Реверсинг ASM KEYGENME#1

Данный keygenme довольно простой, но тем не мнение, рассмотрим именно его, думаю новичкам будет интересно. В качестве отладчика будем использовать всеми любимый OllyDbg)) Скачать ASM KEYGENME#1 можно тут:тут

Из названия подопытного, ясно чем нам придется заняться.

Перед тем как его перейти к реверсингу, запускаем его, и смотрим как он работает. После чего открываем его в отладчике.

Видим что то непонятное вместо обычного нам вида, дизассемблированного кода.

Не трудно догадаться, что файл зашифрован, причем не очень хорошо. В самом начале видим прыжок на 004011AE, ПКМ – Follow. Попадаем на фрагмент кода дескриптора. Так как, сейчас нам это мало интересно, пропустим этот фрагмент, нажимаем F9. Запускается программа..

Дальше в отладчике, нажимаем Ctrl + A или ПКМ – Analysis – Analysis code;

После чего в окне отладчика появляется основной код, нашего keygenme :



Начнем пожалуй с того, что посмотрим WinAPi функции, используемые тут, нажимаем

Ctrl + N или Search for – Name(Label) in current module. Видим следующие:



Там интересны только, GetDlgItemTexaA ( получение текста, например из поля ввода..), MessageBoxA ( вывод сообщения) и на последок wsprintfA( сравнение строк), что уже на данном этапе дает нам понять, что кейгенми довольно простой.

Остановимся на GetDlgItemTexaA .

Выбираем его, после чего ПКМ – Toggle Breakpoint on Import. Теперь при вызове этой функции программой, произойдет ее остановка, дабы дать нам возможность “осмотреться”.

Переходим к нашей запущенной программе, вводим любое имя, с серийником, в моем случаи Fairhawk;123456, нажимаем «ОК».

После чего программа останавливается, т.к срабатывает наша точка останова, что бы убедиться в этом смотрим в нижний левый угол отладчика на строку состояния, и видим там: «Breakpoint at user32.GetDlgItemTexaA.

Смотрим что у нас находиться в стеке:



Давайте обратим внимание на выделенную зеленным цветом строчку. Тут указывается на некий буфер, куда по идеи должно занестись выполнение нашей функции. Выделяем данную строчку, и нажимаем ПКМ – Follow in Dump.



Видим что тут пока не чего нет, т.к мы остановили нашу программу только на начале функции, и она еще не успела выполниться. Нужно это исправить.

Выделяем строку где произошла наша остановка, и нажимаем F2, что снимет от туда Breakpoint.

После чего ставим новый, на конце этой функции:



Опять же нажатием F2 ( хотя если ты читаешь этот материал, то ты наверняка знаком с этим ) ставим новую точку останова.

Нажимаем F9, и наш keygenme снова останавливается, но только уже на другом месте )

Снова смотрим на наш адрес в дампе..



Видим что, наша функция выполнилась, и теперь по адресу находиться то, что мы ввели в поле ввода «Name» !) Запоминаем адрес, думаю он нам пригодиться )

Убираем Breakpoint, и нажимаем F7 что бы выйти из функции.

Останавливаемся на строчке:

MOV DWORD PTR DS:[403100],EAX

Которая заносит результат выполнения функции ( в данном случаи количество строк), в «ячейку» по адресу 403100. После чего EAX обнуляется, командой :

XOR EAX,EAX.

Нажимаем ПКМ на MOV DWORD PTR DS:[403100],EAX– Follow Dump – Memory address. И видим что там тоже пусто. Но стоит нам выполнить данную команду нажатием F7, как видим там:



Число 8, в моем случаи количество символов в слове «Fairhawk») Также «запоминаем» адрес.)

Чуть ниже, видите еще один вызов GetDlgItemTexaA, в точности похожею на первый:



Красным цветом выделен, первый, нами разборный, вызов этой функции. Заметим так же, что тут в строчке :

PUSH ASM_KEYG.004030C0

И указывается, тот адрес, куда и заноситься наше имя, в моем случаи «Fairhawk»)

Во втором, вызове видим подобное:

PUSH ASM_KEYG.004030E0

Следовательно туда наверняка будет заноситься наш серийник . Давайте это проверим, ставим точку останова сюда:



Нажимаем F9. После чего ПКМ на PUSH ASM_KEYG.004030E0– Follow Dump –Immediate constant.

Как видите, наши предположения оправдались:



Там действительно находиться наш серийный номер).

Убираем, точку останова, нажимаем ПКМ на MOV DWORD PTR DS:[403128],EAX– Follow Dump – Memory address, после чего F7,и видим что 403128 находиться число 6 ) длина нашего серийника).

Теперь осталось выяснить, где используется наши числа (6 и 8)…

Cделаем так, найдем в дампе первое (8), после чего выполняем следующие:



Это тот же Breakpoint, только ставиться он на определенный участок в дампе, который срабатывает при любом вызове к этому адресу. И так, убираем наш предыдущую точку останова, и нажимаем F9.

Останавливаемся тут:



Тут и видим CMP DWORD PTR DS:[403100],0 обращение к нашему адресу(где у нас находиться длина нашего имени – 8 ), в данном случаи, происходит проверка, «если по адресу 403100 находиться 0, то вывести пользователю не приятное сообщение).

Чуть выше тоже самое, но уже с адресом 403128 (длина поля для серийника – 6).

После того как программа убеждается, что поля не пустые, выполняется выделенный красным цветом код..

Перед тем как разбирать его, уберем наш Breakpoint , который расположен в дампе. Делается это так, ПКМ – Breakpoint- Remove memory Breakpoint, все )

Первые 4 строчки в выделенной рамки, Обнуляют ESI, ECX, а в EDX заноситься 0A (10);

Ну а после чего, собственно идет генерация гуд серийника ) . Весь его разбирать смысла я не вижу, так что расскажу только основные моменты.

MOVSX EAX,BYTE PTR DS:[ECX+4030C0] – Начало цикла, где берется первый символ нашего имени, после чего выполняется, сам алгоритм генерации ключа, до момента:

CMP ECX,DWORD PTR DS:[403100]

JNZ SHORT ASM_KEYG.00401137

Где проверяется, всели буквы были «пройдены» . После чего результат заноситься в стек, из регистров EDI и ESI.

Затем вызваться функция wsprintfA для преобразования, всего этого в нужный нам формат:

"LOD-%lu-%lX". Затем проверка на правильность нашего, и сгенерированного недавно ключа тут:



Поставим Breakpoint там, где это сделал я.

Нажмем F9.

И видим что нам приходиться сравнивать))



В String1 находиться нужный нам серийник).

CMP EAX,0

Если наш серийник правильный, то в EAX должен оказаться 0.

Давайте проверим это. Убираем точку останова, нажимаем F8(тоже самое что и F7, только не заходит внутрь функций).



Как видите зеленым выделено подтверждение того, что наш серийник не правильный, иначе бы там было 0 )). И флаг Z будет содержать 0, после чего выполниться переход выделенный синим цветом, к плохому сообщению, затем программа закроется.

Перед тем как писать не посредственно keygen давайте проверим то, что я сейчас сказал).

Нажимаем 2 раза F7, пока наш курсор не окажется на:

JNZ SHORT ASM_KEYG.00401191

Как видите, красная линия показывает что он выполниться, смотрим куда.. и видим что к не очень хорошему для нас сообщению.

Кликаем 2 раза на флаг Z, в правой части отладчика.

И видим что переход стал тусклым, что означает, что «прыжка» не будет, а вместо этого выполниться строчка под ним. Давайте посмотрим, нажимаем F9!!!

И как нашей радости видим что программа говорит нам, о том что серийник правельный)

Осталось только написать keygen. Все что нам для этого нужно, так это взять кусок кода генерации, а именно :

XOR ESI,ESI

XOR ECX,ECX

XOR EDX,EDX

MOV ECX,0

MOV EDX,0A

MOVSX EAX,BYTE PTR DS:[ECX+4030C0]

INC EAX

ADD EAX,EDX

ADD ESI,EAX

INC ECX

IMUL EDX,ECX

MOV EDI,EDX

IMUL EDI,ESI

CMP ECX,DWORD PTR DS:[403100]

JNZ SHORTASM_KEYG.00401137

И переделать под свои нужды.

Скачать написанный мной keygen на masm32 ты можешь скачать ТУТ . Он слегка сыроват, но зато исправно работает))

Из итог наверное то, что кто то укрепил свои знания в реверсинге, ну или дал лишний повод убедиться какой он крутой, сказав себе «Та, я это и так знаю»))))

В любом случаи удачи!)