Duda con archivos .dat y decompilar binario

Iniciado por elzh9003, 9 Enero 2020, 18:39 PM

0 Miembros y 1 Visitante están viendo este tema.

elzh9003

Hola a todos;

necesito que me aclaren una duda, estoy analizando un programa que emplea un archivo .dat de licencia y quiziera saber como funciona este mecanismo o que me orienten a algun tutorial que trate este tema para poder leerrrr y aprender, este archivo contiene datos cifrados y al no entender como funciona esta proteccion debido a mi escaso conocimiento del tema, pues me estanque,

Gracias de antemano

Nota: si me pueden decir tambien, el porque ningun detector de packers me dice en que esta compilado el soft se lo agradeceria tambien.

karmany

Al inicio de este foro tienes 5 mensajes fijos con muchísima información y miles de tutoriales para iniciarte en la ingeniería inversa. Para buscar información que te pueda ayudar debes intentar saber con qué ha sido compilado.
¿Qué te dice RDG Packer Detector? ¿Te deja abrirlo con OllyDBG o x64dbg? Pon una captura del código desensamblado en el inicio (Entry Point), igual tenemos una idea...

elzh9003

yo no soy bueno en esto ni mucho menos  pero ya llevo al menos dos años curioseando en estos temas y he logrado vencer varios programas q me interesaban pero nunca había topado con este archivo .dat si con su hermano .lic , lo curioso es eso que lo pase por todos los detectores y ninguno me arrojo información, el rdg en el modo MA me dice a veces  q es un Delphi pero el MB ni se entera, los demás detectores ni hablar, lo intento abrir en Dede y crashea;mañana pongo una captura de pantalla, lo he debugueado en x64dbg y abre y corre perfecto, no hay señales de packers en mi opinión.

Tengo en mi máquina todas las teorías de la web de CLS pero no ando para nada amplio de tiempo para revisarla una por una,por eso pedía asesoría e indicación de cuáles de dichas teorías abordan este enfoque de protección para estudiarmelas

Gracias

AlbertoBSD

Colocar un titulo mas descriptivo del tema

Ayuda es muy generico.. te parece si cambias el titutlo a "Duda con archivos .dat y decompilar binario"

Ahora.

Archivos .dat son muy genéricos, puede tener desde una base de datos en texto plano o directamente datos cifrados en formato binario.

En mi caso es muy común que los utilice como llaves para cifrado de otras cosas mas importante: ejemplo

Linux comando dd
dd if=/dev/urandom of=test_1.dat bs=1M count=1

Genera un archivo test_1.dat con 1MB de datos random sacados de /dev/urandom

Posteriormente lo puedo utilizar como llave para cifrar cosas.

Sube tus archivos a algun hosting pasanos el link y los analizamos.

Saludos
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

elzh9003

Tienes razon AlbertoBSD el tema era demasiado general, ya esta modificado, gracias por la sugerencia.

Subi el archivo dat y el instalador a estos links para si alguien quiere meterle cabeza

https://drive.google.com/open?id=1ALvW8MIw1p6Vfj_tr3b-TunHsGkmTf6u
https://drive.google.com/open?id=1ji_3THYFFgee_iJwO-AiDyeJud8Eovga

Por fin porque creen ustedes que no me reconozca ningun detector de packer en que esta compilado el susodicho??  eso si nunca me habia pasado

PD si a alguno que le meta cabeza a esto le parece muy facil el reto que no me lo diga pa no desanimarme jajajaja, que opte por orientarme please

Gracias

apuromafo CLS

lo que pasa, es que muchas teorias en CLS están basado para programas en x86, el tuyo es de x64 y por lo tanto la gran mayoria de temas no estarían cercanos, por otro lado que sea un delphi existe un IDR64 que podrias ver el form y otros pequeños detales, pero no creo que haga gran diferencia

una forma de poder crackear delphi, es programando en ese lenguaje y luego intentando crackear el mismo que has creado, obviamente primeramente con seriales, variables, constantes arrays etc, pero de igual forma siempre se pierde tiempo

no bajo programas ni links porque siempre llevan en cierta medida a estudiar algo que no me interesa, diferente a ti,pues estás interesado en ello

Saludos y mucho ánimo!

Apuromafo

elzh9003

Hola Apuromafo, lo que ocurre es que yo no tengo ni idea de programacion, mi especialidad es la ingenieria mecanica por lo que en el mundo de la informatica estoy limitado a mis estudios autodidactas, por eso es que en muchos casos los programas que he "crackeado" es a base de logica y muchassssss pruebas y error, pero el funcionamiento en si de muchos codigos continua siendo incognitas.

Pregunta: cuales son los metodos o APIS para comprobar si existe o no una conexion a internet para posteriormente hacer una verificacion online

Gracias

AlbertoBSD

Analize el archivo .dat que mandastes y nada mi buen lamento decirte que posiblemente esta Cifrado.

El comando file de Linux solo devuelve "data"
$ file 0C-54-A5-4B-42-01.dat
0C-54-A5-4B-42-01.dat: data


Los hashes sha256, sha512, md5 y sha1 no reportan nada en google

$ md5sum 0C-54-A5-4B-42-01.dat
5683d14f6464a5c595eade67ce1fd155  0C-54-A5-4B-42-01.dat

$ sha256sum 0C-54-A5-4B-42-01.dat
4e84fac84c998230b9fb9c42710ba5939bd7ceb4b12da2a54a36735b7263338c  0C-54-A5-4B-42-01.dat

$ sha512sum 0C-54-A5-4B-42-01.dat
501df2cb9bcc3b9e19ba62102ac5260198d4f1f6585e0453097765fd7d599549cd353f5c4998d03cc6884d19f0891c35ec8db2cd4dc7f9c4db06113cab640432  0C-54-A5-4B-42-01.dat

$ sha1sum 0C-54-A5-4B-42-01.dat
cfb5ddaed173f886bffb9166352a51c6fa5f2b9f  0C-54-A5-4B-42-01.dat


Bueno, si los buscas ahora, posiblemente solo salga este post, ya que google indexa rápidamente el foro.

También obtuve el promedio de la suma de los bytes con un programa que escribí en ese mismo momento


Total bytes: 880
Suma total: 112815
Promedio: 128.000000


Teniendo un promedio de 128 la suma indica que los datos o son random o es la salida cifrada de algún otro dato.

El instalador no lo revise ya que no tengo Windows en este momento.  :rolleyes:

Si me pasaras el ejecutable de la aplicación que instala tu instalador (Valga la redundancia). Posiblemente si puede realizarle algún tipo de reversing.

Saludos!
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

elzh9003

Gracias por la ayuda AlbertoBSD y por tomarte la molestia de analizar el fichero, el lunes te mando el ejecutable que se instala, aunque ya logre vencer el check online y el registro,solo me falta ver el porque me da q la licencia expiró y si efectivamente en estas rutinas se desemcriptaba usando los datos del ficherito salao jajaja,

Saludos

xor.pt

Lo que compartió fue un setup y un archivo de licencia cifrado.
El archivo .dat tiene un nombre con 6 valores hexadecimales.
Esto nos da la idea de que la licencia está atascada en el valor MAC de la tarjeta de red.

Si ingresamos al administrador de dispositivos, hacemos clic con el botón derecho en las propiedades de la paleta de red, dirección de administración local, podemos insertar este MAC y demostrar que funciona.

Mala protección, una licencia se puede compartir de esta manera simplemente cambiando el MAC.

Para descifrar .dat necesita revertir el binario y reconstruir la función de cifrado y descifrado, mucho trabajo.

Simplemente puede engañar la fecha de la PC.

Saludos.