 |
eXeL@B —› Протекторы —› ASProtect - вопрос по криптованным функциям |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 13 января 2006 17:53 · Личное сообщение · #1 Здравствуйте. Уверен, что на такой вопрос отвечали уже не раз, но всё же прошу короткий ответ. Программа запакована asprotect-ом. Стриппер её распаковал. До ввода правильного кода много функций заблокированно. Вид такой: Jpm msg …. криптованный код … msg эта функция недоступна. Другими словами введя валидный код, от чего бы он не зависел, мы рано или поздно доходим до функции аспра которая должна раскриптовать все подобные куски проги. Не зная этот код – это можно сделать ? Что может передаваться в эту функцию и каким алгоритмом аспр раскриптовывает этот кусок ? Или может в функцию подаётся dword а вся раскриптовка проходит xor-ом ? 
 |
|
|
Создано: 22 марта 2006 09:18 · Личное сообщение · #2 tar4 Если это GetTickCount, то в её код впиши в самое начало
Иначе, никак что-то другое там юзается. GetTickCount всего лишь возвращает некоторое постоянно изменяющееся число в глубинах памяти (у меня оно по адресу 7FFE0000h). ----- Я медленно снимаю с неё UPX... *FF_User* |
|
|
Создано: 22 марта 2006 11:10 · Личное сообщение · #3 AlexZ Не выходит. Я пробывал, конечно, изменять ЕАХ, но увы. Бред какой-то. До 1-го исключения дойти не могу. Спасибо за помощь. Будет время, разберусь с этим приколом. |
|
|
Создано: 24 марта 2006 01:37 · Поправил: 0xy · Личное сообщение · #4 tar4 Чего-то я не заметил различий его с оригиналом, так же глючит. Ну не знаю, может это от оси зависит (у меня 9x) Расскажи лучше, как искать: какую сигнатуру (base64?), где прогу стопорить (на OEP или раньше?), или прямо в запакованом файле можно? Сам хочу научиться 
Да, и чем искать? Ведь ни СС, ни CryptoSearcher вроде не умеют искать base64 
|
|
|
Создано: 24 марта 2006 05:19 · Поправил: tar4 · Личное сообщение · #5 0xy пишет: Расскажи лучше, как искать: Я думаю, что этот блок, который тебе нужен, находится где-то перед ОЕР. Точнее сказать не могу, надо смотреть, а я пока не могу . Вероятно, этот блок находится где-то рядом с функциями, ответственными за работу с реестром. Искать можно и в запакованной проге. Учитывая, что нужно будет неоднократно перезапускать прогу, лучше написать в Оле скрипт. Ну а появление сигнатуры Base64, я думаю, можно искать просто бинарным поиском "ABCDE...." после каждого Exception. Так локализуешь его место расположения. А ось у меня - ХР SP2. |
|
|
Создано: 29 марта 2006 02:22 · Поправил: 0xy · Личное сообщение · #6 tar4 пишет: Искать можно и в запакованной проге. Я имел в виду прямо в запакованом файле, т.е. в HEX-редакторе -- так похоже нельзя. Да и в дампе на разных стадиях (после нескольких expection и на OEP) ни чего не нашел
Да, искать я пытался ту сигнатуру, которую нашел ASAP: HVPjnac4MbCdP1j4CbiFqxBLzAF5ynuPM2rNFKUwT0pHMD58dpKFegEE3mVNUYEXOXhbVw 8A0lkq hNxinpvO/X04aRgtvt/j27QtBTj5zB5gMI4GEr4Jvuub7FU/aLPVxlfVqYJX7ev02cwdyo 8WHCM/ PnTX7H9gE1WEUIKYHb0= Искал и в таком виде, и в расшифрованом -- все бес толку 
Но ведь ASAP ее не сам придумал
А вообще, с большой вероятностью можно предположить, что это и есть наш ключ N Что ж, предположим. А че нам с ним дальше делать??? 
|
|
|
Создано: 29 марта 2006 05:24 · Личное сообщение · #7 0xy пишет: Я имел в виду прямо в запакованом файле, т.е. в HEX-редакторе -- так похоже нельзя. Почему нельзя? Ты же в Олле прогу запускаешь, вот и ищи в ней. 0xy пишет: с большой вероятностью можно предположить, что это и есть наш ключ N Мне кажется, сначало надо все же определить, какая криптосистема применена для шифрования критичных участков в этой проге. Если ассимитричная - то, наверное это RSA, если нет - то какой-то другой применен алгоритм. А потом уже рассуждать об атаке. А что такое ASAP? |
|
|
Создано: 29 марта 2006 13:44 · Личное сообщение · #8 tar4 Да я пока не об атаке... Вот, еще раз коротко о том, за что боримся: 1) Как выдрать из проги E и N? -- с этим вроде пока глухо, хотя АСАП что-то выцарапал 
Comment: АСАП=ASAP=As-AntiProtector -- эт тулза такой ООчень глючный тулза...
2) Как, при наличии вышеупомянутых, расшифровать рег. ключ Аспра ([b]v 1.0, если кто забыл ), т.е. выдрать из него ключи для крипованых кусков проги, а также рег. данные (не подделать, а просто прочесть)?[/b] -- решил перейт ко второму пункту
Comment: Регистрационный ключ у старых Аспров представляет собой MIME-строку 172 байта (это вам не SKE!) Это [b]архив, зашифрованый RSA, внутри которого содержатся: ключ кля криптованых кусков проги и регистрационные данные юзверя. Вот его структура: Then when a registration key is computed: 1 - H1 = RipeMD-160(A) -- ключ для криптованых кусков 2 - H2 = MD5(Registration Information—H1) 3 - Key = RSA(D,N, [H2—Registration Information—H1]) Итак, задача пункта 2 -- распаковать этот "архивчик" А атака планируется третим пунктом... |
|
|
Создано: 30 марта 2006 05:17 · Личное сообщение · #9 Повторюсь, что комментировать твои вопросы, мне нужно запустить прогу в отладчике. А она не идет". Ты бы выбрал что-нибудь другое. |
|
|
Создано: 02 апреля 2006 02:28 · Личное сообщение · #10 Простите что немного не в тему, дайте ASAP. Поиск в гугле ничего не дал. |
|
|
Создано: 03 апреля 2006 19:46 · Личное сообщение · #11 tar4 пишет: Ты бы выбрал что-нибудь другое. Ладно, вот сваял крэк-ми: Aspr 1.2 non-registered, минимальная защита. Искомые ключи E и N прилагаются. Задача--найти их в файле rapidshare.de/files/17111207/notepad_aspr12.rar_.html пароль на архив: ключи ToBad пишет: дайте ASAP Я его брал то ли здесь, то ли на ExeTools (скорее всего), то ли на Васме Если не найдешь -- залью на Рапиду |
|
|
Создано: 13 апреля 2006 05:09 · Поправил: 0xy · Личное сообщение · #12 Да, на всякий случай -- вот ключ к этому кряк-ми: [HKEY_CURRENT_USER\Software\crack me\notepad aspr1.2]
|
| << . 1 . 2 . |
|
eXeL@B —› Протекторы —› ASProtect - вопрос по криптованным функциям |
Для печати