Вопрос знатокам кто сталкивался с TrusCont TSFD Protection Toolkit

Сейчас на форуме: (+9 невидимых)

<< . 1 . 2 .

Посл.ответ	Сообщение
unix3d Ранг: 3.5 (гость) Активность: 0=0 Статус: Участник	Создано: 27 марта 2013 18:49 · Личное сообщение · #1 TrusCont TSFD Protection Toolkit - комплекс для защиты программ против копирования внедряет свою библиотеку в exe фаил и гадит весь код Пытаюсь отучить программу от проверки с какого носителя она запускается, в оригинале она запускается только с USB накопителя. В программе используется алгоритм получения из реестра данных о подключенном USB устройстве. Проверка VID и PID и серийного номера , ключ программы генерируется относительно серийного номера и 2 дополнительных параметров введенных пользователем , эту проверку я обошёл. Так же в оригинальном USB накопители странная разметка флеш накопителя там по мимо FAT32 разметки есть не понятные разделы, при помощи Linux и команды dd был слит полный дамп с устройства, из дампа были выдернуты те самые разделы которые были нужны для полного клонирования флеш накопителя. Но тут меня ожидал очередной уровень защиты при запуске с клонированного устройства выдаётся окно с текстом вставте оригинальный USB из дезассемблема вызов идёт с Code: .itext:0082F6AC call eax в регистре eax хронится точка входа в библиотеку tcpm_exe_usb.dll и внутри этой библиотеки принимается решение о том верный ли USB носитель или нет. Если кто нибудь сталкивался с этим "пакером" поделитесь опытом как отвязать эту библиотеку или как обойти эту защиту

ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 28 марта 2013 22:29 · Личное сообщение · #2 SReg Дык в хаспе сессионное шифрование. А про то, что можно юзать NtQueryObject, чтоб получить имя по хэндлу - это хорошо, можно меньше хучить. ----- Stuck to the plan, always think that we would stand up, never ran.
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 29 марта 2013 00:56 · Личное сообщение · #3 Вот ещё немного подумал. Получается, что NtQueryObject не проканает. Т.е. проканает только частично для логгера. Когда мы будем делать эмулятор, он должен реализовывать работу с флешкой, которой на самом деле нет. Т.е. предположим, процедура проверки пытается получить доступ к устройству с буквой Z. Такого устройства нет, но благодаря эмулятору CreateFile вернёт некоторое значение хэндла, например, DEADCODE. CloseHandle будет успешно закрывать этот хэндл. А DeviceIoControl будет создавать видимость работы с ним. Так что не выйдет тут юзать NtQueryObject. ----- Stuck to the plan, always think that we would stand up, never ran.
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 29 марта 2013 17:26 · Личное сообщение · #4 Касаемо эмуляции: чет вы излишне усложняете. Не по фигу ли,в принципе, виртуальный диск будет или физический и тп и тд - всего-то нужно возвратить правильные данные в буфере и запхнуть в EAX единицу. Берем тот-же \.\C:, перехватываем CreateFile, DeviceIoControl, GetDriveType, CloseHandle(или низкоуровневые аналоги). У мну в SecuROMе это даже прокатывало, а тут толком даже анти-дебаг я не увидел. unix3d Вообще я бы посоветовал после входа в tcpm_exe_usb.dll Code: .itext:0082F6AC call eax <- вызов Dll tcpm_exe_usb.dll ставить memory breakpoint(OllyDbg: Alt+M->F2 на .text ,.itext) на кодовую секцию NormaF и смотреть куда и откуда(по стеку) управление передается из библиотеки(выделенной памяти) при правильной флешке. Если сработало и вы очутились в кодовой секции, ставьте теперь memory breakpoint в кодовую секцию tcpm_exe_usb.dll, ну а дальше по обстановке.
KingSise Ранг: 469.0 (мудрец), 100thx Активность: 0.25↘0 Статус: Участник [www.AHTeam.org]	Создано: 17 апреля 2013 19:20 · Личное сообщение · #5 может будет полезно: документация на русском: http://protectmedia.com.ua/soft/DVDR_Protection_Toolkit_RUS.pdf и вот еще интересная флэшка http://protectmedia.uaprom.net/p2886378-usb-flash-drive.html уже с защитой. ----- -=истина где-то рядом=-
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 17 апреля 2013 19:56 · Личное сообщение · #6 еврейская защита на странице http://protectmedia.com.ua/support.html внизу Code: Полезные материалы Kris Kaspersky (Крис Касперски) Техника защиты компакт-дисков от копирования Публикуемые материалы предоставлены здесь только для ознакомления, все права на них принадлежат их владельцам ... Программа для защиты дисков от копирования Скачать бесплатную программу для защиты дисков от копирования
Rainbow Ранг: 110.8 (ветеран), 104thx Активность: 0.09↘0.01 Статус: Участник	Создано: 17 апреля 2013 20:54 · Поправил: Rainbow · Личное сообщение · #7 ELF_7719116 пишет: еврейская защита на странице http://protectmedia.com.ua/support.html внизу Наука рушится в буквальном смысле слова. Попытаюсь предположить почему... Наверное потому что много евгеев, котогые хотят много денег ? )) Наука держится на таких людях как Крис. И кроме уважения и восхищения у меня данный человек ничего не вызыват. А технологий он подал в массы немало.. P.S. Извиняюсь за излишнюю эмоциональность, но это правда.
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 18 апреля 2013 13:56 · Личное сообщение · #8 Rainbow пишет: Наука держится на таких людях как Крис. Крис давно сбомжевался и сидит под дурью и незнает где реальность а где сон. ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. \| Сообщение посчитали полезным: reversecode
Rainbow Ранг: 110.8 (ветеран), 104thx Активность: 0.09↘0.01 Статус: Участник	Создано: 18 апреля 2013 16:26 · Личное сообщение · #9 ClockMan пишет: Крис давно сбомжевался и сидит под дурью и незнает где реальность а где сон. Хм.. Откуда инфа ?
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 18 апреля 2013 16:39 · Личное сообщение · #10 этого не знают разве что глухие, немые и слепые остальные все в курсе
Rainbow Ранг: 110.8 (ветеран), 104thx Активность: 0.09↘0.01 Статус: Участник	Создано: 18 апреля 2013 16:45 · Личное сообщение · #11 Ну на самом деле персонально не узнавал, а материалы изучал Человек толковый. Факт.
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 18 апреля 2013 16:48 · Поправил: reversecode · Личное сообщение · #12 кто толковый? купите себе аккаунт на rsdn, если бесплатно не можете зарегится)) и почитайте его тема про вагианальный массажер который он возит с собой и подружкой - очень примечательная да и вообще все его негритянки и прочий лол
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 18 апреля 2013 17:40 · Личное сообщение · #13 Rainbow пишет: Крис давно сбомжевался Вообще он Америке. Насчет "сбомжевался" - писал ему недавно, ответил. Не, ну если у них бомжи с ноутбуками ходят или под мостом с HP WorkStation сидят... Касаемо самого TSFD - ссылка внизу ведет к самому тулкиту(можно скачать бесплатно и без смс), там есть tsfd_publ_gui.exe, где Code: WPARAM __stdcall sub_5604B0(LPVOID a1) { WPARAM v2; // eax@1 WPARAM wParam; // [sp+0h] [bp-4h]@1 v2 = loc_40DEB0((char *)a1 + 203352, 268435498); wParam = v2; sub_404810(0x414u, v2, 0); return wParam; } ну неважно короче... Rainbow пишет: ELF_7719116 пишет: еврейская защита жыды делали и Крис там не при чем.
zeppe1in Ранг: 127.3 (ветеран), 44thx Активность: 0.09↘0 Статус: Участник	Создано: 03 июля 2013 01:22 · Личное сообщение · #14 Попалась такая флешка. После всех проверок в дллке восстанавливает код потом CreateThread с OEP. Дамп, импорт и привет. ----- zzz
ac86 Ранг: 12.1 (новичок), 1thx Активность: 0.01↗0.02 Статус: Участник	Создано: 14 января 2014 15:06 · Личное сообщение · #15 zeppe1in, подскажите, пожалуйста, чем можно сделать дамп, импорт, чтобы получился "привет"?
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 14 января 2014 17:19 · Личное сообщение · #16 ac86 Ва-а-а-тсон! Ну этож так элементарно - для ответа достаточно прочитать любую статью по распаковке для новичков (например тут http://exelab.ru/art/?action=view&id=206). При наличии флешки, Вам останется только правильно найти OEP(оригинальную точку входа).
ac86 Ранг: 12.1 (новичок), 1thx Активность: 0.01↗0.02 Статус: Участник	Создано: 15 января 2014 15:18 · Личное сообщение · #17 ELF_7719116, а может быть подскажите можно ли сделать просто клонирование флешки на аналогичную, чтобы приложение продолжало думать, что оно запускается с оригинальной флешки?
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 15 января 2014 17:15 · Личное сообщение · #18 ac86 Если Вы разработчик этой херни, то открою небольшой секрет - скорее всего, да! Хотя проще и быстрее, эмульнуть через DeviceIoControl + сразу захачить проверку сигнатур. Если Вы не разработчик, разбирайтесь дальше сами(если у Вас есть флешка).
ac86 Ранг: 12.1 (новичок), 1thx Активность: 0.01↗0.02 Статус: Участник	Создано: 16 января 2014 14:25 · Личное сообщение · #19 ELF_7719116, Может бы вы можете помочь в этом "простом" деле? Готов вознаградить труды.
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 16 января 2014 15:50 · Личное сообщение · #20 ac86 Так ничего внятного по теме и не увидел. В запросы.
drone Ранг: 85.4 (постоянный), 51thx Активность: 0.09↘0 Статус: Участник	Создано: 17 февраля 2014 15:59 · Поправил: drone · Личное сообщение · #21 Кто там барыжит курсами, дайте халявы. В личку.

<< . 1 . 2 .

Для печати