Сейчас на форуме: (+5 невидимых)

 eXeL@B —› Протекторы —› Распаковка Hasp envelop конверта под Linux
<< . 1 . 2 .
Посл.ответ Сообщение


Ранг: 529.0 (!), 110thx
Активность: 0.290.04
Статус: Участник
5KRT

Создано: 05 июля 2019 21:27 · Поправил: daFix
· Личное сообщение · #1

Приветствую! Попалась задачка по изучению одного бинаря, но он накрыт конвертом. В линухе я не силён, поэтому даже установка GDB для меня проблема - упёрся в отсутствие нужных библиотек для запуска. Реверсил всё это дело через удалённый IDA отладчик, но не придумал как обойти антиотладку через fork. Времени мало и углубляться во внутренности линухи некогда, поэтому буду рад хоть какой-то информации. Задача минимум - просто снять дамп, максимум - снять конверт. Если на паблике инфы вообще нету и задача за пару вечеров не решаема, готов выслушать коммерческие предложения в личке.
Если что, антиотладка там реализована через форк процесса с последующим ptrace. Просто занопить fork и вернуть 0 ни к чему хорошему не приводит

-----
Research For Food





Ранг: 136.0 (ветеран), 360thx
Активность: 0.270.14
Статус: Участник
Qt Developer

Создано: 21 июля 2019 23:17
· Личное сообщение · #2

difexacaw пишет:
Нет, там шла речь про взаимо-трассировку. Сказали что нужно зачем то пересобирать ядро. Я так понимаю что те кто что то про линь системное говорит это можно не слушать, они бредят. Как эти два товарища выше.


Людей, которые не видели ничего кроме Windows, словосочетание "пересобрать ядро" может привести в религиозный трепет. Этих людей легко понять. Так как в Windows специфичные для реверсинга задачи решаются хуками, кривыми драйверами и использованием недокументированных способностей операционной системы.
На самом же деле пересборка ядра в Linux довольно тривиальная и хорошо документированная рутина.
Естественно при желании эту задачу можно решить и другими способами.

-----
http://ntinfo.biz





Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 21 июля 2019 23:32
· Личное сообщение · #3

hors

Я хорошо понимаю что такое собирать ОС, это не даёт ответ на вопрос. Зачем это нужно ?

Понятно если добавить какой то свой функционал, в линях это делается ребилдом как понимаю, в нт драйверами. Но что именно добавлять и зачем не сказано.

Я кстате немного сегодня подебажил вашу поделку. Без какой либо цели, просто что бы ознакомиться с начинкой. Эмулятор работает, даже удивительно как один человек смог запилить стабильный эмуль. Я только два теста провёл - невалид адресация и сервисный шлюз, отрабатывает штатно. Респект конечно. Хорошо что есть даже диз в логе.

Но я всё равно не могу понять главное. Зачем нужна эмуляция протектора, если заранее известна EP и метод анпака?. Ждать когда сформируется готовый для дампа образ, только так можно обьяснить необходимость запуска(эмуляции) ?

-----
vx





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 22 июля 2019 00:01
· Личное сообщение · #4

пересобрать ядро что бы получить KGDB отладчик
которым уже влезть куда угодно

а смысл дебажить опенсорс ?
https://www.unicorn-engine.org/showcase/
https://github.com/unipacker/unipacker
только куте с красивой мордочкой и чуть чуть обвесов




Ранг: 136.0 (ветеран), 360thx
Активность: 0.270.14
Статус: Участник
Qt Developer

Создано: 22 июля 2019 00:43 · Поправил: hors
· Личное сообщение · #5

reversecode пишет:
а смысл дебажить опенсорс ?
https://www.unicorn-engine.org/showcase/
https://github.com/unipacker/unipacker
только куте с красивой мордочкой и чуть чуть обвесов


Эх. Мне бы твоё трудолюбие. После трудного дня сбора трускавки ты ещё находишь в себе силы писать что-то в интернете.
Моё почтение.

Что же касается твоего обвинения в том, что я якобы "своровал" чужой проект, то это, увы, неправда.

Этот проект написан на питоне, а мой на С++. Я его раньше не видел, да и не мог видеть. Я опубликовал свой проект в марте 2018 --> Link <--. А Unipacker был опубликован в феврале 2019 --> Link <--

Так что ты, мой друг, к сожалению в очередной раз обделался.

Также не совсем понятен твой обличительный пафос. Если бы я уже занимался рипом чужих проектов(например взял бы Syser и стал бы перебивать копирайты), то про меня можно было бы сказать что я вор и мразь. Но я что-то ничего такого про себя не помню.

Если ты что-то такое про меня знаешь, поделись с общественностью, не стесняйся.

-----
http://ntinfo.biz





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 22 июля 2019 00:54
· Личное сообщение · #6

у тебя явно что то защимило, погугли как теперь тебе с этим быть дальше

XVolkolak использует unicorn engine
полностью или частично, мне пох
я лишь дал ссылки на похожие проекты которые делают практически тоже самое




Ранг: 136.0 (ветеран), 360thx
Активность: 0.270.14
Статус: Участник
Qt Developer

Создано: 22 июля 2019 01:25 · Поправил: hors
· Личное сообщение · #7

reversecode пишет:
я лишь дал ссылки на похожие проекты которые делают практически тоже самое


Большое спасибо за ссылки, а также за заботу о моём здоровье. Не простудись на плантации.

-----
http://ntinfo.biz





Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

Создано: 22 июля 2019 05:06
· Личное сообщение · #8

difexacaw пишет: Зачем нужна эмуляция протектора, если заранее известна EP и метод анпака
1. возможно, внутри софта напиханы вызовы ключа. 2-х зайцев разом;
2. автор эмулятора не умеет распаковывать;
3. все в одном - рабочесть+привязка.

-----
От многой мудрости много скорби, и умножающий знание умножает печаль





Ранг: 136.0 (ветеран), 360thx
Активность: 0.270.14
Статус: Участник
Qt Developer

Создано: 22 июля 2019 13:46
· Личное сообщение · #9

difexacaw пишет:
Но что именно добавлять и зачем не сказано.


Ну это зависит от того что нам конкретно надо. Например по тому что я услышал от ТС, я бы подправил kernel/ptrace.c А именно возвращаемые значения.

difexacaw пишет:
Но я всё равно не могу понять главное. Зачем нужна эмуляция протектора, если заранее известна EP и метод анпака?.


OEP может быть заранее неизвестен. Для его определения запускается трассировка. С методами распаковки тоже не всё так легко. Например стабы разных версий одного и того же протектора могут сильно отличаться, по сути являясь разными протекторами,но с одинаковым названием. Для определения конкретного метода тоже требуется трассировка+эвристика.

-----
http://ntinfo.biz





Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 22 июля 2019 18:45 · Поправил: difexacaw
· Личное сообщение · #10

hors

Понятно, я вам отвечу в другой теме.

-----
vx



<< . 1 . 2 .
 eXeL@B —› Протекторы —› Распаковка Hasp envelop конверта под Linux
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати