| Сейчас на форуме: Magister Yoda, subword (+9 невидимых) |
 |
eXeL@B —› Основной форум —› Снятие HASP HL Envelope. Есть ли скрипты для восстановления импорта ? |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 14 марта 2008 01:00 · Личное сообщение · #1 Столкнулся с тем, что по уроку «Распаковка конверта HASP/HASP_HL/HARDLOCK» от s0cpy не получается снять конверт на проге защищённой HASP HL. Перечитал тему «И снова HASP Envelope». Импорт подгаженный частично. Видимо многие встречались с подобным, но как я понял из темы, вариант восстановления импорта только ручной предлагается. Вопрос в том, есть ли на паблике скрипты облегчающие восстановления импорта после конверта или автоматизирующие всё что делалось ранее в уроке s0cpy ?  |
|
|
Создано: 14 марта 2008 09:03 · Личное сообщение · #2 На паблике скриптов не встречал. В приватах есть. Вообще конверты HASP HL можно разделить на 2 группы: старые (которые были сделаны инструментами из HASP_HL_CD_1.00 и HASP_HL_CD_1.10) и новые (HASP_HL_CD_1.20 и HASP_HL_CD_1.30). В "старых" конвертах импорт в определенном месте(сразу после декриптовки секций) чистенький и никаких телодвижений не требуется (все по статье). В "новых" импорт изначально идет загаженным (переходники). Кроме того в импорте новых конвертов есть еще и эмулируемые функции (мне известно как минимум 6 функций, которые эмулируются) |
|
|
Создано: 14 марта 2008 13:49 · Личное сообщение · #3 ToBad Восстанови импорт руками. Там не так сложно. Можно полуавтоматизировать |
|
|
Создано: 14 марта 2008 14:51 · Личное сообщение · #4 AlexVel у меня видимо новый конверт. Rustem пишет: Восстанови импорт руками. Там не так сложно. Можно полуавтоматизировать Как полуавтоматизировать ? Функций которые нужно восстановить около 98. Пытался оттрейсить несколько, получилось на одной... Долго по коду прыгал... На второй не вышло. Основная проблема в том, что в момент вызова второй функции программа переходит в DX режим. Экран 640х480, переключится в отладчик нельзя. Когда уже всё полностью загружено, переключится и восстановить режим можно, но тогда уже не вызываются некоторые функции... Я уже думал как нибудь применить керберос. Например мониторить kernel32, а в Ольге вести лог в файл при обращении к переходникам. Потом смотреть по времени вызова после какого переходника какая была вызвана функция... Хотя гиморно я придумал, жаль что скрипты не пишу и плохо Ольгой владею, всё наверняка проще... |
|
|
Создано: 14 марта 2008 15:01 · Личное сообщение · #5 У меня есть флешка-видяшка и тутор по снятию НАSP_HL envelоpe.Оба на английском. Могу поделиться. |
|
|
Создано: 14 марта 2008 15:42 · Личное сообщение · #6 Iron пишет: У меня есть флешка-видяшка и тутор по снятию НАSP_HL envelоpe.Оба на английском. Могу поделиться. Давай конечно ! |
|
|
Создано: 14 марта 2008 16:22 · Личное сообщение · #7 Лучше все таки изучить и написать скриптик под Olly. Там ничего сложного нет. И в дальнейшем пригодится (как скриптик, так и знания). А вообще скрипт получается очень простой (с объвлением переменных и прочей лабудой всего строк на 50). Но скрипт не решает проблемы с эмулируемыми функциями. |
|
|
Создано: 14 марта 2008 16:40 · Поправил: Iron · Личное сообщение · #8 Флешка весит 8 метров,в аттач не влезла.Она на рапиде имеется: rapidshare.de/files/38454954/HASPHL_ENVELOPE_SCORM.rar.html <-- Если не покатит могу почтой отправить  3ae0_14.03.2008_CRACKLAB.rU.tgz - HASP-HL_CRACK.rar
|
|
|
Создано: 14 марта 2008 17:31 · Личное сообщение · #9 Iron все это годиться к старые (которые были сделаны инструментами из HASP_HL_CD_1.00 и HASP_HL_CD_1.10) и для конвертов HASP_4... AlexVel А вообще скрипт получается очень простой (с объвлением переменных и прочей лабудой всего строк на 50). ну 50 это че та много... ;) а с эмулируемыми функами не так все сложно... в принципе как вариант, ставим бряк на GetCommandLineA (одна из эмулируемых), упали и смотрим, куда будет "записан" результат выполнения функи. Если в тело секции .protect, то это оно... Трассируем дальше - будут выполняться остальные эмулируемые функи, и их результаты будут писаться в область рядом с результатами GetCommandLineA... Ну а потом собственно практически все прозрачно становиться, за исключением GetTickCount кажется (щас на вскидку не помню тонкостей)... |
|
|
Создано: 24 марта 2008 01:43 · Личное сообщение · #10 Делал так: Все нераспознанные места в импорте ведут на одну функцию которая большая, сложная и очень замученная. По её ходу если трейсить выполняется много левых функций в нескольких потоках и в итоге пробегает одна искомая. Иногда трейслог проходит за пару секунд и весит несколько десяток килобайт, иногда на 10-15 минут и весит 20-30 мб. Всё одна и таже процедурка. Делал всё очень гиморным способом. На входе в эту процедуру делал переназначение на вызов функции _msg из собственной длл, в параметрах вычислял и передавал адрес ячейки импорта откуда пошол вызов. К процессу цеплял kerberos и мониторил kernel32, user32 и свою dll. По логу смотрел что идёт после вызова моей функции. Таким образом восстановил 35 функций, ещё с 3-4 есть вопросы. Написал скриптик который прописывает в нужное место импорта адреса на найденные функи. Скрипт примерно такой: gpa "CreateFileA","kernel32.dll"
Теперь собственно вопрос. Осталось много не распознанных функций, но они при запуске и моих действиях не выполняются. Если я сделаю дамп и оставлю всё так как есть, то это будет запуск до поры до времени и очень скоро всё сбойнёт. Не знаю как быть. Вот что получилось в итоге, ещё масса функций... Может можно как то интуитивно  где и что идёт в импорте ? Или я не правильным путём пошол ?
00684000 7373FC55 DDRAW.DirectDrawCreate
Лог примерно такой получается после обработки: 00684144-VirtualAlloc-GetACP-InterlockedIncrement-GetTickCount-CreateF ileA-LocalAlloc-DeviceIoControl-LocalFree-CloseHandle-CreateFileA
|
|
|
Создано: 24 марта 2008 10:15 · Личное сообщение · #11 Нда. Мы не ищем легких путей, а делаем все через ж..у Если вызывается АПИ функция, то в некотором месте должен проскакивать ее адрес? Логично ? Твоя задача просто найти такое место. И автоматом прогнать ВСЕ функции из импорта (всю табличку переходников) через одну функцию которая большая, сложная и очень замученная (или через другую функцию - которая поменьше и вызывается из этой большой). Подправляешь, натравливаешь imprec - и у тебя нормальный импорт. Таким образом восстановишь почти все функции (кроме эмулируемых -коих всего то MAX=6 шт). А эмулируемые функции уже ручками в imprec назначишь. |
|
|
Создано: 24 марта 2008 10:22 · Поправил: AlexVel · Личное сообщение · #12 Посмотри сюда: 00684170 7C9105D4 ntdll.RtlAllocateHeap 00684174 7C80ABC1 kernel32.GetProcessHeap 00684178 7C91043D ntdll.RtlFreeHeap 0068417C 7C9179FD ntdll.RtlReAllocateHeap 00684180 003B03B8 00684184 003B03C0 00684188 7C80BFAD kernel32.ReleaseSemaphore 0068418C 003B03D0 00684190 7C937A40 ntdll.RtlUnwind видно, что ты криво распознал импорт. функции из ntdll перемешаны с kernel32 Согласись, что это подозрительно. Т.е. наверняка не правильно. Вообще редкие Ring3 приложения имеют в импорте ntdll Да и разделения (00000000) между библами не наблюдается, в отличие от ... 00684250 77D3D8B4 USER32.ShowWindow 00684254 00000000 00684258 76B3BA77 WINMM.waveOutSetVolume 0068425C 00000000 |
|
|
Создано: 24 марта 2008 11:04 · Личное сообщение · #13 скрипт для восстановления импорта (кроме эмулируемых ф-ций) в аттаче... сначало откройте в каком-нть вьювере и ознакомьтесь. скрипт требует для своей работы некоторую инфу... возникнут вопросы - пишите... ToBad одну функцию которая большая, сложная и очень замученная - ну уж не такая она и страшная... ;) немного почистить обфускацию и все понятно становиться... 7197_24.03.2008_CRACKLAB.rU.tgz - hhl_env_1.2x_1.3x_iatresolver.rar
|
|
|
Создано: 24 марта 2008 12:11 · Личное сообщение · #14 AlexVel А вообще скрипт получается очень простой (с объявлением переменных и прочей лабудой всего строк на 50). s0cpy ну 50 это че та много... ;) А у самого-то около 80 строк 
Да и у пользователя достаточно спросить только start address of IAT А то сейчас тебе вопросы посыплются - а что вводить на запросы скрипта
|
|
|
Создано: 24 марта 2008 12:50 · Поправил: s0cpy · Личное сообщение · #15 AlexVel А у самого-то около 80 строк - ну поспешил с выводом...
сорри... Да и у пользователя достаточно спросить только start address of IAT А то сейчас тебе вопросы посыплются - а что вводить на запросы скрипта у тех кто с пониманием все делает, я думаю вопросов не должно возникнуть... |
|
|
Создано: 24 марта 2008 13:32 · Личное сообщение · #16 AlexVel пишет: Посмотри сюда: 00684170 7C9105D4 ntdll.RtlAllocateHeap 00684174 7C80ABC1 kernel32.GetProcessHeap 00684178 7C91043D ntdll.RtlFreeHeap 0068417C 7C9179FD ntdll.RtlReAllocateHeap 00684180 003B03B8 00684184 003B03C0 00684188 7C80BFAD kernel32.ReleaseSemaphore 0068418C 003B03D0 00684190 7C937A40 ntdll.RtlUnwind видно, что ты криво распознал импорт. функции из ntdll перемешаны с kernel32 Согласись, что это подозрительно. Т.е. наверняка не правильно. Я распознавал пока только с kernel32 и user32. В том то и дело, что импорт это оригинальный. Вот он без распознанных функций: 00684000 7373FC55 DDRAW.DirectDrawCreate
s0cpy пишет: скрипт для восстановления импорта (кроме эмулируемых ф-ций) в аттаче... сначало откройте в каком-нть вьювере и ознакомьтесь. скрипт требует для своей работы некоторую инфу... возникнут вопросы - пишите... Большое спасибо !!! Буду изучать и прибывать. О результате отпишу обязательно. |
|
|
Создано: 24 марта 2008 22:00 · Поправил: AlexVel · Личное сообщение · #17 Еще раз говорю. В импорте не должно быть ntdll Например: 006840EC 7C91188A ntdll.RtlDeleteCriticalSection 006840F0 7C9010ED ntdll.RtlLeaveCriticalSection 006840F4 7C901005 ntdll.RtlEnterCriticalSection На самом деле это (и в таблице импорта они должны выглядеть так): kernel32.DeleteCriticalSection kernel32.LeaveCriticalSection kernel32.EnterCriticalSection которые просто являются переходниками к ntdll Я думаю что Imprec тебе их покажет именно в таком виде. |
|
|
Создано: 25 марта 2008 10:11 · Личное сообщение · #18 AlexVel пишет: В импорте не должно быть ntdll Я думаю что Imprec тебе их покажет именно в таком виде. Да, ты совершенно прав, теперь после импрека импорт без ntdll. s0cpy - Большое спасибо за скрипт ! Он очень помог. Всё что нужно было скрипту для работы - понял без проблем. Написано доходчиво. Я хочу поблагодарить всех кто помогал мне советами, туторами, информацией и разумеется скриптом. Очень помогло то, что почти каждый ваш комментарий вселял надежду на то, что задача эта не из ряда сложных и что всё просто. Это помогло не бросить тогда, когда было сложно... На данный момент дамп снят, импорт восстановлен, лишние секции удалены и жертва работает. Как и сказано было ранее, оставалось 6 эмулируемых функций. Где то по передаваемым параметрам, где то по функциям до и после эмулируемой, я вычислил 5: GetTickCount, GetProcAddress, ExitProcess, GetCommandLineA, GetModuleHandleA. Шестая не вызывается пока, работает всё и без неё. Думаю её будет легко узнать по примерам вызова (если кто знает - намекните): CALL DWORD PTR DS:[68416C]
и PUSH ESI
|
|
|
Создано: 25 марта 2008 11:27 · Личное сообщение · #19 ToBad CALL DWORD PTR DS:[68416C] TEST EAX,80000000 JB 0061782D - похоже на GetVersion... |
|
|
Создано: 25 марта 2008 13:54 · Поправил: ToBad · Личное сообщение · #20 s0cpy пишет: похоже на GetVersion Да, точно, гугл показал по поиску "GetVersion TEST EAX, 80000000" что это проверка на Win98. |
|
|
Создано: 25 марта 2008 18:43 · Личное сообщение · #21 Сегодня детально разобрался в работе скрипта и потренировался поделать это вручную. Действительно всё очень просто ! Так же посмотрел свои старые трейслоги... Блин всё перед носом было, а я выбрал самый гиморный и бесперспективный способ... Сейчас оглядываюсь назад на проделанную работу и думаю сколько времени убито зря и как я только такой бред выдумал... Стыдно мне... 
|
|
|
Создано: 25 марта 2008 23:16 · Личное сообщение · #22 оставалось 6 эмулируемых функций. Где то по передаваемым параметрам, где то по функциям до и после эмулируемой, я вычислил 5: GetTickCount, GetProcAddress, ExitProcess, GetCommandLineA, GetModuleHandleA. Уверен, что правильно вычислил ? Насчет GetProcAddress, GetVersion, GetCommandLineA - согласен. А вот насчет GetTickCount, ExitProcess, GetModuleHandleA - не уверен, что эти функции эмулируются |
|
|
Создано: 26 марта 2008 14:47 · Личное сообщение · #23 AlexVel пишет: А вот насчет GetTickCount, ExitProcess, GetModuleHandleA - не уверен, что эти функции эмулируются ExitProcess думаю точно, вот место: 0041826A 68 090400C0 PUSH C0000409
GetTickCount определил тут (конечно есть сомнения, но уже в двух снятых конвертах работает, да и это место недалеко от OEP): 004185EE 50 PUSH EAX
|
|
|
Создано: 26 марта 2008 21:56 · Поправил: Kiev78 · Личное сообщение · #24 --- |
|
|
Создано: 26 марта 2008 22:08 · Личное сообщение · #25 ГетТикКаунт гораздо больше похож на снятии большой энтропии для чего-нить типа сида для псевдорандома, ну да ладно. |
|
|
Создано: 26 марта 2008 22:24 · Поправил: Kiev78 · Личное сообщение · #26 --- |
|
|
Создано: 26 марта 2008 23:38 · Личное сообщение · #27 Kiev78 пишет: Ты точно ничего не путаешь? Конечно могу путать, но думаю конкретно в этом месте это не критично.
Насчёт двух записей одной функции мне тоже интересно узнать... |
|
|
Создано: 27 марта 2008 01:11 · Личное сообщение · #28 Kiev78 пишет: реальность наличия 2 записей в ИАТ (по адресам 538450 и 5384A0) для одной АПИ! Мне кажется, автор скорее всего ошибся, или может ошибаюсь я? Вполне реально. Delphi например может одну и туже апи и 10 и 20 раз в иат записать. Это всё из за модульности при проектировании и изъяны ООП. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 27 марта 2008 07:15 · Поправил: Kiev78 · Личное сообщение · #29 --- |
|
|
Создано: 27 марта 2008 10:09 · Поправил: AlexVel · Личное сообщение · #30 Delphi например может одну и туже апи и 10 и 20 раз в иат записать. Это всё из за модульности при проектировании и изъяны ООП. В данном случае не то что модуль один, так еще и функция одна: 004185EE 50 PUSH EAX 004185EF FF15 A8845300 CALL DWORD PTR DS:[5384A8] ; kernel32.GetSystemTimeAsFileTime 004185F5 8B75 FC MOV ESI,DWORD PTR SS:[EBP-4] 004185F8 3375 F8 XOR ESI,DWORD PTR SS:[EBP-8] 004185FB FF15 50845300 CALL DWORD PTR DS:[538450] ; kernel32.GetTickCount 00418601 33F0 XOR ESI,EAX 00418603 FF15 A4845300 CALL DWORD PTR DS:[5384A4] ; kernel32.GetCurrentThreadId 00418609 33F0 XOR ESI,EAX 0041860B FF15 A0845300 CALL DWORD PTR DS:[5384A0] ; kernel32.GetTickCount 00418611 33F0 XOR ESI,EAX 00418613 8D45 F0 LEA EAX,DWORD PTR SS:[EBP-10] 00418616 50 PUSH EAX 00418617 FF15 9C845300 CALL DWORD PTR DS:[53849C] ; kernel32.QueryPerformanceCounter Вывод: эмулируемая функция идентифицирована НЕ ПРАВИЛЬНО. Вообще-то в данном случае это без сомнения фунция GetCurrentProcessId Ну и ExitProcess соответственно тоже НЕ ПРАВИЛЬНО :
0041826A 68 090400C0 PUSH C0000409 0041826F FF15 8C845300 CALL DWORD PTR DS:[53848C] ; kernel32.ExitProcess 00418275 50 PUSH EAX 00418276 FF15 88845300 CALL DWORD PTR DS:[538488] ; kernel32.TerminateProcess 0041827C C9 LEAVE 0041827D C3 RETN Вместо ExitProcess д.б. некоторая функция, которая вернула -бы в EAX (т.к. видим последующий вызов TerminateProcess) HANDLE процесса. Думаю, что догадаться не просто, а очень просто |
| . 1 . 2 . >> |
|
eXeL@B —› Основной форум —› Снятие HASP HL Envelope. Есть ли скрипты для восстановления импорта ? |
Для печати