Copernic 98 Plus v 2.51 Scritto da YuGung Introduzione Ok ragazzi, la mia ragazza mi ha piantato circa 1 mese fa e la mia reazione Φ stata semplice (e folle): crack+crack+crack (niente a che fare con pipette e scaldini pero'); insomma nel weekend successivo ho "rivoltato" pi∙ di 12 programmi compreso la mia personale bestia nera (probabilmente ogni "reverser" ha la sua): un orrendo programma tecnico scritto in un ancor pi∙ orrendo Visual Basic 4.0 16 bit (pertanto niente Smartcheck !!!) e protetto con chiave hardware Sentinel. La morale da trarre da tutto ci≥ Φ che forse per essere un buon "reverser" devi essere un lupo solitario e per lo pi∙ incazzato al punto giusto ? obbiettivamente credo di no, ma la cosa pu≥ aiutare parecchio ;-) Comunque pensare al codice ha avuto se non altro il pregio di distrarre la mia mente per qualche buona ora e la cosa in certi istanti pu≥ risultare davvero molto utile !!! Comunque tra tutti i programmi vittime della mia furibonda rabbia omicida ho pescato questo che credo presenti qualche spunticino interessante per essere analizzato un p≥ pi∙ a fondo. "Copernic98 Plus" Φ la versione "pro" di un ottimo engine di multiricerca per Internet e che Φ in grado di trasmettere la query a decine di altri "Internet Serach Engines" per poi organizzare i risultati in modo da essere facilmente gestibili. La differenza tra le versione Freeware e questa Φ sul numero di canali di ricerca specializzata disponibili in quest'ultima ed ovviamente sul fatto che questa versione Φ protetta. Questo Tutorial Φ una traduzione in "dolce stil novo" di un tutorial che nel mio orrendo inglese Φ pubblicato nelle pagine di "Reverse Engineering for Beginners" un sito fondamentale se state facendo i primi passi nel campo del reverse engineering: A proposito della protezione Qui troviamo due livelli di protezione: prima una "normale" routine di registrazione con numero seriale (simile a quella a di "TimeLock" per intenderci), poi la obbligatorietα di una registrazione via-internet che per la natura stessa del programma non pu≥ essere "skippata" pi∙ di 2 volte. La cosa creativa Φ che dando un'occhiata al disassemblato di IDA Φ scappato fuori il seguente messaggio "PleaseCloseAllRegistry Monitoring ApplicationsBeforeRegister" WOW ! Finalmente qualcosa di diverso, il programma sembra molto interessato a non farci vedera cosa succede al registro e di conseguenza noi siamo mooooolto interessati ad esso. The Essay Ok, lanciamo il programma, andiamo alla routine di registrazione ed inseriamo il nostro codice fasullo; per entrare in SoftIce abbiamo bisogno di un corretto BPX che nel caso Φ l'inossidabile "BPX HmemCpy" oppure "BPX DrawtextA" dal momento che non viene utilizzata la consueta routine MessageBoxExa. Dopo un p≥ di skip ci troviamo in questa parte di codice: 004376F1 mov fs:[eax], esp 004376F4 lea edx, [ebp-14h] 004376F7 mov eax, [ebp-4] 004376FA mov eax, [eax+1E8h] 00437700 call sub_41B960 00437705 push dword ptr [ebp-14h] ===> LEGGE LA PRIMA PARTE DEL CODICE 00437708 push offset loc_4379A0 0043770D lea edx, [ebp-18h] 00437710 mov eax, [ebp-4] 00437713 mov eax, [eax+1F0h] 00437719 call sub_41B960 0043771E push dword ptr [ebp-18h] ===> LEGGE LA SECONDA PARTE DEL CODICE 00437721 lea eax, [ebp-8] 00437724 mov edx, 3 00437729 call sub_4039F8 0043772E mov eax, [ebp-8] 00437731 call sub_436C30 ===> FA IL CHECK DEL CODICE 00437736 test al, al 00437738 jz loc_4377E0 Andiamo a 436C30 a troviamo la routine principale di validazione del codice; Φ abbastanza noioso analizzare in profonditα questa parte di codice cos∞ saltiamo direttamente dove il prg. memorizza il flag in AL: 00436DFB sahf 00436DFC jnz short loc_436E06 ===> DA "PATCHARE" CON 2 'NOP' 00436DFE mov al, [ebp+var_5] 00436E01 xor al, 1 00436E03 xor [ebp+var_5], al 00436E06 00436E06 loc_436E06: 00436E06 00436E06 xor eax, eax 00436E08 pop edx 00436E09 pop ecx 00436E0A pop ecx ....... 00436E27 lea eax, [ebp+var_58] 00436E2A call sub_4036BC 00436E2F retn Preferisco applicare la patch qui piuttosto che a 00437736 poichΦ la routine di protezione Φ chiamata 3 volte (lo si deduce guardando il disassemblato di IDA), cos∞ basta cambiare soltanto un paio di bytes per fare il lavoro. Ora il nostro codice viene accettato come regolare ed un nuovo file COPERNIC.DLL compare nella directory (il corretto numero seriale ha permesso la sua decriptazione) ed il programma Φ ora registrato. Ma cosa abbiamo da dire del registro ? Fino ad ora il programma ci ha proposto una semplice routine di validazione di numero seriale, ma lanciando di nuovo COPERNIC 98 Plus arriviamo diretti alla pagina con il form di registrazione elettronica nel sito ufficiale. Come ho accennato in precedenza si pu≥ evitare tale registrazione solo due volte dopo di che il tasto "REMIND ME LATER" rimane inaccessibile. Credo sia ora venuto il momento di dare un'occhiata al registro di windows e giusto per confermare i sospetti apro REGMON e lancio COPERNIC: puntuale come una crisi di governo arriva il messaggio che cortesemente ci invita a non monitorare il Registro. Questa routine di check potrebbe essere facilmente craccata (Φ ancora nel file COPERNIC.EXE qualche bytes dopo la routine precedentemente analizzata) ma accetto la sfida e provo un altro programma che monitorizza il Registro. Lancio ExeSpy98 un buon tool utilizzabile per monitorare direttamente le API di windows (e quindi non dipendente dal Registro), settiamo il prg. ad intercettare le funzioni REGQUERYVALUEEXA e REGSETVALUEEXA e rilanciamo COPERNIC: wow, non ci sono pi∙ noiosi messaggi e pertanto possiamo guardare indisturbati al Registro. infatti quando raggiungiamo il registration form guardando ExeSpy98 troviamo una chiamata alla chiave di registro RegCardSkipCount (per favore trovate nomi meno ovvi) !!!! Quando COPERNIC viene lanciato una prima volta (FirstUse flag sempre nel registro) scrive il valore AEh alla chiave di registro RegCardSkipCount ed ad ogni successivo start del programma tale valore viene decrementato fino a non permettere pi∙ di saltare il registration form. Provare a cambiare tale valore direttamente nel registro non ha portato grandi risultati: COPERNIC usa infatti tale valore come "seme" per successivi calcoli. Ok, Φ ora il momento di tornare a SoftIce; BPX RegQueryValueExa (ma non abilitiamo il breakpoint subito o si Φ sommersi da una dozzina di inutili chiamate al registro), cos∞ dopo un po' si arriva al seguente codice localizzato questa volta in COPERNICSVR.EXE: 004433A7 push eax =====> CONTROLLARE EAX QUANDO PUNTA A "RegCardSkipCount" 004433A8 mov eax, [ebx+4] 004433AB push eax 004433AC call j_RegQueryValueExA_0 Il valore in EAX a 004433A7 punta alla stringa che Φ la chiave di registro che il successivo RegQueryValueExA va a leggere, il valore di ritorno (ovvero quanto Φ scritto nella chiave interessata) Φ salvato in ESI; pertanto quando in 004433A7 troviamo il valore che punta alla stringa "RegCardSkipCount" seguiamo il destino del valore letto in ESI utilizzando il BPM (breakpoint on memory access di SoftIce) ed arriviamo a: 00448230 push ebp 00448231 mov ebp, esp 00448233 add esp, 0FFFFFFF8h 00448236 mov [ebp+var_4], eax 00448239 push 0ABh 0044823E mov ecx, offset aRegcardskipcou 00448243 xor edx, edx 00448245 mov eax, [ebp+var_4] 00448248 call sub_4492F4 =====> chiamata alla routine che comprende RegQueryValue 0044824D xor eax, 0ABh =====> EAX = valore di RegCardSkipCount 00448252 mov [ebp+var_8], eax 00448255 mov eax, [ebp+var_8] questa routine Φ chiamata a 005147CB call sub_448230 005147D0 cmp eax, 5 =====> EAX = numero delle volte che il programma Φ stato lanciato 005147D3 jl short loc_5147E5 =====> if EAX < 5 disabilita il button "Remind Me Later" 005147D5 mov eax, [ebp-4] 005147D8 mov eax, [eax+20Ch] 005147DE xor edx, edx Il valore in EAX, che poi Φ il valore di RegCardSkipCount, Φ prima XOR con ABh (la prima volta AEh XOR ABh= 5) se il risultato Φ minore di 5 il button "Remind Me Later" Φ disabilitato, ma noi non vogliamo che il registration form appaia, cos∞ dobbiamo cercare a monte dove questa routine viene chiamata. Il codice che leggiamo in IDA Φ veramente terribile, pieno di routines nidificate molto difficili da analizzare, cos∞ in questo caso ho utilizzato una tecnica che mi sono ricordato di avere letto in qualche essay sul favoloso sito di +Fravia: con SoftIce quando arriviamo a 00448230 cerchiamo nello stack per vedere tutte le chiamate precedenti con il comando STACK; infatti troviamo svariate chiamate tutte riferite al medesimo file COPERNICSVR, le prime sei o sette sono tutte localizzate nella medesima zona di codice ma sopra l'ultima ne troviamo una posizionata a 00517D5F, la chiamata principale forse parte da qua.... 00517D3F cmp dword ptr [ebp-8], 0 00517D43 jl short loc_517D67 =====> PATCHARE QUI CON JMP 517D67 00517D45 mov ecx, [ebp-4] 00517D48 mov dl, 1 00517D4A mov eax, ds:off_514120 00517D4F call sub_42FC8C 00517D54 mov [ebp-0Ch], eax 00517D57 mov eax, [ebp-0Ch] 00517D5A call sub_432DA8 =====> CHIAMA IL Registration Form 00517D5F mov eax, [ebp-0Ch] 00517D62 call sub_403094 Fatto, ora il prgramma Φ davvero registrato e non compare pi∙ alcun form di registrazione elettronica. Final Notes Davvero non capisco perchΦ i programmatori hanno cercato di impedirci la lettura del registro ! la routine era di facile localizzazione (ExeSpy98 a parte) ed in realtα l'unico risultato Φ stato quello di focalizzare la nostra attenzione proprio sul registro; se qualcuno ha pazienza pu≥ anche cercare di capire il funzionamento di tale routine di check. Un'ultima parola: non utilizzate questo crack ! il programma Φ veramente ottimo e la versione freeware copre giα il 99% delle esigenze di ricerca che ciascuno pu≥ avere. -------------------------------------------------------------------------------- Essay by: YuGung Page Created: 01 January 1999