Tutorial KGM2 By Carlos Ismael

Nombre
Protección
Objetivo
Web/descarga
Dificultad
Plataforma
Lenguaje
herramientas
Cracker
Fecha

KGM2
ninguno
Hacer keygen
https://groups.google.com/forum/#!topic/crackslatinos/mzb0Bgl6tbU
1 - Easy
Windows 8
Visual c++
Ollidbg, RDG packer detector, radasm
Carlos Ismael
01 de marzo del 2015
Tutorial N° 2

Bueno mi nombre es Carlos Ismael Tun Tun me da mucho gusto participar difundiendo elconocimiento ademas me gusta, este es mi segundo tutorial cracking, espero no sea el ultimo, voy
a decir que es algo simple solo hay que entender las rutinas y lo que hace, es bastantito codigo
pero aquí estamos.
Bueno comencemos
Esto es lo que nos dice el RDG: en modo M-A

Y en modo M-B:

Bueno ahí lo tenemos... antes de seguir veamos su readme a ver que dice
/*

KGM2 - by Kirjava

*/

Difficulty:
1- Easy

Goal:
Create a keygen! Self-keygenning/patching is allowed, but discouraged.

Details:
KGM2 was written in C/C++. Size: 3072 bytes.

SHA 256: 6111b79b63886efc1af6720ce39485203d632b2cb1b356f9a8e1b0fa2a56cac9
MD5: 8713373e315b342a05f1ee9e01072104
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
Bueno dice que es nivel 1 fácil el objetivoes crear un keygen, pero te acepta igual un selfkeygen o
parcheado.
Después de ver toda esta info ya podemos abrir nuestro preciado olly para comenzar a atacar a
este chico a ver qué tan duro es, y así es como luce

Ponemos en name “carlosismael” y en serial 121121212112121121221 le damos al botón check y
vemos que no pasa nada, no muestra los colmillos ni las garras por ningún lado, minimizotodo
para ver si nuestro chico malo esta por algún lugar pero nada. Nos vamos a olly y hacemos esto

Buscamos las string references y le damos un toggle breackpoint sobre nuestro nombre, luego
damos check de nuevo y caemos en una cosa asi, aquí:
Parte 1:

1.-el largo del name debe
ser menos que 0Ch=13D

1.-el largo del seria debe ser
igual que 0Ch=13D

1.-el largo del name debe
ser mayor que 08h=8DAhí vemos muchos puntos importantes, los paso a explicar:
El nombre debe ser menor a 0Ch y mayor a 08h, y el serial debe ser igual a 0Ch, ponemos un
breackpoin en el push de 0040135e y damos run, luego rellenamos los campos correctamente asi:
Nombre= carlosismae
Ponemos 11, acuérdense de esto, cero es fin de línea
c
a
r
l
o
s
I
0
1
2
3
4
5
6
Y dice que tiene que ser menor que 0Ch, sale?

s
7

m8

a
9

e
A

0
B

C

Serial=123456789012 y damos check luego run de nuevo, damos f8 varias veces para comprobar
que lo que hicimos es correcto, llegamos a un lugar parecido a esto

Parte 2:

Ahí donde puse el corchete es la segunda rutina donde lo que hace es multiplicar la última letra
con la longitud y lo pone en el lugar de la primera letra:
065h*0Bh=457H pero solo toma el 57 y queda asi

F8una vez para pasar ese jmp, luego f7 para entrar al call y esto es lo que hay dentro,

Parte 3:
Todo eso es la siguiente rutina, está muy cuatrapeado pero será fácil solo tomare los puntos
importantes y explicarlos asi saltamos mucho código
00401264 A1 D4164000
00401269 8B0D FC164000

MOV EAX, [DWORD DS:4016D4]
MOV ECX, [DWORD DS:4016FC]

;

Pasa el nombre a eax y un contador en ecx
Des pues enbase a ese contador y esta operación ADD ECX, EAX toma el primer carácter en ecx,
des pues con un mov eax y un mov edx pone la longitud de nombre en los dos registros para luego
hacer un IMUL DL, que significa multiplica eax con edx por lo tanto da como resultado 79 en eax,
Después con un MOV DL, AL lo pasa a edx también,
Después con el mov eax que sigue pone la longitud de nuevo en eax,
DespuésSHL DL, 2 (recorrimiento de 2 bytes a la izquierda) el cual deja 1E4 pero solo toma E4 en
edx,
Después XOR AL, DL el cual da EF en eax,
Ahora sigue IMUL [BYTE DS:ECX] (multiplica eax con ecx) 57h*EFh=el cual da FA39 en eax,
Y con esto MOV [BYTE DS:ECX], AL ese valor pasa a sustituir el primer carácter, aquí se ve
claramente

Y de nuevo con un mov edx y un mov eax pasa el contador y el nombre...