Обсуждение статьи Исследование программы BlueFace - делаем кейген. Что такое кейген

-----
Всем не угодишь

| Сообщение посчитали полезным:

Мда... При всём уважении, элементарно, откуда среднеститическому челу знать, то на инструкции


в EDX (цитирую)
"последняя часть строки, записанной в поле serial number в окне регистрации." Автор догадался? Молодец.

Собсно, я дальше и не читал, если статья построена на догадке. Да, нахождение EAX прослеживается. Нахождение EDX покрыто мраком (это главный вопрос, а сам алгоритм суть 7 ассемблерных инструкций, несложен). По-хорошему тут копать и копать надо, отслеживать изменение ячейки по адресу 4170AC, ибо в этой ячейке находится то, что попадёт в EDX, а как оно попало туда- вот и надо тык скыть это отслеживать.

| Сообщение посчитали полезным:

zaichik пишет:
Собсно, я дальше и не читал, если статья построена на догадке.
Ну и дебил, там 3 абзаца про lea ecx, dword ptr [edx+eax+01] написано и всё обсосано до безобразия полно.

| Сообщение посчитали полезным:

Вот всё, что написано про нахождения содержания EDX. Тебя это устраивает? Ну хавай, чё. Можешь дифирамбы написать.

"Вспоминаем, что мы хотели. А хотели мы посмотреть, что хранится в edx. Пишем в отладчике "? edx" и как всегда жмем Enter. Самые внимательные возможно заметят, что они уже где-то видели это значение (смотрите в десятичной записи числа). Для остальных подскажу, что это последняя часть строки, записанной в поле serial number в окне регистрации. Кстати строка Serial number будет у всех выглядеть по разному. Также в ней может быть одно или несколько тире. Значит в edx записывается эта последняя часть строки. В принципе нам неважно знать откуда она берется или генерируется. Ведь для генерирования правильного кода, мы будем просто брать эту часть и все. Осталось узнать, что у нас в eax и подвести итоги!"

Ну и кто дебил?

| Сообщение посчитали полезным:

zaichik пишет:
Ну и кто дебил?
Ты! если читая статью, ты даже не удосужился скачать жертву. Да даже хрен с ней с жертвой, там в конце полная генерация обсосана с примером как выглядит serial number и только Полный дебил не поймет что лежит в edx

| Сообщение посчитали полезным:

Важно не что лежит в EDX, а каким образом оно туда попадает. Содержание EDX суть производная от номера- и тебе очень повезло, чувак, что автор это УГАДАЛ. НЕ примазывайся к чужому везению.

...Ты про это?
1) Из поля serial number в регистрационном окне берется число - последняя часть строки, после второго тире.
2) К этому числу прибавляется длина имени компьютера + 1 (имя компьютера записано в первой части поля serial number, до второго тире)
3) Полученное число умножается на длину имени компьютера + 1.


Хе, в отладчике эта херь занимает семь срок, я повторяюсь уже


И веришь, нет, я сам дойду, что ECX суть введённый мной номер, а ESI зависит от содержания 4170AC
Впрочем, я знаю что ты скажешь- не скачал жертву, всё обоссано и прочее. Типичный тролль.

| Сообщение посчитали полезным:

С этой статьи я начинал реверс. Статья годная, в ней все хорошо...

| Сообщение посчитали полезным:

Vovan666
Негоже новичков так сходу метлой гонять, даже если и скосячил где.

Что касается статьи, она была написана лет 7 назад, автор уже давно не появляется на форуме, поэтому от него какой-либо фидбек ждать не стоит.

| Сообщение посчитали полезным:

Сказать хорошо- ничего не сказать
Один вопрос- значит, подошли к ключевому сравнению. cmp ESI ECX
В ESI- понятно что.

Как автор узнал что находится в EDX? (не в ECX а в EDX) Я стою на том, что просто ЗАМЕТИЛ. Нет, я жду!

| Сообщение посчитали полезным:

zaichik пишет:
Я стою на том, что просто ЗАМЕТИЛ.
Скорее всего, в этом и состоит волшебное преимущество отладки перед дизассемблированием - функции и действия можно угадывать, а не разбирать. Просто смотреть, где какие данные, как изменяется память (главным образом регистровая и стэк).

| Сообщение посчитали полезным:

int пишет:
Скорее всего, в этом и состоит волшебное преимущество отладки перед дизассемблированием

Скорее мозгоразжижающее свойство: "зачем думать если можно в отладчике посмотреть"
Верной дорогой идете zaichik. Все нужно ставить под сомнение.

p.s. Давненько я MozgC не видел и не слышал, аську его потерял...

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Ну да, понимаете, раз получилось, два получилось, 10 раз получилось. Ага, делаем вывод: в EDX то-то и то-то.
А на 11-ый раз имя серийника прежде чем попасть в EDX пройдёт модификацию. И всё, аля-улю, гони гусей.
Я попытался отследить изменения ячейки 4170AC- не получилось. Ну ничё, корячится другой способ. Он визуально некрасив, но надёжен.

| Сообщение посчитали полезным:

нужно просто в IDA смотреть, там будут указаны XREF - ссылки со всех мест откуда обращаются к адресу 4170AC.

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Ну я сделал по-другому, нашёл в листинге обращение к константе 4170AC (хотя помню, что эта константа была получена динамически) и вижу- вот в такой-то инструкции по адресу 4170AC кладётся значение такое-то (искомое). А как оно генерится? Надо ТОЧНО это знать. Просто копируется часть имени компьютера или как-то по-другому. У меня ума не хватило отслеживать дальше. НО, повторяюсь, я нашёл надёжный способ нахождения серийника и щас над ним работаю.

| Сообщение посчитали полезным:

zaichik пишет:
вот в такой-то инструкции по адресу 4170AC кладётся значение такое-то (искомое)
ну из регистра же туда кладется. Дальше смотришь откуда данные попали в регистр...

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Hexxx
Отлаживать тоже надо уметь. На счет верной дороги не согласен. В реверсе нет верной дороги (как и в науке?). Человек, начавший заниматься реверсом, может забросить это занятие, так и не начав, устав разбирать километровые листинги с вложенностью 5-7 уровней.

| Сообщение посчитали полезным:

Hexxxда уж...

Короче, я написал кейген, могу показать.
Суть: кейген генерится в самом BlueFace.exe, а посему:
Так, ребята, не проще ли запустить BlueFace.exe, дождаться инструкции сравнения CMP ESI, ECX и просто слямзить нужный номер из ESI?

Этого можно достичь несколькими путями, тут все кодеры я никого учить не буду. Вот идея такая то есть: считать нужные данные с адресного пространства процесса. Всё! ТО есть считать ЧТО ТАМ ПО ФАКТУ, а не что ДОЛЖНО быть

Ну вот я накропал экзешничек такой:
1) Создаёт процесс BlueFace.exe
2) Sleep (3000); (ждём пока процесс загрузится в память)
3) Считываем даные по адресу 4170AC (тут я немного упростил задачу, не из регистра считал ключ, а сам его вычисляю по алгоритму)
4) Ну, понятное дело, нахожу имя компа, его длину
5) Нахожу ключ, вывожу его на экран, убиваю BlueFace.exe
Всё!

Немного громоздко, согласен, но зато верняк! И потом я только начинаю.
Теперь: данные ячейки 4170AC после появления рожицы в трее НЕ МЕНЯЮТСЯ (ставил хардварные бряки на доступ). То есть данные с этой ячейки можно было смело считывать на этом этапе, на каком и я - они не поменяются.

| Сообщение посчитали полезным:

Чушь неимоверная. Если уж религия не позволяет брать номер из строки Your serial number и генерировать номер как надо, то гораздо лучше и правильней брать его из BlueFace.dft. К примеру что будет с твоим кейгеном если выйдет версия 1.1? А если тебя попросят сгенерировать номер для другого компа?
Да и не кейген это у тебя, а т.н. serial sniffer

| Сообщение посчитали полезным:

Vovan666 ну чего ты озлобился на нубчика сам же тоже начинал когда-то ))



тут тот самый неуловимый EDX получается )))

| Сообщение посчитали полезным:

Статья зачетная, с нее я втянулся в это дело. А то, чего не хватает в статье можно найти самому. Бедный BlueFace, на нем я все способы взлома опробовал.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

ой как интересно...
А чё, наверное если бряк поставить на любую из этих инструкций, он по-любому сработает ДО ТОГО, как по адресу 4170AC упадёт значение, которое после попадёт в EDX... Только вот ведь штука какая- не выполняются эти инструкции, а 4170AC инициализируется...

| Сообщение посчитали полезным:

Статья расжёвана даже больше, чем требуется новичку!
BlueFace одна из первых прог, наряду с Fant0m's CrackMe по которым учился

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

zaichik так ведь файлик то удалить наверное надо? )))

| Сообщение посчитали полезным:

Адрес что дал NikolayD выполняется единожды при первом запуске проги, удали BlueFace.dft и всё сработает, и даже новый id будет. При последующих запусках твоя долбаная 4170AC заполняется при считывании BlueFace.dft

Тут считывает


а тут записыват


| Сообщение посчитали полезным:

Как же невысокие у вас требования, оказывается.

"Самые внимательные возможно заметят, что они уже где-то видели это значение (смотрите в десятичной записи числа). Для остальных подскажу, что это последняя часть строки, записанной в поле serial number в окне регистрации."

Дабы статья понравилась, оказывается надо чтобы вас признали самым внимательным- ну как же, вы ведь тоже обнаружили, что в EDX- последняя часть строки, записанной... и так далее.

По мне так, например, было бы хорошо, если бы автор сказал: "вот строка, вот цепочка событий, обрабатывающих серийный номер, после которых в EDX кладётся то-то и то-то". НЕ сказал, ибо заметил сие СЛУЧАЙНО. Да, базара нет, опыт ли, внимательность ли сыграли вою роль. Ну, я очень рад, что автор такой внимательный.

А сам алгоритм мог бы и опустить. Это как раз чистой воды ум, неприменительно ккодингу вообще.

| Сообщение посчитали полезным:

NikolayD пишет:
zaichik так ведь файлик то удалить наверное надо? )))
Хорош загадками говорить.
Какой файлик и почему удалять- и самое главное где там автор про какой файлик удаляемый говорил- ничё непонятно.

А вообще- я рад, что дал вам возможность блеснуть своими знаниями насчёт файлов там разных. НАверное, это очень важно. И я не сомневаюсь, что автор статьи тоже знал и про BlueFace.dft тоже. Только не сказал, скромняга.

| Сообщение посчитали полезным:

В статье же не написано, что думать своей головой ЗАПРЕЩЕНО ))) .Всё что не запрещено - разрешено. Vovan666 уже всё расписал, добавить тут нечего...

| Сообщение посчитали полезным:

Ну вот я и думал и придумал

| Сообщение посчитали полезным:

zaichik пишет:
Как же невысокие у вас требования, оказывается.
Не туда смотришь. Напиши статью так, чтобы человека затянуло в реверс на многие годы и потом критикуй. Откуда вы такие беретесь.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Тему замутил не я. Я говорю мало, но в том, что я говорю- я прав. А говорю я... но не буду повторяться. Вся эта херь, весь этот анализ слишком тяжело мне даётся, с очень большим трудом, чтобы я вот так вот отступал перед какими бы то ни было авторитетами.

| Сообщение посчитали полезным: