Brand
From UIC
Brand: Una specie di uncripting
Contents |
| Infos | |
|---|---|
| Author: | CyberPK |
| Email: | 
|
| Website: | |
| Date: | 18/03/2002 (dd/mm/yyyy) |
| Level: | 
|
| Language: | Italian 
|
| Comments: | Ragazzi sapevo che sarebbe stato semplice crackarlo ma nn pensavo fino a questo punto :PPP |
Cyb grazie ma guai a te se alla prox non mi mandi un tute serio :) nd. Que
Introduction
Bhè ragazzi questo crack-me nn sarà molto difficile. Ci vuole solo un po di cervello.
Tools
Per questo crackme io nn ho utilizzato nessun tool. Solo il cervello e una calcolatrice hex. Se sono bastati a me devono bastare anche a voi.
Link e Riferimenti
Questo è il Crackme n°42 disponibile alla pagina Crackme 26 - 50 e si chiama Brand.
Sto crackme è stato addato il 07/03/2002 da Que. Purtroppo nn ho avuto tempo di vedere gli aggiornamenti alla uic e perciò visto che sono ammalato da 3 giorni ne ho approfittatto. Sono però rimasto deluso visto che l'ho finito in meno di 1/2 ora :P Pensavo durasse di +. Oggi è... il 18 :PP. Non scordatevi dei papà domani che è la festa del papà :PP
Notizie sul Programma
Bhè sto crackme si presenta con 2 exe in VB6SP5 e 1 file con estenzione .dat .
Questi sono i file:
1)brandDemo.exe
2)brandReg.exe
3)brandFull.dat
L'obbiettivo è ottenere la finestra con scritto "Versione completa!".
Comunque leggete il file Leggimi.txt allegato al crackme.
Essay
Bimbi cominciamo. Avviamo l'exe 1... maccome è scritto piccolo "Questa è una demo" :PP. Clicchiamo su Registrami. uhm... scompare la finestra e in alto cambia pure l'icona che ora ha un semaforo con la luce gialla anzichè rossa....vabbè. Mettiamo un codice ad cazzum. Uarghhhh e quanto cazzo ci mette a controllare...Ma aspetta aspetta aspetta ....aveva creato un nuovo file che poi ha cancellato quando si è accorto che nn andava bene..... uhm....... Mhà. Ora però controlliamo una cosa per veder se un mio sospetto è fondato. Doppio click sull'exe 2 .... "nn può essere usato in questo modo".... ma allora... bhà. Secondo me l'applicazione 1 si avvia tu fai click su registrami. L'applicazione 1 ti chiede una pass (che in realtà è un parametro) poi si chiude e apre la 2 passandogli come parametro il codice che noi avevamo digitato prima. Controlliamo. Start -> esegui Command bene ora abbiamo una finestra dos. Da qui andiamo nella directory dove c'è il crackme e scriviamo brandreg.exe 1234 . Cazzo spunta la finestrella di prima che sta controllando il nostro serial. Uhm....... Ma perchè ci mette tanto???? Io ho un sospettino...... Ma quel cazzo di file brandFull.dat a che serve per bellezza?? Bho vediamo cosa contiene...bleahh merda....ma...ma...perchè c'è ripetuta in continuazione quel codice???? 1377713777-bRaNd-PROVA-BrAnD- guardando bene il file con un hexeditor sembrebbe la struttura di un eseguibile.....
Secondo me lo!!! e tutti quei 1377713777-bRaNd-PROVA-BrAnD- ripetuti nn sono altro che gli 0!!!! Quindi questo è il codice. Ma in che modo va inserito??? partendo dall'1 ?? partendo dal 7?? Partendo dalla P di prova??Bho.
Ripetiamo. Cosa fa il crackme???
Bhè sicuramente succede questo
Avviamo 1 e poi facciamo click su registrami. Digitiamo la nostra pass. 1 si chiude e si apre 2 con il nostro codice passato come parametro. Allora comincia a "decrittare" brandFull.dat in modo corretto se il codice inserito è giusto.
Benissimo allora ora come facciamo a capire come dobbiamo inserirlo?????. In un lampo di genio ho pensato "Cazzo circa 70h byte della parte iniziale di ogni exe è uguale!!!". Infatti è così; se notate da "MZ" a "this program cannot be run under dos" è di pressochè uguale in ogni eseguibile in special modo quelli compilati dallo stesso compilatore saranno *uguali*. Allora ho aperto brandFull.dat con l'hexeditor e ho aperto anche brandDemo.exe. Qui ho cercato possibili coincidenze e le ho trovate!!!.
Se sottraiamo al 1° byte del file brandFull.dat il 1° del file brandDemo.exe abbiamo come risultato 1. Continuando a fare questo lavoretto anche con i byte successivi noteremo che praticamente il codice era in questo ordine 13777-bRaNd-PROVA-BrAnD-13777.
Bene proviamo!!!. Avvio il crackme; mi registro mettendo questo codice....lui elabora.... ecco che abbiamo il nostro bel file "decriptato". Spariranno inoltre brandDemo.exe e brandFull.dat .
Con questo ho finito :P Spero di essere stato chiaro :PP. A proposito auguratemi buona fortuna visto che domani dovrò fare un compito di fisica e io come uno scemo (IhihiHIHIHihiHi) mi sono messo a scrivere sto tut del cazzo ::PPP nn me ne vogliate ne voi che leggete ne Geddon :PP.
Note Finali
Sto crackme nn era molto bastardo ma se AndreaGeddon faceva una routine che salta gli 00 degli exe e magari ci metteva un xor anzichè una semplice sottrazione nn avrei proprio scritto questo tute :PPP. Spero di essere stato chiaro in tutto quel che ho detto :P. Se nn lo sono stato dimmelo che magari cerco di migliorare qualcosa in favore della chiarezza :Þ Comunque saluto tutti quelli che conosco inclusi tutti i frequentatori di #crack-it e #asm. Tra di questi in questo momenti ricordo Quequero (come dimenticarlo visto che l'indirizzo della uic ha il suo stesso nick :P) TheMR, Andreageddon, NikDH, SonGoten, Pbdz, lee, Dades (Si quel lamero :P[vabbè scherzo :D]), Albe, Spider (che mi sta facendo soffrire col tarantula), D31mos, Master^Shadow, True-love, Cieli, Case, x86 ecc. ecc.. ecc... Non me ne vogliate se nn vi ho nominato ma alcuni nomi si sono persi nella mia scatola cranica :P. Comunque saluto e ringrazio tutti quelli da cui ho imparato qualcosa (vedi RingZer0 & C.).
Disclaimer
I documenti qui pubblicati sono da considerarsi pubblici e liberamente distribuibili, a patto che se ne citi la fonte di provenienza. Tutti i documenti presenti su queste pagine sono stati scritti esclusivamente a scopo di ricerca, nessuna di queste analisi è stata fatta per fini commerciali, o dietro alcun tipo di compenso. I documenti pubblicati presentano delle analisi puramente teoriche della struttura di un programma, in nessun caso il software è stato realmente disassemblato o modificato; ogni corrispondenza presente tra i documenti pubblicati e le istruzioni del software oggetto dell'analisi, è da ritenersi puramente casuale. Tutti i documenti vengono inviati in forma anonima ed automaticamente pubblicati, i diritti di tali opere appartengono esclusivamente al firmatario del documento (se presente), in nessun caso il gestore di questo sito, o del server su cui risiede, può essere ritenuto responsabile dei contenuti qui presenti, oltretutto il gestore del sito non è in grado di risalire all'identità del mittente dei documenti. Tutti i documenti ed i file di questo sito non presentano alcun tipo di garanzia, pertanto ne è sconsigliata a tutti la lettura o l'esecuzione, lo staff non si assume alcuna responsabilità per quanto riguarda l'uso improprio di tali documenti e/o file, è doveroso aggiungere che ogni riferimento a fatti cose o persone è da considerarsi PURAMENTE casuale. Tutti coloro che potrebbero ritenersi moralmente offesi dai contenuti di queste pagine, sono tenuti ad uscire immediatamente da questo sito.
Vogliamo inoltre ricordare che il Reverse Engineering è uno strumento tecnologico di grande potenza ed importanza, senza di esso non sarebbe possibile creare antivirus, scoprire funzioni malevoli e non dichiarate all'interno di un programma di pubblico utilizzo. Non sarebbe possibile scoprire, in assenza di un sistema sicuro per il controllo dell'integrità, se il "tal" programma è realmente quello che l'utente ha scelto di installare ed eseguire, né sarebbe possibile continuare lo sviluppo di quei programmi (o l'utilizzo di quelle periferiche) ritenuti obsoleti e non più supportati dalle fonti ufficiali.
