 |
eXeL@B —› Основной форум —› Хитрая защита в KeyLog Reader 1.8.5.... |
| Посл.ответ | Сообщение |
|
|
Создано: 06 июня 2007 01:56 · Личное сообщение · #1 Ломаю KeyLog Reader 1.8.5, совсем замучался. Упакован Upack. Вот интересное место: PS______:00420A3F mov eax, [ebp-24h]
Тут из файла rg.dat вычитывается строка и сравнивается с кодом. Если одинаковы то в EDX адрес строки REGISTRED. Строчку в файл вложил, отладка идёт по правильному пути, но в заголовке программы в упор UNREGISTRED. Причём надпись эту более нигде не нахожу. Если кто то разбирался с этой программой (она была в запросах на взлом), подскажите в чём фишка защиты. Так же нерегистрированная не открывает логи. Логи пошифрованы. Прогу не взял ни один из распаковщиков. Либо я не так что то делал… Руками распаковать не могу… Помогите кто чем может. Программу брал тут: h..p://gorlov-soft.com/download/keylogreader.zip Так же в самом модуле кейлогера нашёл местечко где можно запатчить что бы логии не шифровались, но как это оформить не знаю. Распаковать Upack не могу, да и оверлей там прилеплен, лоадер похоже тоже не подойдет ибо программа пишет себя в автозагрузку.  |
|
|
Создано: 06 июня 2007 03:50 · Личное сообщение · #2 ToBad пишет: Распаковать Upack не могу а в чём проблема? |
|
|
Создано: 06 июня 2007 06:27 · Личное сообщение · #3 ToBad Для Upack есть автоматические распаковщики, от Loveboom и от apox. Также его берут и всякие generic. ----- Программист SkyNet |
|
|
Создано: 06 июня 2007 08:25 · Личное сообщение · #4 Попробуй aPE от ap0x он вроде умеет инлайнить upack ap0x.jezgra.net/aPE.public.version_0.1.2beta_release.rar |
|
|
Создано: 06 июня 2007 10:01 · Личное сообщение · #5 ToBad пишет: Распаковать Upack не могу Ну так в составе PE Explorer есть плагин для распаковки... |
|
|
Создано: 06 июня 2007 13:16 · Личное сообщение · #6 Upack можно снять Quick Unpack'ом... По крайней мере последнююю прогу я им снимал... Да, и ручками там вроде не особо сложно... esp-4 и по стандартной схеме... ----- Do Not Get Mad Get Money! ;) |
|
|
Создано: 06 июня 2007 19:27 · Личное сообщение · #7 Если это так прога, про которую я думаю, то, извините, сосут там и генерик, и статик анпакеры upack'a. И руками тоже там какая то херня получается. Я её пытался смотреть (из запросов), но все мои начинания разбились об этот простенький пакер. До оеп там по hr esp-4 доходится, а вот с импортом - трабл. Точнее он то востанавливается, да только не совсем правильно. Но это только если я не ошибся с прогой, т.к. это ToBad пишет: Программу брал тут: h..p://gorlov-soft.com/download/keylogreader.zip не качал... ----- Я ещё не волшебник, я только учусь... |
|
|
Создано: 06 июня 2007 20:53 · Личное сообщение · #8 Assass1n пишет: Если это так прога, про которую я думаю, то, извините, сосут там и генерик, и статик анпакеры upack'a. В таком случае можно сделать инлайн-патч. ----- Программист SkyNet |
|
|
Создано: 07 июня 2007 17:15 · Личное сообщение · #9 ToBad Да вроде обычный Upack, ничего с импортом тоже нету... просто не люблю VB а тут как раз такой случай. видимо есть проверки на распакованность: Например в оригинале на этом месте 0041D910 74 70 JE SHORT KeyLog_R.0041D982 будет прыжок! а вот в распакованном файле нет, пока нет времени разбираться что к чему! |
|
|
Создано: 09 июня 2007 13:58 · Личное сообщение · #10 Gideon Vi пишет: а в чём проблема? Проблема в том, что ручной распаковкой не владею. Ещё давно пошёл по пути написания лоадеров, и в 90% это помогает. Но не в этом. FrenFolio пишет: Для Upack есть автоматические распаковщики Что касается автоматической распаковки, по многие пробовал - работает криво или не работает вообще. Это конечно удивило. Vovan666 пишет: Попробуй aPE от ap0x он вроде умеет инлайнить upack Спасибо за интересный инструмент. У меня его не было. Очень пригодится. RSI пишет: видимо есть проверки на распакованность Да, конечно есть, но и трабла с импортом некоторых функций как я понял по сообщению Assass1n и по своим безуспешным попыткам распаковки - тоже присутствует. В общем делал я так: Автораспаковщиками получал не рабочую программу, её дизассемблил в иде. Далее ставил нужные бряки аттачился к процессу. Если нужен был бряк на место которое проскакивает до аттача, то загружал прогу лоадером в нужном месте ставя джамп на eip. Когда понял, что даже если я нарою то, что нужно, мне врядле удастся пойти методом лоадера, я принял решение искать алгоритм и писать конвертор логов в html формат. Это оптимальный вариант, а других ограничений кроме просмотра логов тут нет. Спасибо всем, кто помог мне в очередной раз ! Тему несколько дней не закрываю... |
|
|
Создано: 12 июня 2007 12:28 · Личное сообщение · #11 Нужен ещё распакованный эксешник ? |
|
|
Создано: 12 июня 2007 16:46 · Поправил: ToBad · Личное сообщение · #12 NIKOLA пишет: Нужен ещё распакованный эксешник ? Конечно нужен ! Спасибо ! |
|
|
Создано: 12 июня 2007 17:44 · Личное сообщение · #13 Название: KeyLog_Reader_u.rar Размер: 115.03 кб Доступен до: 2007-07-12 18:39:29 Ссылка для скачивания файла: hxxp://voivod.ifolder.ru/2323943 Проверку на распакованность убрал,но, на мой взгляд, не везде. Вот тебе константа: 33 D2 3D ?? ?? ?? ?? 0F 9F C2 F7 DA посмотри её конструкцию в не распакованном эксешнике, возможно нужно будет изменить её, для бинарного поиска. |
|
|
Создано: 12 июня 2007 19:40 · Личное сообщение · #14 NIKOLA пишет: Название: KeyLog_Reader_u.rar Размер: 115.03 кб Доступен до: 2007-07-12 18:39:29 Ссылка для скачивания файла: hxxp://voivod.ifolder.ru/2323943 Проверку на распакованность убрал,но, на мой взгляд, не везде. Вот тебе константа: 33 D2 3D ?? ?? ?? ?? 0F 9F C2 F7 DA посмотри её конструкцию в не распакованном эксешнике, возможно нужно будет изменить её, для бинарного поиска. Ок. Ещё раз огромное спасибо ! |
|
|
Создано: 16 июня 2007 20:40 · Личное сообщение · #15 ToBad пишет: Логи пошифрованы. Они и должны быть пошифрованы. Ты имел ввиду key.dat и clipboard.dat и т.д. ? Сегодня поковырялся вней, логи отображаются и сохраняются самой прогой в не зашифрованном виде. |
|
|
Создано: 17 июня 2007 11:02 · Поправил: ToBad · Личное сообщение · #16 NIKOLA пишет: Ты имел ввиду key.dat и clipboard.dat и т.д. ? Сегодня поковырялся вней, логи отображаются и сохраняются самой прогой в не зашифрованном виде. Да, в этих файлах живёт временная инфа. Когда происходит отсыл на мыло или ftp, файл ещё раз шифруется (если можно так сказать по XOR одним байтом), а исходный обнуляется. Алгоритм мне уже известен. Я тоже заставлял сохранять без шифровки, но вот проблема в том, что открытие этих логов (именно присланных), делается как то хитро и отображения не происходит. Постоянно анрегистред лезет.... Нужного места не нашёл, так что открываю конвертированные файлы браузером. Если интересно прилагаю лог. h..p://tobadko.narod.ru/1350400806C.log |
|
|
Создано: 17 июня 2007 11:23 · Личное сообщение · #17 Атача неМА. |
|
|
Создано: 18 июня 2007 00:07 · Личное сообщение · #18 NIKOLA пишет: Атача неМА. Переложил. |
|
|
Создано: 18 июня 2007 20:09 · Личное сообщение · #19 Ни хрена у меня не открывает логи эта хренатень, не могу врубиться, в чём проблема. |
|
|
Создано: 19 июня 2007 17:14 · Личное сообщение · #20 NIKOLA пишет: Ни хрена у меня не открывает логи эта хренатень, не могу врубиться, в чём проблема. Вот и я не понял. Прога хитро сделана. Момент отвечающий за открытие файла похож на демоверсию... Может это фишка такая - сюрприз для крякеров ? Демка с фейковой регистрацией ? А при оплате высылается полная версия ? |
|
|
Создано: 19 июня 2007 17:54 · Личное сообщение · #21 Х.з., надо посмотреть, что там при создании модуля делается, в свободное время погляжу, возможно фейковые данные ложатся для шифровки. |
|
|
Создано: 23 июня 2007 02:19 · Личное сообщение · #22 Извените конечно если не в тему но моно уже нормальную прогу скачать после ваших изменений или нет??? чтобы все логи расшифровывала нормально.... За рание благодарен... |
|
|
Создано: 23 июня 2007 06:08 · Личное сообщение · #23 Nerf Жди. |
|
|
Создано: 26 июня 2007 08:08 · Личное сообщение · #24 Конечно хороший ответ и я все понимаю но бывает за такими словами вечность движет..... |
|
eXeL@B —› Основной форум —› Хитрая защита в KeyLog Reader 1.8.5.... |
Для печати