Alejandro Canosa 25/09/2017

Introducción

En el capítulo anterior se observó los tipos de seguridad que presenta los crackmes o software comerciales, en este capítulo se manejara una nueva herramienta para poder desensamblar las aplicaciones hechos en Delphi.

Herramientas

* IDR (Interactive Delphi Reconstructor) – http://kpnc.org/idr32/en/download.htm

* ProtectionID – http://pid.gamecopyworld.com/

* RDG Packer Detector v0.7.6

* Ollydbg

* Crackmes de  SoftDat (https://mega.nz/#!9cYHFDBY!EbHYM1mbA3Z00nYJLgeaOnvlZFHE5rowgrgJfAilxpI)

Realizando el ataque

Antes de poder comenzar se agradece a Softdar por el aporte del crackmes  hecho en Delphi y a John por hacernos conocer esta herramienta que nos facilita al momento del cracking, se explicara cómo se instalara el software IDR, para ello vamos a descargar :

Ingresemos a la web y descargamos los tres archivos que necesitamos:

Luego cree una carpeta llamado IDR, copie los tres archivos y pegue en la carpeta creada, luego  descompriman los archivos.

Finalmente unir el contenido de los archivos en uno solo:

Esto seria toda la instalación del software, podemos ejecutarlo para validar que funcione correctamente

Lo primero que debemos hacer es obtener información de la víctima en este caso de  nuestro reto creado por un amigo apodado Softdat (Gracias 😀 ),  utilizaremos RDG Packer Detector v0.7.6 y PROTECTiON iD v0.6.8.5, esta última herramienta nos muestra más información como la fecha de creación,  compilación del software y la protección.

amos a registrarnos con Usuario : LIOR y Clave : 151515:151515:151515:1515; de lo cual nos mostrará el “BAD BOY”.

Si vamos abrir en OLLYDBG y buscamos el BAD BOY con string “Usuario o Código incorrecto”, lo encontramos en la dirección 0046732C, de lo cual vemos que el GOOD BOY no se encuentra, en estos casos no se puede resolver con OLLYDBG y debemos  usar una herramienta que nos facilite el trabajo.

Vayamos a usar el IDR para poder encontrar el GOOD BOY y BAD BOY, abrimos el IDR y arrastramos nuestro crackmes hacia IDR, veremos este mensaje, hacemos clic en SI.

En este caso nos muestra que no puede conocer este tipo de archivo y que se requiere kb7.bin, de lo cual iremos a la web http://kpnc.org/idr32/en/download.htm y descargamos el archivo que se necesita para poder desensamblar el crackmes.

En la web se muestra el archivo que necesitamos kb7.bin  y está basado con Delphi 7. Si se acuerdan nuestro crackmes se compilo en Delphi 7, por eso se requiere este archivo 😀 , asi que lo descargamos la versión Delphi 7 (Cuadro amarillo).

Luego de la descarga, pasamos a descomprimir,  y copiar el contenido del directorio kb7, en el Idr, donde se encuentra los tres archivos que descomprimimos para poder ejecutar el software por completo.

Finalmente se pudo desensamblar el crackmes por completo.

Vayamos a Forms(F5),  ahí nos mostrará las ventanas que aparece, podemos ver TFORM1 es la primera ventana donde nos pide ingresar las credenciales, y en TFORM2 nos mostrará el “GOOD BOY”.

Para poder confirmar lo mencionado en el paso anterior, IDR nos ofrece la opción de activar Form, y ver de forma gráfica la ventana TFORM1 y TFORM2, haciendo doble clic en TFORM {Form1}, y vemos que se abre la ventana de registro.

Ahora hagamos doble clic en TFORM2 {Form2}, en esta ventana nos muestra el GOOD BOY, así que lo encontramos.

Regresemos nuevamente a TFORM1, para poder analizar el bloque de código, hacemos doble clic en OnClick=TForm1.Button1Click, y nos muestra donde inicia el bloque de código cuando hacemos clic en el botón Check it!, desde la dirección 0046720C podemos buscarlo desde Ollydbg la dirección y agregar un BreakPoint.

Podemos ver que líneas más abajo vemos los string de un aparente clave, en mi caso las posibles claves están en un cuadro de color amarillo y el usuario de color verde.

Yo lo apunte en un bloc de notas para poder copiar y pegar. Y finalmente veremos que nos muestra  la ventana GOOD BOY.

La otra manera es ir a  Ollydbg , cuando se haya obtenido la dirección del botón de registro en este caso fue 0046720C

Vayamos a la dirección 0046720C y agregamos un BreakPoint, presionamos “F9”, y nos intentamos registrar, se detendrá en nuestro BreakPoint, para luego trazar con “F8”.

Como verás se observa lo mismo que nos muestra en IDR.

Así que al intentar registrar veremos que nos aparece “GOOD BOY”.

Se observa que finalmente podemos usar más de una herramienta para poder obtener la clave de un crackmes o software, sin embargo esto depende de la comodidad que tenga, en lo personal utilizo esta herramienta cuando no tengo información necesaria del crackmes, claro tener en cuenta que es solo para software compilados en DELPHI,

 

Comparte si te gusta
  • 1
  •  
  •  
  •  
  •  
  •  
    1
    Share

Deja un comentario.

Tu dirección de correo electrónico no será visible. Los campos obligatorios están marcados con *

* Se requiere casilla de verificación RGPD

*

Estoy de acuerdo

Esta web utiliza cookies puedes ver aquí la política de cookies. Si continuas navegando estás aceptándola