Comme d'habitude, on commence par une analyse rapide avec PeId pour vérifier que le programme n'est pas compressé ou crypté. Et en effet, PEiD nous indique PE Pack 1.0 -> ANAKIN.
      On va donc le charger dans OllyDbg pour étudier ça.

      Le dump ne devrait pas poser de problème en suivant le tut de Kef (Unpack PE Pack). Pour ma part, j'ai posé un BP sur JMP EAX puis F9 et F8, et enfin un coup de Ollydump avec "Rebuild Import" coché. Le programme étant décompressé, on peut donc commencé son analyse.

      Première chose frappante, on voit un appel à l'API IsDebuggerPresent. Cette fonction va renvoyer 1 si l'application tourne sous un debugger ou 0 dans le cas contraire. Il existe de nombreuses façon de contourner ce problème, la plus simple étant en utilisant le plugin "IsDebugPresent". Si un debugger est détecté, une MsgBox nous prévient puis le programme se ferme.

      Ensuite, le programme teste la présence du fichier "IloveMicrosoft.key" avec l'api CreateFileA. Si le fichier existe, les 2 fonctions suivantes vont en créer une image en mémoire et l'api MapViewOfFile va renvoyer l'adresse du début de cette image. Si le fichier n'existe pas, le programme se ferme.

      Finalement, le programme compare le contenu du fichier avec la chaine de caractères suivante:

<strKey>  53 E9 73 61 6D 65 2C 20 6F 75 76 72 65 20 74 6F  Sésame, ouvre to
0040304B  69 20 21 20 20 20 20 20 20 31 34 38 35 32 33 32  i !      1485232
0040305B  35 36 39 36 35 38 34 31 31 31 32 32 32 35 38 35  5696584111222585
0040306B  36 39 20 3A 29 00                                69 :).          

      En continuant l'étude de la DialogProc(), on tombe sur la gestion du message WM_COMMAND avec 2 appels à GetDlgItemTextA. On ne doit donc pas être très loin du controle du serial.
      Et en effet, on voit une boucle qui calcule la somme des codes ASCII +1 de chaque caractère du nom avant de passer cette valeur à une fonction qui renvoit une chaine de caractères. En étant un peu attentif, on remarque que la chaine retournée correspond à la somme précédemment calculée.

      C'est en fait l'équivalent de la fonction IntToHex() de Delphi qui convertit un entier en chaine de caractères représentant sa forme Hexadécimale. On a vu que la fonction prend 2 paramêtres. Un DWORD correspondant à la valeur à convertir, et un autre DWORD représentant le nombre minimum de caractères que la chaine devra contenir. Par exemple, si le nombre minimum de caractères à retourner est 4 et que la valeur à convertir est 5E, alors la fonction va ajouter autant de 0 devant pour finalement arriver à la chaine "005E". Le traitement s'effectue de la fin de la chaine vers le début.
      Et pour finir, les 2 serials sont comparés pour savoir quelle MsgBox sera affichée.

      Voici le listing d'un keygen codé sous Dev-C++:

#include <stdio.h>
#include <stdlib.h>

int main(int argc, char *argv[]) {
    char name[11] = "";
    int i=0;
    int sum = 1;
    int Taille = 0;

    printf("Nom: ");
    scanf("%s", name);
    Taille = strlen(name);
    if (Taille < 3 || Taille > 10) {
       printf("Minimum 3 caractères et macimum 10!\n");
       system("pause");
       return 0;
    }
    for (i=0;i<Taille;i++) {
        sum += 1+name[i];
    }
    printf("Serial: %03X\n", sum);
    system("pause");
    return 0;
}

procedure TForm1.Button1Click(Sender: TObject);
var Nom: String;
  i: Integer;
  sum: Cardinal;
  Taille: Integer;
begin
  sum:= 1;
  Nom := Edit1.Text;
  Taille:=Length(Nom);
  If (Taille < 3) Or (Taille > 10) Then
    ShowMessage('Minimum 3 caractères et macimum 10!');
  For i:=1 To Taille Do
    sum := sum + 1 + Ord(Nom[i]);
  Edit2.Text:=IntToHex(sum,3);
end;