hErmol crackme v1.0 [zip]

• Type de la protection : KeyFile
• Méthode utilisée : debugging
• Outils utilisés :
  désassembleur (IDA v4.1.7.600)
  debugger (OllyDbg v1.06)
  éditeur hexadécimal (Hex Workshop v3.11)
  unpacker (ProcDump32 v1.6.2)
  détecteur de compression (PE iDentifier v0.8)

Ici une autre manière de protéger un programme : le keyfile, c'est un fichier qui est utilisé au démarrage du programme et qui indique si celui-ci est enregistré ou non.

On exécute le programme et on aperçoit une très belle fenêtre nous disant que nous sommes en mode shareware :-/ On le désassemble, et là on voit 3 choses...

Tout d'abord un énorme vide, beaucoup de valeurs hexadécimales et un peu de code... Le programme ne serait-il pas compressé ? On ouvre PEiD, 'Open File', on sélectionne notre crackme, et on voit s'afficher 'UPX 0.89.6 - 1.02 / 1.05 - 1.22 -> Markus & Lazlo'.

On pourrait faire du manual unpacking comme c'est de l'UPX, mais bon, il existe des programmes pour ça, donc autant s'en servir, c'est là pour ça. On ouvre ProcDump, puis 'Unpack', on choisit 'UPX' (ben oui comme c'est de l'UPX, ça paraît normal, non ?). On ouvre le programme compressé, on attend qu'il s'ouvre dans la barre des tâches, et on fait 'OK'. On sauvegarde ensuite le fichier décompressé.

On réouvre notre fichier avec IDA, on regarde à peu près et on voit beaucoup beaucoup beaucoup, mais attention, quand je dis beaucoup beaucoup, c'est vraiment beaucoup beaucoup ! donc on voit beaucoup de nop...
arf, ce qui rend le code pas très lisible, car entre chaque instruction, il y a environ 200 lignes de nop, alors pour tracer... pas grave, on va agir autrement, ça va nous retarder, mais ça sera plus facile pour plus tard. On regarde d'abord si le programme appelle quelques fonctions intéressantes, on va dans 'Jump', 'Jump to name...', et là on cherche une fonction qui ouvre un fichier, généralement c'est l'API CreateFile.

Hum pas de CreateFile, hum je sais pas si vous avez vu, mais y a une autre API intéressante là, non ? Et _lopen ? Donc on double-clique dessus, et on arrive à ceci :

.idata:004070BC .......; HFILE __stdcall _lopen(LPCSTR lpPathName,int iReadWrite)
.idata:004070BC .......extrn _lopen:dword

Mais à aucun moment le programme ne l'appelle, hum, bizarre... pourtant ça convient très bien à notre crackme cette fonction... Il faut savoir que certains packers transforment le code en data ce qui le rend donc illisible, alors allons donc voir le PE du programme, on ouvre ProcDump, 'PE Editor', et on ouvre notre fichier compressé, ensuite 'Sections', et là quelque chose qui devrait vous sauter aux yeux, non ?

Bon je vous aide, dans le PE, une section code est 0x??????20, et là la section code est 0x??????80 qui correspond à des données non initialisées, alors, je vous avais pas dit ça ?

Bon on change la section .code de E0000080 en E0000020 (pour cela clic-droit sur .code, 'Edit section', 'Section Characteristics'...). On fait 'OK', et on recommence.
(NDOracle : Pour en savoir plus sur la structure du PE et les sections reportez vous au tutorial d'Anubis présent dans ce Memento).

Hum déjà il est plus long à désassembler, bon signe. Un petit 'Jump to name _lopen' et on voit du changement !

.code:0040485A .......; HFILE __stdcall _lopen(LPCSTR lpPathName,int iReadWrite)
.code:0040485A _lopen proc near ; CODE XREF: sub_4013B0+6C8|p
.code:0040485A .......jmp ds:__imp__lopen
.code:0040485A _lopen endp

Maintenant nous allons extraire le code assembleur qui nous intéresse pour ensuite supprimer tous les NOP, on pourra donc avoir un code désassemblé plus lisible :o) On va donc commencer à copier à l'adresse 401A78, mais autant prendre les arguments, donc on va prendre un peu plus haut.
En supprimant ensuite tous les NOP, voici ce qu'on obtient :

0040187D 6A 02 ........PUSH 2
004019AB 68 29514000 ..PUSH _crackme.00405129 ; ASCII "CRACKME.KEY"
00401A78 E8 DD2D0000 ..CALL <JMP.&kernel32._lopen>
00401A7D 83F8 FF ......CMP EAX,-1
00401A80 0F85 5D020000 JNZ _crackme.00401CE3
00401A86 E9 BE100000 ..JMP _crackme.00402B49
00401CE3 A3 E3664000 ..MOV DWORD PTR DS:[4066E3],EAX
00401DB0 33C9 .........XOR ECX,ECX
00401DB2 1E ...........PUSH DS
00401DB3 07 ...........POP ES ...................; Modification of segment register
00401DB4 BE AE534000 ..MOV ESI,_crackme.004053AE
00401E81 87F3 .........XCHG EBX,ESI
00401F4B 6A 01 ........PUSH 1
00401F4D 68 9A674000 ..PUSH _crackme.0040679A
00401F52 FF35 E3664000 PUSH DWORD PTR DS:[4066E3]
00401F58 E8 09290000 ..CALL <JMP.&kernel32._hread>
00401F5D 83F8 01 ......CMP EAX,1
00401F60 0F85 6D110000 JNZ _crackme.004030D3
0040202E 33C9 .........XOR ECX,ECX
004020F8 BF 9A674000 ..MOV EDI,_crackme.0040679A
004021C5 92 ...........XCHG EAX,EDX
0040228E C1E0 04 ......SHL EAX,4
00402359 C1E0 08 ......SHL EAX,8
00402424 C1E0 08 ......SHL EAX,8
004024EF C1E0 04 ......SHL EAX,4
004025BA C1E0 08 ......SHL EAX,8
00402685 87CA .........XCHG EDX,ECX
0040274F 031D E9664000 ADD EBX,DWORD PTR DS:[4066E9]
0040281D 87F3 .........XCHG EBX,ESI
004028E7 46 ...........INC ESI
004029B0 8A06 .........MOV AL,BYTE PTR DS:[ESI]
004029B2 AF ...........SCAS DWORD PTR ES:[EDI]
00402A7B 0F84 00F4FFFF JE _crackme.00401E81
00402B49 92 ...........XCHG EAX,EDX
00402C12 C1E0 02 ......SHL EAX,2
00402CDD C1E0 08 ......SHL EAX,8
00402DA8 C1E0 03 ......SHL EAX,3
00402E73 C1E0 04 ......SHL EAX,4
00402F3E C1E0 06 ......SHL EAX,6
00403009 87CA .........XCHG EDX,ECX
0040319B BE AE534000 ..MOV ESI,_crackme.004053AE
004031A0 2BDE .........SUB EBX,ESI
0040326A 81FB 00080000 CMP EBX,800
00403270 75 09 ........JNZ SHORT _crackme.0040327B
00403274 E9 45030000 ..JMP _crackme.004035BE
0040327B 40 ...........INC EAX
0040327C 5E ...........POP ESI
0040327D 5F ...........POP EDI
0040327E 5B ...........POP EBX
0040327F C9 ...........LEAVE
00403280 C2 1000 ......RETN 10

On y comprend déjà beaucoup mieux, non ? Pas grave, on va étudier ça ensemble.
Nous allons reprendre le programme ligne par ligne :

0040187D 6A 02 ........PUSH 2
004019AB 68 29514000 ..PUSH _crackme.00405129 ; ASCII "CRACKME.KEY"
00401A78 E8 DD2D0000 ..CALL <JMP.&kernel32._lopen>

Tout d'abord on ouvre le fichier "CRACKME.KEY" en lecture/écriture (2).
00401DB4 BE AE534000 ..MOV ESI,_crackme.004053AE
00401E81 87F3 .........XCHG EBX,ESI

On initialise ESI à 004053AE qu'on a placé dans EBX en permutant les registres avec 'XCHG EBX,ESI'.
00401F4B 6A 01 ........PUSH 1
00401F4D 68 9A674000 ..PUSH _crackme.0040679A
00401F52 FF35 E3664000 PUSH DWORD PTR DS:[4066E3]
00401F58 E8 09290000 ..CALL <JMP.&kernel32._hread>

On va lire ensuite caractère par caractère (ce qui correspond au 'PUSH 1' en 00401F4B) le fichier. On verra ensuite que beaucoup de code ne sert à rien ici, ah là là vraiment pour embêter le monde hein ! ;op
0040274F 031D E9664000 ADD EBX,DWORD PTR DS:[4066E9]

On ajoute ensuite à EBX la valeur se trouvant à l'adresse 4066E9 qui est 0xFF.
0040281D 87F3 .........XCHG EBX,ESI
004028E7 46 ...........INC ESI

On repermute les registres, et on ajoute 1 à ESI, en fait c'est comme si on ajoutait 1 à EBX avant la permutation. On a en fait ajouté 0x100 en tout à la valeur se trouvant à l'origine dans ESI.
Vient ensuite une expression peut-être inconnue :
004029B0 8A06 .........MOV AL,BYTE PTR DS:[ESI]
004029B2 AF ...........SCAS DWORD PTR ES:[EDI]

Cette instruction permet de chercher si un caractère stocké dans AL/AX/EAX se trouve dans une chaîne pointée par EDI. On cherche tout simplement à vérifier si le caractère lu dans notre fichier correspond au caractère trouvé après s'être déplacé de 0x100 à partir de 004053AE.
00402A7B 0F84 00F4FFFF JE _crackme.00401E81

Si c'est le cas, on retourne plus haut pour lire le caractère suivant, et on fait la même opération.
00401F58 E8 09290000 ..CALL <JMP.&kernel32._hread>
00401F5D 83F8 01 ......CMP EAX,1
00401F60 0F85 6D110000 JNZ _crackme.004030D3

S'il n'y a plus de caractères à lire, on saute directement en 004030D3, qui est un NOP, donc l'instruction rencontrée sera en 0040319B.
0040319B BE AE534000 ..MOV ESI,_crackme.004053AE
004031A0 2BDE .........SUB EBX,ESI

On soustrait ensuite à EBX, la valeur d'origine, c'est-à-dire qu'on saura combien on a additionné.
0040326A 81FB 00080000 CMP EBX,800
00403270 75 09 ........JNZ SHORT _crackme.0040327B
00403274 E9 45030000 ..JMP _crackme.004035BE

Si on a additionné 0x800, c'est tout bon, et comme on ajoutait 0x100 à chaque passage, ça veut dire qu'on a lu 8 caractères, il ne reste plus qu'à les trouver.

Ce qui est très facile maintenant qu'on a compris comment fonctionnait le crackme. On est donc parti de l'adresse 004053AE, puis on a lu le caractère qui s'y trouvé tous les 100 octets plus loin. On va donc rechercher les octets suivants : 004054AE, 004055AE, 004056AE, 004057AE, 004058AE, 004059AE, 00405AAE, 00405BAE.
Et on y trouve : 0x89 , 0x8B , 0x05 , 0xE2 , 0x00 , 0x32 , 0x87 , 0x95.

On ouvre donc le fichier 'crackme.key' avec un éditeur hexadécimal, et on met ces valeurs : 898B 05E2 0032 8795, on sauvegarde, on relance le crackme, et le bon message s'affiche !

Vous avez donc vu que certaines instructions n'étaient pas utilisées, alors voici le code réellement utilisée :
0040187D 6A 02 ........PUSH 2
004019AB 68 29514000 ..PUSH _crackme.00405129 ; ASCII "CRACKME.KEY"
00401A78 E8 DD2D0000 ..CALL <JMP.&kernel32._lopen>
00401A7D 83F8 FF ......CMP EAX,-1
00401A80 0F85 5D020000 JNZ _crackme.00401CE3
00401A86 E9 BE100000 ..JMP _crackme.00402B49
00401CE3 A3 E3664000 ..MOV DWORD PTR DS:[4066E3],EAX
...
00401DB4 BE AE534000 ..MOV ESI,_crackme.004053AE
00401E81 87F3 .........XCHG EBX,ESI
00401F4B 6A 01 ........PUSH 1
00401F4D 68 9A674000 ..PUSH _crackme.0040679A
00401F52 FF35 E3664000 PUSH DWORD PTR DS:[4066E3]
00401F58 E8 09290000 ..CALL <JMP.&kernel32._hread>
00401F5D 83F8 01 ......CMP EAX,1
00401F60 0F85 6D110000 JNZ _crackme.004030D3
...
004020F8 BF 9A674000 ..MOV EDI,_crackme.0040679A
...
0040274F 031D E9664000 ADD EBX,DWORD PTR DS:[4066E9]
0040281D 87F3 .........XCHG EBX,ESI
004028E7 46 ...........INC ESI
004029B0 8A06 .........MOV AL,BYTE PTR DS:[ESI]
004029B2 AF ...........SCAS DWORD PTR ES:[EDI]
00402A7B 0F84 00F4FFFF JE _crackme.00401E81
...
0040319B BE AE534000 ..MOV ESI,_crackme.004053AE
004031A0 2BDE .........SUB EBX,ESI
0040326A 81FB 00080000 CMP EBX,800
00403270 75 09 ........JNZ SHORT _crackme.0040327B
00403274 E9 45030000 ..JMP _crackme.004035BE
0040327B 40 ...........INC EAX
0040327C 5E ...........POP ESI
0040327D 5F ...........POP EDI
0040327E 5B ...........POP EBX
0040327F C9 ...........LEAVE
00403280 C2 1000 ......RETN 10

Le début de ce tut est assez long, mais vous pouvez très bien y aller au feeling sans devoir unpacker le prog, vous tracez, vous regardez, vous cherchez, et vous arriverez au même résultat, mais la méthode décrite ici est "plus propre".