[TUTORIAL] Craquear librería Nostalgia.Net (Reflection)

Iniciado por Eleкtro, 5 Marzo 2015, 14:10 PM

0 Miembros y 2 Visitantes están viendo este tema.

Eleкtro

Greatis Nostalgia.Net es una librería comercial desarrollada en C# cuya finalidad es ofrecer un wrapper a distintas funcionalidades de la WinAPI para un manejo más sencillo e intuitivo, es muy útil por ejemplo para desarrollar un KeyLogger o registrar otro tipo de eventos del sistema,
esta librería servirá cómo ejemplo educativo para este tutorial.



Debo aclarar que mi experiencia en la ingeniería inversa es practicamente nula y el nivel de este ejercicio es básico, y quizás se podría haber llevado a cabo de una forma más simple, no lo se, pero a mi me ha servido así.

El tutorial lo dividiré en dos posts, uno orientado a programadores de VB.Net, y el otro a programadores de C#.

Lo primero de todo será descargar la versión trial en la siguiente url: http://www.greatis.com/dotnet/nostalgia/download.html

Nombre del ensamblado:
  • Greatis.Nostalgia.dll

Protección:
  • Se muestra una caja de texto informando de la versión Trial.

Protección adicional (Packer/Obfuscator):
  • Ninguna.

Herramientas necesarias:
  • .Net Reflector + Plugin Reflexil
  • (Opcionalmente) Visual Studio

Empecemos...








Eleкtro

Versión VB.Net



1. Veamos lo que sucede al intentar utilizar los miembros de esta librería en un nuevo proyecto WinForms, utilizando el siguiente código:

Código (vbnet) [Seleccionar]
Public Class Form1

    Private WithEvents clipboardMonitor As New Greatis.Nostalgia.ClipboardMonitor With
        {
            .Active = True
        }

    Private Sub ClipboardMonitor_ClipboardChanged(ByVal sender As Object, ByVal e As EventArgs) _
    Handles clipboardMonitor.ClipboardChanged

        Dim data As IDataObject = Clipboard.GetDataObject()

        If data.GetDataPresent(DataFormats.Text) Then
            Debug.WriteLine(DirectCast(data.GetData(DataFormats.Text), String))
        End If

    End Sub

End Class


Al iniciar la aplicación, nos saldrá este molesto aviso:


2) Abrimos la aplicación .Net Reflector, activamos el plugin Reflexil (Tools > Reflexil), cargamos la librería Greatis.Nostalgia.dll, expandimos el namespace Greatis.Nostalgia,
y encontramos dos Classes con nombres muy intuitivos, que nos señalan la funcionalidad de la licencia:


3) Expandimos la Class NostalgiaLP y encontramos la función GetLicense, la cual muestra el MessageBox que nos apareció en el paso nº1.


4) Nuestra intención será reemplazar el código para eliminar todas las instrucciones menos la del valor de retorno:


5) Cómo la Class NostalgiaLicense es un miembro con visibilidad privada, para poder reemplazar el código mediante Reflexil primero debemos modificar la visivilidad de dicha class para hacerla pública:


6) Para que el cambio de visibilidad del miembro tenga efecto, debemos guardar los cambios efectuados en el ensamblado a un nuevo archivo.


7) Cargamos el ensamblado parcheado en .Net reflector con el cambio de visibilidad de la class NostalgiaLicense, nos dirigimos de nuevo al método GetLicense en la Class NostalgiaLP,
seleccionamos TODAS las instrucciones, pulsamos click derecho para abrir el menú del Reflexil y seleccionamos la opción "Replace all with code"


8) Nos aparecerá un Form de edición con el código reemplazable,
y lo que debemos hacer ahora es modificar el valor de retorno del método GetLicense para devolver una nueva instancia de la Class NostalgiaLicense, pasándole el parámetro "granted" al Constructor de la Class:




Tras compilar la modificación, así es cómo quedarán los OpCodes del método GetLicense:


9) Por último, guardamos los cambios en el ensamblado a un nuevo archivo cómo hicimos en el paso nº6.

Ya hemos finalizado de bypassear esta protección que solo consistía en eliminar la llamada al mensaje de texto, ahora la librería no molestará con ningun aviso.








Eleкtro

Versión C#



1. Veamos lo que sucede al intentar utilizar los miembros de esta librería en un nuevo proyecto WinForms, utilizando el siguiente código:

Código (csharp) [Seleccionar]
using Microsoft.VisualBasic;
using System;
using System.Collections;
using System.Collections.Generic;
using System.Data;
using System.Diagnostics;
public class Form1
{
private Greatis.Nostalgia.ClipboardMonitor withEventsField_clipboardMonitor = new Greatis.Nostalgia.ClipboardMonitor { Active = true };

private Greatis.Nostalgia.ClipboardMonitor clipboardMonitor {
get { return withEventsField_clipboardMonitor; }
set {
if (withEventsField_clipboardMonitor != null) {
withEventsField_clipboardMonitor.ClipboardChanged -= ClipboardMonitor_ClipboardChanged;
}
withEventsField_clipboardMonitor = value;
if (withEventsField_clipboardMonitor != null) {
withEventsField_clipboardMonitor.ClipboardChanged += ClipboardMonitor_ClipboardChanged;
}
}
}

private void ClipboardMonitor_ClipboardChanged(object sender, EventArgs e)
{
IDataObject data = Clipboard.GetDataObject();

if (data.GetDataPresent(DataFormats.Text)) {
Debug.WriteLine((string)data.GetData(DataFormats.Text));
}
}
}

//=======================================================
//Service provided by Telerik (www.telerik.com)
//=======================================================


Al iniciar la aplicación, nos saldrá este molesto aviso:


2) Abrimos la aplicación .Net Reflector, activamos el plugin Reflexil (Tools > Reflexil), cargamos la librería Greatis.Nostalgia.dll, expandimos el namespace Greatis.Nostalgia,
y encontramos dos Classes con nombres muy intuitivos, que nos señalan la funcionalidad de la licencia:


3) Expandimos la Class NostalgiaLP y encontramos la función GetLicense, la cual muestra el MessageBox que nos apareció en el paso nº1.


4) Nuestra intención será reemplazar el código para eliminar todas las instrucciones menos la del valor de retorno:


5) Cómo la Class NostalgiaLicense es un miembro con visibilidad privada, para poder reemplazar el código mediante Reflexil primero debemos modificar la visivilidad de dicha class para hacerla pública:


6) Para que el cambio de visibilidad del miembro tenga efecto, debemos guardar los cambios efectuados en el ensamblado a un nuevo archivo.


7) Cargamos el ensamblado parcheado en .Net reflector con el cambio de visibilidad de la class NostalgiaLicense, nos dirigimos de nuevo al método GetLicense en la Class NostalgiaLP,
seleccionamos TODAS las instrucciones, pulsamos click derecho para abrir el menú del Reflexil y seleccionamos la opción "Replace all with code"


8) Nos aparecerá un Form de edición con el código reemplazable,
y lo que debemos hacer ahora es modificar el valor de retorno del método GetLicense para devolver una nueva instancia de la Class NostalgiaLicense, pasándole el parámetro "granted" al Constructor de la Class:




Tras compilar la modificación, así es cómo quedarán los OpCodes del método GetLicense:


9) Por último, guardamos los cambios en el ensamblado a un nuevo archivo cómo hicimos en el paso nº6.

Ya hemos finalizado de bypassear esta protección que solo consistía en eliminar la llamada al mensaje de texto, ahora la librería no molestará con ningun aviso.








.:UND3R:.

Excelente tutorial  ;-) y pensar que al principio solo pedías ayuda y mírate ahora eres un experto, te felicito  ;-) sigue así, creo que sepas depurar C# te potencia mucho con tus habilidades de programación en C#, te felicito amigo  ;-)

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Eleкtro

#4
Que pelota :P, .:UND3R:., sabes que soy un pollito recien nacido en comparación con el resto que manejais mejor esta temática, jaja, yo solo me defiendo un poco cuando se trata de ing. inversa mediante Reflection, me pones un binario de C/C++ y ya no se que hacer, ¡pero te agradezco mucho los ánimos!, intentaré aprender a craquear poco a poco... que con saber depurar .Net no es suficiente, ni de lejos.

Gracias.

Saludos!