Anàlisi i explotació de vulnerabilitats en sistemes de validació de números de sèrie: un estudi sobre aplicacions antigues

Abstract

Aquest document se centra en l'anàlisi i l'explotació de vulnerabilitats en els sistemes de validació de números de sèrie per a registrar llicències d'aplicacions, especialment en aplicacions antigues on aquesta validació es fa en local. Aquestes aplicacions emmagatzemen les llicències dins del propi codi, o bé, hi apliquen algun algorisme per validar-les. El treball proposa estudiar els algorismes per tal de generar claus vàlides de manera fraudulenta o modificar el propi binari perquè n'accepti qualsevol altre de no vàlida. Conseqüentment, es crearan diversos "crack me" per explorar i entendre les vulnerabilitats que permeten fer un ús fraudulent de les aplicacions sense adquirir-ne les llicències. Un cop estudiades aquestes vulnerabilitats, es proposa un "crack" i es programa un "keygen" per tal d'explotar-les. Finalment, s'apliquen aquestes tècniques en una aplicació real.

Este documento se centra en el análisis y explotación de vulnerabilidades en los sistemas de validación de números de serie para registrar licencias de aplicaciones, especialmente en aplicaciones antiguas donde esta validación se realiza en local. Estas aplicaciones almacenan las licencias dentro del propio código, o bien aplican algún algoritmo para validarlas. El trabajo propone estudiar los algoritmos para generar claves válidas de forma fraudulenta o modificar el propio binario para que acepte cualquier otro no válido. Consecuentemente, se crearán varios "crack me" para explorar y entender las vulnerabilidades que permiten hacer un uso fraudulento de las aplicaciones sin adquirir sus licencias. Una vez estudiadas estas vulnerabilidades, se propone un crack y se programa un keygen para explotarlas. Por último, se aplican estas técnicas en una aplicación real.

Tihs document focuses on the analysis and exploitation of vulnerabilities in serial number validation systems when registering application licenses and, more especifically, in outdated applications where this validation is done locally. These applications store licenses within their own source code or apply some algorithm to validate them. The project aims at studying the different algorithms in order to fraudulently generate valid keys or modify the internal binary system so as to accept any other invalid key. Consequently, different "crack me" will be created and observed in order to explore and understand the vulnerabilities that allow fraudulent use of the applications without acquiring their licenses. Once these vulnerabilities are studied, a "crack" will be created and a "keygen" will be programmed to exploit them successfully. Finally, these techniques will be applied to a real application.