Сейчас на форуме: -Sanchez- (+7 невидимых)

 eXeL@B —› Основной форум —› Eset Malware Researcher
. 1 . 2 . >>
Посл.ответ Сообщение


Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 22 августа 2013 15:28
· Личное сообщение · #1

Вроде интересно, сам ковыряю в свободное время, застрял на 2-ом файле, ну не знаток я криминального чтива в оригинале нужен пинок или озарение.

ссыль: http://www.joineset.com/researcher.html

-----
[nice coder and reverser]

| Сообщение посчитали полезным: =TS=, neomant, Alinator3500


Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

 Создано: 22 августа 2013 16:27 · Поправил: reversecode
· Личное сообщение · #2

это конечно дикий оффтоп, но никогда не понимал компании которые ищут и нанимают только офигительных спецов с хорошими знаниями и умениями
тестируя претендетов и в хвост и в гриву,
но продукты у самих компаний ужасное г

| Сообщение посчитали полезным: theCollision


Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 22 августа 2013 16:30
· Личное сообщение · #3

reversecode хах) ну не совсем уж г но в целом верно)

-----
[nice coder and reverser]


Ранг: 529.0 (!), 110thx
Активность: 0.290.04
Статус: Участник
5KRT

 Создано: 22 августа 2013 16:55 · Поправил: daFix
· Личное сообщение · #4

Hellspawn
Что-то я второй бинарь не могу анпакнуть. OEP, импорт восстанавливаю, но получаю "Ошибка при инициализации приложения (0xc000007b)"

Всё, справился с этим

-----
Research For Food


Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 22 августа 2013 17:05
· Личное сообщение · #5

daFix я застопорился на втором файле, который в ресурсах, не могу его расшифровать.

-----
[nice coder and reverser]


Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

 Создано: 22 августа 2013 17:31
· Личное сообщение · #6

Hellspawn
битмап с "паролем" в 32 байта?

-----
От многой мудрости много скорби, и умножающий знание умножает печаль


Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 22 августа 2013 17:38
· Личное сообщение · #7

ajax там их 2 первый достать не проблема. второй сложнее, врядли там брут, скорее всего я не понимаю подсказку. ну и это конечно же не битмапы

-----
[nice coder and reverser]


Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

 Создано: 22 августа 2013 17:47
· Личное сообщение · #8

Hellspawn
один что-то через дотнет сервер, второй через malcho.dll, вроде так. в подсказки тоже не втыкаю

-----
От многой мудрости много скорби, и умножающий знание умножает печаль


Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 22 августа 2013 17:51
· Личное сообщение · #9

ajax я думаю, что первый дотнетовский файл, без второго скорее всего бесполезен. я в нем поковырялся, там опять пайп и отложил его пока, думаю как дернуть второй.

-----
[nice coder and reverser]


Ранг: 72.3 (постоянный), 133thx
Активность: 0.380
Статус: Участник

 Создано: 22 августа 2013 17:55 · Поправил: Dr0p
· Личное сообщение · #10

Инде в этом говнице покопался, пруф http://vx.security-portal.cz/showthread.php?tid=116

Есно кому нужно эту погань полностью ресерчить. Аверы ебанутые!



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

 Создано: 22 августа 2013 18:09
· Личное сообщение · #11

По-моему в секуроме интересней анекдоты читать
Code:
  1. Hidden part #1. Text picked from the following URL:
  2. * http://www.virusradar.com/en/Win32_Virut.E/description
  3. Hidden part #2. Text picked from the following URL:
  4. * http://www.virusradar.com/en/Win32_Ridnu.NAA/description
  5. Hidden part #3.
  6. Continue with the next ESET crackme here:
  7. http://www.joineset.com/download/bmV4dF9maWxl/crack_me_2.zip


Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 22 августа 2013 18:12
· Личное сообщение · #12

ELF_7719116 дальше трава стала забористее второй поинтереснее будет.

-----
[nice coder and reverser]

Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

 Создано: 22 августа 2013 18:21
· Личное сообщение · #13

Hellspawn
Уже в отладчике. Первичная информация: два файла(dll ?) должно быть в TEMP. Пароль к картинке (BMP) нужно подобрать? Еще какая-то MAHLO.DLL ...




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 22 августа 2013 18:23
· Личное сообщение · #14

ELF_7719116
файла 2, к первому пароль есть, ко второму 2 подсказки. длл-ка должна содержать 1 функу в экспорте и возвращать в EAX указатель на пароль ко второму файлу

подсказки:
base64: Um95YWxlIHdpdGggQ2hlZXNl // Royale with Cheese
message: Hamburgers. The cornerstone of any nutritious breakfast!
string: 00425FFC 4C 65 20 42 69 67 20 4D 61 63 Le Big Mac

а уже как только не пробывал, в каких вариациях. нужно 20 байт для декрипта.
з.ы. фразы из фильма - криминальное чтиво

Dr0p
давайте без флуда, только по теме

-----
[nice coder and reverser]


Ранг: 72.3 (постоянный), 133thx
Активность: 0.380
Статус: Участник

 Создано: 22 августа 2013 18:25 · Поправил: Dr0p
· Личное сообщение · #15

Hellspawn

Пошутить низя чтоле. Тема раскрыта уже имхо. У меня сей шлак не завёлся.



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

 Создано: 22 августа 2013 18:27 · Поправил: ELF_7719116
· Личное сообщение · #16

Pigs are filthy animals
I did it!




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 22 августа 2013 18:29
· Личное сообщение · #17

ELF_7719116 шутка актуальна http://www.youtube.com/watch?v=ZA_Tl1kvlQU

-----
[nice coder and reverser]


Ранг: 72.3 (постоянный), 133thx
Активность: 0.380
Статус: Участник

 Создано: 22 августа 2013 18:36
· Личное сообщение · #18

Во кста лодер с сабжем, мб кому надо.

b707_22.08.2013_EXELAB.rU.tgz - Eset.zip




Ранг: 529.0 (!), 110thx
Активность: 0.290.04
Статус: Участник
5KRT

 Создано: 22 августа 2013 18:44
· Личное сообщение · #19

ELF_7719116 пишет:
Pigs are filthy animals
Hellspawn пишет:
длл-ка должна содержать 1 функу в экспорте и возвращать в EAX указатель на пароль ко второму файлу

Не могу понять, MAHLO.DLL самому писать что-ли? Вроде всё перерыл, нету

-----
Research For Food


Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

 Создано: 22 августа 2013 18:48 · Поправил: ajax
· Личное сообщение · #20

daFix
ес-но
Hellspawn пишет:
нужно 20 байт для декрипта
UPX0:00404A3A mov ecx, 8
UPX0:00404A3F lea edi, [ebp+ThePassW]
UPX0:00404A47 rep movsd
8*4=32 ?

Flint
это необязательное условие. там вторая bmp с тем же aes-256, брутить килобайт даже на принтаблах, предположив http где-то внутри - жестко

-----
От многой мудрости много скорби, и умножающий знание умножает печаль


Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 22 августа 2013 19:32
· Личное сообщение · #21

Там вместо bmp pipe-сервер на дотнете (EASTER EGG PIPE SERVER IS READY!). Первый файл читает из пайпа, сервер пишет в пайп строку Royale with Cheese. Первый файл сравнивает строку с Le Big Mac.

Сервер обфусцирован Obfuscar v1.0 - v2.X (дедотом снимается) , для тех кто не расшифровал:

e751_22.08.2013_EXELAB.rU.tgz - EASTER EGG PIPE SERVER .exe

-----
Nulla aetas ad discendum sera


Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 22 августа 2013 20:04
· Личное сообщение · #22

ajax 0x20 конечно же)

Flint, нужен второй файлик

-----
[nice coder and reverser]


Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 22 августа 2013 20:37 · Поправил: Flint
· Личное сообщение · #23

А никого не смущает такой блок шифрованных данных второго файла?


Имхо, это вообще не aes шифрование, похоже на банальный ксор с ключем ñ‰hÀ™‚Ê«×Æ¿@Y

-----
Nulla aetas ad discendum sera

Ранг: 44.8 (посетитель), 19thx
Активность: 0.040
Статус: Участник

 Создано: 22 августа 2013 21:14
· Личное сообщение · #24

Все что делает программа это пишет в консоль и выходит. Нужно пропатчить что-то чтобы программа запустилась?

| Сообщение посчитали полезным: Dr0p


Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 22 августа 2013 21:17 · Поправил: Flint
· Личное сообщение · #25

Качайте сразу второе задание http://www.joineset.com/download/bmV4dF9maWxl/crack_me_2.zip

-----
Nulla aetas ad discendum sera


Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

 Создано: 22 августа 2013 21:22 · Поправил: ajax
· Личное сообщение · #26

Flint
думал уже над блоком этим. мб какие уязвимости специально сделаны. аес по сути и есть ксор
блоки по 16 байт берутся

Hellspawn
черт его знает. один массив продекриптил, ничего дельного. да, сам видишь - никак пароль из него не берется
Code:
  1. .Vincent_VegaWaitForConnection_Callback: Exception OperationCanceledExceptionA.CCE2AC65C-F447-470B-8561-EBEA96B8C5D8Another instance is already running.iexploreRoyale with Cheese{0}{1}Le Big Mac{0}{1}L_000000030L_000000031L_000000032L_000000150L_000000160L_000000470L_000000480L_000000420L_000000430L_000000440L_000000450L_000000460L_000000490L_0000004A0L_0000000D0L_0000000E0L_0000000F0L_000000100L_000000530L_000000540L_000000110L_000000120L_000000130L_000000260L_000000400L_000000410L_000000270L_000000280L_000000290L_0000002A0L_0000002B0L_0000002C0L_0000002D0L_0000002E0L_000000300L_000000310L_000000390L_0000003A0L_000000330L_000000350L_0000004B0L_0000004D0L_0000004F0L_000000170L_000000180L_0000001A0L_0000001B0L_000000000L_000000010L_000000020L_000000080L_000000090L_0000000A0L_0000001D0L_0000003D0L_0000001F0L_000000230L_000000240L_000000250L_000000210L_0000000B0L_0000000CFL_000000370L_0000003B0L_0000003CFL_0000003E0L_0000003FFL_00000041FL_00000046FL_000000510L_000000550L_00000056FL_000000570L_000000140L_000000580Invalid argumentpictureBox1.ImagepictureBox1$this.IconEasterEggFormEaster Egg

из фраз ничего не увидел полезного

-----
От многой мудрости много скорби, и умножающий знание умножает печаль


Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 22 августа 2013 21:27
· Личное сообщение · #27

ajax а дотненовский файлик, бесполезен чтоль? с трудом вериться. я все таки думаю, что пароль для второго файла фраза из фильма в base64 по аналогии с первой bmp..

пасхальный кролик... а можно картинку дернуть из дотнетовского файла.
внутри 2 картинки, кролик и яйцо http://rghost.ru/48301632

-----
[nice coder and reverser]


Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 22 августа 2013 22:32
· Личное сообщение · #28

нет в ней ничего


-----
Nulla aetas ad discendum sera


Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 22 августа 2013 22:42
· Личное сообщение · #29

Flint ещё одна есть с яйцом.



-----
[nice coder and reverser]


Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

 Создано: 22 августа 2013 22:57
· Личное сообщение · #30

если запустить дотнет сервер (exe), то как раз яйко будет иконкой проги, а кролик - на основной форме

-----
От многой мудрости много скорби, и умножающий знание умножает печаль
. 1 . 2 . >>
 eXeL@B —› Основной форум —› Eset Malware Researcher
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати