Есть софт защищённый этим. USB ключ есть в наличии
3 exe файла. В 2-х из них в импорте winbucm32.dll.
№1:
1 CmAccess
100 CmAccess2
108 CmGetRemoteContextBuffer
124 CmExecuteRemoteUpdate
126 CmCrypt2
130 CmGetBoxContents2
28 CmCrypt
29 CmCryptEcies
48 CmGetBoxes
50 CmGetInfo
52 CmGetLastErrorCode
70 CmGetVersion
76 CmRelease

№2
1 CmAccess
100 CmAccess2
108 CmGetRemoteContextBuffer
126 CmCrypt2
130 CmGetBoxContents2
28 CmCrypt
29 CmCryptEcies
50 CmGetInfo
52 CmGetLastErrorCode
70 CmGetVersion
76 CmRelease

3-ий запакован AxProtector судя по строкам внутри.

если с первыми 2-мя можно написать свой вариант winbucm32.dll, то как распаковать 3-ю непонятно пока.
Ключ пока не привезли - изучаю теорию. Кто снимал такое подскажите в какую сторону копать. Если есть человек с готовым эмулем х32/x64 или наработками по теме, то охотно рассмотрю предложения за $ т.к. сроки поджимают.

| Сообщение посчитали полезным:

ant0xa

> как распаковать 3-ю непонятно пока.

Тоесть есть протектор(axprotect"), мне например такой не известен, для которого нет анпакера.

В таком случае решение очевидно - работай с ним в динамике. Зачем вообще нужно распаковывать, если оно всё само анпак выполняет, иначе оно не может выполняться(если это не виртуальная машина, то напрямую происходит исполнение, нужно лишь получить эти события)

Подмени нужные данные в динамике. Это куда быстрее, чем тратить время на реверс какого то очередного пакера/криптора, тысячи их.

Добавлено спустя 40 минут
Поискал я в гугле:

.

Какое отношение к этому имеет мс не понятно.

У них есть ресурс --> Link <--

Я не нашёл где там что то скачать.

-----
vx

| Сообщение посчитали полезным:

Нет. Это WIBU Codemeter ставит такую сигнатуру как я понял. В файле 7 секций - с __wibu00 по __wibu07.
В сети пока только такое нашел - https://github.com/mrexodia/WibuDebugHook. Для дебега т.к. сопротивляется.

| Сообщение посчитали полезным:

Старая версия - AxProtectorInstaller-full-v8.10.854.500
--> Link <--
Сайт - --> Link <--

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak

Оно устанавливается, но не ясно как обработать семпл этой поделкой. Там нет кнопок, вроде бы есть некая консольная командная система:



-----
vx

| Сообщение посчитали полезным:

В DevKit есть гуй через который можно все настроить. Защита там на 4 из 5.
Хотя в последних версиях ближе к 5 из 5.

-----
старый пень

| Сообщение посчитали полезным:

r_e

Пусть тс даст семпл что бы запустить на анализ.

-----
vx

| Сообщение посчитали полезным:

Семпл без ключа не имеет смысла. Там по сути все сводится к AES, ключ к которому получается через железяку.

-----
старый пень

| Сообщение посчитали полезным:

r_e

Судя по опциям это можно выключить, а значит запустить локально. Что бы разобрать прот, посмотреть как оно устроено.

-----
vx

| Сообщение посчитали полезным:

Доступ к донглу будет в ближайшее время. Кто копал - подскажите как лучше сдампить и с вызова каких API снять лог. Заинжектить с вой код в процесс знаний хватит, если конечно протектор не сопротивляется этому.

| Сообщение посчитали полезным:

difexacaw пишет:
Что бы разобрать прот, посмотреть как оно устроено
Да на что там смотреть? Никакие системные сервисы не перехватываются, никакой прямой работы с ядром нет, даже никакие анклавы под визором не разрушаются. Тупо ключ из донгла получили, секцию расшифровали и jmp eax. Фу, блядь. Детское поделие просто какое-то

| Сообщение посчитали полезным: difexacaw

rmn
т.е. просто пройтись дебагером да сдампить ?. Как ключ дадут - попробую и отпишу.

| Сообщение посчитали полезным:

ant0xa
Да, для начала попробовать самые простые варианты. Нередко все эти донглы на софте висят просто как пугало и отламываются без самих донглов и без дампов с эмулями.

| Сообщение посчитали полезным:

Он писал что один из файлов под шелом. Если защита достаточно свежая, то не прокатит без донгла или эмуля.
Если используется IXP то и просто дамп не прокатит. Вобщем, дерзайте. Дорогу осилит идущий. Главное донгл не запори (если FAC=1 или 5).

-----
старый пень

| Сообщение посчитали полезным: ajax

r_e пишет:
Он писал что один из файлов под шелом
Так, может, протом там накрыто что-то типа:

Тогда и снимать ничего не нужно, просто повычищать из импортов эти либы и пропатчить вызовы.

| Сообщение посчитали полезным:

r_e
запарываются они хорошо. даже от процесса/дебаггера вижуал студии, как говорили
rmn
блажен, кто верует - тепло тому на свете (c) ...

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Да не только ;) там зоопарк методов. Они не сложные, но если пропустить случайно хоть один - ключ превращается в тыкву.

Добавлено спустя 3 минуты
rmn
IXP обеспечивает возможность динамического декода, выполнения и энкода отдельных функций.
Последние версии обеспечивают виртуализацию части кода с "выносом" в ключ. Релиз, вроде как, перед НГ. Я эту фичу видел только на контесте, но там прошивка еще сырая была.
Еще они работали над HFE (гомоморфным шифрованием) но не знаю зарелизили ли.

-----
старый пень

| Сообщение посчитали полезным:

r_e
Дело не в том, какие фичи предоставляет донгл, а как этими фичами пользуются девелоперы. Впрочем, может это только мне такой говнософт попадается

| Сообщение посчитали полезным:

Короче семпла нет, работы тс нет(давно бы это отладчиком открыл, если бы мог). Штатно в запросы, там разберутся.

-----
vx

| Сообщение посчитали полезным:

Сэмпл
https://www.sendspace.com/file/3ynrni

rmn
Как гарантировано не запороть донгл ?Или хотябы проверить возможно ли такое во время исследования. Версия codemeter - 6.10a.

| Сообщение посчитали полезным:

ant0xa
Watchout? бгг. Удачи ) Достойный таргет.

Добавлено спустя 18 минут
Кстати, если вдруг кто будет бинарь смотреть - подскажите что это у них за компилятор такой?
Структура блоков, прологи и эпилоги с какого-то не очень популярного компиля.
(Я про то что под протектом, а не про протект, если что)

-----
старый пень

| Сообщение посчитали полезным:

r_e
Совсем снимать задачи нет. Устроил бы и эмулятор. А так - слишком заморочено и лучше не браться ?

| Сообщение посчитали полезным:

ant0xa
Пара человек точно может его. Жди и они отпишутся тебе в личку в предложениями. Вообще, лучше сразу иди в коммерц. Все равно своей работы никакой.

-----
старый пень

| Сообщение посчитали полезным:

r_e
VC 100%, предположительно 2013

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax
Нет, протект мне неинтересен. А под протектом софт точно не МС компилер.
По крайней мере в предыдущих версиях был не МС.
Спасибо. Посмотрел свежие версии и правда, похоже на МС теперь.

-----
старый пень

| Сообщение посчитали полезным:

раньше, когда ватч был на вибу-кей, там было два слоя защиты. сейчас на кодеметере все также осталось или что-то добавили? и еще можно посмотреть остались ли в конверте вызовы вибу-кей.

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

Там все так же но добавили IXP вызовы (с пяток криптанутых функций).

-----
старый пень

| Сообщение посчитали полезным:

В общем решил сам не заниматься. С коммерческого тоже никто не отписал.

| Сообщение посчитали полезным:

Может ты просто пожадничал? На этом, пожалуй, и закончим.

-----
старый пень

| Сообщение посчитали полезным: