Сейчас на форуме: (+5 невидимых)

 eXeL@B —› Протекторы —› AxProtector от WIBU и CmStick/C
Посл.ответ Сообщение

Ранг: 2.5 (гость)
Активность: 0=0
Статус: Участник

Создано: 09 февраля 2019 21:21
· Личное сообщение · #1

Есть софт защищённый этим. USB ключ есть в наличии
3 exe файла. В 2-х из них в импорте winbucm32.dll.
№1:
1 CmAccess
100 CmAccess2
108 CmGetRemoteContextBuffer
124 CmExecuteRemoteUpdate
126 CmCrypt2
130 CmGetBoxContents2
28 CmCrypt
29 CmCryptEcies
48 CmGetBoxes
50 CmGetInfo
52 CmGetLastErrorCode
70 CmGetVersion
76 CmRelease

№2
1 CmAccess
100 CmAccess2
108 CmGetRemoteContextBuffer
126 CmCrypt2
130 CmGetBoxContents2
28 CmCrypt
29 CmCryptEcies
50 CmGetInfo
52 CmGetLastErrorCode
70 CmGetVersion
76 CmRelease

3-ий запакован AxProtector судя по строкам внутри.

если с первыми 2-мя можно написать свой вариант winbucm32.dll, то как распаковать 3-ю непонятно пока.
Ключ пока не привезли - изучаю теорию. Кто снимал такое подскажите в какую сторону копать. Если есть человек с готовым эмулем х32/x64 или наработками по теме, то охотно рассмотрю предложения за $ т.к. сроки поджимают.




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 10 февраля 2019 16:08 · Поправил: difexacaw
· Личное сообщение · #2

ant0xa

> как распаковать 3-ю непонятно пока.

Тоесть есть протектор(axprotect"), мне например такой не известен, для которого нет анпакера.

В таком случае решение очевидно - работай с ним в динамике. Зачем вообще нужно распаковывать, если оно всё само анпак выполняет, иначе оно не может выполняться(если это не виртуальная машина, то напрямую происходит исполнение, нужно лишь получить эти события)

Подмени нужные данные в динамике. Это куда быстрее, чем тратить время на реверс какого то очередного пакера/криптора, тысячи их.

Добавлено спустя 40 минут
Поискал я в гугле:

Code:
  1. X++ SOURCE CODE PROTECTION AND SOFTWARE LICENSING IN MICROSOFT DYNAMICS AX
.

Какое отношение к этому имеет мс не понятно.

У них есть ресурс --> Link <--

Я не нашёл где там что то скачать.

-----
vx




Ранг: 2.5 (гость)
Активность: 0=0
Статус: Участник

Создано: 10 февраля 2019 20:31
· Личное сообщение · #3

Нет. Это WIBU Codemeter ставит такую сигнатуру как я понял. В файле 7 секций - с __wibu00 по __wibu07.
В сети пока только такое нашел - https://github.com/mrexodia/WibuDebugHook. Для дебега т.к. сопротивляется.




Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

Создано: 10 февраля 2019 20:56
· Личное сообщение · #4

Старая версия - AxProtectorInstaller-full-v8.10.854.500
--> Link <--
Сайт - --> Link <--

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube





Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 10 февраля 2019 23:07
· Личное сообщение · #5

mak

Оно устанавливается, но не ясно как обработать семпл этой поделкой. Там нет кнопок, вроде бы есть некая консольная командная система:

Code:
  1. Specification=AxProtector Command File
  2. Version=6.30
  3.  
  4. [Commandline]
  5. -x
  6. -kwk
  7. -f10 -p12
  8. ...


-----
vx




Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 10 февраля 2019 23:13
· Личное сообщение · #6

В DevKit есть гуй через который можно все настроить. Защита там на 4 из 5.
Хотя в последних версиях ближе к 5 из 5.

-----
старый пень





Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 10 февраля 2019 23:17
· Личное сообщение · #7

r_e

Пусть тс даст семпл что бы запустить на анализ.

-----
vx




Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 10 февраля 2019 23:22
· Личное сообщение · #8

Семпл без ключа не имеет смысла. Там по сути все сводится к AES, ключ к которому получается через железяку.

-----
старый пень





Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 10 февраля 2019 23:30
· Личное сообщение · #9

r_e

Судя по опциям это можно выключить, а значит запустить локально. Что бы разобрать прот, посмотреть как оно устроено.

-----
vx




Ранг: 2.5 (гость)
Активность: 0=0
Статус: Участник

Создано: 11 февраля 2019 14:07
· Личное сообщение · #10

Доступ к донглу будет в ближайшее время. Кто копал - подскажите как лучше сдампить и с вызова каких API снять лог. Заинжектить с вой код в процесс знаний хватит, если конечно протектор не сопротивляется этому.



Ранг: 158.4 (ветеран), 123thx
Активность: 0.140.49
Статус: Участник

Создано: 11 февраля 2019 14:27
· Личное сообщение · #11

difexacaw пишет:
Что бы разобрать прот, посмотреть как оно устроено

Да на что там смотреть? Никакие системные сервисы не перехватываются, никакой прямой работы с ядром нет, даже никакие анклавы под визором не разрушаются. Тупо ключ из донгла получили, секцию расшифровали и jmp eax. Фу, блядь. Детское поделие просто какое-то

| Сообщение посчитали полезным: difexacaw

Ранг: 2.5 (гость)
Активность: 0=0
Статус: Участник

Создано: 11 февраля 2019 15:29
· Личное сообщение · #12

rmn
т.е. просто пройтись дебагером да сдампить ?. Как ключ дадут - попробую и отпишу.



Ранг: 158.4 (ветеран), 123thx
Активность: 0.140.49
Статус: Участник

Создано: 11 февраля 2019 15:32
· Личное сообщение · #13

ant0xa
Да, для начала попробовать самые простые варианты. Нередко все эти донглы на софте висят просто как пугало и отламываются без самих донглов и без дампов с эмулями.



Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 11 февраля 2019 16:20
· Личное сообщение · #14

Он писал что один из файлов под шелом. Если защита достаточно свежая, то не прокатит без донгла или эмуля.
Если используется IXP то и просто дамп не прокатит. Вобщем, дерзайте. Дорогу осилит идущий. Главное донгл не запори (если FAC=1 или 5).

-----
старый пень


| Сообщение посчитали полезным: ajax

Ранг: 158.4 (ветеран), 123thx
Активность: 0.140.49
Статус: Участник

Создано: 11 февраля 2019 16:41
· Личное сообщение · #15

r_e пишет:
Он писал что один из файлов под шелом

Так, может, протом там накрыто что-то типа:
Code:
  1. BOOL IsValidLicense (const char* licenseKey)
  2. {
  3.     if (...)
  4.         return TRUE;
  5.  
  6.     return FALSE;
  7. }

Тогда и снимать ничего не нужно, просто повычищать из импортов эти либы и пропатчить вызовы.




Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

Создано: 11 февраля 2019 16:42 · Поправил: ajax
· Личное сообщение · #16

r_e
запарываются они хорошо. даже от процесса/дебаггера вижуал студии, как говорили
rmn
блажен, кто верует - тепло тому на свете (c) ...

-----
От многой мудрости много скорби, и умножающий знание умножает печаль




Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 11 февраля 2019 18:46
· Личное сообщение · #17

Да не только ;) там зоопарк методов. Они не сложные, но если пропустить случайно хоть один - ключ превращается в тыкву.

Добавлено спустя 3 минуты
rmn
IXP обеспечивает возможность динамического декода, выполнения и энкода отдельных функций.
Последние версии обеспечивают виртуализацию части кода с "выносом" в ключ. Релиз, вроде как, перед НГ. Я эту фичу видел только на контесте, но там прошивка еще сырая была.
Еще они работали над HFE (гомоморфным шифрованием) но не знаю зарелизили ли.

-----
старый пень




Ранг: 158.4 (ветеран), 123thx
Активность: 0.140.49
Статус: Участник

Создано: 11 февраля 2019 19:14
· Личное сообщение · #18

r_e
Дело не в том, какие фичи предоставляет донгл, а как этими фичами пользуются девелоперы. Впрочем, может это только мне такой говнософт попадается




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 11 февраля 2019 19:25
· Личное сообщение · #19

Короче семпла нет, работы тс нет(давно бы это отладчиком открыл, если бы мог). Штатно в запросы, там разберутся.

-----
vx




Ранг: 2.5 (гость)
Активность: 0=0
Статус: Участник

Создано: 12 февраля 2019 12:32 · Поправил: ant0xa
· Личное сообщение · #20

Сэмпл
https://www.sendspace.com/file/3ynrni

rmn
Как гарантировано не запороть донгл ?Или хотябы проверить возможно ли такое во время исследования. Версия codemeter - 6.10a.



Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 12 февраля 2019 12:47
· Личное сообщение · #21

ant0xa
Watchout? бгг. Удачи ) Достойный таргет.

Добавлено спустя 18 минут
Кстати, если вдруг кто будет бинарь смотреть - подскажите что это у них за компилятор такой?
Структура блоков, прологи и эпилоги с какого-то не очень популярного компиля.
(Я про то что под протектом, а не про протект, если что)

-----
старый пень




Ранг: 2.5 (гость)
Активность: 0=0
Статус: Участник

Создано: 12 февраля 2019 13:05
· Личное сообщение · #22

r_e
Совсем снимать задачи нет. Устроил бы и эмулятор. А так - слишком заморочено и лучше не браться ?



Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 12 февраля 2019 13:08
· Личное сообщение · #23

ant0xa
Пара человек точно может его. Жди и они отпишутся тебе в личку в предложениями. Вообще, лучше сразу иди в коммерц. Все равно своей работы никакой.

-----
старый пень





Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

Создано: 12 февраля 2019 13:14
· Личное сообщение · #24

r_e
VC 100%, предположительно 2013

-----
От многой мудрости много скорби, и умножающий знание умножает печаль




Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 12 февраля 2019 13:27
· Личное сообщение · #25

ajax
Нет, протект мне неинтересен. А под протектом софт точно не МС компилер.
По крайней мере в предыдущих версиях был не МС.

Спасибо. Посмотрел свежие версии и правда, похоже на МС теперь.

-----
старый пень




Ранг: 397.0 (мудрец), 179thx
Активность: 0.170.1
Статус: Участник

Создано: 12 февраля 2019 18:20 · Поправил: BfoX
· Личное сообщение · #26

раньше, когда ватч был на вибу-кей, там было два слоя защиты. сейчас на кодеметере все также осталось или что-то добавили? и еще можно посмотреть остались ли в конверте вызовы вибу-кей.

-----
...или ты работаешь хорошо, или ты работаешь много...




Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 12 февраля 2019 20:37
· Личное сообщение · #27

Там все так же но добавили IXP вызовы (с пяток криптанутых функций).

-----
старый пень




Ранг: 2.5 (гость)
Активность: 0=0
Статус: Участник

Создано: 15 февраля 2019 09:10
· Личное сообщение · #28

В общем решил сам не заниматься. С коммерческого тоже никто не отписал.



Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 15 февраля 2019 10:02
· Личное сообщение · #29

Может ты просто пожадничал? На этом, пожалуй, и закончим.

-----
старый пень



 eXeL@B —› Протекторы —› AxProtector от WIBU и CmStick/C
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати