Сейчас на форуме: (+7 невидимых) |
![]() |
eXeL@B —› Протекторы —› SolidShield wrapper |
Посл.ответ | Сообщение |
|
Создано: 15 декабря 2009 20:44 · Поправил: daFix · Личное сообщение · #1 Ни кто не встречал туторов по распаковке этого враппера? Пока мельком глянул - до ЕР главного ЕХЕ подгружается DLL враппера, из неё извлекаются три файла в папку TEMP, один из которых Activation Wisard(он-же в последствии и запускается), в другом гранятся сведения о продукте, в третьем языковые ресурсы. В DLL враппера используется какая-то виртуалка. Соответственно ключей у меня нету ![]() Игра - Аватар ADDED: Блин, нашёл обсуждение на кряклабе тут, но там ничего так и не вышло ----- Research For Food ![]() |
|
Создано: 16 декабря 2009 20:09 · Личное сообщение · #2 |
|
Создано: 18 декабря 2009 23:01 · Поправил: V0ldemAr · Личное сообщение · #3 Лог исполнения ВМ кому интересно: Code:
А вот так выгладит уже отфильтрованый лог: Code:
На входе регистры мапятся на стек (pushad pushfd) и после чего достаются со стека и помещаются в регистры ВМ а выходе наоборот достают с регистров ВМ записевают в стек где потом вызывается popfd popad. Индексы регистов куда ВМ маппит реальные регистры разные для каждой функции. ![]() |
|
Создано: 19 декабря 2009 00:31 · Личное сообщение · #4 V0ldemAr пишет: На входе регистры мапятся на стек (pushad pushfd) и после чего достаются со стека и помещаются в регистры ВМ а выходе наоборот достают с регистров ВМ записевают в стек где потом вызывается popfd popad ...похоже,что это стандартный ход у многих ВМ. Мне интересно,насколько она тяжела/легка в разборе? ----- the Power of Reversing team ![]() |
|
Создано: 19 декабря 2009 00:40 · Личное сообщение · #5 |
|
Создано: 16 января 2010 19:18 · Личное сообщение · #6 |
|
Создано: 16 января 2010 20:27 · Личное сообщение · #7 ThugboyZ Боюсь что это не такой враппер, как у алавар и плдобных компаний. На самом деле это больше похоже на стар с онлайн активацией. Тоесть используется сильная VM(По утверждению людей, разбирающихся с виртуалках), которую так просто не распакуешь, не прикручишь сдампленную. А какой смысл распаковывать, если есть кейген? ----- Research For Food ![]() |
|
Создано: 17 января 2010 01:06 · Поправил: mak · Личное сообщение · #8 daFix что значит сильная вм ?! В чем сила ? В обфускации или в методах реализации эмуляции ? По документации солид шилд использует динамическую вм , динамика заключается в том что код превращается в серию переведенных виртуальных языков , при этом только один интерпретатор может воспроизвести этот байткод , в то время байткод , каждый вариант байткода будет определен уникальным рандомным словарем , который генерируется в токены , именно поэтой причине бесполезно разбирать эту вм и делать автоматические анализаторы. Как на самом деле я не знаю пока что ... но в любом случае , судя хотябы по посту V0ldemAr видно что подход нашли =) и как видно по посту ниже V0ldemAr пишет: Индексы регистов куда ВМ маппит реальные регистры разные для каждой функции. можно эксплуатировать сам контекст для атаки на вм ![]() Интересно что сказали спецы ... по этому поводу ![]() progopis Вариант из нового вмпротекта , в деобфускации даст разбросанный код Code:
И это еще не единственный вариант , вариантов полно как можно реализовать этот момент ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube ![]() |
|
Создано: 17 января 2010 09:50 · Личное сообщение · #9 Порядок регистров в контексте ВМ уже только ленивый не меняет, так что это достаточно древняя фиговина. Если регистров значительно больше, и их места меняются в контексте виртуальном, контекст для атаки на вм ты не заюзаешь. А так в принципе да, вм по определению штука похожая: кладутся регистры в свой контекст, обработчиками делаются операции над своим контекстом, достаются обратно. Ну ещё по вкусу морфятся как обработчики, так и исходный код, добавляются антидампы и проверки целостности. ![]() |
|
Создано: 17 января 2010 12:39 · Личное сообщение · #10 |
|
Создано: 17 января 2010 13:11 · Личное сообщение · #11 Archer ![]() ThugboyZ ничего она не сложная , смысл лишь в то что много времени уходит на анализ , или тупо лень , если бы я фанател только от программинга то разобрал бы быстро. А мне это толком и не надо ... просто хобби , а предложения сделанные разным людям по разбору вм сходилось к одному ![]() ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube ![]() |
|
Создано: 17 января 2010 15:25 · Поправил: V0ldemAr · Личное сообщение · #12 ThugboyZ Понятно что реверснули если ты не вкурсе то рлд стар3 разобрали с патрохами притом что там вм в кернеле исполняется. Насчет атаки на контекст это самая распространенная атака среди регистровых вм, стар секюром солидшилд все подвергаются. В солидшилде это сделать просто делаем хук на аллокацию контекста и далее по старинке пейдж гуард на контекст, минус того что не будет видно как солидшилд обращается к стэку, думаю со стэком тоже можно как-то разобраться если подсунуть свой указатель на стэк и конечно скопировать его. Далее что еще можно сделать чтобы адресс базы вм и контекста всегда были одинаковы при каждом запуске тогда различий в логе проктически не будет и можно легко сравнить что и как идет при проверке. ПС: Спрячьте тему для не зарегистрированных а то разрабы солида прочитают ))) ![]() |
|
Создано: 17 января 2010 16:16 · Личное сообщение · #13 Разрабы и так прочитают, так что лучше не писать что-то приватное. Дело в том, что при большом количестве регистров и отсуствии явных связей между реальными регистрами и виртуальными (читай, перемешивать в процессе работы) польза будет невелика. Либо придётся делать свой компилятор для трансляции в реальные регистры. Если же учесть возможность адресации памяти, когда контекст может и не затрагиваться, польза будет ещё меньше. И тут компилятор уже не поможет. Т.е. что-то и можно отслеживать таким способом, но для значительной части этого будет недостаточно. ![]() |
|
Создано: 17 января 2010 16:51 · Личное сообщение · #14 V0ldemAr пишет: Насчет атаки на контекст это самая распространенная атака среди регистровых вм Стэковых также ![]() Archer все реально ![]() Archer пишет: Разрабы и так прочитают, так что лучше не писать что-то приватное. А где еще обсуждать ?! В личке лень , на форуме нельзя .. тема обречена на поверхностное обсуждение. ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube ![]() |
|
Создано: 17 января 2010 21:26 · Поправил: ThugboyZ · Личное сообщение · #15 V0ldemAr пишет: ThugboyZ Понятно что реверснули если ты не вкурсе то рлд стар3 разобрали с патрохами притом что там вм в кернеле исполняется. знаю. они ещё тулзы свои выкладывали ("домашний" релиз был видать кто-то попросил). там и про вм есть и сффс. но не только ведь рлд же стар реверсили?вспомнить хотя бы русских тривиум. оленевода и так многие знают... ![]() |
|
Создано: 17 января 2010 21:51 · Личное сообщение · #16 ThugboyZ пишет: вспомнить хотя бы русских тривиум. оленевода и так многие знают... наши тоже работают щас над этим, и неплохо продвинулись, но все их наработки это приват, с одной стороны(разумной) пусть они там и будут, так безопасней, а с другой(человеческой) конечно хочется отхватить этот приват, но тогда все это дойдет до разрабов и могут они подкинуть новых проблем )) ----- Лучше быть одиноким, но свободным © $me ![]() |
|
Создано: 17 января 2010 22:12 · Личное сообщение · #17 BoRoV пишет: ThugboyZ пишет:вспомнить хотя бы русских тривиум. оленевода и так многие знают... наши тоже работают щас над этим, и неплохо продвинулись, но все их наработки это приват, с одной стороны(разумной) пусть они там и будут, так безопасней, а с другой(человеческой) конечно хочется отхватить этот приват, но тогда все это дойдет до разрабов и могут они подкинуть новых проблем )) думаю для узкого круга лиц можно выложить ![]() ![]() |
|
Создано: 17 января 2010 22:40 · Личное сообщение · #18 |
|
Создано: 17 января 2010 23:53 · Личное сообщение · #19 Если бы я имел общие представления о враппере, то наверное и не стал бы создавать темы. Хотя конечно интересно прочитать про методы борьбы с вируалкой, но приват пусть остаётся приватом. Archer пишет: Предлагаю держаться ближе к теме или вообще закрыть Наверное лучше закрыть. Всем спасибо, было очень интересно и познавательно ![]() ----- Research For Food ![]() |
![]() |
eXeL@B —› Протекторы —› SolidShield wrapper |
Эта тема закрыта. Ответы больше не принимаются. |