Eset Malware Researcher

Сейчас на форуме: -Sanchez- (+7 невидимых)

<< . 1 . 2 .

Посл.ответ	Сообщение
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 22 августа 2013 15:28 · Личное сообщение · #1 Вроде интересно, сам ковыряю в свободное время, застрял на 2-ом файле, ну не знаток я криминального чтива в оригинале нужен пинок или озарение. ссыль: http://www.joineset.com/researcher.html ----- [nice coder and reverser] \| Сообщение посчитали полезным: =TS=, neomant, Alinator3500

Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 22 августа 2013 22:59 · Личное сообщение · #2 ajax не большевата для иконки то? все таки подсказку нужно искать в сервере. а этот текст нормальное явление для студийных файлов? ----- [nice coder and reverser]
vden Ранг: 112.9 (ветеран), 186thx Активность: 0.09↘0.01 Статус: Участник	Создано: 23 августа 2013 11:23 · Личное сообщение · #3 Hellspawn пишет: а этот текст нормальное явление для студийных файлов? это строчки в base64, каждый байт похорен на 1 Code: ------------------------------------------------------ RURJVA== (EDIT) ------------------------------------------------------ dXNlcjMyLmRsbA== (user32.dll) ------------------------------------------------------ a2VybmVsMzIuZGxs (kernel32.dll) ------------------------------------------------------ XHVzZXJpbml0LmV4ZQ== (\userinit.exe) ------------------------------------------------------ ICAgICBUSEUgRU5ELg0KVGhlIG1vdmllIGlzIG92ZXIu THE END. The movie is over. ------------------------------------------------------ bG9jYWxob3N0 (localhost) ------------------------------------------------------ d2dldA== (wget) ------------------------------------------------------ UE9TVA== (POST) ------------------------------------------------------ aW5kZXgucGhw (index.php) ------------------------------------------------------ Q29udGVudC1UeXBlOmFwcGxpY2F0aW9uL3gtd3d3LWZvcm0tdXJsZW5jb2RlZA== (Content-Type:application/x-www-form-urlencoded) ------------------------------------------------------ a2V5PQ== (key=) ------------------------------------------------------ Ymx1cA== (blup) ------------------------------------------------------ d2luaW5ldC5kbGw= (wininet.dll) ------------------------------------------------------
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 23 августа 2013 12:15 · Личное сообщение · #4 vden как догадался, что ксор на 1? ещё строки нашел, там много их. Code: 004221E8 29 7D 61 4C 7E 50 4F 6F 25 72 75 50 28 4D 24 32 )}aL~POo%ruP(M$2 004221F8 4F 6A 43 76 2B 70 68 70 35 4D 55 34 77 4C 23 37 OjCv+php5MU4wL#7 00422208 5F 25 68 62 36 59 26 3D 4A 3A 2E 3A 7C 73 4F 42 _%hb6Y&=J:.:\|sOB сам нашел Code: 00407C14 803402 01 XOR BYTE PTR DS:[EDX+EAX],1 00407C18 8B15 88BA4200 MOV EDX,DWORD PTR DS:[42BA88] ;<EsetCrac.aStskw@Eyombklx> 00407C1E 803C02 2C CMP BYTE PTR DS:[EDX+EAX],2C 00407C22 75 0A JNZ SHORT EsetCrac.00407C2E 00407C24 C60402 00 MOV BYTE PTR DS:[EDX+EAX],0 00407C28 8B15 88BA4200 MOV EDX,DWORD PTR DS:[42BA88] ;<EsetCrac.aStskw@Eyombklx> ----- [nice coder and reverser]
ajax Ранг: 337.6 (мудрец), 224thx Активность: 0.21↘0.1 Статус: Участник born to be evil	Создано: 23 августа 2013 12:17 · Поправил: ajax · Личное сообщение · #5 Hellspawn видел и вчера пробовал как пасс по-разному. мож че недоглядел Code: UPX0:00407C14 xor byte ptr [edx+eax], 1 UPX0:00407C18 mov edx, dword_42BA88 UPX0:00407C1E loc_407C1E: UPX0:00407C1E cmp byte ptr [edx+eax], 2Ch RW бряк на память ----- От многой мудрости много скорби, и умножающий знание умножает печаль
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 23 августа 2013 12:33 · Личное сообщение · #6 хех, и это только начало... вообещем так, бряк сюда: Code: 00405F50 55 PUSH EBP 00405F51 8BEC MOV EBP,ESP 00405F53 81EC 14010000 SUB ESP,114 00405F59 A1 80124200 MOV EAX,DWORD PTR DS:[421280] 00405F5E 33C5 XOR EAX,EBP 00405F60 8945 FC MOV DWORD PTR SS:[EBP-4],EAX 00405F63 837D 0C 0D CMP DWORD PTR SS:[EBP+C],0D 00405F67 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8] 00405F6A 53 PUSH EBX 00405F6B 56 PUSH ESI 00405F6C 8B75 14 MOV ESI,DWORD PTR SS:[EBP+14] 00405F6F 57 PUSH EDI 00405F70 8985 ECFEFFFF MOV DWORD PTR SS:[EBP-114],EAX 00405F76 89B5 F0FEFFFF MOV DWORD PTR SS:[EBP-110],ESI 00405F7C 0F85 04010000 JNZ EsetCrac.00406086 00405F82 8B4D 10 MOV ECX,DWORD PTR SS:[EBP+10] 00405F85 56 PUSH ESI это обработчик эдитов, в первый вводим цитату про хрюшек. во второй чего угодно и вперед. дальше эта хрень сверяет хеши, потом запускает юзеринит, выделяет в нем память ну и т.д. хеш: Code: 004227EC 3F 93 0E 05 A6 44 6C F8 2D 47 40 21 C5 85 1F 19 ?....Dlш-G@!Е... пасс 16 символов или больше ----- [nice coder and reverser]
Oott Ранг: 106.9 (ветеран), 27thx Активность: 0.08↘0 Статус: Участник	Создано: 23 августа 2013 13:37 · Личное сообщение · #7 Hellspawn пишет: хеш: Code: 004227EC 3F 93 0E 05 A6 44 6C F8 2D 47 40 21 C5 85 1F 19 ?....Dlш-G@!Е... пасс 16 символов или больше Строка к хешу Code: Zed's dead, baby , но в результате этот ключ ни чего не дает =\
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 23 августа 2013 13:43 · Личное сообщение · #8 Oott брутил или реверснул? я чего-то поленился расшифровывать и попер дальше отлаживать шеллкод. з.ы. сам допер, она обратима код, который инжектиться в userinit коннектиться на localhost:8080 потом POST на index.php Code: 0068FF6C 0066064E ASCII "Content-Type:application/x-www-form-urlencoded" 0068FF70 FFFFFFFF 0068FF74 006606CE ASCII "key=52064331" и читает 64h байта, а ответ должен быть 5 байт... вообщем ничего интересного, опять дерагется функа для нашего ответа и на выходе должно быть Jules потом мессага фильм закончен и ещё один POST. все у меня ступор дальше ----- [nice coder and reverser]
neomant Ранг: 164.6 (ветеран), 65thx Активность: 0.12↘0 Статус: Участник Волшебник	Создано: 28 августа 2013 09:33 · Поправил: neomant · Личное сообщение · #9 Никто не разбирал динамический метод и шел в пасхалке? Вроде как ищется какое-то окно IE, возможно инжект и затем пайп-сервер возвращает правильный ответ. Ошибался, это не инжект. Окошко IE сверяется с покриптованной строкой. Однобайтовый ключ берётся от контрольной суммы оригинальных функций. Думаю, что это может быть ссылкой. Кому ещё это интересно вот полная ссылка из пасхалки http://www.joineset.com/download/bmV4dF9maWxl/cGEkJHdk.txt Догадываетесь к чему там ключик? Аха, тут ещё и Ява! ----- Следуй за белым кроликом
Dimarik5 Ранг: 8.3 (гость), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 16 октября 2013 15:57 · Личное сообщение · #10 Так в в итоге какой ключь к 1 Чеку если он там есть? А TMP файл как он использует? Или нет?
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 16 октября 2013 16:56 · Личное сообщение · #11 Dimarik5 1 чек - это что? ----- [nice coder and reverser]
Dimarik5 Ранг: 8.3 (гость), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 16 октября 2013 18:42 · Личное сообщение · #12 Чек-ключ. Или как там написано Stage 1: Stage 2:
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 16 октября 2013 18:48 · Личное сообщение · #13 Dimarik5 ну так в теме вся инфа есть, внимателньо прочитайте. ----- [nice coder and reverser]
Dimarik5 Ранг: 8.3 (гость), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 16 октября 2013 18:56 · Личное сообщение · #14 Crackme_2 Перед тем как вызывается DialogBox Программа запускает еще 2 потока.Один из потоков расшифровывает часть Дампа.После завершения вызывается DialogBox и меня в отладчике что то режет.Или Вызывается DialogBox. И все.Ступор Или я что то напутал?
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 16 октября 2013 19:16 · Личное сообщение · #15 Dimarik5 да вроде так, там важная часть еще до показа окна и после показа вторая половинка. neomant ты доковырял? что-то ума не приложу что делать с файликом с джавой ----- [nice coder and reverser]
Dimarik5 Ранг: 8.3 (гость), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 16 октября 2013 19:20 · Личное сообщение · #16 HellspawnА там его по ходу патчить не где не нужно?Как к примеру с Crack_me 1. Пытался следовать вашему совету вешать бряк на тот участок кода который был приведен выше. Но программа пролетает мимо него!)
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 16 октября 2013 19:23 · Личное сообщение · #17 Dimarik5 не нужно, там реверсить ток ставь железные, но рано ещё за такое браться. ----- [nice coder and reverser]
Dimarik5 Ранг: 8.3 (гость), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 16 октября 2013 21:07 · Личное сообщение · #18 Hellspawn Спасибо.Все ровно я нарыл кое что но Stage:1 не получилось пройти. На твой взгляд сложность первого и второго крекми. по 10 бальной шкале?
neomant Ранг: 164.6 (ветеран), 65thx Активность: 0.12↘0 Статус: Участник Волшебник	Создано: 16 октября 2013 21:49 · Поправил: neomant · Личное сообщение · #19 Hellspawn, там Java чистый, только запустить. Вот отчёт составлял для Есетов, как просили. e863_16.10.2013_EXELAB.rU.tgz - EsetCrackme2013_ru.docx ----- Следуй за белым кроликом
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 16 октября 2013 21:49 · Личное сообщение · #20 Dimarik5 наверное первое 1, а второе там составное, напихали разных очень тем, на 6-7 думаю. neomant какой-то сумбурный отчет, а чего на русском? некоторые моменты не были упомянуты. что значит чистая джава? чем его на исполнение открывать? я обычно джар только потрошил ----- [nice coder and reverser]
ajax Ранг: 337.6 (мудрец), 224thx Активность: 0.21↘0.1 Статус: Участник born to be evil	Создано: 16 октября 2013 22:02 · Личное сообщение · #21 neomant ай, молодец ----- От многой мудрости много скорби, и умножающий знание умножает печаль
neomant Ранг: 164.6 (ветеран), 65thx Активность: 0.12↘0 Статус: Участник Волшебник	Создано: 16 октября 2013 22:08 · Личное сообщение · #22 Hellspawn Да, согласен, ответ сумбурный и далеко не полный, но он больше шуточный, не было целью выдавать себя за соискателя. Да и на русском - лень было специально переводить, ребята и так поняли. Если имя файла Bible.class, запускаем java Bible. ----- Следуй за белым кроликом
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 16 октября 2013 23:02 · Личное сообщение · #23 neomant ясн если не мучиться с путями, то как-то так можно: java.exe -cp C:\DIR\ ClassName что аналогично java.exe -classpath C:\DIR\ ClassName з.ы. вообщем я разочарован, думал будет интереснее, да и тему с фильмом можно было бы лучше вплести. ----- [nice coder and reverser]
Ratinsh Ранг: 191.8 (ветеран), 46thx Активность: 0.17↘0 Статус: Участник	Создано: 18 октября 2013 01:13 · Личное сообщение · #24 На любителя http://compsciclub.ru/courses/cryptoprotocols http://compsciclub.ru/courses/codingtheory http://compsciclub.ru/courses http://www.youtube.com/watch?v=sHoh8i7Vp9o Вредоносное программное обеспечение-Malware \| Сообщение посчитали полезным: Dimarik5
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 06 января 2014 02:43 · Личное сообщение · #25 чейто разбор --> Link <--
deviance Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 10 января 2014 14:23 · Личное сообщение · #26 Я тоже пробовал: crackme, engine developer
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 10 января 2014 14:28 · Личное сообщение · #27 что ж вы там rc4 не угадали
deviance Ранг: 1.0 (гость) Активность: 0=0 Статус: Участник	Создано: 10 января 2014 14:34 · Личное сообщение · #28 reversecode, как говорится: "Было бы с чем сравнивать". Никогда раньше не видел RC4.
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 12 января 2014 17:10 · Поправил: Модератор · Личное сообщение · #29 Есчо один кряк чтоле ? Помню прошлый был не рабочим, а авторы отожгли напалмом, была выполнена модификация семпла для запуска на анубисе, он не работал(как и исходный материал), был отправлен аверам архив(с сурсами), а они придурки отписали что архив инфицирован/досвидания". У меня после этого желания есчо в их ... копаться нет.
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 03 марта 2015 18:59 · Личное сообщение · #30 http://joineset.com/jobs-analyst.html Send your analysis to: crackme2015@eset.com \| Сообщение посчитали полезным: neomant
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 13 октября 2015 18:33 · Личное сообщение · #31 вроде в тему --> Link <--

<< . 1 . 2 .

Для печати