Solution de Julio eL NeGRo keygenme2
par Mister MoG - 17/07/2003

Outils utilisés :

WinDbg v6.1 (ou n'importe quel autre debugger) Damn Hash Calculator v1.51 WinHex v10.9

1. Premières analyses
2. Recherche de la routine de calcul du serial
3. Réalisation du keygen
4. Salutations

1. Premières analyses ^haut
J'ouvre l'exécutable avec WinHex et me rend compte que le keygenme est compressé , les deux sections ont été renommé.
Il suffit de modifier les offsets 1b8 et 1e0 en UPX0 et UPX1 et ensuite faire upx -d pour avoir un dump fonctionnel (/bin/dump.exe).
Je charge le keygenme avec windbg et j'obtiens une boite de message me demandant de décharger softice, je n'utilise pas softice donc cette protection doit s'appliquer normalement à tous les debugger.
Je met un breakpoint à l'entrypoint du programme et vois ceci :

1) on remarque que toutes les chaines sont chiffrées.
2) la protection antidebugger utilisé est la méthode BCHK

On continue en traçant:

On met un nop aux adresses 0040104c et 0040104d pour ne pas quitter le processus, on resume et nous sommes à présent dans la fenêtre principale du keygenme.

---

2. Recherche de la routine de calcul du serial ^haut

Je place des breakpoint sur GetDlgItemTextA et GetWindowTextA, j'entre comme username "toddmog" et comme serial "999999999" (9), on clique sur register et on break sur GetWindowTextA :


On mémorise les adresses qui sont en paramêtres, ensuite dans le call :

On voit tout de suite l'initialisation d'un hash sha1, md5 ou ripemd donc on avance assez loin jusqu'à 00401db4 après le loop.

Le hash va être convertit en hexadécimal grâce à wsprintf.
On sort du call et on affiche le contenu de l'adresse 0x4031b1 qui était en paramêtre tout à l'heure :

C'est notre hash en hexa, je lance damn hash calculator pour hasher la chaine "toddmog" :

Nous avons donc affaire à du md5.
note : ripemd-128 n'est apparement pas implémenté dans damn hash calculator.
Continuons :

Après cette routine on déduit que du hash il ne restera que les caractères dont les valeurs ascii sont supérieurs à 0x39, pour moi : acbaeccafdff (on appellera ça hash_s).
Ensuite le programme fait un deuxième GetWindowTextA pour récupèrer notre serial et on voit ceci :

Je n'ai entré que 9 char au lieu de 12, je retape mon serial en entrant 12 fois le caractère 9 et je reviens à l'étape ou nous sommes.

A partir d'ici nous savons donc que notre serial ne doit se composer que de chiffres.
Nous arrivons à présent la :


Resumons rapidement cette routine (1 passe) :
- met le caractère courant du serial dans al => eax=9
- divise eax par 0x30 et place le reste de la division dans edx => edx=9
- récupère le caractère courant du hash retravaillé et le place dans al => eax=0x61
- ajoute edx à eax et compare avec 0x66 => eax=0x6a

Donc il nous suffit de faire 0x66 - 0x61 pour obtenir le bon numero c'est à dire 5.
On va un peu plus loin dans le programme et on se rend compte qu'il n'y a plus de routine pour calculer le serial.

---

3. Réalisation du keygen ^haut
Maintenant que nous avons tous les éléments nous pouvons codé un keygen, il vous faut une implémentation de l'algorithme md5.
J'ai écrit ce keygen en c et j'ai utilisé une implementation trouvée sur http://www.cr0.net:8040/code/crypto/md5.php



Le keygen se trouve dans /bin/keygen.exe.

[EOF]