3-ий запакован AxProtector судя по строкам внутри.
если с первыми 2-мя можно написать свой вариант winbucm32.dll, то как распаковать 3-ю непонятно пока. Ключ пока не привезли - изучаю теорию. Кто снимал такое подскажите в какую сторону копать. Если есть человек с готовым эмулем х32/x64 или наработками по теме, то охотно рассмотрю предложения за $ т.к. сроки поджимают.
Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник
Создано: 10 февраля 2019 16:08 · Поправил: difexacaw · Личное сообщение · #2
ant0xa
> как распаковать 3-ю непонятно пока.
Тоесть есть протектор(axprotect"), мне например такой не известен, для которого нет анпакера.
В таком случае решение очевидно - работай с ним в динамике. Зачем вообще нужно распаковывать, если оно всё само анпак выполняет, иначе оно не может выполняться(если это не виртуальная машина, то напрямую происходит исполнение, нужно лишь получить эти события)
Подмени нужные данные в динамике. Это куда быстрее, чем тратить время на реверс какого то очередного пакера/криптора, тысячи их.
Добавлено спустя 40 минут Поискал я в гугле:
Code:
X++ SOURCE CODE PROTECTION AND SOFTWARE LICENSING IN MICROSOFT DYNAMICS AX
Нет. Это WIBU Codemeter ставит такую сигнатуру как я понял. В файле 7 секций - с __wibu00 по __wibu07. В сети пока только такое нашел - https://github.com/mrexodia/WibuDebugHook. Для дебега т.к. сопротивляется.
Доступ к донглу будет в ближайшее время. Кто копал - подскажите как лучше сдампить и с вызова каких API снять лог. Заинжектить с вой код в процесс знаний хватит, если конечно протектор не сопротивляется этому.
difexacaw пишет: Что бы разобрать прот, посмотреть как оно устроено Да на что там смотреть? Никакие системные сервисы не перехватываются, никакой прямой работы с ядром нет, даже никакие анклавы под визором не разрушаются. Тупо ключ из донгла получили, секцию расшифровали и jmp eax. Фу, блядь. Детское поделие просто какое-то
ant0xa Да, для начала попробовать самые простые варианты. Нередко все эти донглы на софте висят просто как пугало и отламываются без самих донглов и без дампов с эмулями.
Он писал что один из файлов под шелом. Если защита достаточно свежая, то не прокатит без донгла или эмуля. Если используется IXP то и просто дамп не прокатит. Вобщем, дерзайте. Дорогу осилит идущий. Главное донгл не запори (если FAC=1 или 5).
Да не только ;) там зоопарк методов. Они не сложные, но если пропустить случайно хоть один - ключ превращается в тыкву.
Добавлено спустя 3 минуты rmn IXP обеспечивает возможность динамического декода, выполнения и энкода отдельных функций. Последние версии обеспечивают виртуализацию части кода с "выносом" в ключ. Релиз, вроде как, перед НГ. Я эту фичу видел только на контесте, но там прошивка еще сырая была. Еще они работали над HFE (гомоморфным шифрованием) но не знаю зарелизили ли.
Добавлено спустя 18 минут Кстати, если вдруг кто будет бинарь смотреть - подскажите что это у них за компилятор такой? Структура блоков, прологи и эпилоги с какого-то не очень популярного компиля. (Я про то что под протектом, а не про протект, если что)
ant0xa Пара человек точно может его. Жди и они отпишутся тебе в личку в предложениями. Вообще, лучше сразу иди в коммерц. Все равно своей работы никакой.
ajax Нет, протект мне неинтересен. А под протектом софт точно не МС компилер. По крайней мере в предыдущих версиях был не МС. Спасибо. Посмотрел свежие версии и правда, похоже на МС теперь.
раньше, когда ватч был на вибу-кей, там было два слоя защиты. сейчас на кодеметере все также осталось или что-то добавили? и еще можно посмотреть остались ли в конверте вызовы вибу-кей.
----- ...или ты работаешь хорошо, или ты работаешь много...