Сейчас на форуме: zds (+7 невидимых)

 eXeL@B —› Протекторы —› Securom crc
Посл.ответ Сообщение


Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

 Создано: 24 октября 2010 18:08 · Поправил: Nightshade
· Личное сообщение · #1

Недавно ради интереса снял с одного файла накрытого securom проверки крк
Кто-то их называет сплайсерами. Выглядят примерно так:
Code:
  1. 010FF2C3    83EC 18         SUB ESP,18
  2. 010FF2C6    C74424 14 8DC7A>MOV DWORD PTR SS:[ESP+14],9EA4C78D
  3. 010FF2CE    C74424 10 3A000>MOV DWORD PTR SS:[ESP+10],2003A
  4. 010FF2D6    894C24 0C       MOV DWORD PTR SS:[ESP+C],ECX
  5. 010FF2DA    B9 90F20F01     MOV ECX,010FF290
  6. 010FF2DF    897424 08       MOV DWORD PTR SS:[ESP+8],ESI
  7. 010FF2E3    894C24 14       MOV DWORD PTR SS:[ESP+14],ECX
  8. 010FF2E7    90              NOP
  9. 010FF2E8    33C9            XOR ECX,ECX
  10. 010FF2EA    8B7424 14       MOV ESI,DWORD PTR SS:[ESP+14]
  11. 010FF2EE    8B36            MOV ESI,DWORD PTR DS:[ESI]
  12. 010FF2F0    8D3F            LEA EDI,DWORD PTR DS:[EDI]
  13. 010FF2F2    33CE            XOR ECX,ESI
  14. 010FF2F4    834424 14 04    ADD DWORD PTR SS:[ESP+14],4
  15. 010FF2F9    90              NOP
  16. 010FF2FA    66:FF4C24 10    DEC WORD PTR SS:[ESP+10]
  17. 010FF2FF    8D00            LEA EAX,DWORD PTR DS:[EAX]
  18. 010FF301  ^ 75 E7           JNZ SHORT 010FF2EA
  19. 010FF303    81F9 7B020000   CMP ECX,27B
  20. 010FF309    7E 14           JLE SHORT 010FF31F

Но после этого приложение начинает при запуске создавать кучу тредов.
Соответственно есть еще проверки.
Может кто глянуть секур или сказать на что смотреть?
нашел пару алгосов вида
014BCAA4 0FB639 MOVZX EDI,BYTE PTR DS:[ECX]
014BCAA7 8BF0 MOV ESI,EAX
014BCAA9 C1EE 18 SHR ESI,18
014BCAAC 33F7 XOR ESI,EDI
014BCAAE C1E0 08 SHL EAX,8
014BCAB1 3304B5 D8D69F01 XOR EAX,DWORD PTR DS:[ESI*4+19FD6D8]
014BCAB8 41 INC ECX
014BCAB9 4A DEC EDX
014BCABA ^ 75 E8 JNZ SHORT 014BCAA4
и
0112B41A 0FB61407 MOVZX EDX,BYTE PTR DS:[EDI+EAX]
0112B41E 03D3 ADD EDX,EBX
0112B420 D1E2 SHL EDX,1
0112B422 40 INC EAX
0112B423 3BC1 CMP EAX,ECX
0112B425 8BDA MOV EBX,EDX
0112B427 ^ 72 F1 JB SHORT 0112B41A

но пока ничего с них не выжал

http://www.sendspace.com/file/j7tlu5



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

 Создано: 24 октября 2010 18:56
· Личное сообщение · #2

По поводу "сплайсеров". В v 7.40.x видел нечто подобное также. Считаются опеределенные контрольные суммы некоторых участков, но в процессе взлома, оно как-то не мешает и неактуально, стоят обычно в точке входа и после деталей от механизма проверки привода.

Code:
  1. 011D7B63    B8 1C7B1D01     MOV EAX,011D7B1C //начало зоны для проверки
  2. 011D7B68    C14C24 10 08    ROR DWORD PTR SS:[ESP+10],8 //готовим начальньное значение подсчеиа
  3. 011D7B6D    8D00            LEA EAX,[EAX] //мусор
  4. 011D7B6F    897424 04       MOV DWORD PTR SS:[ESP+4],ESI
  5. 011D7B73    C1E0 00         SHL EAX,0                   //мусор
  6. 011D7B76    8B30            MOV ESI,DWORD PTR DS:[EAX] //ложим след двойное слово //do
  7. 011D7B78    017424 10       ADD DWORD PTR SS:[ESP+10],ESI //складываем
  8. 011D7B7C    90              NOP
  9. 011D7B7D    83C0 04         ADD EAX,4 //двигаем процесс
  10. 011D7B80    66:FF4C24 0C    DEC WORD PTR SS:[ESP+0C] // \
  11. 011D7B85  ^ 75 EF           JNE SHORT 011D7B76                 // while(128 dword над прочитать)
  12.  
  13. 011D7B87    804C24 10 01    OR BYTE PTR SS:[ESP+10],01 //уменьшам на 1 байт
  14. 011D7B8C    816C24 10 33090 SUB DWORD PTR SS:[ESP+10],933 //вычитаем контрольную сумму, должен ноль получиться
  15. ...
  16. PUSHFD
  17. ...
  18. POPFD
  19. JE [IS_SOFTWARE_BREAKPOINTS_ABSENT]
  20.  
  21.  
 eXeL@B —› Протекторы —› Securom crc
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати