1.251.840 bytes.
Tipo de protección: Por número de serie.
Dificultad: ameba.
Tiempo de crackeo: 2 minutos.
Herramientas: SoftIce 3.0 y Editor Hexadecimal.


Siguiendo las recomendaciones de +ORC empezaremos por crackear nuestras propias herramientas crack. El programa en cuestión es una pequeña joya que nos permitirá, entre otras muchas cosas, rastrear las acciones de un determinado programa, buscar cadenas de caracteres en ficheros, trabajar con dll.. Generalmente,lo utilizo para rastrear programas de instalación, obteniendo información de los ficheros creados, las entradas de registro añadidas o borradas, ...

Manos a la obra. El programa es un ejecutable que no necesita otro fichero para funcionar (cosa rara en estos días). Así pues, arranquemos el programa veamos lo que ocurre. Aparece una horrible ventana diciendo que utilicemos nuestra VISA o MASTERCARD y que soltemos los 19,99 dólares (unas 2500 pesetas) que tenemos para ir a tomar cervezas.

Echemos un vistazo al programa. Entre otras cosas, hay una opción en TOOLS/WATCH SYSTEM, que nos permite rastrear un programa. En HELP/HELP TOPICS/ORDER FORM aparece una hoja de registro en la que nos avisa de que además tenemos que paga 2 dólares para gastos de envío, ¡cómo si costará 250 pelas enviar un mail con el número de serie!.

En HELP/ABOUT TECHFACTS 95 encontramos un botón USE REG KEY. Aquí es donde tenemos que introducir nuestro Nombre (First name), apellidos (Last name) y el número de serie correspondiente que lo recibiremos por mail si pagáramos 19,99 dólares más 2 dólares de gastos de envío. Empecemos por aquí.

Pongamos un nombre, un apellido y un número cualquiera y pulsemos el botón REGISTER. Entonces escuchamos un pitido y aparece una ventana de mensaje diciendo REGISTRATION KEY FAILED. Ahora ¡pensemos un poco!, apliquemos un poco de ZEN CRACKING.

Lo único anormal es el pitido. Si tu fueras un programador y quisieras que pitará tu "cacharro" tienes dos opciones construirte un bonito programa en ensamblador que lo haga, o bien utilizar una función de pitido presente en alguna de las vomitivas librerías de funciones, también llamadas API. ¿ Qué piensas que ha hecho nuestro "vago" programador ?. ¡Bingo! ha utilizado la función MessageBeep de la librería USER32.DLL. Este un punto de ataque muy claro, aunque existen muchos otros.

Apliquemos la técnica LIVE, es decir, utilizaremos el SoftIce. Reinicialicemos nuestro ordenador en modo Ms-Dos, lancemos el WinIce y volveremos a Windows.

Abramos el LOADER de SoftIce y en FILE/OPEN MODULE seleccionemos el fichero Tekfct95.exe. Pulsemos Load o el botón con las ruedecillas dentadas. Nos aparece una ventana de mensaje del SoftIce diciendo que no puede cargar la tabla de símbolos, pulsemos el botón SÍ y aparecemos directamente en el SoftIce con la pantalla en modo texto. En este momento nos encontramos en la primera sentencia de nuestro programa. Pulsemos bpx messagebeep con esto tomaremos el control antes de que aparezca el pitido. Con Ctrl-D volvemos a Windoce y el programa sigue ejecutándose normalmente pero con un cebo en messagebeep. Elegimos la opción de registro y escribimos cualquier cosa en nombre, apellidos y número de serie, pulsamos el botón y aparecemos de bruces en :

USER32!MessageBeep

014F:BFF623C1 B148 MOV CL,48 **** Aparecemos aquí.****

014F:BFF623C3 EB12 JMP BFF623D7

Si pulsamos en este momento F12(continuar hasta un RET) nos situaremos en:

014F:0047BA65 EB11 jmp 0047BA78

014F:0047BA67 6A30 push 00000030

014F:0047BA69 E822A7F8FF Call 00406190 **** Llamada a MessageBeep****

014F:0047BA6E B8BCBB4700 mov eax, 0047BBBC

014F:0047BA73 E824BEFBFF call 0043789C **** Pintamos la ventana de error ****
En tu ordenador las direcciones de memoria pueden ser diferentes.

¡Sintamos el código!. Estamos en mitad de las sentencias de error, lo que implica que debe haber un salto condicional a este conjunto de sentencias de error. El salto debe ser condicional porque en caso de haber metido correctamente el número de serie habríamos obtenido algún tipo de mensaje de felicitación. Así pues, sólo debemos encontrar ese salto condicional y modificarlo.

Miremos por encima de la dirección 014F:0047BA69, nos encontramos en 014F:0047BA65 un salto incondicional jmp 0047BA78, en una ejecución normal nunca llegaríamos a 0047BA67 ya que siempre saltaríamos a 0047BA78. Por tanto, lo que debemos buscar es un salto condicional a la dirección 0047BA67. Si volvemos hacia atrás un poco con los cursores encontramos este bonito salto

014F:0047B934 E89B73F8FF call 00402CD4

014F:0047B939 0F8528010000 jne 0047BA67 **** ¡BINGO! ****

014F:0047B93F 8D45B7 lea eax, dword ptr [ebp-49]

Hemos encontrado el salto, sólamente hay que modificarlo. Fijaos que el salto se produce después de una llamada a la rutina call 00402CD4 apostaría el pellejo a que esta es una rutina para comprobar si tu número de serie es correcto. Si no es igual (jne) salta a las sentencias de error. Si es igual continua ejecutándose. Hay muchas formas de invertir el salto:

1.- Cambiar 0F8528010000 jne 0047BA67 por

0F8500000000 jne 0047B93F

2.- Cambiar 0F8528010000 jne 0047BA67 por

404840484048 inc eax,dec eax, inc eax, dec eax, inc eax, dec eax

La 1 es un salto neutro, sea igual o no siempre se ejecuta la sentencia siguiente. La 2 es la preferida por +ORC, cambia el salto por un conjunto de parejas incrementar - decrementar que dejan el registro eax sin cambios en su contenido.

Solamente hay que tener en cuenta dos cosas para modificar el código, sustituir siempre el mismo número de bytes (cambias 2 bytes por 2 bytes) y que tus modificaciones sean una sentencia en ensamblador correcta.

El SoftIce nos permite hacer cambios On-Fly, es decir, en ese mismo instante, pero el cambio no es permanente. Para ello, nos vemos obligados a utilizar algún editor hexadecimal, con el cual abriremos el fichero ejecutable, y buscaremos la cadena en hexadecimal E89B73F8FF0F8528010000 y la cambiaremos por E89B73F8FF0F8500000000. La cadena se encuentra en el offset 0X7AD34(los números en hexa llevan delante un 0X) que en decimal es 503092.

Así pues tenemos que irnos al byte 503092 de fichero ejecutable y comenzar a hacer cambios.

Ahora tendremos el ejecutable parcheado, si nos registramos nuestro número de serie siempre será aceptado.

Un crack no es más que un pequeño programa que abre un fichero y cambia un par de bytes por otros. ¡Nada más sencillo! Sólo hay que saber qué bytes hay que cambiar. Cuantos menos bytes se cambien más elegante será el crack.

Si habéis seguido todos los pasos habéis crackeado vuestro primer programa. Aun nos sois cracker pero estáis en la buena senda. Sólo hay que poner interés.

Para gentes más avezadas, comentaré que el flag de activación se iniciativa correctamente en :0047BA5E mov byte ptr [004CF31A],00 La rutina de protección es bastante patética, con gran cantidad de código inactivo. Empieza en :47B5C0. Obviamente se podría haber hecho algún otro tipo de pero este es el más simple (se podría haber obtenido el número de serie real, o haber creado un generador de claves).El programador ha puesta a "pelo" la dirección de retorno en :47BA3F push 47BA54. Es un ridículo truco que nos hará perdernos si continuamos ejecutando normalmente, por ello es conveniente pulsar "F12" y mirar hacia por encima sin ejecutar sentencias.

Espero vuestras opiniones, sugerencias y ensayos en estadoporcino@hotmail.com
En breve analizaremos tipos de protecciones mucho más interesantes.

Recordad bebed de la fuente, buscad a +ORC en la red.

INTRODUCCIÓN

!Saludos Familia !

Empezemos este año con una de las técnicas crack más importantes "El Listado muerto" o "death listing". Hasta ahora hemos visto la "aproximación en vivo" o "live approaching" con el maravilloso Softice.

DESCENSO A LOS INFIERNOS.

Veamos de una vez por todas como se ejecuta una sentencia en el procesador, desde el inicio hasta el final.

Supongamos que estamos programando en un lenguaje de Alto Nivel (C, C++, Pascal,Delphi,Visual Basic). Se llaman de Alto Nivel para diferenciarlos de los lenguajes más próximos al procesador, como el Ensamblador, a los que se llama lenguajes de Bajo Nivel. Cuanto más "Alto" programemos, más control perderemos sobre nuestro programa, y esto es un grave problema.

Supongamos un programa, escrito en Alto Nivel, que pinta la frase "HOLA MUNDO" en pantalla. ¿ Qué pasos se siguen hasta que realmente se pinta la frase?.

Nuestro programa debe de residir en un fichero, al que se denomina fichero fuente, en el que aparece la sentencia para pintar la frase. Este fichero no es entendible por el procesador, sólo es un conjunto de caracteres, mu diferente del conjunto de 0 y 1 que necesita para trabajar. Es aquí donde entra el compilador, transforma el fichero fuente en un fichero intermedio, también llamado fichero objeto. En esta transformación se comprueba la sintaxis de las sentencias ( falta el punto y coma) y la semántica (has pasado un entero cuando se esperaba un real). El compilador realiza entonces una fase de linkado para reunir los distintos ficheros objeto que conforman nuestro programa final (aunque tengamos un único fichero fuente). En esta fase se determinan el mapeo final del program en memoria (que dirección de memoria va a tener cada instrucción del conjunto de ficheros objeto). Tras la fase de linkado, el programa final se encuentra en un lenguaje llamado pseudocódigo, mu sencillote. Aquí se pueden tomar 3 vías.

Primera: Dejar el programa como está, y que otros pogramas o librerías (como la vbrun500.dll de Visual Basic) lo traduzcan (lo interpreten) a sentencias entendibles por el porcesador.

Segunda: Transformar el pseudocódigo a un lenguaje de Bajo Nivel como el ensamblador. En tal caso, se necesitará un compilador de ensamblador para que el programa pueda ser ejecutado. OJO, el ensamblador no es entendible por el tonto procesador que sólo ve unos y ceros, son dos cosas distintas.

Tecera: La más común, transformar directamente de pseudocódigo a ejecutable

Un fichero ejecutable consta de unos y ceros (o de números en hexa, según se mire) ordenados de una forma especial; ordenados en instrucciones: Los 3 primeros números son el tipo de instrucción, los 4 siguientes el operando1, el siguiente el operador...Cada instrucción es depiezada dentro del procesador y dan a lugar a la ejecución de un conjunto de programas presenten dentro del procesador, son las microrutinas. Estas microrutinas son las encargadas de bloquear buses, activar multiplexores, dar tensión a un transistor o no, pa enterndernos. Accionando correctamente buses, multiplexires... se pintará relamete la frase en pantalla.

Bien, esto es todo.

Mu bien y esto pa que coño me sirve.

Existe una correspondencia directa entre lenguaje ensablador y programa ejecutable. Gracias a un desensamblador (W32DASM, IDA PRO), a partir de un ejecutable podemos obtener el programa el lenguaje ensablador sin disponer del fichero fuente. Un program en ensamblador puede ser fácilmente entendido por los humanos (o eso dicen algunos). Esto nos da un poder tremendo a los crackers. Podemos saber como funciona un programa sin necesitar del programa original. Y lo que es má aún, independientemente del lenguaje de Alto Nivel. Todos los lenguajestienen que pasar a ejecutable de alguna u otra forma, y es aquí cuando usamos nuestro desensamblador y extraer su listado en ensablador. Da igual que programa esté hecho en Pascal, O C++, lo entederemos igualmente ya que leeremos ensamblador.

EL LISTADO MUERTO

La idea es sencilla. Cojemos nuestro desensamblador favorito y se lo pasamos al objetivo. Obtendremos un listado en ensamblador de nuestro programa a crackear. La técnica crack se llama Listado muerto porque entenderemos y manejaremos el programa con este listado, sin tener que ejecutarlo, con el programa muerto. A diferencia de cuando lanzamos el SoftIce y entendemos el programa cuando se está ejecuntandose, cuando "vive".

Hay tre ventajas fundaentales para utilizar el Listado Muerto.

- Podemos seguir el programa fácilmemte de atrás hacia adelante, basta con pasar de página, no hace falta volver a ejecutatlo.

- Es mucho más relajado imprimir y estudiar 4 páginas de código que rastrear con el SoftIce. Este es uno de los consejos de +ORC.

- Se descubren pequeños secretos, como rutinas inactivas.

La paciencia y la tranquilidad son dos requisitos fundamentales en un cracker. Es fácil perderte trazando con el SoftIce e imposible con el Listado Muerto.

Manos a la Obra

Una vez desensamblado el objetivo, la idea es buscar cadenas de texto interesantes, como "unregistered", "expired", "congratulations" y mirar al rededor de estas cadenas buscando un salto mágico. Las palabras en concreto dependen del programa y son las que aparecen para recordarte que aún no te has registrado.

CÓMO CRACKEAR UEDIT 5.0

Objetivo: Uedit 5.0.
Versión: 5.0 3/7/97
Nombre del ejecutable: uedit32.exe
Website: http://www.uedit.com
Tamaño del ejecutable: 812.514 bytes.
Tipo de protección: Por número de serie y temporal.
Dificultad: Medio.
Tiempo de crackeo: 5 minutos.
Herramientas: W32dasm8.X, SoftIce.

Siguiendo la recomendación del maestro +ORC, continuamos con el crack a nuestras herramientas de trabajo. En este caso nos encontramos ante un excelente editor hexadecimal, vital para nuestros negocios :-)

Instalemos el programa, ejecutémoslo y veamos lo que nos encontramos. ARRJJ!!, una horrible ventana nos dice que tenemos 45 diás para registranos. Además tiene un bonito botón "Enter Authorization Code". Pulsemos y veamos. Un típico nombre de usario y número de serie (al que le llamaré passwod o pass). Si pulsamos cuaquier guarrada en ambos, sorpresa, ningúm mensaje advirtiendo del error, ningún pitido (recordais el capítulo I), nada excepto una ventana de mensaje que dice que hace falta cerrar el programa para validar el código. ¿Habrá leido Ian D. Mead las lecciones de Estado+Porcino?. Bien, ¿por donde atacar?. No tenemos nada que nos indique que nos hemos equivocado. ¿Que tal si usamos el Listado Muerto amiguitos?

Una vez desensablado el programa y dentro del W32dasm pulsemos el botón de Strn Ref (el boton que está al lado del botón de impresora) para ver las cadenas de caracteres que aparecen en el nuetro objetivo. Que vemos, que casualidad , tenemos la frase "Thank you fot supporting Shareware" , hagamos doble click y veamos donde aparecemos:

* Referenced by a (U)nconditional or (C)onditional Jump at Address: |:00401B77(C) |

:00401B7D 83FB09 cmp ebx, 00000009

:00401B80 7504 jne 00401B86

:00401B82 C645EC20 mov [ebp-14], 20 * Referenced by a (U)nconditional or (C)onditional Jump at

:00401B86 8D45C8 lea eax, dword ptr [ebp-38]

* Possible Reference to String Resource ID=00010: " Thank you for supporting Shareware." |

:00401B89 6A0A push 0000000A

En :00401B89 tenemos una referencia a la cadena que nos interesa. Cada frase del programa tiene asociado un número, en este caso es el 0000000A y este número se les pasa al las rutinas que tienen que imprimir los mensajes. La forma tradicional de pasarle parámetros a una rutina es a través la pila mediante push (como en :00401B89 ). Los parámetros se pasan empezando por el último, es lo que se llama paso de parámetros mediate el modelo de PASCAL, existen otros modelos, pero son poco utilizados.

¿Estamos en el camino adecuado¿, nop, ya que el número de nuestra frase, el 0000000A (en es número 10 en decimal) es muy utilizado en cualquier programa y cada vez que aparezca, el desensamblador pensará que se está haciendo referencia a nuestra frase. Bien pensemos un poco.

Nuestro programa está limitado por 45 días de uso, pasado ese tiempo, lo normal es que nos aparezca una frase deciendo algo así como "Evaluation time expired". Busquemos (Con el botón de la linterna ) la palabra expired pasada a una rutina mediante push a ver que encontramos.

:043F7D3 E8375DFCFF call 0040550F

:0043F7D8 391DDC0C4A00 cmp dword ptr [004A0CDC], ebx

:0043F7DE 758A jne 0043F76A

:0043F7E0 8D4D10 lea ecx, dword ptr [ebp+10]

:0043F7E3 E829C00100 call 0045B811

:0043F7E8 8D4D14 lea ecx, dword ptr [ebp+14]

:0043F7EB C645FC01 mov [ebp-04], 01

:0043F7EF E81DC00100 call 0045B811

* Possible Reference to String Resource ID=00068: "UltraEdit 45 Day Evaluation time expired!!!!" |

:0043F7F4 6A44 push 00000044

BINGO. No sentís el código, no percibis como estamos en el camino correcto.

Si, tenemos en :0043F7F4 un push con el número asociado a la frase que buscamos y justo en :0043F7DE un salto a 0043F76A que evita imprimir el mesaje, pero el punto clave es ver la comprobación del salto en :0043F7D8. Se comprueba si el contenido de EBX es igual a una dirección fija de memoria la [004A0CDC]. Las direcciones fijas son las típicas variables globales tan mal utilizadas en los programas. Tenemos una variable global que controla la aparición de un mensaje de error. En algún punto del programa debe de inicializarse [004A0CDC] con un valor ,si localizamos este trozo de código, estaremos en plena rutina de comprobación. ¿Facil, verdad?

Busquemos [004A0CDC] y veamos quien la inicializa, sólo nos interesan las sentencias que inicializen la variable, no las sentencias que comprueban su valor. Normalmente se inicializa por defecto a un valor de error (indicando que no estamos registrados) y se inicializa corectamente cuando nos registrmemos. Conforme aparecen occurencias de nuestra variable glabal sabemos que estamos en el buen camino porque siempre está rodeada de mensajes de error o de felicitación.

Buscando [004A0CDC] encontramos las siguientes sentencias que modifican la variable (el resto de apariciones son comprobaciones del valor)

:00405541 893DDC0C4A00 mov dword ptr [004A0CDC], edi

:004056A3 891DDC0C4A00 mov dword ptr [004A0CDC], ebx

:004057D4 8325DC0C4A0000 and dword ptr [004A0CDC], 00000000

:00426924 891DDC0C4A00 mov dword ptr [004A0CDC], ebx

:0043F684 C705DC0C4A0001000000 mov dword ptr [004A0CDC], 00000001

Que tenemos aquí. Parece lógico pensar que en :004057D4 tenemos la incialización por defecto, ya que un AND con ceros da cero. La sentencia contraria la tenemos en :0043F684 que mueve 1 a la variable, esto sin duda indica que nos hemos registrado. También podría ser al revés, cero registrado, uno no registrado, pero este no es el caso. Basta ejecutar el Softice y poner bpr 004A0CDC 004A0CDC rw , la primera modificación debe ser la asignación por defecto, en este caso la :004057D4. Por tanto solo debemos centrarnos en la asignación a uno :0043F684, olvidando el resto de asignaciones. Esto es un axioma fundamental ante la duda, elige siempre la solución más sencilla. Bien, veamos que hay entorno a la :0043F684

:0043F65C E89A560300 call 00474CFB

:0043F661 8B7804 mov edi, dword ptr [eax+04]

:0043F664 8B4514 mov eax, dword ptr [ebp+14]

:0043F667 48 dec eax

:0043F668 7478 je 0043F6E2

:0043F66A 48 dec eax

:0043F66B 0F85F9000000 jne 0043F76A

:0043F671 391DDC0C4A00 cmp dword ptr [004A0CDC], ebx

:0043F677 0F85DA010000 jne 0043F857

:0043F67D 833DBC024A0000 cmp dword ptr [004A02BC], 00000000

:0043F684 C705DC0C4A0001000000 mov dword ptr [004A0CDC], 00000001

Tenemos diversos saltos que evitan nuestra asignación a uno. El primer salto, sestá en :0043F668 7478 je 0043F6E2 que tal si lo cambiamos por EB1A jmp 43F684. Osea, siempre saltamos a 43F684 evitando las comprobaciones de :0043F66B y :0043F677.El código EB es la instrucción de salto incondincional JMP, 1A es el número de bytes desde la sentencia condicional hasta la sentencia donde queremos saltar. Fácil, ¿verdad?.

Perfecto, rula. Basta con buscar en el ejecutable uedit32 la secuencia 8B451448747848 y cambiarla por 8B451448EB1A48. Pero hay un peque problema, el crack funciona pero no tenemos un número de serie correcto. En principio basta, pero pensando un poco podremos sacar nuestro propio número de Serie. ¿ Qué se os ocurre?

Sip, exactamante,¿ que tal si le seguimos la pista a nuestro número de serie basura y vemos con quién se comparará? . La pregunata es, donde coloco un bpx para pararme justo antes de que se compruebe mi número de serie. La respuesta es sencilla, en :43F618 (echarle un vistazo al listado muerto) comienza la rutina en la que se asigna a 1 nuestra variable glabal. Este puede ser un buen comienzo. Abrimos el Softice con el uedit, ponemos nuestro nombre Estado+Porcino y un número basura 1212121212121212 . Cerramos el uedit y lanzamos de nuevo el SoftIce poniendo la sentencia bpx 43F618. Aparecemos en :43F618, ahora es el momento de buscan nuestro número de serie con s 30:00 l ffffffff ´12121212´ lo encontramos es :942F9C (esta direcciónpuede cambiar en tu ordenador). Borramos el punto de ruptura anterior con bc 0 y creamos uno nuevo con la dirección donde está nuestra password con bpr 942F9C 942F9C+f rw seguimos adelante con Crtl+D para ver quien caen en buestra trampa. Aparecemos en :40B73A con varios movsd , nuestra password se está copiando en otro sitio. La sentencia movsd, copia caracteres de ees:esi a ees:edi. Pongamos en el SoftIce d ees:edi para ver como realmente se va a copiar, además pongamos otro punto de ruptura en la nueva posición de nuestra password con bpr ees:edi ees:edi+f rw .Curiosamente, si nos movemos un poco con los cursores por ees:edi aparecen las passwords correctas, pero todavía no es el momento. Lancemos de nuevo el SoftIce con Crtl+D y aparecemos en :444FOE ,aquí encontramos una pequeña comprobación, en ecx tenemos nuestra pass (para comprobarlo basta con poner d ecx) y en edx apuntamos a una zona de nuestro nombre, concretamente a "tado+Porcino". Esto no es exactamente lo qu buscamos, así que sigamos adelante con Crtl+D y aparecemos en :444EBO con una comprobación entre edx y ecx a través de al. Curiosamente edx apunta a nuestra pass y ecx apunta a Y2+cHdcBd6=DBC/P este churro es la pass correcta, si seguimos con Crtl+D aparecemos en el mismo sitio con edx apuntando a nuestra pass y ecx apunta a JWKTUUTH02166710 otra pass correcta. A lo largo de la evolución del programa desde sus primeras versiones, se ha cambiado 2 veces de generador de pass por cuestiones de seguridad, ¡qué estúpidos!. Por eso la doble comprobación, ver si nuestra pass es del antiguo generador o del nuevo.

Eso es todo por ahora, no seais unos descerebrados y utilicéis mi pass, buscad la vuestra, es mu sencillote.

Recordad bebed de la fuente, buscad a +ORC en la red.

INTRODUCCIÓN

¡Saludos Familia!

Bastante tiempo desde mi último artículo, lo sé, pero ya estamos de vuelta. Nos ocuparemos ahora de las protecciones temporales, veremos un poco de teoría y lo aprendido lo aplicaremos al programa Norton CrashGuard Deluxe 3.0 desde dos puntos de vista, el temporal y el de la password pa registrarse.

TIPOS DE PROTECCIONES TEMPORALES.

UN POCO DE TEORÍA

EN BUSCA DE LA FRASE MÁGICA

EL REGISTRO DEL SISTEMA

CÓMO CRACKEAR Norton CrashGuard Deluxe 3.0

Objetivo: Norton CrashGuard Deluxe 3.0.
Versión: 3.0
Nombre del ejecutable: ncgd3w95.exe
Website: http://www.symantec.com
Tamaño del ejecutable: 11.964.671 bytes.
Tipo de protección: Cinderella.
Dificultad: Medio.
Tiempo de crackeo: 2 horas.
Herramientas: W32dasm8.X, SoftIce.

En esta ocasión, nuestro objetivo es una gran y abominable compañia, la Symantec y uno de sus muchos y abominables producto: Norton CrashGuard Deluxe 3.0 Básicamente, el programa consigue, en algunas ocasiones, que las aplicaciones que se cuelgan no bloqueen al Windoze. Cosa de agradecer dado el alto índice de siniestralidad de las aplicaciones y del propio Windoze. Además de tener una B.D de información sobre el PC, una antivirus ... Se protege con protección temporal CINDERELLA de 30 días.

PRIMERA EXPLORACIÓN

PRIMERA SORPRESA

SEGUNDA SORPRESA

Recordad bebed de la fuente, buscad a +ORC en la red.

INTRODUCCIÓN

¡Saludos Familia!

Aprovechando las vacas estivales me he decidido por escribir un bonito Generador de Llaves (en inglés KeyGen) para un útil programa de reparación de discos duros y disquetes. Como siempre un poco de Teoría para que podamos entendernos.

Generadores de Llaves.

¿Es posible crear un Generador de Llaves?

¿Pos mu bien, pero que necesito pa hacer un Generador de Llaves?

¿Merece la pena hacer un Generador?

Generador de Llaves para REVIVAL 2.1

Objetivo: REVIVAL 2.1

Nombre: revive21.zip
Tamaño: 874.644 bytes
Versión: 2.1
Site: http://uc2.unicall.be/revival/
Herramientas: SoftIce,W32dasm o IDA 3.75 y un compilador de C.
Dificultad: No mu difícil.
Tiempo: 5 horas.

Este es un interesante programa que te permite recuperar ficheros borrados de discos duros y disquetes que soporta FAT32 y NTFS. Tiene una típica ventana de registro a partir de la cual podemos acceder directamente a la rutina de verificación de la pass. Esta rutina es extremadamente sencilla e independiente de los datos del usuario, por eso ha sido la elegida como demostración.

Aconsejo desensamblar con el IDA PRO 3.75(una pequeña maravilla de desensamblador). Se puede hacer con el W32dasm pero el IDA nos da más información y nos ahorra trabajo. Por ejemplo descubre de forma automática rutinas (_touper, isdigit...) que no son reconocidas como tales por el W32dasm.

Bien, manos a la obra, desensamblemos con el IDA.

¿Ya está?
Bien, ahora sólo hay que localizar la rutina de verificación. Empleemos un viejo truco: el 80% de las rutinas de verificación intentan localizar el carácter '-' (2D en hexa) o el carácter '+' (2B en hexa).
No me preguntéis por qué, pero lo hacen. Sólo hace falta buscar un 2Dh o un 2Bh y con un poco de suerte aterrizaremos en plena rutina de verificación. Debemos buscar una comprobación con 2Dh o bien 2Bh, pero como las comprobaciones pueden ser de muchos tipos , sólo buscaremos la parte final de la comprobación.

Resumiendo, buscaremos ", 2Dh" y ", 2Bh". En caso de existir demasiadas ocurrencias, mejor decantarse por otro método de ataque. Al final es el olfato de cracker el que te indica si estás en la ocurrencia correcta o no.
En este caso hay 20 ocurrencias de "2D" y 18 de "2B". UFF, quizás demasiadas (de hecho es la primera ocurrencia de "2D" la correcta), así que probemos un método más directo con el Softice.

Metemos como nombre ESTADO, como campañía PORCINO y como número de serie estúpido por ejemplo 1212121212. CTRL+D y le damos al botón de OK y aparece una ventana de error.

Esta ventana se parece a un messageboxexa (por su simplicidad y por el icono en forma de exclamación y por el único botón que aparece). Si repetimos el mismo proceso pero poniendo en el softice bpx messsageboxexa y pulsamos el botón de OK ...
Bingo, aparecemos en la rutina de messageboxexa. Sólo hay que seguir la secuencia de llamadas hacia atrás buscando un salto que evite llamar a la ventana de mensaje de error. La secuencia de pasos es:

* Paramos en bpx messageboxexa
* Pulsamos F12 para llegar a la rutina padre que llamó a messageboxexa.
* Aparecemos en :4313CA pero por se ve ningún salto que evite la llamada a messageboxexa.
* Pulsamos F12 para seguir subiendo hasta la rutina padre.
* Aparecemos en :43145D. Pero de nuevo nada interesante.
* De nuevo F12 y ....
* Aparecemos en :40CAAC8, esta si tiene lo que buscamos, exactamente.

0040AA6C		 call	 sub_40CD10 ; RUTINA DE VERIFICACIÓN
0040AA71		 add	 esp, 4
0040AA74		 test	 eax, eax
0040AA76		 jz	 short loc_40AABA; SALTA SI ERES UN MAL CRACKER.
0040AA78		 mov	 dword ptr [esi+5Ch], 1
0040AA7F		 mov	 eax, [esi+64h]
0040AA82		 push	 eax
0040AA83		 push	 offset	aName;NOMBRE.
0040AA88		 call	 sub_40AD70
0040AA8D		 add	 esp, 8
0040AA90		 mov	 eax, [esi+60h]
0040AA93		 push	 eax
0040AA94		 push	 offset	aCompany;COMPAÑÍA.
0040AA99		 call	 sub_40AD70
0040AA9E		 add	 esp, 8
0040AAA1		 mov	 eax, [edi]
0040AAA3		 push	 eax
0040AAA4		 push	 offset	aSerial;NÚMERO DE SERIE.
0040AAA9		 call	 sub_40AD70
0040AAAE		 add	 esp, 8
0040AAB1		 mov	 ecx, esi
0040AAB3		 call	 sub_42550E
0040AAB8		 jmp	 short loc_40AACF
0040AABA ; ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
0040AABA 
0040AABA loc_40AABA:				 ; CODE	XREF: sub_40AA20+56_j
0040AABA		 push	 0FFFFFFFFh
0040AABC		 push	 30h
0040AABE		 push	 0EF1Fh      ; DIRECCION DEL MENSAJE DE ERROR 
0040AAC3		 call	 sub_431413  ; VENTANA DE MESAJE DE ERROR  
0040AAC8		 mov	 ecx, esi
0040AACA		 call	 sub_425527
0040AACF 
0040AACF loc_40AACF:				 ; CODE	XREF: sub_40AA20+98_j
0040AACF		 push	 0FFFFFFFFh
0040AAD1		 mov	 ecx, edi
0040AAD3		 call	 sub_429A33
0040AAD8		 pop	 edi
0040AAD9		 pop	 esi
0040AADA		 retn	 
0040AADB ; ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
0040AADB 
0040AADB loc_40AADB:				 ; CODE	XREF: sub_40AA20+25_j
0040AADB					 ; sub_40AA20+40_j
0040AADB		 push	 0FFFFFFFFh
0040AADD		 push	 30h
0040AADF		 push	 0EF1Eh
0040AAE4		 call	 sub_431413
0040AAE9		 pop	 edi
0040AAEA		 pop	 esi
0040AAEB		 retn	 
0040AAEB sub_40AA20	 endp

0040CD10 sub_40CD10	 proc near		 ; CODE	XREF: sub_404600+98_p
0040CD10					 ; sub_40AA20+4C_p
0040CD10 
0040CD10 var_24		 = byte	ptr -24h ; 1 variable local.
0040CD10 var_20		 = word	ptr -20h ; 2 variable local.
0040CD10 var_1E		 = byte	ptr -1Eh ; 3 variable local.
0040CD10 var_1B		 = byte	ptr -1Bh ; 4 variable local.
0040CD10 arg_0		 = dword ptr  4  ; Argumento de la función que no es más que la dirección de nuestra password. 
0040CD10 
0040CD10		 sub	 esp, 24h; Ajusta la pila para reservar espacio para las varibles locales.
0040CD13		 push	 ebx; Guarda algunos registros.
0040CD14		 push	 esi
0040CD15		 mov	 esi, [esp+2Ch+arg_0]  ; esi= dirección de nuestra password.
0040CD19		 push	 edi
0040CD1A		 movsx	 eax, byte ptr [esi]   ; eax=p(0)
0040CD1D		 push	 eax
0040CD1E		 call	 _toupper              ; Pasamos a mayúsculas p(0).
0040CD23		 add	 esp, 4
0040CD26		 cmp	 eax, 52h              ; ¿ES P(0) = R?
0040CD29		 jnz	 loc_40CE7F            ; Salta a flag de error si p(0) no es R.
0040CD2F		 movsx	 eax, byte ptr [esi+1] ; eax=p(1)
0040CD33		 push	 eax
0040CD34		 call	 _toupper              ; Pasamos a mayúsculas p(1).
0040CD39		 add	 esp, 4
0040CD3C		 cmp	 eax, 56h              ; ¿ES P(1) = V?
0040CD3F		 jnz	 loc_40CE7F            ; Salta a flag de error si p(1) no es V.
0040CD45		 cmp	 byte ptr [esi+7], 2Dh ; ¿ES P(7) = '-'?
0040CD49		 jnz	 loc_40CE7F            ; Salta a flag de error si p(7) no es '-'.
0040CD4F		 push	 esi
0040CD50		 call	 ds:lstrlenA           ; Calcula el tamaño de la password.
0040CD56		 cmp	 eax, 0Fh              ; ¿Es el tamaño 15?
0040CD59		 jnz	 loc_40CE7F            ; Salta a flag de error si el tamaño no es 15    
0040CD5F		 mov	 edi, 2                ; Segundo carácter.
0040CD64 
0040CD64 loc_40CD64:				 ; CODE	XREF: sub_40CD10+6D_j
                                                          
                         ;Bucle para comprobar que son números p(2)...p(6)            
0040CD64		 movsx	 eax, byte ptr [edi+esi]; eax=p(2)
0040CD68		 push	 eax                
0040CD69		 call	 _isdigit               ; ¿es un número p(2)?
0040CD6E		 add	 esp, 4
0040CD71		 test	 eax, eax
0040CD73		 jz	 loc_40CE64             ; Salta con flag de error si p(2) no es número.
0040CD79		 inc	 edi                    ; Apuntamos al siguiente carácter.
0040CD7A		 cmp	 edi, 7                 ; ¿Hemos llegado a p(7)?
0040CD7D		 jl	 short loc_40CD64       ; Salta si no hemos llegado a p(7). 
0040CD7F		 mov	 edi, 8                 ; Octavo carácter.

			 ;Bucle para comprobar que son números p(8)...p(14)
0040CD84 
0040CD84 loc_40CD84:				 ; CODE	XREF: sub_40CD10+8D_j
0040CD84		 movsx	 eax, byte ptr [edi+esi];; eax=p(8)
0040CD88		 push	 eax
0040CD89		 call	 _isdigit        ;¿es un número p(8)?
0040CD8E		 add	 esp, 4
0040CD91		 test	 eax, eax
0040CD93		 jz	 loc_40CE6D      ; Salta con flag de error si p(8) no es número.
0040CD99		 inc	 edi             ; Apuntamos al siguiente carácter.
0040CD9A		 cmp	 edi, 0Fh        ; ¿Hemos llegado a p(15)?  
0040CD9D		 jl	 short loc_40CD84; Salta si no hemos llegado a p(15). 
0040CD9F		 mov	 ax, [esi+2]     ; ax=p(2)p(3)  
0040CDA3		 mov	 [esp+30h+var_20], ax
0040CDA8		 lea	 eax, [esp+30h+var_20]
0040CDAC		 mov	 [esp+30h+var_1E], 0
0040CDB1		 push	 eax     
0040CDB2		 call	 _atoi           ;Pasa p(2)p(3) a número. 
0040CDB7		 mov	 cx, [esi+5]     ;cx=p(5)p(6)
0040CDBB		 add	 esp, 4
0040CDBE		 mov	 [esp+30h+var_20], cx
0040CDC3		 sub	 al, 13h         ; al=p(2)p(3)-19  
0040CDC5		 lea	 ecx, [esp+30h+var_20]
0040CDC9		 mov	 [esp+30h+var_24], al
0040CDCD		 mov	 [esp+30h+var_1E], 0
0040CDD2		 push	 ecx
0040CDD3		 call	 _atoi            ;Pasa p(5)p(6) a número. 
0040CDD8		 lea	 edx, [esp+34h+var_20];
0040CDDC		 add	 esp, 4
0040CDDF		 lea	 ebx, [eax-25h]   ;ebx=p(5)p(6)-37
0040CDE2		 lea	 ecx, [esi+0Ah]   ;ecx=dirección de p(10)
0040CDE5		 push	 edx
0040CDE6		 mov	 eax, [ecx]       ;ebx=p(10)p(11)p(12)p(13)
0040CDE8		 mov	 [edx],	eax
0040CDEA		 mov	 cl, [ecx+4]      ;cl=p(14) 
0040CDED		 mov	 [edx+4], cl
0040CDF0		 mov	 [esp+34h+var_1B], 0
0040CDF5		 call	 _atoi            ;Pasa p(10)p(11)p(12)p(13)p(14) a número. 
0040CDFA		 add	 esp, 4
0040CDFD		 mov	 edi, eax
0040CDFF		 xor	 di, 5468h        ;di=p(10)p(11)p(12)p(13)p(14) XOR 21508 
0040CE04		 mov	 ax, [esi+8]      ;ax=p(8)p(9)
0040CE08		 mov	 [esp+30h+var_20], ax
0040CE0D		 lea	 eax, [esp+30h+var_20]
0040CE11		 mov	 [esp+30h+var_1E], 0
0040CE16		 movzx	 edi, di
0040CE19		 push	 eax 
0040CE1A		 call	 _atoi            ;Pasa p(8)p(9) a número. 
0040CE1F		 mov	 byte ptr [esp+34h+var_20], al
0040CE23		 add	 esp, 4
0040CE26		 xor	 eax, eax
0040CE28		 mov	 ecx, 64h
0040CE2D		 mov	 al, bl             ;al=p(5)p(6)-37
0040CE2F		 mov	 ebx, 0Ah
0040CE34		 lea	 eax, [eax+edi+3]; eax'=(p(5)p(6)-37)+(p(10)p(11)p(12)p(13)p(14) XOR 21508) + 3
0040CE38		 cdq	 
0040CE39		 idiv	 ecx             ;Divide eax'/100
0040CE3B		 mov	 cl, dl          ;cl=resto(eax'/100)
0040CE3D		 xor	 eax, eax
0040CE3F		 mov	 al, [esp+30h+var_24]
0040CE43		 lea	 eax, [eax+edi+3]; eax=(p(2)p(3)-19)+(p(10)p(11)p(12)p(13)p(14) XOR 21508) + 3
0040CE47		 cdq	 
0040CE48		 idiv	 ebx             ;Divide eax/10
0040CE4A		 sub	 dl, [esi+4]     ;dl=resto(eax/10)-p(4)
0040CE4D		 cmp	 dl, 0D0h        ;¿Es resto(eax/10) = p(4)?
0040CE50		 jnz	 short loc_40CE76;Salta a flag de error si resto(eax/10) no es p(4)
0040CE52		 cmp	 byte ptr [esp+30h+var_20], cl;¿Es resto(eax'/100) = p(8)p(9)?
0040CE56		 jnz	 short loc_40CE76;Salta a flag de error si resto(eax'/100) no es p(4)
0040CE58		 mov	 eax, 1          ; Ok todo correcto. Flag de éxito activado. 
0040CE5D		 pop	 edi
0040CE5E		 pop	 esi
0040CE5F		 pop	 ebx
0040CE60		 add	 esp, 24h
0040CE63		 retn	 
0040CE64 ; ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
0040CE64 
0040CE64 loc_40CE64:				 ; CODE	XREF: sub_40CD10+63_j
0040CE64		 xor	 eax, eax        ; Eres un mal chico.Flag de error activado.
0040CE66		 pop	 edi
0040CE67		 pop	 esi
0040CE68		 pop	 ebx
0040CE69		 add	 esp, 24h
0040CE6C		 retn	 
0040CE6D ; ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
0040CE6D 
0040CE6D loc_40CE6D:				 ; CODE	XREF: sub_40CD10+83_j
0040CE6D		 xor	 eax, eax        ; Eres un mal chico.Flag de error activado.
0040CE6F		 pop	 edi
0040CE70		 pop	 esi
0040CE71		 pop	 ebx
0040CE72		 add	 esp, 24h
0040CE75		 retn	 
0040CE76 ; ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ

Resumamos los momentos más interesantes de la rutina de verificación:

A)0040CD26		 cmp	 eax, 52h              ; ¿ES P(0) = R?
B)0040CD3C		 cmp	 eax, 56h              ; ¿ES P(1) = V?
C)0040CD45		 cmp	 byte ptr [esi+7], 2Dh ; ¿ES P(7) = '-'?
D)0040CD56		 cmp	 eax, 0Fh              ; ¿Es el tamaño 15?
E)0040CD64 		 ;Bucle para comprobar que son números p(2)...p(6)
F)0040CD84		 ;Bucle para comprobar que son números p(8)...p(14)
G)0040CDC3		 sub	 al, 13h               ; al=p(2)p(3)-19  
H)0040CDDF		 lea	 ebx, [eax-25h]        ; ebx=p(5)p(6)-37
I)0040CE34		 lea	 eax, [eax+edi+3]      ; eax'=(p(5)p(6)-37)+(p(10)p(11)p(12)p(13)p(14)                      
                                                      XOR 21508) + 3
J)0040CE3B		 mov	 cl, dl                ; cl=resto(eax'/100)
K)0040CE43		 lea	 eax, [eax+edi+3]      ; eax=(p(2)p(3)-19)+(p(10)p(11)p(12)p(13)p(14) 
                                                      XOR 21508) + 3
L)0040CE4D		 cmp	 dl, 0D0h              ;¿Es resto(eax/10) = p(4)?
M)0040CE52		 cmp	 byte ptr [esp+30h+var_20], cl;¿Es resto(eax'/100) = p(8)p(9)?.

Por A),B),C),D),E) y F) sabemos que la password debe de tener este aspecto:

	00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15
        R  V  x  x  x  x  x  -  x  x  x  x  x  x  x  x  

Donde x es un número del 0 al 9.

Despues hay dos bonitas ecuaciones:


Por H),I),J) y M)

	I) p(8)p(9)=resto( (p(5)p(6)-0x25)+(p(10)p(11)p(12)p(13)p(14) XOR 21508) + 3) / 0x64)

Por G),K),L)
	II) p(4)=resto((p(2)p(3)-0x13)+(p(10)p(11)p(12)p(13)p(14) XOR 21508) + 3) / 0x0A)

VER CODIGO FUENTE DEL GENERADOR

Notas para los lectores.

Recordad bebed de la fuente, buscad a +ORC en la red.

INTRODUCCIÓN

Victima: Multimedia Builder 3.0
Site: www.mediachance.com
Herramienta: Nuestro amado Sice y Zen crack.

Hoy es un día de Heineiken,Café de de Kenya,Moskovkaya,Guiness,Mahon y mujeres.

Bueno, ya estamos de vuelta con un nuevo truco bajo el brazo: "Crack en Color" que lo aplicaremos a nuestro conejillo de indias, el excelente Multimedia Builder. Un programa para crear aplicacniones que incluyen sonido, imagen,video. Se programa al estilovisual de VB . No os perdais el reproductor de CD que viene con el ejemplo.

UN PRIMER VISTAZO

PRIMER OSTIAZO

ZEN CRACK

CRACK EN COLORES

COLORREF SetBkColor(HDC hdc,	// handle of device context  
                    COLORREF crColor 	// background color value
                    );	
The COLORREF value is a 32-bit value used to specify an RGB color. 
When specifying an explicit RGB color, the COLORREF value has the following hexadecimal form: 
0x00bbggrr  

Antes de la llamada ESP=000
	Llamada             ESP=Dirección de retorno. (palabra de 4 bytes)
			    ESP+4=parámetro HDC.(palabra de 4 bytes)
                            ESP+8=segundo parámetro

CONCLUSIÓN

Notas para los lectores.

Recordad bebed de la fuente, buscad a +ORC en la red.