Cible :	jB Crypto KeygenMe #1
Outils :	- Softice ( ou autre debugger )
	- Icedump ( juste pour moi pour les captures d'écran )
	- IDA / W32Dasm
	- RSA Tool v2.7 de the Egoiste!
	- CryptoCal v1.2 de Christal

NB :
J'espère que la police " Courier " est installé sur votre PC !

Ce "#Eg" est un élément très significatif d'un HASH.... mais le mieux reste à venir en regardant le désassemblage :

Vous le voyiez rapidement sur W32Dasm, car ce sont les premières lignes du désassemblage.

Regardez via Internet pour ces valeurs ou dans le tut de Christal ou dans votre mémoire de crypto-Keygenneur, vous aurez le même résultat :
Initialisation d'un HASH de type MD5, RipeMD ou SHA1.
On présume déjà de l'utilisation d'un HASH.


2 - Identification du premier ennemi...

Le Keygen est écrit avec TASM et on reconnait sans peine d'ailleurs la structuration interne.
Je rentre mes informations (Lisegrim/321654), je pose bpx GetDlgItemTextA et je mets mon curseur sur l'une des EditBox (nom/serial) pour activer la gestion de celle-ci.

Ok, alors, eax a été modifié après ce call mystérieux, je regarde vers quoi il pointe :

D'accord, donc notre "Lisegrim" a été transformé...
Je regarde les arguments de ce call :

C'est plutôt faible en informations cryptographique ! ( pas de clé, d'adresse d'une table de caractéres, etc )
Je pencherai pour le HASH :)

Je décide de jeter un BREF regard dans ce call :

On a déjà vu cette adresse 401000 en désassemblant :)

Alors, on a bien l'utilisation d'un HASH :)
Sortons du call du HASH pour revenir à la routine.

Alors ici, pour comprendre rapidement le call, il faut juste mettre toute la chaine ASCII en 004041BC à 00 hexa.
Après passage du call, l'espace mémoire 004041BC est rempli de la chaine ASCII.

Le buffer qui va récupérer la transformation ASCII n'est pas nettoyé à chaque passage...
On avait donc la précédente transformation ASCII.

Le call convertit les bytes du HASH en String ASCII.

56h, 52h, 8Dh, 24h, F1h, F2h, E1h, 69h, 7Bh, EBh, 94h, ABh, 1Eh, 30h, AFh, 2Dh
--> String "56528D24F1F2E1697BEB94AB1E30AF2D"

Ok, fesons une pause pour faire le point :

HASH ( Lisegrim ) = 56528D24F1F2E1697BEB94AB1E30AF2D

Mettons un nom sur ce HASH !
Pour cela, je prends Cryptocalc de Christal et je vais dans la section HASH et coche RipeMd, MD, SHA.

Ok, Ripe MD 128...


3 - Identification du deuxième ennemi...

Continuons notre analyse de la routine.

jB s'assure juste d'avoir un buffer propre avant de récupérer le serial.

Passons à la suite...

Ok, pareil qu'avant, pour voir le rôle du call, il faut passer tout à 00 hexa en 0040418A, car le keygenme ne nettoie pas cette zone après utilisation.
On a donc :

"321654" --> 32h,16h,54h (= 3 bytes utilisés)

Les datas donnent en mémoire :

Donc là, on a visiblement le passage de notre nom dans un truc qui utilise 2 data.
Là, on réfléchit quelques secondes pour faire une supposition :)

Constatation n°1 :
On sait que le crackme est écrit en ASM... pas trop propice pour trouver des sources crypto à priori...
On mise sur le fait que jB n'a pas pu nous trouver une crypto "exotique" :)
RSA est en vogue...

Constatation n°2 :
Hum... d'autant que RSA demande 2 valeurs ( une clé publique et un Modulus ) pour crypter une information...
Cela devient fortement plausible !

On va tenter la piste RSA...
Si on s'est trompé, on testera sur une autre crypto.
Déjà, j'exclue El Gamal pour le manque de data pushés.

------------------------------ Note ------------------------------------------------
Au moment où j'ai attaqué ce KeygenMe, c'était Dimanche soir...
Je n'ai pas accés à Internet et j'utilise des cybercafés pour y avoir accès.

Vous avez donc sur moi, un avantage ! Vous pouvez aller chercher sur Google... pas moi !

Ce n'est pas de la flatterie intellectuelle que je me fais, mais c'est pour expliquer que maintenant je vais trouver la voie et la compréhension dans un souvenir.
Vous, vous pourrez le faire en fesant une recherche sur Google sur les sources RSA et sur des tuts de cracking sur RSA :)
( Rien ne sort du chapeau ! )
-----------------------------------------------------------------------------------------

J'avais entendu que The Egoiste! avait sorti une source ASM pour RSA sur son site, malheureusement disparu depuis un moment :(
Aussi, j'ai un grand nombre de Crackme à disposition sur mon PC et j'ai retrouvé son "Trial TMG KeygenMe n°2" utilisant RSA...
Je me suis mise à désassembler le crackme sans vraiment d'espoir...

Et c'est là que les choses sérieuses commencent !

Ok, alors déjà on repére des similarités... qui ne cessent de s'accumuler en avançant dans les 2 désassemblages ! ( je n'ai pas tout mis ! )
Il y a quelques différences qui viennent d'une altération de la source de tE! pour son Trial KeygenMe afin de déstabiliser le compétiteur :)
Cette réponse me vient de crypto4newbie 1 de Christal qui a fait l'étude de ce KeygenMe !

D'accord, alors non seulement on sait quel est la crypto, mais en plus on connait la provenance de la source et son auteur !
C'est royal pour la Keygennisation Crypto :)

Reprenons les informations trouvées :

Ok alors pour RSA, on doit avoir un Modulus + une clé publique.
Hi hi, à votre avis, (1) et (2), cela ne pourrait pas être cela ? :)

Le truc aussi que l'on apprend via cette source, c'est que tE! formate ses data de la façon suivante : ( information issue de Crypto4Newbie de Christal, toujours et encore :) )

------------------------------ Note ------------------------------------------------
C'est ce formatage qui m'a poussé à releaser ma solution plutôt que de vous laisser continuer à chercher.
-----------------------------------------------------------------------------------------

Ok, maintenant, on a trouvé nos informations :

Modulus = N = 86ADBCFBC23A91653F048B24A64A20BE0418E279
Clé Publique = E = DA202C91

Le modulus étant le garant de la sécurité du RSA, autant qu'il soit grand ! ( Ce qui donne l'indice des ordres par rapport à la Clé publique. )

Vous voulez connaitre la valeur de notre RSA ?
Et bien je vous l'ai déjà donné 160 bits ! Donc RSA 160...

Attendez la suite, je vous donnerai le moyen de l'obtenir via RSA Tool.


Reprenons la routine...

Mon serial crypté, qui est en bytes en mémoire, est transformé en chaine ASCII.

3Ah, 5Bh, A0h, C3h, F8h, 61h, 50h, ABh, EAh, 2Dh, ADh, 73h, 17h, B5h, 0Ah, 10h
--> "3A5BA0C3F86150ABEA2DAD7317B50A10"

Et maintenant le grand final :

Ok, alors pour résumer les tests :

Ripe-MD_128 ( Nom ) = CRYPT_RSA_160 ( Serial )

On a terminé l'analyse !
Exception faite du truc du formatage de tE!, avouez que cela n'est pas compliqué ?


4 - Renverser la vapeur.

Alors, le truc qu'il faudrait, c'est :

DECRYPT_RSA_160 [ Ripe-MD_128 ( Nom ) ] = Serial

Et bien.... C'EST FESABLE !
La valeur du RSA est 160 bits qui est fesable par RSA Tool ( du même auteur en plus : tE! ).
On aurait 1024 bits par exemple, on n'aurait pas pu !

RSA nécessite une clé de cryptage et un modulus pour crypter...
On les a !
Modulus = N = 86ADBCFBC23A91653F048B24A64A20BE0418E279
Clé Publique = E(ncrypt) = DA202C91

RSA nécessite une clé de décryptage et un modulus pour décrypter...
On n'en a qu'un !
Modulus = N = 86ADBCFBC23A91653F048B24A64A20BE0418E279
Clé Privée = D(ecrypt) = ????????????????

Utilisons RSA Tool pour calculer D !
1 - Remplissez les champs E et N par les valeurs que l'on vient de trouver.
2 - Clickez sur "Exact Size" pour connaitre la taille ( pour retrouver 160 bits )
3 - Clickez sur " Factor N " pour factoriser le Modulus.

Le résultat arrive vite :

Le résultat arrive en un éclair :

C'est parfait, on a tous les éléments pour le RSA en décryptage :)

NB :
C'est ici que notre supposition ( que la crypto est RSA ) est vérifié.
En effet, les valeurs que vous entrez ( le modulus, etc ) respectent à des régles de formatage pour lier à la mathématique de RSA.
Si on s'était trompé de Crypto, on n'aurait ( sauf si on n'a pas de chance ) pas pu retrouver la clé de décryptage D.


5 - Le Keygen

On a tout maintenant, il reste à trouver les sources de RSA et Ripe MD 128 :)
Comme je vous l'ai marqué, au moment où j'ai attaqué ce KeygenMe, je n'avais pas accès à Internet... alors j'ai fait avec les moyens du bord !

Cryptocalc de Christal a ( c'est un miracle ) : 3 DLL...
* ghirirsa.dll
* md.dll
* ripemd.dll

On laisse tomber md.dll et on garde juste les 2 autres !
En désassemblant les DLL, on a les noms des fonctions et en traçant l'utilisation de Cryptocalc, on a les paramétres :

Ces DLL sont bien pratiques car elles donnent le résultat directement en String ASCII :)

Le coeur de mon Keygen ASM :

Après plusieurs tests sur ce Keygen, j'ai fini par trouver au moins 2 possibilités où le résultat Nom/Serial est mauvais...
J'ai tracé pour retrouver l'erreur, mais je ne la trouve pas...
Mon Keygen est imparfait :(
Le rippage complet des routines lui devrait tenir le choc sans problème :)


6 - Exemple de schéma Inkeygenable

Nous avons vu que la faille dans ce schéma est le RSA qui est sur un nombre de bits trop faibles.
On peut facilement retrouver la clé de décryptage via une factorisation rapide...

Imaginons que nous ayons eu un RSA 1024...

Ripe-MD_128 ( Nom ) = CRYPT_RSA_1024 ( Serial )

RSA Tool est dans les choux !

En gros, le Keygen aurait été impossible car on n'aurait pas pu retrouver la clé de décryptage dans un temps raisonnable... sauf si vous êtes prêts à faire tourner votre PC pendant plusieurs années pour factoriser le Modulus de 1024 bits !

On pourrait tenter une attaque inverse : à savoir, trouver le nom à partir d'un serial ( que l'on donne )...
Le problème est que le HASH est à sens unique :)
Pour retrouver ce qui a été HASHé, il faut faire un bruteforce !
On génére une String dont la taille va augmenter d'un caractére quand toutes les combinaisons de lettres auront été faites....
Cette string sera HASHée et on comparera le résultat avec celui du KeygenMe... Autant dire que cela risque d'être LONG !

C'est inimaginable pour un Keygen...
Obtenir un couple Serial + Nom valide par cette méthode est envisageable... encore faut-il en avoir le temps et la puissance de calcul.