Сейчас на форуме: (+5 невидимых) |
eXeL@B —› Протекторы —› Неизвестный протектор Leuco Shell |
Посл.ответ | Сообщение |
|
Создано: 19 июля 2018 18:21 · Поправил: developpb · Личное сообщение · #1 Занимался написанием сервера под одну корейскую игрушку, но вчера вышло обновление в котором игру запаковали неизвестным протектором, гуглил, но информации о нём крайне мало. Как я понял исполняемым файлом стал протектор, который из памяти подгружает модуль с самой игрой, но этот модуль скрывается (пробовал искать в PETools). Если делать дамп тем же PETools то он получается на *5мб (exe игры в чистом виде весил 9.5мб, а после упаковки стал 15мб) и если загрузить его в ida там нет ничего от самой игры. Собственно вопрос: как задампить эту игру, чтобы я мог работать с ней в ida? |
|
Создано: 19 июля 2018 18:49 · Поправил: VOLKOFF · Личное сообщение · #2 |
|
Создано: 19 июля 2018 19:28 · Личное сообщение · #3 |
|
Создано: 19 июля 2018 19:30 · Поправил: f13nd · Личное сообщение · #4 Code:
----- 2 оттенка серого | Сообщение посчитали полезным: developpb |
|
Создано: 19 июля 2018 20:34 · Поправил: VOLKOFF · Личное сообщение · #5 Про Volatility, достаточно доки почитать. А если попробовать подход попроще, можно одной консольной командой сдампить модули из памяти целевого процесса Code:
Полно hiddenmodule_ХХХ0000_xХХ.dll Дампятся валидные PE, бери и изучай | Сообщение посчитали полезным: developpb |
|
Создано: 19 июля 2018 20:40 · Поправил: difexacaw · Личное сообщение · #6 > _hiddenmodule Фишка в том, что системный загрузчик использует ядерный сервис для сравнения проекций, поэтому штатная загрузка копии невозможна, это значит что это не просто релоцированные копии, а если и так, то использован загрузчик из памяти. Нужно снимать сервисный лог, иначе ничего не получится. ----- vx |
|
Создано: 19 июля 2018 20:48 · Личное сообщение · #7 |
|
Создано: 19 июля 2018 20:55 · Поправил: difexacaw · Личное сообщение · #8 f13nd Очень познавательно, но по делу есть варианта два. Либо реверсить вручную, что тс сделать врядле сможет, либо посмотреть что там оно делает последовательно по каждому сервису. Иного варианта я не вижу, я бы выбрал второй вариант, что бы не тратить время. Это очень просто сделать, сервисы вызываются всегда через call, так что адрес возврата в пределы проекции всегда имеется и так можно отфильтровать например отладчиком, ну или иначе, кому что удобно. ----- vx |
|
Создано: 19 июля 2018 20:56 · Поправил: f13nd · Личное сообщение · #9 difexacaw пишет: Либо реверсить вручную, что тс сделать врядле сможет, либо посмотреть что там оно делает последовательно по каждому сервису. Внимательно пост перечитай, касательно задачи, что надо сделать. ЗЫ: касательно можества-неможества очень смешно. Я еще пока не видел ни разу, чтоб ты что-то мог. ----- 2 оттенка серого |
|
Создано: 19 июля 2018 21:03 · Личное сообщение · #10 difexacaw пишет: Нужно снимать сервисный лог, иначе ничего не получится Нужно почитать доки Volatility и успокоиться Ничего лучше для исследования в подобных случаях еще не придумали. Поскольку снапшот системы содержит полный набор валидных адресов на момент снятия... ну дальше надеюсь понятно. Как я сразу написал это самое правильное решение, однако не всегда нужно включать педанта и быть адептом бескомпромиссных канонических решений, если pd нормально справится, нафега по воробьям из пушки-то? |
|
Создано: 19 июля 2018 21:03 · Поправил: developpb · Личное сообщение · #11 |
|
Создано: 19 июля 2018 21:38 · Поправил: VOLKOFF · Личное сообщение · #12 developpb пишет: сдампил и нашёл модуль с игрой О чем я и говорил В идеале тебе надо будет еще дамп пофиксить, в иду он загрузится итак без проблем, так что можешь Ну это конечно если тебе запускаемый exe нужен будет (я хз как там игра твоя устроена), иначе не парься. |
|
Создано: 19 июля 2018 21:46 · Поправил: developpb · Личное сообщение · #13 VOLKOFF пишет: В идеале тебе надо будет еще дамп пофиксить, в иду он загрузится итак без проблем, так что можешь прямо из нее, ну или любой другой тулзой для фикса дампов. Ну это конечно если тебе запускаемый exe нужен будет (я хз как там игра твоя устроена), иначе не парься. Спасибо большое за помощь! Да я как раз хотел узнать чем его можно пофиксить) |
|
Создано: 19 июля 2018 22:21 · Личное сообщение · #14 developpb пишет: Спасибо большое за помощь! Да я как раз хотел узнать чем его можно пофиксить) Не забудь снять сервисный лог и загнать все это в визор!!11 (а то ничего не получицо) ----- В облачке многоточия | Сообщение посчитали полезным: f13nd |
|
Создано: 20 июля 2018 00:44 · Личное сообщение · #15 |
|
Создано: 20 июля 2018 01:16 · Поправил: developpb · Личное сообщение · #16 |
|
Создано: 20 июля 2018 05:21 · Личное сообщение · #17 developpb пишет: простой способ пофиксить дамп, желательно пошагово? Пошагово: 1. Идешь 2. Внимательно читаешь шапку 3. Пишешь пост ибо проделанной работы никакой, а в запросах могут завернуть т.к. клиент игры. Не забудь упомянуть, что твой "неизвестный протектор Leuco Shell" это всего лишь Cryptect. Его с плугом можно даже под дебагером норм смотреть. Дампить можно не рандомно, а подсмотреть через VirtualAlloc куда он распаковывает оригинальный PE. Образ тоже без особых проблем фиксится потом (~10Мб). Перед этим я бы убедился, что к твоим пакетам не добавили шифрование, или новый формат. Как-то так. В лс писать тоже не надо, не люблю я эти читерские дела, нужно, приложи хоть минимум усилий для "написания сервера" Добра и удач! |
|
Создано: 20 июля 2018 11:03 · Поправил: developpb · Личное сообщение · #18 VOLKOFF пишет: 1. Идешь сюда Такой вариант мне не подходит, так как клиент игры обновляется каждую неделю. VOLKOFF пишет: Не забудь упомянуть, что твой "неизвестный протектор Leuco Shell" это всего лишь Cryptect. Вполне возможно, но название сути не меняет VOLKOFF пишет: приложи хоть минимум усилий Пытался по мере своих знаний. Поэтому сюда и написал) Просто может кто-то напишет готовый гайд как его фиксить, я хоть и не особо шарю в реверсинге, но повторить смогу. В любом случае буду дальше разбираться. |
|
Создано: 20 июля 2018 11:08 · Поправил: f13nd · Личное сообщение · #19 |
eXeL@B —› Протекторы —› Неизвестный протектор Leuco Shell |