| Сейчас на форуме: subword, rtsgreg1989, zds, _MBK_ (+5 невидимых) |
 |
eXeL@B —› Основной форум —› OllyDebug - не удается провести качественный анализ |
| . 1 . 2 . 3 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 12 декабря 2007 14:28 · Личное сообщение · #1 Я прикладной программист, хотя душа всегда тяготела к системным вещам. Давно мечтал научиться анализировать софт. Несколько лет назад перед мной встал SoftIce как самый крутой отладчик. Я решил его изучать, но нормальной инфы найти не удалось, после чего я это дело забросил. Недавно я наткнулся на цикл интересных статей www.wasm.ru/series.php?sid=17 прочитал их, разобрался с примерами и OllyDebug стал моим отладчиком на веке. Давно было желание проанализировать программу Back2Life v2.1, и вот настал день, когда я захотел сделать это с помощью OllyDebug, начал выполнять по той же методике как это было в примерах www.wasm.ru/series.php?sid=17, но к сожалению ничего неполучается, поэтому я решил обратиться к ВАМ профессионалам, может кто-нибудь возмется со мной вместе пошагово разобраться в ее скрытии. Для ВАС это же пустяковое дело, а мне хочется научится. P.S. Помагите пожалуйста. А то спать начами не смогу.  0350_12.12.2007_CRACKLAB.rU.tgz - Back2Lifev2.1.rar
 |
|
|
Создано: 12 декабря 2007 14:35 · Поправил: Spirit · Личное сообщение · #2 Delphist пишет: Давно было желание проанализировать программу Back2Life v2.1 Что ты имеешь в виду под словом проанализировать? Понять как работает та или иная функция, влзомать ее, добавить или изменить функционал? ----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 12 декабря 2007 14:43 · Личное сообщение · #3 Spirit пишет: Что ты имеешь в виду под словом проанализировать? Подобрать серийный номер |
|
|
Создано: 12 декабря 2007 14:47 · Поправил: tempread · Личное сообщение · #4 Delphist Что бы это не выглядело, как банальный запрос на взлом, приведите, до чего смогли докопаться, что именно не получается и т.д. |
|
|
Создано: 12 декабря 2007 14:47 · Личное сообщение · #5 Все гораздо проще, чем я думал. Тогда, несмотря на твои разглагольствования тебе в Запросы на взлом. ----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 12 декабря 2007 14:49 · Личное сообщение · #6 Delphist пишет: может кто-нибудь возмется со мной вместе пошагово разобраться в ее скрытии Если ты имеешь в виду антиотладочные фичи, то можно прочитать этот топик- http://www.exelab.ru/f/action=vthread&forum=1&topic=7529 Не ясно все-таки что такое анализировать в твоем понимании... |
|
|
Создано: 12 декабря 2007 14:54 · Личное сообщение · #7 Gerpes Delphist пишет: Подобрать серийный номер ----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 12 декабря 2007 14:56 · Личное сообщение · #8 Spirit пишет: Подобрать серийный номер Да, по-русски это взломать |
|
|
Создано: 12 декабря 2007 14:59 · Личное сообщение · #9 Жду помощи... 
|
|
|
Создано: 12 декабря 2007 15:01 · Личное сообщение · #10 Отчего же не помочь, поможем, только топик явно для раздела новичков. ----- Всем привет, я вернулся |
|
|
Создано: 12 декабря 2007 15:09 · Личное сообщение · #11 Да вы правы
|
|
|
Создано: 12 декабря 2007 15:21 · Личное сообщение · #12 Spirit пишет: Тогда, несмотря на твои разглагольствования тебе в Запросы на взлом. чуваг просит не поломать, а научить ломать на примере данной программы..
|
|
|
Создано: 12 декабря 2007 15:22 · Личное сообщение · #13 sniperZ пишет: чуваг просит не поломать, а научить ломать на примере данной программы.. Именно так. |
|
|
Создано: 12 декабря 2007 16:42 · Поправил: DMD · Личное сообщение · #14 Приветствую всех! я не против помощи, но кажется мне в этом есть нечто иное: сложилось стойкое ощущение - Delphist пытается получить крипто-анализ результата собственного творчества. За Соц.Инженеринг можно смело поставить "4"... может быть - с маленьким "-".. 
Оценка за все остальное - (если она нужна :s6 несколько позже.
ps/ на оффсате есть более забавное - вращающаяся рыбка... гм.. сами себе ставить крест.. черный юмор... однако... |
|
|
Создано: 12 декабря 2007 17:13 · Личное сообщение · #15 DMD +1 Delphist Я не ошибся, в твоей (я думаю, что это так) проге сначала в реестр пихаются данные, а при рестарте чекаются? Хотя дата релиза проги - 2002 год? )) своевременная проверка творения ----- Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей. |
|
|
Создано: 12 декабря 2007 17:17 · Личное сообщение · #16 DMD пишет: сложилось стойкое ощущение - Delphist пытается получить крипто-анализ результата собственного творчества. forum.sources.ru мне посоветовали этот сайт в связи с тем, что здесь как раз-то и обсуждаются такие темы. Как таковой серийник мне не нужен, потому как в нете его дастать, наверное, не сложно. Для меня самое важно научиться правильно и грамотно строить взлом (хотя слово взлом слишком резкое, лучше анализ) программа. Вы скажите почему именно Back2Life - я отвечу принципиально просто она уже не один год мазолит у меня перед глазами, и изучение примемов анализ (взлома) именно на ней для меня было бы наиболее интересным |
|
|
Создано: 12 декабря 2007 17:43 · Личное сообщение · #17 Delphist пишет: ы скажите почему именно Back2Life - я отвечу принципиально просто она уже не один год мазолит у меня перед глазами, и изучение примемов анализ (взлома) именно на ней для меня было бы наиболее интересным Тогда почему бы не взять новую версию: grandutils.com/RU/Back2Life/Back2Life.zip Крякнуть её так же просто, как и ту что выше... С ключём правда всё сложнее, но главное ведь результат 
----- Всем привет, я вернулся |
|
|
Создано: 12 декабря 2007 17:47 · Поправил: DMD · Личное сообщение · #18 Delphist гм.. не совсем хочется начинать пустое.. но я готов ответить. даже если все так как описано - выбор перой цели весьма неудачен. Применение в таргете крипто требует от анализирующего наличие неких знаний в математике. и как min - опыт в RE (ревер-инженеринг). Без оных - начинайте с чего-нибуть по-проще : crackme.. попробуйте повторить примеры из статей.. и учитесь задавать точные вопросы по сути (то что может быть интересно Вам может оказаться не интересно другим). С опытом - будете переходить к более сложным вещам. Поэтому могу предложить следующее: топик, похоже, стоит закрыть, и если действительно есть интерес - есть ПМ. пишите. какое-то разумное время готов потрать на этот таргет... хотя Delphist пишет: изучение примемов анализ (взлома) есть целый цикл статей "Крекинг с 0", есть раздел статей "Для новичков.." информации на первый раз - заоблочно!
ps/ здесь очень редко встречаются аффторы софта для проведения анализа их творений - противоречие очевидно: аффторы зарабатывают, а сам платить за анализ почему-то не хотят ...
так что, Delphist пишет: мне посоветовали этот сайт в связи с тем, что здесь как раз-то и обсуждаются такие темы. не то посоветовали... Думаю, все согласны: диспут можно заканчивать...
|
|
|
Создано: 12 декабря 2007 18:03 · Личное сообщение · #19 DMD пишет: неких знаний в математике. и как min - опыт в RE (ревер-инженеринг). В математике опыт очень большой. Понимание взлома CrackMe и им подобные при изучении статей для меня не составляло труда. DMD пишет: ПМ. пишите Что такое ПМ. DMD пишет: Думаю, все согласны: диспут можно заканчивать Я очень быстро учусь меня нужно только направить в нужное русло. Поэтому большая просьба не закрывать диспут, а все таки помочь начинающему крэйкмекеру. Опыт в программировании у меня большой. И я думаю, что нужно дать мне шанс. |
|
|
Создано: 12 декабря 2007 18:18 · Личное сообщение · #20 Delphist пишет: Что такое ПМ. Private Message - Личное сообщение. Если крякмисы шли легко, тогда что конкретно не выходит в данном случае? ----- Всем привет, я вернулся |
|
|
Создано: 12 декабря 2007 18:39 · Личное сообщение · #21 Вообщем я немогу понять где именно происходит проверка. При нажатии кнопки ОК в окне регистрации эта хрень (Back2Life) создает в реестре UserName и RegKey, потом начинается какая-то кхеромантия, куча call'ов и в итоге я буксую... |
|
|
Создано: 12 декабря 2007 19:08 · Поправил: Bitfry · Личное сообщение · #22 Delphist, здесь (как очень часто бывает) окошко регистрации всего лишь вносит ключ и юзера в реестр. Проверку ключа на валидность можно ловить через bp RegOpenKeyExA на следующую загрузку жертвы. Смотри параметры в стеке, делай выход из API-функции когда Subkey будет Software\Back2Life. Попадаешь в промежуточную обёртку, а следующий выход самое оно. Там ниже по коду всё очевидно. ----- Всем привет, я вернулся |
|
|
Создано: 12 декабря 2007 20:34 · Личное сообщение · #23 бгг, прога при запуске раскриптовывает процедуру восстановления файло. Delphist сделай поиск по строкам, выйди на эту процедуру, а там ищи проверку..
|
|
|
Создано: 13 декабря 2007 10:55 · Личное сообщение · #24 sniperZ пишет: сделай поиск по строкам, выйди на эту процедуру, а там ищи проверку Что искать-то? |
|
|
Создано: 13 декабря 2007 11:04 · Поправил: DMD · Личное сообщение · #25 Delphist пишет: Что искать-то? То, что прочие участники дискуссии уже давно нашли: 00407763 |. E8 8CF5FFFF CALL 00406CF4
краткое описание происходящего: - при регистрации UserName и RegKey пишутся в реестр. - "ловить" проверку проще при следующем старте. (это парни верно говорят) 1) UserName - нужно только для иллюминации. 2) RegKey - строка до 20 символов потом RegKey переводится в hex-вид и происходит раскрытие так называемого S-box (это я немного вперед забежал). его размер 0х80 байт. с помощью модифицированного hex-представления RegKey и S-box происходит декрипто куска кода размером 0хВ3 байт. Особо позабавила проверка валидности декриптовки - наличие в теле восстановленной процедуры ASCII стринга "KEY-122-58". если все ок - выполним восстановленную процедуру, если все плохо - обойдем ее.. судя по размерности и посторению - имеем дело с RC2... |
|
|
Создано: 13 декабря 2007 11:06 · Поправил: Gerpes · Личное сообщение · #26 Delphist Тебе надо найти место, где в стек помещается значение ключа, потом это значение применяется в дальнейшей работе проги, т.к. при убивании этой проверки прога перестает корректно работать. я только это смог, поскольку с крипто еще не сталкивался, но тема интересная... PS попробуй бряк на память "KEY-122-58" поставить.. - он должен вывести на проверку валидности. |
|
|
Создано: 13 декабря 2007 11:25 · Поправил: DMD · Личное сообщение · #27 Gerpes пишет: при убивании этой проверки прога перестает корректно работать. один сказал "проверка", остальные - подхватили... 
в таргете нет "проверки" в смысле "ок - - bad". здесь нельзя править переходы без понимания происходящего - это по меньшей мере глупо. Gerpes пишет: ...с крипто еще не сталкивался, но тема интересная... RC2 и его дженерики давно описаны и практически сданы в утиль. Но в смысле "поиграться", как видим, еще используются. Крипто-анализ этих алго - не составляет секрета. При желании поиск поможет... при столь известных условиях построения + доп. условиях что-бы не обрабатывать весь крипто-блок на каждом прогоне полность - все равно все будет ограничено доступными вычислительными мощностями. 256^^10 всего делов-то...
ps/ переписать все на асм + оптимизировать процесс + оптимизация доп. и основных проверок... + время ... и все это во имя чего? 
|
|
|
Создано: 13 декабря 2007 11:55 · Поправил: Gerpes · Личное сообщение · #28 DMD пишет: здесь нельзя править переходы без понимания происходящего Попробовать зато можно (хотя бы 1 раз), я же не сразу увидал, куда и что идет.
DMD пишет: и все это во имя чего? - только ради интереса, так-то прога 100р стоит... PS - поправлюсь -бряк на память здесь нафиг не нужен, эта строка и так видна.... |
|
|
Создано: 13 декабря 2007 12:24 · Поправил: DMD · Личное сообщение · #29 Gerpes пишет: только ради интереса я почти все описал - успехов тебе! |
|
|
Создано: 13 декабря 2007 15:30 · Поправил: DMD · Личное сообщение · #30 а ларчик-то с секретом.. в нем действительно есть крипто.. есть декрипто разных процедур... только все, что было найдено - обманки. dREAM TEAM, конечно, молодцы - закейгенили это чудо. но если как Gerpes пишет: ради интереса , то с таргетом нужно разбираться.. серъезно разбираться. ps/ а я еще думал: почему UserName не используется в найденных декрипто ?.... это против сути RCx... вот как значит дело обстоит... обманки... |
| . 1 . 2 . 3 . >> |
|
eXeL@B —› Основной форум —› OllyDebug - не удается провести качественный анализ |
Для печати