Introduction au reverse engineering sous Win32
|
25-09-2011, 22h02
(Modification du message : 22-10-2011, 16h07 par Di0Sasm.)
Message : #1
|
|
fr0g
NTEuNDI2MzcsLTEuNzc4NDg4 Messages : 348 Sujets : 22 Points: 56 Inscription : Aug 2011 |
Introduction au reverse engineering sous Win32
[SIZE="4"](Introduction Reverse engineering sous Win32) by fr0g[/SIZE]
En quoi consiste le reverse engineering, comme son nom l'indique (rétro-ingénierie), le reverse engineering consiste à comprendre le fonctionnement d'un programme par rapport à soit : 1/ Son code source (dans le cas où on là) 2/ Son exécutable ... Eh oui, ici c'est la deuxième solution que l'on va voir, de quoi avons nous besoin ? : disons que rien n'est vraiment nécessaire, car ceci est un APERCU , et non pas un cours complet, cet article ne vise qu'à vous donner un aperçu de ce en quoi consiste le reverse engineering . Pour suivre le cours, on à besoin de : - Notre reverse-me => Lien - Ollydbg (désassembleur) => Lien - Reshacker (ou on autre editeur de ressources) => Lien - Et de préférence quelques connaissances en assembleur Bon alors tout d'abord on lance notre reverse-me et on entre un sérial bidon, le programme nous affiche un message "Wrong key". Qu'allons nous faire ici ? celà est simple, quand nous rentrons un sérial invalide dans notre reverse-me: celui ci nous affiche "wrong key" , ce que nous allons faire , c'est repérer l'instruction qui affiche ce message et remplacer le message affiché par la variable contenant le sérial . Bon allons y , nous allons ouvrir notre reverse me avec ResHacker , et parcourir les dossiers RCData -> TFORM1, là il y a un fichier nommé "0" , cliquez dessus, et dans le grand cadre apparaissent les propriétés de la fenêtre et des objets du reverse-me, descendez en bas de la liste et là vous verrez : OnClick = Button1Click . A quoi est-ce que cela correspond ? Eh bien Button1Click est le nom de la fonction qui est appelée quand on clique sur le bouton . Vous pouvez fermer ResHacker, et ouvrez maintenant le reverse-me avec Ollydbg, une fois désassemblé, faites un clic droit au milieu du code source (cadre en haut à gauche) SearchFor > All refenced strings Et là vont s'afficher toutes les chaines ASCII lisibles dans l'exécutable, tout en bas de la liste on voit apparaitre "Wrong key", "good" & "easy" : le "good" vous l'aurez compris est le message qui s'affiche quand le sérial est valide . Code : 004540E0 ASCII "easy" ASCII "easy" Mais qu'est ce que ce "easy" ??? C'est notre serial ^^, mais le trouver n'est pas tout, ici nous devons le faire "ressortir".(Notez d'ailleurs qu'un sérial qui apparait dans les string data références est un cas EXTREMEMENT RARE, j'ai simplifié le cas pour l'exemple ) Double-cliquez maintenant sur la ligne de la chaine ASCII "Wrong key". vous vous retrouvez dans le code source du programme . Code : CPU Disasm Nous nous retrouvons donc sur la ligne 0045409f affichant le message d'erreur . Code : 0045409F |. B8 F0404500 MOV EAX,004540F0 ; ASCII "Wrong key" On voit que l'instruction en assembleur est MOV EAX,004540F0 , à quoi cela correspond ? Pour faire simple, le programme va mettre le contenu de la ligne 004540F0 dans le registre "EAX". et qu'y a t'il à la ligne 004540F0 ? ^^ je vous laisse regarder, il s'agit de notre message d'erreur . Code : 004540F0 . 57 72 6F 6E 6 ASCII "Wrong key" ; ASCII "Wrong key" Si vous regardez plus haut dans le code, c'est à la ligne 004540E0 qu'est déclarée la variable contenant notre sérial (je rappelle que le sérial est "easy" nous l'avons vu plus haut . Pour faire ressortir notre sérial c'est simple, nous allons modifier la ligne 0045409F, double cliquez dessus, afin de l'éditer, Et changer l'adresse du message d'erreur, par celle de la variable content le sérial appuyez sur "Assemble", ce qui donnera : Code : 0045409F B8 E0404500 MOV EAX,004540E0 ; ASCII "easy" Maintenant, allez dans le menu "debug" en haut de Ollydbg, et cliquez sur "Run" (ou bien appuyez simplement sur F9). Notre reverse-me se lance, on entre un sérial bidon, et là qu'est ce qui apparait ? ^^ le sérial valide ^^ , essayez ensuite d'entrer le sérial valide, et le programme vous affiche le message de réussite "Good" . Article : Introduction au reverse engineering by fr0g . |
|
26-09-2011, 05h38
Message : #2
|
|
CyberSee
Admin fondateur de N-PN Messages : 1,721 Sujets : 287 Points: 157 Inscription : Jan 2012 |
Introduction au reverse engineering sous Win32
Un autre très bon tuto :-) Bravo fr0g! rep +20!
|
|
26-09-2011, 08h32
Message : #3
|
|
ark
Psyckomodo! Messages : 1,033 Sujets : 48 Points: 317 Inscription : Sep 2011 |
Introduction au reverse engineering sous Win32
Sympa ta technique pour qu'il l'affiche lui même, dommage que ça soit rarement aussi simple ! ^^
|
|
26-09-2011, 19h38
Message : #4
|
|
fr0g
NTEuNDI2MzcsLTEuNzc4NDg4 Messages : 348 Sujets : 22 Points: 56 Inscription : Aug 2011 |
Introduction au reverse engineering sous Win32
_Ark_ > c'est pour ça qu'il faut s'adapter à la structure du logiciel pour en tirer à peu près ce que l'on veut
|
|
27-09-2011, 21h39
(Modification du message : 22-10-2011, 16h09 par Di0Sasm.)
Message : #5
|
|
ark
Psyckomodo! Messages : 1,033 Sujets : 48 Points: 317 Inscription : Sep 2011 |
Introduction au reverse engineering sous Win32
Okay. Et c'est possible, si on manque de place de mettre juste un jmp et d'écrire notre code à la fin du prog sur les null bytes, puis revenir par un autre jmp ?
|
|
10-10-2011, 23h26
Message : #6
|
|
fr0g
NTEuNDI2MzcsLTEuNzc4NDg4 Messages : 348 Sujets : 22 Points: 56 Inscription : Aug 2011 |
Introduction au reverse engineering sous Win32
Oulah, désolé pour le temps de réponse , je n'étais pas revenu sur le topic depuis un moment, bah personnellement je n'ai jamais procédé de la sorte, mais oui, je suppose que c'est bien possible évidemment, je ne voit pas tellement ce qui pourrais t'en empêcher, en théorie ça devrais fonctionner (et en pratique aussi je pense si tu te débrouilles ^^)
|
|
11-10-2011, 02h01
Message : #7
|
|
Xylitol
Membre Messages : 34 Sujets : 3 Points: 11 Inscription : Sep 2011 |
Introduction au reverse engineering sous Win32
_Ark_ a écrit :Okay. Et c'est possible, si on manque de place de mettre juste un jmp et d'ecrire notre code a la fin du prog sur les null bytes, puis revenir par un autre jmp ? [ame]http://www.youtube.com/watch?v=ZJEDphDdu7M[/ame] 720p fullscreen dude. j'ai fais cette vidéo ya un petit moment déjà. |
|
11-10-2011, 11h50
Message : #8
|
|
naab
Newbie Messages : 9 Sujets : 1 Points: 0 Inscription : Oct 2011 |
Introduction au reverse engineering sous Win32
_Ark_ a écrit :Okay. Et c'est possible, si on manque de place de mettre juste un jmp et d'ecrire notre code a la fin du prog sur les null bytes, puis revenir par un autre jmp ? On pourrait aussi citer deamoncrack : http://deamonftp.free.fr/deamoncrack/Pages/cours16.htm Il rajoute un bruteforce sur les bytes de libre et fait sauter dessus pour que le crackme se pete tout seul. Vieux mais toujours tres bon article. |
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
Débuter en reverse engeneering. | ark | 15 | 1,322 |
22-03-2018, 03h50 Dernier message: ThomasBr |
|
Continuer en reverse engeneering | ark | 4 | 495 |
16-09-2013, 09h05 Dernier message: Ark |
|
Débuter en reverse engineering avec 0$ | 0x41 | 9 | 611 |
14-09-2012, 19h55 Dernier message: LR-6 |
|
Introduction au Cracking sur Linux | systemprog | 1 | 332 |
26-10-2011, 23h02 Dernier message: CyberSee |
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)