SOMMAIRE Chapitre I - Les bases Notions de bases : Le processeur et la mémoire Assembleur : Qu'est-ce que l'assembleur, premières instructions Ollydbg : Présentation, prise en main Mon premier crackme partie 1 : Recherche d'une string, remonter un saut, nopper une instruction Mon premier crackme partie 2 : Retrouver une adresse, breakpoints, pas à pas, lecture de la mémoire Crackme2 partie 1 : les APIs Window, list of windows (les contrôles), les labels dans le dump, les BP memory Crackme2 partie 2 : gérer les BP, l'Execute till return, les labels dans le code, remonter un call Chapitre II - Quelques principes Pré-analyse : Peid, RDG Packer Detector, Protection ID Le nagscreen : le principe des fenêtres, enregistrer nos modifications La limite de temps : les boites de dialogue, inverser un saut, les constantes, modifier une instruction Enregistrement via la base de registre (à venir) Enregistrement via un fichier licence (Keyfile) (à venir) NetCheck (à faire) Dongle (à faire)
IMMUNITY : Knowing You're Secure IDA: About What is IDA all about? IDA is a Windows, Linux or Mac OS X hosted multi-processor disassembler and debugger that offers so many features it is hard to describe them all. Just grab an evaluation version if you want a test drive. An executive summary is provided for the non-technical user. Getting IDA IDA is available for many platforms, and can be licensed under different terms. Support & Community We have placed a sensible amount of support links and documentation online that can be valuable both to new, and advanced users. Additionally, our user board is a valuable source of hints and tips for the IDA Disassembler. Technical Documentation Intro to the IDA Debugger. Screenshots
Free Hex Editor Binary File Editing Software for Windows by HHD Software Ltd. You never find any other Free Hex Editor that Allows you to find data patterns in multi-gigabyte files in seconds. It's powerful.Supports regular expression search across the files. It's handy.Allows you to make file patches in just one click. It's smart.Allows you to tune almost any aspect of user interface. Free Hex Editor Neo is award-winning large files optimized freeware editor for everyone who works with ASCII, hex, decimal, float, double and binary data. Freeware Hex Editor Neo allows you to view, modify, analyze your hexadecimal data and binary files, edit, exchange data with other applications through the clipboard, insert new data and delete existing data, as well as perform other editing actions. Make patches with just two mouse clicks; manipulate your EXE, DLL, DAT, AVI, MP3, JPG files with unlimited undo/redo. Free Hexeditor Neo is the only binary files editor that deals with large files faster than any other one! Hex Editor can be successfully used for:
Packer : UPX 1.23 Objectif : Reconstruire l'exe original manuellement Cible : Un crackme packé avec UPX 1.23 Outils nécessaires : Hex Workshop Lord-PE Fichiers joints : Index 1. UPX est très facile à unpacker manuellement afin de restituer l'exe tel qu'il l'était à l'origine. 2. On ouvre la cible avec Lord-PE et on récupère les infos suivantes : Entry-point : 000080E0 Import-Table : RVA = 00009058, size = 000000A4 Sections Table : names Voffset Vsize Roffset Rsize Flags UPX0 00001000 00005000 00000400 00000000 E0000080 UPX1 00006000 00003000 00000400 00002400 E0000040 .rsrc 00009000 00001000 00002800 00000200 C0000040 Première constatation, on voit deux section portant les noms UPX0 et UPX1 (attention ne pas se fier aux noms des sections pour identifier un packer, en effet le nom n'a pas grand intérêt et on peux très bien mettre n'importe quoi à la place, ça ne changerait rien). 3. On dump la cible avec Lord-PE ou un autre process dumper en s'assurant que ces options soit cochés avant de dumper : 4. a) MZ header
HxD - Freeware Hex Editor and Disk Editor | mh-nexus HxD is a carefully designed and fast hex editor which, additionally to raw disk editing and modifying of main memory (RAM), handles files of any size. The easy to use interface offers features such as searching and replacing, exporting, checksums/digests, insertion of byte patterns, a file shredder, concatenation or splitting of files, statistics and much more. Editing works like in a text editor with a focus on a simple and task-oriented operation, as such functions were streamlined to hide differences that are purely technical. Furthermore a lot of effort was put into making operations fast and efficient, instead of forcing you to use specialized functions for technical reasons or arbitrarily limiting file sizes. Features Available as a portable and installable edition RAM-Editor To edit the main memory Memory sections are tagged with data-folds Disk-Editor (Hard disks, floppy disks, ZIP-disks, USB flash drives, CDs, ...) License HxD is free of charge for private and commercial use.
Biko Georges - Comment Cracker un logiciel (Extr. DVD) s Homepage Created by Daniel Pistelli, a freeware suite of tools including a PE editor called CFF Explorer and a process viewer. The PE editor has full support for PE32/64. Special fields description and modification (.NET supported), utilities, rebuilder, hex editor, import adder, signature scanner, signature manager, extension support, scripting, disassembler, dependency walker etc. First PE editor with support for .NET internal structures. - Explorer Suite (Multi-Platform Version, Recommended)SHA1: 89CAB44D4956210570AB3123FBF13B2B7D870B91 - CFF Explorer (x86 Version, stand-alone, Zip Archive)SHA1: 7A287CD97BD9287C020C98C3496E284D04F5382D - CFF Explorer Extensions Repository The CFF Explorer was designed to make PE editing as easy as possible, but without losing sight on the portable executable's internal structure. Also, it's the first PE editor with full support for the .NET file format. Useful links: Features:
Cracking-les-outils du bon Cracker , Bon la c'est l'étape ultime, on va voir tous les outils, vous allez apprendre pas mal de vocabulaire mais ca vous fait pas de mal Sommaire : Je vous ai pas fait de super image cette fois... 1) L'assembleur avec Windasm 2) Un autre dessassembleur : OllyDBG 3) L'Éditeur Héxadécimal 4)Stup Pe 5)Peid 7)ResHacker 8) Les Crackme Windasm ! A telecharger ici : Windasm 8.93 (version patchée) Windasm, c'est l'outil indispensable, c'est celui qui vous permettra de decompiler le programme en Assembleur afin de voir le code. Bon vous lancez windasm, en cliquant sur l'executable (.exe) et vous arrivez sur une écran un peu barbare avec south park Pour une meilleure lisibilité du code, cliquez sur options » select font et choissisez Courrier New a 8 pts de taille pour que ca soit mieux lisible (en général c'est par défaut) puis cliquez sur ok.. Cliquez sur File/open file to dissassemble ou alors cliquez sur : dans la barre d'outils. Selectionnez votre executable, qui doit se trouver a la racine et ouvrez-le. PEid
ARTeam Website: News Welcome to the new ARTeam web site. Read the rules and enjoy our usual releases (tutorials, ezine, tools and crackmes), plus the forum. Not much to say, happy staying (remember the linkus button if you wanna support this community visibility). : if you have any problem with the material we share or host here (the things we do) please contact us on forum or via mail. 07/01 : new forum now online Hi all,totally brand new forum is now online. 06/04 : eZines now online at issuu Hi all, the 4 issues of our ezine coul be seen online at issuu.com, of course it's just a preview, because all the attachments are missing, but it's nice to see our ezine resembling a normal journal.. Issue 1 Issue 2 Issue 3 Issue 4 {*style:<b> Submitted by ARTeam </b>*} 06/04 : ARTeam New Site opening New site! Should you see some missing or errors feel free to contact us on the forum, we need you assistance in getting a better service. Ah, forgot to say, the skin is temporary..we will change it soon. Shub
Ollydbg ---------------------------------------- Chapitre I - Les bases ---------------------------------------- Ollydbg OllyDbg est un débogueur pour Windows développé par Oleh Yuschuk et dont l'évolution se poursuit. La version la plus récente est la 2.01 alpha 4, pourtant la v1.10 est la plus utilisée, car on peut y intégrer de nombreux plugins (les plugins sont des petits fichiers complémentaires permettant d'ajouter des fonctionnalités au programme original) alors que la v2.01 alpha 4 vient tout juste d'intégrer cette possibilité, mais au moment où j'écris ces lignes, il ne semble pas y avoir de compatibilité avec les plugins existants. Qu'est ce qu'un débogueur ? C'est un programme permettant de suivre pas à pas (c'est à dire instruction par instruction) le déroulement d'un autre programme. L'installation d'Ollydbg Je vous conseille de télécharger les 2 versions directement sur le site Ollydbg : La v1.10 se trouve ici : odbg110 La v2.01 beta 2 ici : odbg201h
Reverse Engineering Team Jardinez Chez jB //