linkgl escribió:Pero si es nada más y nada menos que PETERPUNK!!! el de las ligas mayores
Esto me alegra pero creo que me sobreestimas.
linkgl escribió:me intriga saber cómo hiciste, si dumpeaste las clases o cómo fue que yo me perdí
m4rtyr escribió:un tutorial de como hacerlo queda muy bien Peterpunk
La verdad es que no pensaba decir nada pues es un crackme que se resuelve en 5 minutos.
Al ejecutar el crackme parece programado en java, pero sin embargo es un ejecutable así que suponemos que en los recursos tiene archivos class o jar.
Arrancamos el crackme en el Olly. Pulsamos ALT+M para ver el mapeado de la memoria. Y allí vemos la sección de memoria que contiene los recursos del ejecutable:
Código: Seleccionar todo
Address Size Owner Section Contains Type Access Initial Mapped as
0043A000 00006000 LinkCrac 00400000 .rsrc resources Imag 01001002 R RWE
Pulsamos en esa línea con el botón derecho y escogemos la opción "View all resources":
Código: Seleccionar todo
Resources of module LinkCrac
Address Type Name Language Size Information
0043A238 ICON 1 0409 English (US) 00000EA8
0043B0E0 ICON 2 0409 English (US) 000008A8
0043B988 ICON 3 0409 English (US) 000006C8
0043C050 ICON 4 0409 English (US) 00000568
0043C5B8 STRING 1 0404 Chino (Taiwán) 00000144 Java 運行環境未找到。
0043C6FC STRING 1 0409 English (US) 0000034C Java Runtime Environment not found.
0043CA48 STRING 1 0804 Chino (RPC) 00000146 Java 运行环境未找到。
0043CB90 RCDATA 80 0409 English (US) 00001F0A
0043EA9C GROUP_ICON 1 0409 English (US) 0000003E ICON 1,2,3,4
0043EADC VERSION 1 0409 English (US) 000007F4 Java Executive by Jar2Exe, RegExLab.com(Created by J2E 1.8 Trial
Viendo los tamaños y tipo de recursos asumimos que lo que nos interesa es el de tipo RCDATA, así que botón derecho sobre él y escogemos "Dump".
Se nos abre una ventana que nos muestra lo que contiene ese recurso:
Código: Seleccionar todo
0043CB90 88 F9 6E D0 C5 AE FE B6 C4 1D 00 9C 18 0F 04 E2 ˆùnÐÅ®þ¶Ä.œâ
0043CBA0 37 7A E5 36 4C 1D DC 26 9E 43 14 07 8A 23 D4 3E 7zå6LÜ&žCŠ#Ô>
como no empieza por 0xCAFEBABE ni ninguna cabecera que me suene supongo que está encriptado, así que selecciono el primer byte (0x88) y, otra vez, con el botón derecho selecciono "Breakpoint > Memory, on access".
Ahora corro el ejecutable en el debugger a ver dónde se para. Y es en:
[/code]Copia en AL, el primer byte del recurso, y unas líneas más abajo:
copia el byte desencriptado en la dirección a la que apunta ECX.
En mi caso aquí:
O sea que el primer byte desencriptado es 0x50 y lo copia en 0xA33A30.
Bueno, como esta desencriptación es, obviamente, un bucle que acaba en la línea 0x405AF0, pongo un breakpoint en la siguiente línea
Vuelvo a dejar correr el debugger hasta que se detiene en el BreakPoint y veo en el dump las primeras líneas del recurso desencriptado:
Código: Seleccionar todo
00A33A30 50 4B 03 04 0A 00 00 08 00 00 D7 51 29 40 00 00 PK.....×Q)@..
00A33A40 00 00 00 00 00 00 00 00 00 00 09 00 04 00 4D 45 .............ME
00A33A50 54 41 2D 49 4E 46 2F FE CA 00 00 50 4B 03 04 0A TA-INF/þÊ..PK.
00A33A60 00 00 08 00 00 D6 51 29 40 E2 D6 80 F0 D7 00 00 ....ÖQ)@âÖ€ð×..
00A33A70 00 D7 00 00 00 14 00 00 00 4D 45 54 41 2D 49 4E .×......META-IN
00A33A80 46 2F 4D 41 4E 49 46 45 53 54 2E 4D 46 4D 61 6E F/MANIFEST.MFMan
00A33A90 69 66 65 73 74 2D 56 65 72 73 69 6F 6E 3A 20 31 ifest-Version: 1
Excelente. Distingo la cabecera PK así que debe tratarse de un archivo jar. Ahora toca dumpearlo para su estudio. Para ello yo he utilizado el LordPE:
Pinchamos en el proceso del crackme, y luego con el botón derecho, "dump partial..."
Evidentemente en Address introducimos la dirección en la que empieza el recurso desencriptado (0xA33A30 en mi caso) y para en Size (tamaño) pues yo he restado la dirección de ECX en el momento en que acaba de desencriptar y el inicio de ese buffer en el que desencripta, obteniendo 0x1F0A, que en este caso es el mismo tamaño que ocupaba como recurso del ejecutable, pero podría ser distinto si usase un sistema de encriptado/compresión diferente.
Vale ya tenemos lo que nos interesa del crackme dumpeado. Si lo dumpeasteis con la extensión .jar y lo ejecutáis ya os debería funcionar igual que el ejecutable, si lo dumpeasteis como .dmp cambiadle la extensión.
Y ahora lo más sencillo ya que al fin y al cabo es un crackme en java. Lo abrimos con un decompilador de java y vemos qué nos depara:
Código: Seleccionar todo
private void lINKcrackMetActionPerformed(ActionEvent evt)
{
if ((this.crackMelinkgl.getText().toString().length() >= 3) &&
(this.crackMelinkgl.getText().contains("Link")))
if (this.crackMelinkgl.getText().equalsIgnoreCase(new String(Base64.decode("TGluay1JbmRldGVjdGFibGVzLUludGV0ZWN0YWJsZXMtMDE5MTgyODE4MjktTGlua0NyYWNrbWU="))))
JOptionPane.showMessageDialog(null, "Has pasado la simple proteccion :( fELICIDADES. Linkgl");
else
JOptionPane.showMessageDialog(null, "Casi lo logras jajaja");
}
Esto parece fácil. Simplemente vamos a desencriptar la cadena en base64
Código: Seleccionar todo
TGluay1JbmRldGVjdGFibGVzLUludGV0ZWN0YWJsZXMtMDE5MTgyODE4MjktTGlua0NyYWNrbWU=
y ya obtenemos el serial válido.
Saludos.
