Menu

News
Forum
Liens
Outils
Livre d'or
Tutoriaux

Flash Decompiler

Cracking

Photoshop

Les Outils du Bon Cracker

Land-Of-Bork0

, Bon la c'est l'tape ultime, on va voir tous les outils, vous allez apprendre pas
mal de vocabulaire mais ca vous fait pas de mal

Sommaire :

Je vous ai pas fait de super image cette fois...

1) L'assembleur avec Windasm

2) Un autre dessassembleur : OllyDBG

3) L'diteur Hxadcimal

4)Stup Pe

5)Peid

6)UPX

7)ResHacker

8) Les Crackme

Windasm !
A telecharger ici : Windasm 8.93 (version patche)

Windasm, c'est l'outil indispensable, c'est celui qui vous permettra de decompiler
le programme en Assembleur afin de voir le code. Il n'y a pas besoin
d'installation, mais extracter le (avec Winrar ou winzip) dans un dossier facile
d'accs. Moi il es dans Mes documents/cracking/windasm.

Bon vous lancez windasm, en cliquant sur l'executable (.exe) et vous arrivez sur
une cran un peu barbare avec south park

Pour une meilleure lisibilit du code, cliquez sur options select font et
choissisez Courrier New a 8 pts de taille pour que ca soit mieux lisible (en
gnral c'est par dfaut) puis cliquez sur ok.. Ensuite recliquez sur options puis
save defaut font pour enregistrer lors d'une prochaine utilisation...

Choisissez un executable proche de la racine, en gros copiez/collez l'exe que vous

voulez ouvrir dans C:\ (ou la lettre de votre disque dur ) c'est trs important de
le faire a chaque fois que vous lancez un executable !!!

Cliquez sur File/open file to dissassemble ou alors cliquez sur : dans la barre
d'outils.

Selectionnez votre executable, qui doit se trouver a la racine et ouvrez-le.

Vous tombez sur un truc barbare, c'est l'en-tete du programme, il ne nous interesse
pas, descendez un peu dans le programme de faon a arriver vers des lignes a peu
prs comme ca

J'ai dcompos windasm en 3 grandes colonnes

La colonne 1
La colonne 2
La colonne 3

Colonne 1 = Adresse de la ligne pour Windasm, c'est l'offset (il y a 2 offset, ce

n'est pas lui qu'on tape en recherche dans l'diteur hxadcimal)

Colonne 2 = Instructions en hxadcimal qui correspond a 3, dans cet exemple la,

pas besoin d'etre un gnie pour comprendre que l'instruction Lea correspond a 8D en
hxa.

Colonne 3 = Instructions en assembleur, traduction du 2 (hxa) en asm (asm =

assembleur)

Si vous avez bien suivi, vous aurez compris que 2 = 3, donc il suffit d'analyser le
code a la recherche du JNE, on enregsitre sur un petit bout de papier l'offset,
puis on lance l'diteur hxa !

Oui, mais comment on fait pour le trouver ce jne dans tout ce code ?

Il faut utiliser les string data references

Et elles sont ou ces strings, moi je vais en acheter dans un magasin de lingerie !!
Rolala ca n'a absolument rien a voir avec les sous-vetements du meme nom... Bon
pour trouver ces strings data ref. il suffit de cliquer sur le petit bouton de la
barre des taches :

Voila vous cliquez sur ce petit bouton, et la vous tombez sur des textes, quand
vous cliquez sur l'un d'eux, ca vous amnent directement au texte dans le code, il
est vert..

Si le bouton des Strings data ref. est grsi, c'est qu'il n'y a pas de "texte" dans
votre prog ou que le prog a t comprss (90 % des cas) nous verrons ca par la
suite

Bon maintenant on va tudier la barre d'outils de windasm plus prcisment :

Ouvrir un excutable pour le dsassembler.

Sauvegarder les pages du programme dsassembl, ce qui permet de le rouvrir
beaucoup plus rapidement la fois suivante. Pour l'ouvrir cliquez sur "Project" >>>
"Open Project File...".
Rechercher du texte.
Permet de copier le texte une ligne, mais il faut d'abord cliquez gauche de
la ligne afin d'obtenir un point rouge. Utiliser la touche MAJ pour slectionner
plusieurs lignes la fois.
Aller directement au dbut du code (il y a, au-dessus, des informations qui
n'en font pas parti)
Aller au point d'entre du programme.
Aller la page choisie (le numro de page tant inscrit tout en bas gauche).
Aller l'offset choisi.
Permet d'aller l o le saut "atterrit".
Permet, aprs avoir utilis le 9, de revenir au saut.
Permet de rentrer dans le CALL (Sous-routine)
Permet, aprs avoir utilis le 11, de sortir du CALL.
Lister et trouver les fonctions et modules imports (les APIs) du fichier
dsassembl
Lister et trouver les fonctions exportes.
Permet de voir les donnes du fichier en hexa et ascii.
Permet de voir les donnes de la section code du fichier affiche.
Permet de trouver les items des menus (ex : "copier", "coller", "nouveau"...).
Permet de trouver les boites de dialogues (MessageBox) du programme.
Les fameux String Data Ref. Il permet de trouver les Strings Data References
c'est dire les messages des botes de dialogues (ex : "Code invalide")
Permet d'imprimer des pages (fonction trs utile pour pouvoir tudier le
programme au bord d'une piscine ;-).

Ps : C'est une version antrieure qui est utilis, ils ne sont pas tout a fait
identique !

Comment Connaitre l'Offset d'une ligne ? Enfin !

Cliquez sur une ligne, l'offset se trouve tout en bas du programme, dans la barre
d'tat, pour comprendre rien de mieux qu'un bon petit exemple :

Comme vous pouvez le voir, c'est un Je , donc dans la colonne 2 on retrouve 74..
Bon pour l'offset, je l'ai surlign en jaune. Vous voyez 0000771Bh.

Pour avoir le vrai offset il faut supprimer tous les zros devant et le h derrire,
dans ce cas a la place de 0000771Bh on aurait l'offset 771B !!!!

Voila c'en est fini de Windasm, on passe maintenant a l'diteur hxadcimal

OllyDBG

A telecharger ici : OllyDBG (sans install)

OllyDBG est un autre dessassembleur/decompiler qui est bien plus "pro" que Windasm,
perso je prfre Windasm qui est bien plus simple a comprendre, enfin, nous
bosserons dessus surtout vers les derniers cours...

On fait comment pour voir les String Data Ref. avec Olly ?

Tout simplement faites un clic droit sur la partie contenant le code, puis search
for >> All referenced text string, comme ceci :

Bon on reparlera de OllyDBG aprs, gardez le bien sagemeent, sans y toucher !!

L'diteur Hxadcimal

A Telecharger Ici : Hex Workshop --> Ncessite une installation

C'est le meilleur diteur hxa, c'est celui que j'utilise pour mes cours, donc je
vous invite tous a le prendre aussi !

On va faire une rapide prsentation, aprs l'avoir install, faites un clic droit
sur n'importe quel executable, vous devriez voir : "Hex edit with hex workshop"
dans le menu droulant :

Cliquez dessus, Vous atterrissez sur le code que je vous ai montr tout a
l'heure... bien sur il serait impossible de retrouver un Jne ou Je dans tout ce
charabia, on va donc se rendre a l'offset 771B (vous n'avez pas le meme programme
que moi, ce n'est pas grave, c'est juste pour vous montrer)

Maintenant allez dans le menu Edit >> Goto

Vous tombez sur ca :

Dans offset, mettez 771B (veillez a ce que le B soit bien en majuscules), cochez
"hex" et cochez "Beginning of files"

Maintenant cliquez sur Go, moi je tombe sur ca (comme ca dpend du programme vous
pouvez arriver n'importe ou) moi j'arrive ici :

Pour changer le 74 en JNE (dans cette exemple ca servira a rien a part faire
planter le programme) il suffit de placer le curseur AVANT LE 74 ET DECRIRE TOUT
SIMPLEMENT 75, faites bien attention de ne pas suprimer mais de re-ecrire par
dessus, c'est l'erreur que je faisais dans mes dbuts, et donc ca ne marchait pas !

Eteignez bien Windasm avant de modifier le code hxadcimal dans l'diteur, sinon
ca ne marchera pas !

Voila c'est fini pour HexWorkshop..

Stup PE

A telecharger ici (juste a dezipper, sans install)

Stup Pe vous permet de savoir dans quel language a t fait l'executable, trs
utile car il reconnait aussi s'il a t comprss par un utilitaire de compression
(packer)genre UPX....

Juste une petite configuration a faire, lancez Stup Pe, allez dans l'onglet
"options" pour le voir cliquez sur la petite flche, et cochez la case "shell menu
extension" voila, maintenant clic-droit sur un executable, vous devez voir "Stup Pe
analyse"

Laissez le de cot , nous nous en servirons aprs.

PEid

A telecharger ici (314 Ko)

PEid fait exactement la meme chose que Stup Pe... mais en mieux Il est plus souvent
mis a jour, bref, je vous conseille d'utiliser PEid, s'il ne trouve rien, vous
pouvez essayer avec Stup Pe, mais ca m'tonnerait qu'il trouve..

Avant de commencer, il faut faire quelques petits rglages, allez dans "options" et
cochez la case "Register shell extension" ainsi que "Hardcore scan"..

Votre PEid est pret, pour analyser un .exe, clic-droit dessus : Scan with PEid..

UPX

A telecharger ici

UPX est un utilitaire de cryptage de programmes, il permet de cacher les string

data references, ce qui est trs embetant, mais qui dit copresion dit aussi
decompression. Dans la version que je vous donne, il y a ausis l'utilitaire pour
dcompresser
ResHacker

A telecharger ici

ResHacker vous permet de voir et de modifier toutes les ressources d'un programme,
comme les boites de dialogues, les icons, les labels... Nous l'tudierons en dtail
dans les cours sur le reverse engerining.

Les Crackme

Les crackme sont des petits programmes, faits pour se faire cracker ! (Crack - Me)
c'est avec des crackme que nous travailleront la plupart du temps pour les
exercices pratiques du dbut, aprs on passera au logs sharewares !!! Il existe des
crackme trs trs dur.

Je vous les distriburai au fil des exo

Vous pouvez crier de joie, on vient de finir la thorie, on va donc pouvoir

commencer les exo pratique, n'hsitez pas a notez les trucs les plus importants

Bon, vous devez surement avoir le cerveau surchauff, c'est normal, moi la c'est
mes mains, 4 pages a la suite, ca fait mal

Prcdente : Sauts Conditionels / Suivante : Exo Pratique 1 >> Cracker un Crackme

RETOUR EN HAUT / INDEX DU CRACKING / INDEX DU SITE / FORUM

Des ractions sur ce tutos, parlez en sur le forum

,
[Mesurez votre audience]