Ayuda para modificar una dll .NET

Iniciado por Eleкtro, 7 Enero 2014, 06:54 AM

0 Miembros y 2 Visitantes están viendo este tema.

Eleкtro

Hola, antes de nada quiero advertir que no se casi nada sobre el tema.

Agradecería cualquier ayuda para craquear esta dll ~> http://elektrostudios.tk/RapidDesign.zip
(símplemente por experimentar cosas nuevas, en plan educativo, pues la licencia solo cuesta 10$ y creo q todos podemos permitirnos esa pequeña cantidad de dinero).

Creo que la dll hace una comprobación online para decidir si un serial es válido o no, no se cuantas alternativas tendré, quiero decir:

1. omitir la comprobación del serial ?
2. no omitir la comprobación pero aceptar cualquier serial como válido ?
3. no mostrar el recordatorio de "programa caducado, registrese..." ?

...En un principio yo creo que omitiendo la comprobación del serial sería suficiente, así que eso estoy intentando.

El plugin se puede descargar aquí: http://www.rapiddesignaddin.com/Downloads.aspx?fn=RapidDesign.vsix

Como veis pide un serial de 12 caracteres:








La idea es manipular la dll para que acepte cualquier serial, o que se quede registrada sin pedir ningun serial ni hacer ninguna comprobación, u omitir el recordatorio de licencia expirada (aunque no se si eso sería suficiente).

Sé cosas muy básicas sobre Reflection, pero esto me supera y después de unas investigaciones sobre la iniciación en el cracking de dll's (de lo cual encuentro poquísimo o no se buscar bien) hasta aquí es hasta donde he llegado:

1. Lo primero que hice fue usar de4dot para comprobar si la dll está ofuscada/protegida, me dice que ha encontrado un tipo de ofuscación desconocido, pero también me dice lo mismo con otras dll's que no tienen ningún tipo de protección, así que doy por entendido que la dll no está protegida (claro que no lo está, si puedo ver todas las classes perféctamente).

2. Seguídamente busqué tutoriales y blablabla

3. Abrí el reflector (también probé con el SAE) y busque classes/métodos relacionados sobre el registro de licencia, encontré esto:



4. Examiné uno de los métodos (por alguna hay que empezar a probar suerte), copié el código del método y lo modifiqué a mi gusto en el bloc de notas:



5. Descargué el plugin Reflexil (esta es la parte que leí en un tutorial, si es que se le puede llamar así: http://forums.reflector.net/questions/1918/how-to-modify-code-in-net-dll-and-save-these-chang.html ) para intentar reemplazar el método antiguo por el que yo he modificado en el bloc de notas:

Cita de: http://forums.reflector.net/questions/1918/how-to-modify-code-in-net-dll-and-save-these-chang.html use Reflexil with the "Replace all with code" feature. Paste the code and fix imports. Should be ok.

Pero aquí es donde me pierdo, no sé como editar corréctamente las instrucciones para devolver un True, no devolver el resultado de otra función.

Tampoco sé si el código que hice en el bloc de notas puede reemplazarlo diréctamente por el código del método oriiginal, para no complicar más las cosas editando cada casilla de instrucciones manuálmente...

Al compilar me da errores de visibilidad inaccesible por el tipo de nivel de protección...













MCKSys Argentina

En realidad, sólo necesitas modificar el return flag final por return True. No necesitas reemplazar TODO el codigo de la función (aunque deberías poder hacerlo).

Fijate el mismo codigo, pero en formato IL y verás cómo hace el primer return. Luego, modifica solo esa instruccion para que devuelva True...  ;)

La idea es que sigas jugando un poco...  :P

Saludos!

Te dejo un par de tutes de la web de ricardo sobre el tema:

tute1

tute2
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Eleкtro

#2
Cita de: MCKSys Argentina en  7 Enero 2014, 14:17 PM
En realidad, sólo necesitas modificar el return flag final por return True.

Hola

Gracias por la información MCKSys Argentina pero eso es precísamente lo que intentaba hacer, devolver un valor predefinido (True) para evitar devolver el valor que devuelve la función que toma el HardwareId y demás

Intenté hacerlo como tu explicaste pero para mi es algo totálmente nuevo esto de las instrucciones MSIL y los opcodes, la forma interna en la que trabaja el compiler.

Si no me equivoco y esto es a lo que te refieres entonces ya lo intenté:
IL_0003: brfalse.s IL_0031
por:


(También probé a modificar otra instrucción igual a brtrue.s)

Pero al intentar validar un serial, el plugin dice que la clave no es válida.

Segúramente hice algo mal, o falta algo más por hacer.

EDITO: Así es como dejé las instrucciones por el momento:

   IL_0000: ldc.i4.0
   IL_0001: stloc.0
   IL_0002: ldarg.0
   IL_0003: brtrue.s IL_0031
   IL_0005: ldarg.0
   IL_0006: call bool ZUIINFRAspzoo.RapidDesign.Registration.RegistrationManager#0x02000002::VerifySignature(class [System.Xml]System.Xml.XmlDocument)
   IL_000b: brtrue.s IL_0031
   IL_000d: ldarg.0
   IL_000e: call class ZUIINFRAspzoo.RapidDesign.Common.RegistrationData ZUIINFRAspzoo.RapidDesign.Registration.RegistrationManager#0x02000002::GetRegistrationData(class [System.Xml]System.Xml.XmlDocument)
   IL_0013: stloc.1
   IL_0014: call class ZUIINFRAspzoo.RapidDesign.Common.MachineFingerprint ZUIINFRAspzoo.RapidDesign.Registration.RegistrationManager#0x02000002::GetCurrentMachineFingerprint()
   IL_0019: stloc.2
   IL_001a: ldloc.2
   IL_001b: callvirt instance string ZUIINFRAspzoo.RapidDesign.Common.MachineFingerprint#0x0200003e::get_HardwareId()
   IL_0020: ldloc.1
   IL_0021: callvirt instance class ZUIINFRAspzoo.RapidDesign.Common.MachineFingerprint ZUIINFRAspzoo.RapidDesign.Common.RegistrationData#0x02000035::get_MachineFingerprint()
   IL_0026: callvirt instance string ZUIINFRAspzoo.RapidDesign.Common.MachineFingerprint#0x0200003e::get_HardwareId()
   IL_002b: call bool [mscorlib]System.String::op_Equality(string, string)
   IL_0030: stloc.0
   IL_0031: ldloc.0
   IL_0032: ret
} // end of method RegistrationManager::CheckLicense


EDITO2:

Después de empezar a leer el magnifico tutorial que me diste, ahora lo veo un poco más claro, iba por el mal camino, lo que yo estaba haciendo al modificar "brtrue.s " era modificar la sintaxis de la condición (sin pecatarme) por ejemplo:
A = B
A != B


Pero es todo mucho más básico que eso, lo que debo cambiar es los opcodes, de 0 (false) a 1 (true) para conseguir modificar un valor boolean como este:
bool result = true;

eso ya lo conseguí, pero me falta algo más tengo que conseguir modificar el ultimo ret, sigo intentándolo.








Eleкtro

#3
Ahora lo tengo así, o consigo modificar el ultimo return para devolver un True, o elimino todo el if entero xD, ¿tienes idea de como podría eliminar la condicional del if?.

Código (csharp,5,6,7,8,9,10) [Seleccionar]
// ZUIINFRAspzoo.RapidDesign.Registration.RegistrationManager
public static bool CheckLicense(XmlDocument licenseXml)
{
  bool result = true;
  if (licenseXml != null && RegistrationManager.VerifySignature(licenseXml))
  {
      RegistrationData registrationData = RegistrationManager.GetRegistrationData(licenseXml);
      MachineFingerprint currentMachineFingerprint = RegistrationManager.GetCurrentMachineFingerprint();
      result = (currentMachineFingerprint.HardwareId == registrationData.MachineFingerprint.HardwareId);
  }
  return result;
}


He visto la opción "Nop" al editar las instrucciones, no se si es algo parecido a un "rellenar con ceros" ...para eliminar la instrucción, pero siempre me da fallos.








MCKSys Argentina

Fijate en esta parte:


    IL_002b: call bool [mscorlib]System.String::op_Equality(string, string)
    IL_0030: stloc.0
    IL_0031: ldloc.0
    IL_0032: ret


El call llama a la función System.String::op_Equality osea, compara dos strings. Ahora, la siguiente instrucción, le dice dónde guardar el resultado de esa comparación. stloc.0 sería algo como "store in local var 0", y 0 es la 1er variable definida (osea flag).

Si NOPeas esa instrucción y colocas TRUE al inicio en esa variable, debería funcionar sin mayores cambios.

En otras palabras, la posible solución sería:

1) Inicializar flag a True.
2) NOPear la parte que sobreescribe el valor de la variable (IL_0030: stloc.0)
3) Listo. (ldloc.0 seria algo como "load from local var 0". El ret sale de la función, por lo que cuando decompilás en alto nivel, te sale ret flag (flag es la variable local que esta en el index 0)

Como ves, hay varias formas de solucionar este tema. Como te dije antes, la idea es jugar un poco...   ;D

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Eleкtro

#5
Cita de: MCKSys Argentina en  7 Enero 2014, 15:51 PM


   IL_0030: stloc.0


Si NOPeas esa instrucción y colocas TRUE al inicio en esa variable, debería funcionar sin mayores cambios.

2) NOPear la parte que sobreescribe el valor de la variable (IL_0030: stloc.0)
3) Listo.

he hecho esas dos únicas modificaciones, pero me da error al intentar leer el código:

Inconsistent stack size at IL_30

 en ICSharpCode.Decompiler.ILAst.ILAstBuilder.StackAnalysis(MethodDefinition methodDef)
 en ICSharpCode.Decompiler.Ast.AstMethodBodyBuilder.CreateMethodBody(IEnumerable`1 parameters, ConcurrentDictionary`2 localVariables)
 en ICSharpCode.Decompiler.Ast.AstMethodBodyBuilder.CreateMethodBody(MethodDefinition methodDef, DecompilerContext context, IEnumerable`1 parameters, ConcurrentDictionary`2 localVariables)


   IL_0030: nop




EDITO:

Como no funcionaba lo que me dijiste, empecé a nopear más indices extraños y llamadas de funciones, y miira como me quedó ahora -.-

Código (csharp) [Seleccionar]
// ZUIINFRAspzoo.RapidDesign.Registration.RegistrationManager
public static bool CheckLicense(XmlDocument licenseXml)
{
  bool result = true;
  return licenseXml;
}


Estoy a un paso de conseguirlo pero no se muy bien como xD

   IL_0000: ldc.i4.1
   IL_0001: stloc.0
   IL_0002: ldarg.0
   IL_0003: nop
   IL_0004: ldarg.0
   IL_0005: nop
   IL_0006: nop
   IL_0007: ldarg.0
   IL_0008: nop
   IL_0009: nop
   IL_000a: nop
   IL_000b: nop
   IL_000c: nop
   IL_000d: nop
   IL_000e: nop
   IL_000f: nop
   IL_0010: nop
   IL_0011: call bool [mscorlib]System.String::op_Equality(string, string)
   IL_0016: nop
   IL_0017: ldloc.0
   IL_0018: ret









MCKSys Argentina

Tienes razón!!! El stack, el maldito stack.... perdón por eso  :-[

Bueno, entonces lo que podrías probar, es en el código original reemplazar el ldloc.0 por ldc.i4.1

Osea:


IL_0031: ldloc.0


por


IL_0031: ldc.i4.1


Dime si así funciona...
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Eleкtro

#7
Cita de: MCKSys Argentina en  7 Enero 2014, 16:10 PMDime si así funciona...

Que grande, tengo que aprender a manejar los opcodes xD

Las instrucciones quedaron de forma que envia un True al final del método, pero aún así el plugin sigue diciendo que el serial es inválido, asi que me imagino que esto es en vano... y la manera de craquearlo será modificando otro method distinto.

PD: También probé devolviendo un False (por probar...)
IL_0031: ldc.i4.0
...pero tampoco funcionó.

Creo que no se puede hacer nada más por el momento, tendré que seguir investigando otros methods,
gracias.








MCKSys Argentina

La idea es jugar un poco con los opcodes. Así aprendes mas rapido (y en mayor cantidad).

Lo cual es muy útil para cuando te enfrentas a ofuscación y demás yerbas, donde no tienes codigo en alto nivel y sólo puedes tocar el IL...

Saludos!

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Eleкtro

Es posible que a pesar de la modificación la causa de que no se valide la clave pueda ser debido a que quizás en el código original puede existir algo parecido a esto:

(al clickar el botón de 'OK')
If (MétodoDeValidación1 y MétodoDeValidación2) = True
Validado = True
Else
Validado = False
End


El problema es que no se como puedo verificar esto porque si busco por el evento "OnClick" (como me recomendó .:UND3R:.) no me sale ningún resultado de búsqueda, y el maldito SAE me está dando por culo con el sensitive-case en las búsquedas (arggg).

Aparte, se supone que el plugin tiene un trial de 14 días, y que al acabarse el periodo trial la aplicación se vuelve 'inaccesible', quizás esto último sería un mejor enfoque que lo de bypassear las posibles validaciones que existan, pero de todas formas tampoco encuentro nada relacionado.

Saludos!