 |
eXeL@B —› Основной форум —› Исследование Radmin 2.2 |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 06 декабря 2005 05:15 · Личное сообщение · #1 Решил я посмотреть, что это за зверь такой radmin. Скачал отсюда: www.radmin.com/download/radmin22.zip Прога явно запакована, однако peid пакеров не определил, если ставить бряки на CreateWindow, то вызов идет из кода, который находится в отдельной области памяти. OEP лежит на виду, антиотладки вроде нет никакой. Пытаюсь получить работоспособный дамп - пока не выходит 
Кто знает что это за пакер такой ? И чем он снимается ?  |
|
|
Создано: 06 декабря 2005 06:44 · Поправил: [HEX] · Личное сообщение · #2 fastlock  Прога абсолютна ничем не пакована.
Чистый MS VC++ 6.0 Так что не мучайтесь и не дампите оригинал 
Посмотрел по быстренькому... интересная система... участок кода отдельно в памяти болтается... каким образом он там оказался надо будет еще посмотреть =\ Если не ошибаюсь, то это что то типа прыжка на OEP: /*1401A18*/ PUSH ECX /*1401A19*/ CALL DWORD PTR DS:[<&KERNEL32.VirtualFree>] /*1401A1F*/ MOV EDX,DWORD PTR DS:[1412810] /*1401A25*/ ADD EDX,DWORD PTR SS:[EBP-128] /*1401A2B*/ MOV DWORD PTR SS:[EBP-48],EDX /*1401A2E*/ MOV EAX,DWORD PTR SS:[EBP-48] /*1401A31*/ JMP EAX //<-------- JMP OEP /*1401A33*/ MOV EAX,1 /*1401A38*/ POP EDI /*1401A39*/ POP ESI /*1401A3A*/ POP EBX /*1401A3B*/ MOV ESP,EBP /*1401A3D*/ POP EBP /*1401A3E*/ RETN 10 ----- Computer Security Laboratory |
|
|
Создано: 06 декабря 2005 07:57 · Личное сообщение · #3 Кстати ключи, которые в инете есть на эту версию афтар пофиксил хитро. Вводишь их в настройках - лицензия валидная, запускаешь виьювер -  .
Так что юзаю сервак от v2.2, а вьювер от v3.0 beta 
----- Get busy living or get busy dying © |
|
|
Создано: 06 декабря 2005 08:29 · Личное сообщение · #4 Getorix, дистрибутив, работающий с серийниками нужен? |
|
|
Создано: 06 декабря 2005 08:30 · Личное сообщение · #5 Gideon Vi Ну было бы неплохо, если есть возможность закинь куда-нибудь. ----- Get busy living or get busy dying © |
|
|
Создано: 06 декабря 2005 14:26 · Поправил: [HEX] · Личное сообщение · #6 Getorix Gideon Vi От дистриба яб конечно не отказался, но лучшеб подсказали че там нахуеверчено ;) Каким образом привести к нормальному виду?! Или только в памяти придется отлаживать =\ ?! ----- Computer Security Laboratory |
|
|
Создано: 06 декабря 2005 15:27 · Личное сообщение · #7 [HEX] Прога все-таки запакована. Участок который отдельно в памяти выделяется с помощью Virtual Alloc. Я там даже IAT нашел. Все таки, что это за пакер ? Кто-нибудь разобрался ? |
|
|
Создано: 06 декабря 2005 15:40 · Личное сообщение · #8 Собственно, вот http://rapidshare.de/files/2371653/Radmin_v2.2.zip.html . Залить возможности сейчас нет, так что личну с ру-борда. |
|
|
Создано: 06 декабря 2005 15:56 · Личное сообщение · #9 fastlock IAT я и сам нашел Стоя на OEP первой функцией идет GetVersion... она и указывает на IAT... начало и конец скролом не трудно определить.
И то что память выделяется с помощью Virtual Alloc это тоже прекрасно видел когда шел так сказать до ОЕП. Если и запакована, то своим хитрым методом, либо просто изврат сделали дабы усложнить жизнь взломщикам. ----- Computer Security Laboratory |
|
|
Создано: 07 декабря 2005 15:42 · Поправил: fastlock · Личное сообщение · #10 Пакер по-моему достаточно - простой OEP не прячет (1401A31 JMP EAX <-------- JMP OEP), ORIGINAL IAT не портит, неужели никто не вкурил как дамп снимается ? Автораспаковщики не срабатывают, это понятно, все таки не стандартный пакер, но ручками то должно быть просто. Я сам по ручной распаковке не спец, если ошибаюсь поправьте плиз. |
|
|
Создано: 07 декабря 2005 17:06 · Личное сообщение · #11 fastlock Ты исследуешь сервак или вьювер? ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 07 декабря 2005 17:18 · Личное сообщение · #12 ValdiS ТАм у самого Viewer'a эта фигня |
|
|
Создано: 07 декабря 2005 18:29 · Личное сообщение · #13 Стоя на ОЕП, снимаем дамп региона 00A10000-00BB3000, меняем расширение на ехе. Получилось Region00A10000-00BB3000.exe. Размер файла - 1716224 байт. В принципе - это и есть нужный нам распакованный файл, но...  У него поврежден заголовок, который надо, видимо, восстановить ручками. У кого какие идеи? 
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 08 декабря 2005 00:06 · Поправил: [HEX] · Личное сообщение · #14 ValdiS Угу... это я проделал, а дальше я встал Ждал умного совета более опытных людей... но видать пока все глухо =\
----- Computer Security Laboratory |
|
|
Создано: 08 декабря 2005 09:27 · Личное сообщение · #15 Всем Вопрос: есть ли проги, упрощающие процесс восстановления заголовков файлов, какие-нибудь автоанализаторы или что-то подобное? ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 08 декабря 2005 09:31 · Личное сообщение · #16 ValdiS пишет: У него поврежден заголовок, который надо, видимо, восстановить ручками А почему бы его не взять из самой проги? А в характеристике, галочку с длл снял? |
|
|
Создано: 08 декабря 2005 09:33 · Личное сообщение · #17 NIKOLA пишет: А почему бы его не взять из самой проги? В распакованной 5 секций, а в исходной 4. NIKOLA пишет: А в характеристике, галочку с длл снял? А вот тут чуть подробнее... Что за галочка? ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 08 декабря 2005 13:30 · Личное сообщение · #18 ValdiS пишет: Что за галочка? PE Editor > File Header > Characteristics |
|
|
Создано: 08 декабря 2005 15:11 · Поправил: fastlock · Личное сообщение · #19 ValdiS Я исследую вьювер (radmin.exe), но сервер там тем же пакером запакован, что и вьювер. Как там с ручной распаковкой дела ? |
|
|
Создано: 08 декабря 2005 16:43 · Личное сообщение · #20 NIKOLA пишет: PE Editor > File Header > Characteristics Сброшена и в исходном, и в распакованном файлах. fastlock Я тоже исследую вьювер. Дела - посмотрим... ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 09 декабря 2005 08:26 · Личное сообщение · #21 1) код берется из edita getdlgitemtexta 2) там скорей всего проверяется длина строки, если нормал то пишеться в regedit HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v1.01\ViewType 3) дальше ничего не делается 4) когда снова запускаешь она проверяет сериал из регедита он там шифрован 5) 009F5121 03 SHL EDX,3 009F5124 LEA ECX,DWORD PTR DS:[EDI+1] 009F5127 CALL 00A1ECC0 -----------> вот после этого кола сериал рассшифровывается в нормальный 009F512C LEA EAX,DWORD PTR SS:[EBP-3EC] 009F5132 LEA ESI,DWORD PTR DS:[EDI+85] 009F5138 PUSH EAX 009F5139 LEA EDX,DWORD PTR SS:[EBP+10] 009F513C MOV ECX,ESI 009F513E CALL 00A1A290 --------------------> здесь косяк, че делать don't know 009F5143 TEST EAX,EAX 009F5145 JE SHORT 009F51B7 |
|
|
Создано: 09 декабря 2005 13:33 · Личное сообщение · #22 Balthasar_magus пишет: здесь косяк, че делать don't know Что значит косяк? ----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 09 декабря 2005 13:47 · Личное сообщение · #23 009F513E CALL 00A1A290 через него проходишь и message получаешь (Don't know how to step becasuse memory at address 51EFAE7D is not readble. try to change EIP or pass exceptionto program) по F8 проходишь и все такой message получаешь, а по F7 до конца жизни застрянешь в loope |
|
|
Создано: 10 декабря 2005 02:46 · Личное сообщение · #24 Balthasar_magus Прога видимо 0хСС детектит в памяти когда ты call по F8 проходишь - старый трюк. Попробуй hardware breakpoint на execution поставить на команду после call. |
|
|
Создано: 11 декабря 2005 17:03 · Личное сообщение · #25 Нда, похоже, что с распаковкой этого пакера все обломались ... Кто что скажет насчет собственно защиты проги ? Какой алгоритм проверки ключа ? Лоадер реально сделать ? P.S. Вот нашел статью для создания лоадера для радмина 2.1: www.madalf.ru/cracks/cracks40.shtm |
|
|
Создано: 11 декабря 2005 17:14 · Личное сообщение · #26 fastlock Продолжаю исследование... Уже полученный файл открывается в ольке.  Надеюсь, что скоро будет результат.
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 11 декабря 2005 17:18 · Личное сообщение · #27 fastlock пишет: Прога видимо 0хСС детектит в памяти когда ты call по F8 проходишь - старый трюк. Неа. Я сам лично под айсом полчаса туда-сюда трейсил - интересовался . Не палит. Если конечно намеренно на следующую за коллом инструкцию бряк не поставить. |
|
|
Создано: 12 декабря 2005 01:27 · Поправил: [HEX] · Личное сообщение · #28 Мдя... а мне вот не интересен метод взлома, а больше интересен метод распаковки ихнего упаковщика. Но видать все забили на это
Поломаная же версия и так в нете есть. Поэтому конечный результат не так важен... ----- Computer Security Laboratory |
|
|
Создано: 14 декабря 2005 02:28 · Личное сообщение · #29 [HEX] пишет: Поломаная же версия и так в нете есть. Поэтому конечный результат не так важен... Попытался найти - все везде только ключи попертые лежат. Не мог бы ты дать ссылочку или название крека, очень любопытно посмотреть, как все таки это поломали. |
|
|
Создано: 14 декабря 2005 02:44 · Личное сообщение · #30 Кому нада сливайте Radmin v2.2 rapidshare.de/files/9131467/radmin22.rar.html |
| . 1 . 2 . >> |
|
eXeL@B —› Основной форум —› Исследование Radmin 2.2 |
Для печати