[CRACKME] Ringzer0 Crackme1

[sakiir]

Bonjour à tous .
Aujourd'hui on s'attaque à un Crackme de ringzer0team.com, il s'agit d'un Crackme Windows assez simple mais je l'ai trouvé assez original.

Lien du crackme : http://ringzer0team.com/files/c42bdc8fa6...8227c1.exe

Il s'agit d'un des touts premiers niveau , donc on va directement le charger dans olly puisqu'il n'est sans doute pas packé.
On peut voir en le lançant qu'il ne se passe absolument rien de spécial mise à part l'affichage d'une boite de dialogue:

---------------------------
Windows
---------------------------
Microsoft Windows is a series of graphical interface operating systems developed, marketed, and sold by Microsoft.
Microsoft introduced an operating environment named Windows on November 20,
1985 as a graphical operating system shell for MS-DOS in response to the growing interest in graphical user interfaces (GUI).
Microsoft Windows came to dominate the world's personal computer market with over 90% market share,
overtaking Mac OS, which had been introduced in 1984.
---------------------------
OK
---------------------------

Un message trèsx50 interessant ..
Allons voir dans olly les export :



On peut voir des appels à FindResourceA(), WriteFile(), CreateFileA, MessageBoxA().
A première vu, le fichier va aller chercher quelque chose dans ses "resources".
Utilisons ResHacker pour voir de quoi il s'agit :





En regardant en diagonale la taille du fichier et la structure on s'apercoit qu'il s'agit d'un binaire .. allons voir maintenant ce que le programme en fais.



On Récapitule :
- Le prog load un binaire en mémoire
- Il créer un fichier contenant la resource
- Arguments de CreateFileA :

0028FEA0 007C2BB0 |FileName = "C:\Users\Sakiir\AppData\Roaming\us2dr0a00k.dll"
0028FEA4 40000000 |Access = GENERIC_WRITE
0028FEA8 00000000 |ShareMode = 0
0028FEAC 00000000 |pSecurity = NULL
0028FEB0 00000002 |Mode = CREATE_ALWAYS
0028FEB4 00000080 |Attributes = NORMAL
0028FEB8 00000000 \hTemplateFile = NULL

- Il s'agit donc d'une DLL(abrégé de Dynamic Link Library) une dll est en quelques sortes un binaire qui contient des fonctions qui seront executées par d'autres programmes .

Maintenant on va s'interesser à cette DLL .
En allant voir dans %appdata% (Là ou est créée la DLL) on peut voir qu'une série de dll est apparues ! (ca depend de combien de fois vous avez lancé le programme puisqu'il utilise un nom aléatoire à chaque fois .. ^^)



On en met une de coté et on vas voir un peut ce qu'elle contient, pour ça , on va utiliser un programme qui s'appel dllexp.
( Si non on peut utiliser Olly pour lister les fonctions contenue dans la dll .. )



Voyons voir ... Une fonction qui s'appel DisplayMessage() .
Comment voir ce qu'elle fais cette fonctions ? On va faire un petit programme en C qui va l'executer en utilisant l'API LoadLibraryA().

Code C :


#include <windows.h>
#include <stdio.h>
 
typedef int (__cdecl *MYPROC)(LPWSTR); // Typedef pour la fonction
 
int main(int argc, char **argv)
{
    HINSTANCE hinstLib; // Instance de la DLL
    MYPROC DisplayMessage; // Pointeur sur fonction de la fonction DisplayMessage()
    hinstLib = LoadLibrary("slk53nyeoo.dll"); // On Charge la DLL
    DisplayMessage = (MYPROC) GetProcAddress(hinstLib, "DisplayMessage"); // On charge la fonction dans ProcAdd
    DisplayMessage(); // On l'execute ..  
}
 

On Compile , on execute notre programme , Then on tombe sur une boite de dialogue :



J'ai caché le FLAG pour que vous le faites vous même sans valider bêtement .
Bonne journée