Mensajes

Puf!!! Karmany eres una bestia! (ojo! en el buen sentido  )

Ese plugin que comentas me ha dejado pasmado: estaba armando un script para reestructurar cada opcode de la vm, pero con esto no puedo competir! (el script demoro unas 3 horas en reestructurar solamente. De ahi a desofuscar estaba a 1 año luz...  )

Pero bueno, mucho de este arte consiste en saber reconocer las cosas del principio. Pense que era una VM custom y por eso me puse a atacarla, pero veo ahora que es de Oreans.

@karmany: Felicitaciones amigo!
@||MadAntrax||: Muy buenas ideas, espero sigas posteando cosas asi cada tanto...

Saludos!

No te he podido contestar antes...
¡Buah! enfrentarse a una VM tan compleja como esta desde cero, requiere muchísimas horas de análisis. Yo no hubiese analizado la VM sin el plugin, muchas horas..... Además yo no sé si los opcodes son los que existen en la subrutina (después de cada jmp) o el mismo packer las "esconde" en otro sitio.
Un saludo amigo...

Muy bien hecho, se entiende perfectamente. Secillo y muy bien explicado.

Mi pequeño granito de arena es que yo cuando veo un UPX no pongo ningún Breakpoint y suelo avanzar con la tecla "Av Pág" hasta encontrar el

Código [Seleccionar] Expandir

JMP, pero lo del BP está bien hecho para otros packers diferentes...

Saludos!!

PD. Como bien explicas y haces en el tutorial, yo siempre digo que la primera opción para descomprimir un UPX debe ser el propio UPX. Además UPX, en su licencia, no permite la modificación de su stub, por este motivo la mayoría de programas se deberían descomprimir con UPX...

[1.- Mi opinión]

Te ha resultado complicada la VM?
Te ha resultado complicado el algoritmo del keyfile?

Alguna sugerencia que me puedas indicar para mejorar? Espero con ansias algún tutorial (aunque sea cortito) destripando el keyfile_me, incluyendo también el "fallo" que has descubierto

Saludos y gracias por participar!!

1.- Mi opinión
La idea de usar una VM (Máquina Virtual) es muy interesante para evitar que te puedan desensamblar el código, sin embargo, la has usado en la mayoría de subrutinas. Esto en un Crackme no lo veo del todo bien, porque limitas la resolución a las personas que conozcan dicha VM. Me lo imagino como analizar un P-Code sin ninguna herramienta y desde cero: es muy difícil.

Por este motivo yo creo que el Crackme debería haber usado la VM en una sola subrutina, así se hubiese animado más gente a analizarlo.

Sobre la VM: es impresionante (yo me quito el sombrero ante la programación de este "bicho"), va cambiando y no es igual en cada compilación y no he visto en la red ningún tutorial sobre cómo desvirtualizar (desensamblar los opcodes) de la última versión (aunque lleva años sin actualizarse). Sin embargo, la protección de esta VM no es completa porque deja muchas cosas a la vista, por ejemplo, la IAT está intacta. Esto es un punto débil que he aprovechado.

2.- Solución SENCILLA
Está comprimido con UPX, yo lo desempaco con el mismo UPX (no hace falta pero se trabaja mejor y es muy sencillo):

Código [Seleccionar] Expandir

C:\upx309w>upx -d keyfile_me.exe
                      Ultimate Packer for eXecutables
                         Copyright (C) 1996 - 2013
UPX 3.09w       Markus Oberhumer, Laszlo Molnar & John Reiser   Feb 18th 2013

       File size         Ratio      Format      Name
  --------------------   ------   -----------   -----------
   864256 <-    791040   91.53%    win32/pe     keyfile_me.exe

Unpacked 1 file.

Llegas al OEP: 4013EC. Fíjate qué 2 funciones tenemos encima:

Código (asm) [Seleccionar] Expandir

CPU Disasm
Address   Hex dump          Command                                  Comments
004013BA   .- FF25 CC104000 jmp dword ptr ds:[4010CC]                ; MSVBVM60.__vbaFileOpen
004013C0   $- FF25 0C104000 jmp dword ptr ds:[40100C]
004013C6   .- FF25 C4104000 jmp dword ptr ds:[4010C4]
004013CC   .- FF25 80104000 jmp dword ptr ds:[401080]                ; MSVBVM60.__vbaStrCmp
004013D2   .- FF25 94104000 jmp dword ptr ds:[401094]
004013D8   .- FF25 7C104000 jmp dword ptr ds:[40107C]
004013DE   .- FF25 8C104000 jmp dword ptr ds:[40108C]
004013E4   $- FF25 F8104000 jmp dword ptr ds:[4010F8]
004013EA      00            db 00
004013EB      00            db 00
004013EC   >  68 5C1D4000   push 00401D5C
004013F1   .  E8 EEFFFFFF   call <jmp.ThunRTMain>                    ; Jump to MSVBVM60.ThunRTMain


Poco más queda por decir. Pon un BP en __vbaStrCmp (gran debilidad) y verás qué muestra la pila en la primera parada:

Código [Seleccionar] Expandir

0012F8F0   004540C1  /CALL to __vbaStrCmp
0012F8F4   004033A0  |Cadena1 = ""
0012F8F8   002BD55C  \Cadena2 = ""
0012F8FC   0012FAE8
0012F900   0012FBB8
0012F904   00000001
0012F908   00000000
0012F90C   00000000
0012F910   00000000
0012F914   00000000
0012F918   00000000
0012F91C   004083A4  keyfile_.004083A4
0012F920   00000000
0012F924   002BD5D4  UNICODE "\filekey.lic"

Parece que el archivo se debe llamar filekey.lic. Crealo en el mismo directorio del Crackme y en él escribe varias líneas (verás que necesita 7). Por ejemplo escribe esto:

Código [Seleccionar] Expandir

Primera
Segunda
Tercera
Cuarta
Quinta
Sexta
Séptima

Y ahora reinicia el depurador y simplemente con un BP en __vbaStrCmp observa la pila. El Crackme estará resuelto:

1ª línea

Código [Seleccionar] Expandir

0012F8F0   00454237  /CALL to __vbaStrCmp
0012F8F4   001D7D94  |Cadena1 = "Registration keyfile"
0012F8F8   001DD624  \Cadena2 = "Primera"


etc...

2.- Solución compleja analizando la VM
Analizar la VM desde cero sin nada de información, es muy difícil. He visto algún artículo interesante en inglés, pero tutoriales y ejemplos ninguno.

Sin embargo, existe un poderoso plugin para OllyDBG 1.10 (sin ayuda de cómo utilizarlo) que puedes descargar de aquí: http://tuts4you.com/download.php?view.3108

Su manejo tampoco es que sea muy sencillo pero verás que (por ejemplo) si pulsas el botón derecho sobre:

Código [Seleccionar] Expandir

00403C70   .- E9 67F40C00   jmp 004D30DC                             ;  keyfile_.004D30DC
y eliges una de las 3 opciones del plugin, aparecerá un archivo de texto con el código asm desvirtualizado (si se dice así). Debes hacerlo con todas las subrutinas en el salto jmp.

Así comprobé que el número de líneas era 7, que algunos textos (líneas) del archivo de la licencia tenían que tener más de 3 letras porque si no llegaba a NULL, que existía un código que creo que descifra strings y a veces se utiliza más de 1 vez, que se utiliza StrReverse ... todo el pastel

Lo único que no he analizado son las 3 o 4 licencias.

Finalmente, para los menos experimentados, decir que muchas veces algo complejo (una VM lo es) puede solucionarse de forma muy sencilla como se ha visto hoy...

Saludos

He disfrutamo mucho analizándolo. Después de pegarme un buen rato analizando la Máquina Virtual y de obtener el código a partir de los opcodes, descubrí que el crackme tiene una muy muy gran debilidad que ya explicaré...

Código [Seleccionar] Expandir

Registration keyfile
karmany
elhacker.net
333437363034314729334731323230333637303134303347332E4430373330353433
423542323530433E383732344232
72666D2E76646D6062686A6072626D2972676D6461696E65
3233323635363431

Muy bueno...

Muy buen tutorial, impresionante. Mis felicitaciones...

Desde mi punto de vista con OllyDBg 1.10 puedes trabajar perfectamente y con ayuda de los cientos de plugins que tiene, sin embargo, ollyDBG 1.10 no será ya actualizado y es incluso posible que en futuras versiones de Windows, ni siquiera llegue a funcionar.

Hace 2 días salió la versión estable de OllyDBG 2.01 y se supone que la mayoría de plugins y desarrollo va a ir dirigido a esta nueva versión.

OllyDBg 1.10 funciona perfecto pero el manejo es algo diferente y con muchas nuevas opciones. Yo creo que OllyDBG 2 se embarcó en un largo y difícil proyecto y OllyDBG 1.10 sigue siendo una excelente alternativa...

[27 de septiembre de 2013 - Nueva versión de OllyDBG 2.01]

27 de septiembre de 2013 - Nueva versión de OllyDBG 2.01

Esta nueva versión contiene numerosas novedades. Tiene una ayuda de ¡77 páginas! donde puedes ver la descripción de la mayoría de novedades.

Su página web: http://www.ollydbg.de/

[WinDBG]

Echa un vistazo al buscador de Ricardo Narvaja y escribe en él: WinDBG, te saldrán muchas opciones.

http://ricardonarvaja.info/WEB/buscador.php

Muchas gracias por la aportación. Yo tampoco los tenía todos...

Normalmente para guardar imágenes en una base de datos lo que se suele hacer es guardar, por ejemplo, el nombre de la imagen. La imagen "real" se guarda en un directorio.

En C# o VB .NET puedes hacer lo mismo: creas un campo tipo <string> con el nombre de la imagen y la imagen la guardas en un directorio (C:\ por ejemplo si estás en local).

Guardar bytes de gráficos directamente en la base de datos, te la hará engordar muchísimo (la bdd ), no tiene sentido.

A la hora de guardar las imágenes te encontrarás con el problema de que no se repita el nombre. Pero para eso puedes utilizar, por ejemplo:

Código (csharp) [Seleccionar] Expandir

string NuevoNombreArchivo = Guid.NewGuid().ToString("N")