Foro de elhacker.net

Programación => Ingeniería Inversa => Mensaje iniciado por: Intimdq en 23 Octubre 2015, 04:29 am



Título: Abrir base de datos .mmf
Publicado por: Intimdq en 23 Octubre 2015, 04:29 am

Estimados, me gustaría aprender a abrir una base de datos que posee terminación .mmf adjunto linck de descarga del archivo a ver si me pueden dar una idea de como decompilarla, abrirla o hackear la contraseña. Gracias de antemano......

https://mega.nz/#!YtZVRAwQ!cY2xeqnXoZUksMEEl9vBmpj9Hw2RqmfrpqhhJC1_Xck


Título: Re: Abrir base de datos .mmf
Publicado por: MCKSys Argentina en 23 Octubre 2015, 16:34 pm
Estimados, me gustaría aprender a abrir una base de datos que posee terminación .mmf adjunto linck de descarga del archivo a ver si me pueden dar una idea de como decompilarla, abrirla o hackear la contraseña. Gracias de antemano......

https://mega.nz/#!YtZVRAwQ!cY2xeqnXoZUksMEEl9vBmpj9Hw2RqmfrpqhhJC1_Xck
Hola!

Y qué has probado hasta ahora? Cuáles son tus avances?

Saludos!


Título: Re: Abrir base de datos .mmf
Publicado por: Intimdq en 23 Octubre 2015, 19:39 pm
Probé el "RDG Packer Detector v0.6.8 2012 Vx-Edition" el cual me debería dar información a cerca  del compilador que fue usado. Pero no logre nada, intuyo que como es base de datos y no un .exe no arrojo resultados. La idea es poder saber en primera instancia con que programa fue creada esta base de datos, para luego poder decompilarla.
 Tampoco se si estos serian los pasos correctos, pero la idea no es utilizar un programa que pueda calcular la clave o quitarle la protección, sino poder abrir la programación de la misma, no se si me explico?
Por donde me sugieren comenzar? Son estos los pasos correctos? digamos:
1.- Averiguar el compilador usado, su lenguaje etc.
Desde ya gracias por su colaboración.


Título: Re: Abrir base de datos .mmf
Publicado por: MCKSys Argentina en 23 Octubre 2015, 22:12 pm
RDG sólo sirve para archivos ejecutables. No es útil con un archivo de base de datos.

Las bases de datos no se pueden "decompilar". No existe tal cosa.

Creo que necesitas leer un poco sobre el tema antes, pues tienes las cosas muy revueltas.

Si es una base de datos, deberías analizar el ejecutable que la accede. Por ahí puedes empezar.

Saludos!


Título: Re: Abrir base de datos .mmf
Publicado por: Intimdq en 24 Octubre 2015, 22:08 pm
MCKSys Argentina Gracias por tu pista, comence por explorar el .EXE que accede a la base de datos, paso a explicar que he realizado. En primera instancia para saber qué tipo de protección posee, cargo el .EXE en el PEiD v0.95 el cual me arroja la siguiente información:

http://k46.kn3.net/2/2/5/B/D/7/82D.png

En “EP Section” podemos ver que tiene una protección “.aspack” más específicamente ASPack 2.12-› Alexey Solodovnikov
Luego utilizo OllDbg

http://k46.kn3.net/0/7/8/8/0/F/F05.png

Ejecutemos con F7 el “PUSHAD” (se encuentra marcado en la imagen superior) y veamos en el “stack” que guardo lo que contenían los registros

http://k30.kn3.net/B/1/6/F/5/0/D76.jpg

Vemos que “ESP” en mi caso 0018FF6C está en el stack. Busco en el “dump” el lugar donde está guardado ese valor que en mi caso es 0018FF6C, como vemos en el stack está guardado en 12FFa4, así que en el dump GOTO EXPRESSION 12ffa4.

http://k46.kn3.net/7/F/4/6/A/C/40F.jpg

Luego con F7 hasta el OEP. Luego Dumpeo, en Plugins-OllyDumpEx-Dump process abre ventana dejo todo como esta presiono "Dump" y guardo el .EXE.

Luego trato de reconstruir la IAT Con Import REConstructor v1.7

http://k30.kn3.net/9/B/2/9/D/8/BE9.png

Tengo OllyDBG ejecutándose y parado en el OEP . Genere dump.exe. Ejecuto el programa ImportRE. En el desplegable "Attach to an Active Process"buzco el proceso peid.exe que es el que está detenido y depurándose en OllyDBG
Introduzco en donde dice "OEP" la locacion de memoria donde se detuvo el "OEP" (punto de inicio).
Ahora pulso el botón IAT AutoSearch (búsqueda automática de la IAT) y en este punto me indica que no es una direccion de memoria valida.

Que es lo que estoy haciendo mal? gracias por tu ayuda MCKSys Argentina



Título: Re: Abrir base de datos .mmf
Publicado por: MCKSys Argentina en 24 Octubre 2015, 23:40 pm
Hola!

Parece que estás usando mal imprec. El proceso que tienes que elegir es el depurado, no el dumper. El OEP lo tienes que colocar como RVA, no VA. Y, hay veces que la IAT no se puede encontrar automáticamente, pero puedes completar los valores manualmente.

Te recomiendo leer los tutoriales sobre unpacking de asprotect de la web de ricardo. Si usas el buscador de su web, enontrarás varios.

Saludos!

PD: En el FAQ del foro encontrarás un link a la web de ricardo.


Título: Re: Abrir base de datos .mmf
Publicado por: Intimdq en 25 Octubre 2015, 23:12 pm

Estimado, gracias por tu ayuda, creo haberlo hecho bien, por lo menos todos los pasos me dieron correctos no antes de leer mucho y poder entender mas sobre el tema. ahora me queda así con el PEiD. Creo que estoy en condiciones de decompilarlo.

http://k46.kn3.net/B/6/D/4/5/8/D1E.png

Ahora mi pregunta es la siguiente, como hago para leer el código en el idioma que este escrito?, en este código, estará la clave para acceder a la base de datos?
Y mi otra duda es como es posible que necesite si o si ver el EXE que accede a la base de datos y no hay alguna herramienta que me permita ingresar a la misma?
Bueno gracias nuevamente por tu ayuda. Esperare nuevas sugerencias para poder seguir....


Título: Re: Abrir base de datos .mmf
Publicado por: MCKSys Argentina en 26 Octubre 2015, 00:14 am
Ahora mi pregunta es la siguiente, como hago para leer el código en el idioma que este escrito?, en este código, estará la clave para acceder a la base de datos?

No sé a qué te refieres con "idioma", pero el ejecutable está en código máquina, el cual puedes desensamblar y analizar (IDA es recomendable en estos casos).

Lo más probable es que, si la base está protegida con contraseña, la misma esté presente en el ejecutable.

Y mi otra duda es como es posible que necesite si o si ver el EXE que accede a la base de datos y no hay alguna herramienta que me permita ingresar a la misma?

Como te dije antes, si la base tiene pwd, no podrás acceder a ella a menos que la sepas (o la puedas romper).

Por lo pronto, luego de buscar rápidamente por la web, veo que ese formato de base de datos es usado por Clarion (http://www.softvelocity.com/clarion/clarion.htm).

Por lo que veo, es algo parecido a FoxPro.

Ahora, tienes que buscar info sobre este tipo de aplicaciones.

Saludos!


Título: Re: Abrir base de datos .mmf
Publicado por: Intimdq en 26 Octubre 2015, 03:02 am
Bueno he podido con IDA pro v.6.1 leer el código, pero me encuentro con ciertos problemas, en primera instancia el EXE original se instala, y al ejecutar el EXE instalado se abre esta ventana

http://k30.kn3.net/6/2/A/E/D/E/2FA.png

Que para acceder a la base de datos debo validar un numero de serie, nombre y correo.
Al tratar de comprender el código con IDA me parece que estoy mal rumbeado, digamos, pareciera que no hay una única clave, sino que esta se calcula.
Adjunto paquete completo para quien pueda darme una mano.


MOD EDIT: Pedir por MP el enlace de descarga, ya que se trata de un programa comercial.

PD: Estos son textos escolares de una importante editorial que creo deberían ser libres ya que estamos lucrando con cosas que no se debería, según mi criterio. Por tal motivo me interesa tomarme el trabajo necesario para poder salvar las protecciones de este, en principio, y aplicarlo a toda la linea de libros escolares de esa editorial.

Adjunto el EXE desempacado con el que estoy trabajando

https://mega.nz/#!txRhjZzZ!bCMlhdAHzz6lyS-vTHqn9i_2NhZ8vk8ot7tMozUBvpc


Título: Re: Abrir base de datos .mmf
Publicado por: MCKSys Argentina en 26 Octubre 2015, 04:32 am
PD: Estos son textos escolares de una importante editorial que creo deberían ser libres ya que estamos lucrando con cosas que no se debería, según mi criterio. Por tal motivo me interesa tomarme el trabajo necesario para poder salvar las protecciones de este, en principio, y aplicarlo a toda la linea de libros escolares de esa editorial.

Ojo, no confundas el "cracking" con "hacer justicia". En este foro no promovemos la actividad ilegal o criminal. Si quieres revisar la protección de un programa X, está bien; pero muy distinto es solicitar un crack.

"Aquí no regalamos peces, enseñamos a pescar."

Procura investigar sobre Clarión, ya que este software está hecho en esa plataforma y haz preguntas puntuales sobre las dudas que tengas.

Saludos!


Título: Re: Abrir base de datos .mmf
Publicado por: Intimdq en 27 Octubre 2015, 02:44 am
Perdón, entiendo el punto. Gracias por tus consejos. Voy a ver como comienzo a investigar sobre clarion. Gracias nuevamente.....