Karpoff Spanish Tutor

Programa:

Mass Downloader 2.0.137


 

PROTECCION: Serial y Limitacion de Tiempo
Objetivo: Simular estar registrados
Descripcion: Acelerador de downloads
Dificultad: Media.
DOWNLOAD: http://www.metaproducts.com
Herramientas: SoftIce v4.05, W32dasm v8.93, UltraEdit v7.10a, UN-PACK v1.9, ProcDump32 v.1.6.2 FINAL
CRACKER: Crick   FECHA: 02/11/2000

 

 INTRODUCCION

Hola a tod@s. Este es el primer trabajo de 'reversing' ;) que publico. Espero que os sirva.
El programita en cuestión es el Mass Downloader 2.0.137 que sustituye a la versión 1.2.95 (si no me equivoco). Es un buen acelerador de 'downloads' ya que el fichero que nos vamos a bajar lo parte en varios trozos y se baja cada trozo simultáneamente!!!
Bueno, al grano. Es un ejecutable empaquetado con el nuevo ASPACK 2.11 (mr. nobody: te aseguro que no da tanto miedo). Después de intentar encontrar un nº de serie válido sin conseguirlo :'( decidí atacar al tradicional método del CALL xxx; TEST AL,AL; JNZ yyy con éxito :)

 

 al atake

en primer lugar tenía que averiguar algo sobre el ejecutable, así que lo pasé por el un-pack v1.9 que me dijo, entre otras cosas, esto:

* file size 533504 bytes
* time/date stamp.......: $2a425e19
* entry point rva.......: $00186001
* base of code..........: $00001000
* base of data..........: $0012d000
* image base............: $00400000
* entry point...........: $0007f401 ($00586001) at section n9 <<<-- la puerta de entrada
* packed by aspack v.2.11 by alexey solodovnikov <<<-- la zancadilla
* unpacker not available <<<-- la putada !!!

bueno, no pasa nada. si no lo podemos desempaquetar a máquina,
lo haremos a mano xd

pero primero hay que modificar la información de la cabecera del ejecutable. ¿por qué?, pues porque, como casi todos, los empaquetadores modifican esta cabecera para hacer el código indesensamblable (&iquestse dice así?, pues vaya...).
ejecutamos procdump32 v.1.6.2 y pinchando en pe editor buscamos el ejecutable (massdown.exe), una vez abierto nos vamos a sections, buscamos la sección .aspack y cambiamos las caracteríticas de c0000040 a e0000020. con esto decimos que es una sección que contiene código y que es ejecutable.
salimos con ok del procdump32.
cargamos el symbol loader y abrimos nuestro massdown.exe, le damos a load, y estamos en softice !!

014f:00586001 pushad <<<-- estamos aquí. instrucción típica de empaquetadores
014f:00586002 jmp 00586444
estamos al principio de la rutina de desempaquetado del aspack 2.11, ahora sólo (¿¡sólo!?) queda seguirla y parar justo antes de que devuelva el control al programa principal. os ahorraré el trabajo:
seguimos con f10 hasta el primer call (sin ejecutarlo)
en este call hay que entrar con f8, si no el programa se nos escapa...
014f:00586444 and ebx,1cc3e907
014f:0058644a mov esi,ad736873
014f:0058644f call 00586470   <<<-- en este hay que entrar

entramos y seguimos con f10
014f:00586470 pop edx
014f:00586471 adc ebp,0fed1143
014f:00586477 movsx ebp,si
014f:0058647a mov di,dx
014f:0058647d add edx,ee2bf152   <<<-- ¡qué cosas más raras!
014f:00586483 movsx edi,si
014f:00586486 mov ecx,513b3f29
014f:0058648b mov bp,si
014f:0058648e movsx ebp,bp
014f:00586491 add ebp,1df4aba9
014f:00586497 mov ebp,11d40e99
014f:0058649c add bl,63
014f:0058649f add byte ptr [ebp+edx],01
014f:005864a3 inc ecx
014f:005864a4 xor bl,61
014f:005864a7 mov bx,si
014f:005864aa sub edx,00000001
014f:005864b0 mov ebx,ecx
014f:005864b2 jmp 005864d3 (jump .)
014f:005864d3 cmp ebx,513b4362
014f:005864d9 jnz 0058648e (jump .)
aquí usaremos un breakpoint para evitar el bucle, es decir:
bpx 5864df y f5
break due to bpx #014f:005864df (et=2.02 milliseconds)
014f:005864df movsx esi,ax   <<<-- seguimos con f10 :)
014f:005864e2 jmp 00586503 (jump .)
014f:00586503 jmp 0058643b (jump .)
014f:0058643b jmp 00586007 (jump .)  qué manera de marear al personal
014f:00586007 call 00586430
014f:0058600c jmp 0058600e (jump .)
014f:0058600e mov ebx,00443930
014f:00586013 add ebx,ebp
014f:00586015 sub ebx,[ebp+00443fd0]
014f:0058601b cmp dword ptr [ebp+004449fc],00
014f:00586022 mov [ebp+004449fc],ebx
014f:00586028 jnz 00586394 <<<-- este es el fundamental (no jump)
ebx llega aquí con el valor 400000, probablemente la primera dirección para desempaquetar la primera instrucción (a los que les guste parchear al vuelo, éste puede ser un punto de partida). nos saltamos de un plumazo toda la rutina de desempaquetado (que, por cierto, no tiene desperdío).
metemos un breakpoint en 586394 y f5
:bpx 586394
break due to bpx #014f:00586394 (et=296.78 milliseconds)
014f:00586394 mov eax,[ebp+004439ad]   <<<-- aterrizaje perfecto
014f:0058639a push eax   <<<-- seguimos con f10
014f:0058639b add eax,[ebp+004449fc]
014f:005863a1 pop ecx
014f:005863a2 or ecx,ecx
014f:005863a4 mov [ebp+00443ce6],eax
014f:005863aa popad   <<<-- instrucción complementaria al pushad inicial
014f:005863ab jnz 005863b5 (jump .)
014f:005863b5 push 0052bd3c   <<<-- nuestro buscado oep
014f:005863ba ret   <<<-- nos paramos aquí sin ejecutar el ret
el valor metido en la pila es el punto de entrada del programa original. tenemos el programa desempaquetado en memoria!!!.
introducimos en la línea de comandos de softice lo siguiente:
a eip <intro>
jmp eip <intro>
<intro>
nos debe haber quedado algo así:
014f:00586394 mov eax,[ebp+004439ad]
014f:0058639a push eax
014f:0058639b add eax,[ebp+004449fc]
014f:005863a1 pop ecx
014f:005863a2 or ecx,ecx
014f:005863a4 mov [ebp+00443ce6],eax
014f:005863aa popad
014f:005863ab jnz 005863b5
014f:005863ad mov eax,00000001
014f:005863b2 ret 000c
014f:005863b5 push 0052bd3c
014f:005863ba jmp 005863ba  <<<-- hemos creado un bucle infinito
ahora pulsamos f5 y dejamos al programa metido en un bucle infinito.
arrancamos procdump32 de nuevo y localizamos en la ventana de task a nuestro massdown.exe lo seleccionamos con el botón derecho del ratón y, en el menú que aparece, elegimos dump (full). guardamos el ejecutable con otro nombre (por ejemplo: mass2.exe) y aún no salimos de procdump.

¿qué tenemos?

tenemos a nuestro massdown.exe con todas sus vergüenzas expuestas a las miradas ajenas, es decir, desempaquetado y completo !!!!
pero falta una cosa. ¿os acordáis de la dirección que se mete en la pila antes del último ret? "52bd3c" ese debe ser ahora nuestro punto de entrada al programa, por lo tanto pulsamos en pe editor (dentro de procdump) y buscamos ahora nuestro exe recien desempaquetadito. en entry point metemos la dirección 12bd3c (52bd3c-400000). pulsamos en sections y cambiamos el campo características de la sección .code de c0000040 a e0000020, por la misma razón que antes. (también podemos dejar la sección .aspack como estaba (con el c0000040).
ahora sí, salimos de procdump.
volvemos a softice con ctrl + d y restauramos el ret
:a eip<intro>
014f:005863ba ret<intro>
014f:005863bb<intro>
f5 y dejamos que se cargue el programa. después salimos de él.

tenemos el massdown.exe original y nuestro mass2.exe desempaquetado. los renombramos. a massdown.exe le llamamos massdown.exe.original y a mass2.exe lo llamamos massdown.exe (que nadie se pierda :)
bien, y ¿ahora qué?.
bueno, a mí se me ocurrió ir a la caza de un nº de serie válido, por lo que me fuí directo al menú about y a continuación a register.
metí un nombre de usuario y un nº de serie (o de licencia) y...
ctrl+d para ir a softice. después de probar algunos bpx me funcionó este:
bpx hmemcpy. f5 para volver a mass downloader y pulsamos en ok para que se 'valide' nuestro usuario y nº de serie :)
softice nos saluda... estamos dentro.
pulsamos f12 7 veces (sí 7)
ahora estamos en el código de mass downloader.
pulsamos f12 5 veces más.
debemos andar por aquí:

:004ec2ad 8d55fc lea edx, dword ptr [ebp-04]
:004ec2b0 8b83ec020000 mov eax, dword ptr [ebx+000002ec]
:004ec2b6 e82dc4f4ff call 004386e8  <<<-- aquí se lee el usuario
:004ec2bb 8d55f8 lea edx, dword ptr [ebp-08]  <<<-- habremos aterrizado por aquí
:004ec2be 8b83f4020000 mov eax, dword ptr [ebx+000002f4]
:004ec2c4 e81fc4f4ff call 004386e8  <<<-- aquí se lee el nº de serie
:004ec2c9 8d4df8 lea ecx, dword ptr [ebp-08]
:004ec2cc 8d55fc lea edx, dword ptr [ebp-04]
:004ec2cf a150015300 mov eax, dword ptr [00530150]
:004ec2d4 8b00 mov eax, dword ptr [eax]
:004ec2d6 e8c9920100 call 005055a4  <<<-- esta es la madre del cordero !!!
:004ec2db 84c0 test al, al
:004ec2dd 747e je 004ec35d
:004ec2df a150015300 mov eax, dword ptr [00530150]

si a alguien le interesa el call 005055a4 es la validación de nuestro nº de serie
yo me cansé de intentar cazar el nº bueno :(
pero la rutina es interesante, primero se comprueba que el usuario introducido no sea alguno de los que el programa tiene fichados !!! (¿eh, mr. green?). después calcula el mismo nº de serie que era válido para la versión anterior del programa (¿aprovechando código, eh...?, je, je) y luego lo marea de una forma que consiguió marearme a mí.
pero, si nos fijamos, a la vuelta del call hay una comprobación que nos suena: test al,al
¿no será...? lo es !!!!
vale ya está claro, ¡¡invertimos el salto!!
no vale. eax debe valer 01.
entonces, ¿¿solo tenemos los 2 bytes del test al,al para hacer algo...???
noooo... podemos ver donde consigue eax ese valor y 'ayudarle' xd
entramos en el call 005055a4...
* referenced by a call at addresses:
|:004ec2d6 , :004f5a36
|
:005055a4 55 push ebp  <<<-- por aquí, por favor... :)
:005055a5 8bec mov ebp, esp
:005055a7 6a00 push 00000000
:005055a9 6a00 push 00000000
:005055ab 6a00 push 00000000
:005055ad 6a00 push 00000000
:005055af 53 push ebx
:005055b0 56 push esi
seguimos trazando hasta:
:00505b58 ebeb jmp 00505b45
:00505b5a 8a45ff mov al, byte ptr [ebp-01]  <<<-- paramos aquí
:00505b5d 5e pop esi
:00505b5e 5b pop ebx
:00505b5f 8be5 mov esp, ebp
:00505b61 5d pop ebp
:00505b62 c3 ret
casualmente el ret que hay en 505b62 nos devuelve a nuestro test al,al
osea que nuestro 01 deberí habitar en [ebp-01] (pero noes así. hay un cero patatero)
pues lo cambiamos...
en lugar de:  mov al, byte ptr [ebp-01]
metemos un flamante:  mov al,01
para ello anotamos los bytes que nos interesan: ebeb8a45ff5e5b
los buscamos con nuestro editor hexadecimal (ultraedit 7.10a)
y los cambiamos por: ebebb001905e5b (sólo hemos cambiado 3 bytes)
grabamos y probamos....
el programa arranca... vamos a about... a register y....
not registered !!
pero..., pero..., tú dijiste.... :'(
tranquilos, meted los datos que querais y pulsad ok.
¿qué ha pasado?... estamos registrados !!!!
la explicación al primer susto está un poco más arriba, concretamente cuando entramos en el call el w32dsm89 nos dice que a esa rutina se le llama desde 2 sitios, uno el que hemos visto y el otro nada más ejecutar el programa se comprueba si el reguser y regkey (son claves del registro, bajo hkcu\software\metaproducts\massdownloader) son buenos, y la primera vez no existían en el registro. se crean cuando nos 'registramos' por primera vez.

ahora podemos observar que al haber modificado el valor de al antes de volver de la rutina de comprobación conseguimos que el parche funcione aunque se llame a la rutina desde diferentes puntos.

desde este momento, cada vez que arranquemos el programa nos dirá que estamos perfectamente registrados.

un saludo.

 

karpoff spanish tutor: pagina dedicada a la divulgacion de informacion en castellano, sobre ingenieria inversa y programacion. email "colabora con tus proyectos"
www.000webhost.com