Сейчас на форуме: NIKOLA, r0lka, johnniewalker, vsv1 (+4 невидимых)

 eXeL@B —› Крэки, обсуждения —› Крякми.
. 1 . 2 . 3 . >>
Посл.ответ Сообщение


Ранг: 72.3 (постоянный), 133thx
Активность: 0.380
Статус: Участник

Создано: 26 августа 2013 23:22
· Личное сообщение · #1

Сабж. Там гдето есть холст в png формате, он полностью декриптуется. На холсте изображён код. Код нужно этот достать.

Код чистый, нет ни обфускации, ни тайминга, ни вирт машин.

Если у вас получится достать код, не выкладывайте его сюда, он вам понадобится ;)

f931_26.08.2013_EXELAB.rU.tgz - Crmy.zip

| Сообщение посчитали полезным: Abraham


Ранг: 72.3 (постоянный), 133thx
Активность: 0.380
Статус: Участник

Создано: 26 августа 2013 23:25
· Личное сообщение · #2

Анубис http://anubis.iseclab.org/?action=result&task_id=1f35f4c73aaf55b2409c8fc3cbc35a8d2&format=html

Таймаут, так как нужно время на обработку. Где то секунд 10.



Ранг: 20.8 (новичок), 7thx
Активность: 0.010.02
Статус: Участник

Создано: 27 августа 2013 23:47
· Личное сообщение · #3

Code:
  1. ---------------------------
  2. Crmy.exe - Ошибка приложения
  3. ---------------------------
  4. Инструкция по адресу "0x00412650" обратилась к памяти по адресу "0x71aeffff". Память не может быть "read".
  5.  
  6. "ОК" -- завершение приложения
  7. "Отмена" -- отладка приложения
  8. ---------------------------
  9. ОК   Отмена   
  10. ---------------------------


что-то ваш илитный кодес сдох. Небось там VMBE не присутствует?




Ранг: 72.3 (постоянный), 133thx
Активность: 0.380
Статус: Участник

Создано: 28 августа 2013 00:09
· Личное сообщение · #4

int_256

У всех робит. Откатали на 5.1/32, 6.1/32, 6.1/64. Вы покиляйте свои отладчики и почистите ось от говна, которое память бьёт.



Ранг: 20.8 (новичок), 7thx
Активность: 0.010.02
Статус: Участник

Создано: 28 августа 2013 00:45
· Личное сообщение · #5

Dr0p
говнокод детектед
пишите человеческий код, а не который хз что в системных либах копошится




Ранг: 72.3 (постоянный), 133thx
Активность: 0.380
Статус: Участник

Создано: 28 августа 2013 00:51 · Поправил: Dr0p
· Личное сообщение · #6

int_256

Я знаю чего он крешится у вас. Потому что у вас секция кода нтдлл битая(вы её патчите в целях отладки или быть может авер какой побил или малварка хз), а это не боевой код(в этом случае обычно RE секции подгружаются с диска, W из памяти) и с диска её подгружать не нужно. Есчо такое может быть если запускается в режиме совместимости(если шим подгружается). Во всех этих случаях в системной кодосекции есть относительное ветвление за пределы проекции. Есно оно криво раскодируется. Но это только плюс.
Кстате не удивительно, у вас ось наверно самопальная пруф :D



Ранг: 20.8 (новичок), 7thx
Активность: 0.010.02
Статус: Участник

Создано: 28 августа 2013 01:24
· Личное сообщение · #7

Dr0p
насчет того пруфа, так то проблема была не в софте, а в глючном китайском Jmicron'овском ata контроллере. И вообще к вашему сведению я коней не запускаю на рабочей тачке. И кодес, который работает в кастомном случае и живучесть которого зависит от того, как кишки у мс устроены это не код.




Ранг: 72.3 (постоянный), 133thx
Активность: 0.380
Статус: Участник

Создано: 28 августа 2013 01:26
· Личное сообщение · #8

int_256

Всё отлично работает. Если вы не можите осилить, то матчасть учите. Что от меня нужно то.




Ранг: 1288.1 (!!!!), 273thx
Активность: 1.290
Статус: Участник

Создано: 29 августа 2013 17:38
· Личное сообщение · #9

выпилил всё ) ломайте крякми

| Сообщение посчитали полезным: DimitarSerg, kid, Abraham

Ранг: 6.7 (гость), 4thx
Активность: 0.010
Статус: Участник

Создано: 31 августа 2013 18:28
· Личное сообщение · #10

строки в дампе:
http://webfile.ru/6659834
зачем в крякми строки реестра?

fbe7_31.08.2013_EXELAB.rU.tgz - Crmy.txt



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

Создано: 31 августа 2013 18:39
· Личное сообщение · #11

bizdon пишет:
зачем в крякми строки реестра?

--> Чтоб увеличить свои показатели на вирустотал <--




Ранг: 72.3 (постоянный), 133thx
Активность: 0.380
Статус: Участник

Создано: 01 сентября 2013 11:22 · Поправил: Dr0p
· Личное сообщение · #12

bizdon

Их в нём нет. Это у вас showsnaps ntldr, верифер и прочие отладочные тулзы выводят на скока понял.

| Сообщение посчитали полезным: dosprog


Ранг: 72.3 (постоянный), 133thx
Активность: 0.380
Статус: Участник

Создано: 01 сентября 2013 11:22
· Личное сообщение · #13

ELF_7719116

Быть может импорта нет ?




Ранг: 72.3 (постоянный), 133thx
Активность: 0.380
Статус: Участник

Создано: 01 сентября 2013 12:26
· Личное сообщение · #14

bizdon

Полистал подробно ваш текстовик, это не иначе, как список текстовых строк в нтдлл(идой чтоле рипнул ?).



| Сообщение посчитали полезным: Functor

Ранг: 431.7 (мудрец), 389thx
Активность: 0.730.32
Статус: Участник

Создано: 01 сентября 2013 16:29 · Поправил: dosprog
· Личное сообщение · #15

Компьютер не взорвался...
Dr0p, рисунок я подредактировал. Чуток, чтобы лучше смотрелось.)

c9a0_01.09.2013_EXELAB.rU.tgz - HOLST.png

| Сообщение посчитали полезным: Abraham


Ранг: 72.3 (постоянный), 133thx
Активность: 0.380
Статус: Участник

Создано: 02 сентября 2013 01:55 · Поправил: Dr0p
· Личное сообщение · #16

dosprog

Неужели вы пробили сабж. Не верю своим глазам

Код не палите. Вероятно после вашего сообщения к вам в лк полезут хомяки. Помните что меняется всё.

В таком случае вы можите вступить. Надеюсь вы извлекли чтонить новое для себя, потратив время. Также надеюсь вы не использовали тулзы для arce, типо side(в этом случае анализ делается на коленке и сабж вскрывается за минуты).




Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

Создано: 02 сентября 2013 10:14
· Личное сообщение · #17

Dr0p пишет:
Также надеюсь вы не использовали тулзы для arce, типо side

Не, ну давайте не будем, может, ещё кто начал реверсить и не хочет подсказок.

-----
Stuck to the plan, always think that we would stand up, never ran.





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 27 декабря 2016 16:20
· Личное сообщение · #18

одно из решений --> Link <--



Ранг: 431.7 (мудрец), 389thx
Активность: 0.730.32
Статус: Участник

Создано: 28 декабря 2016 08:00 · Поправил: dosprog
· Личное сообщение · #19

Вот ещё: c466_28.12.2016_EXELAB.rU.tgz - get_png!.rar - Archive password is "1".




Ранг: 56.2 (постоянный), 14thx
Активность: 0.120
Статус: Участник

Создано: 28 декабря 2016 11:25
· Личное сообщение · #20

http://crackmes.de/
погиб смертью храбрых




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 28 декабря 2016 11:30
· Личное сообщение · #21

Не решено, пока не решено автоматикой.

-----
vx




Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

Создано: 14 августа 2019 23:12
· Личное сообщение · #22

difexacaw
хороший хелоуворлд - давай еще




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 23 августа 2019 19:24 · Поправил: difexacaw
· Личное сообщение · #23

SDK

Я тоже решил крэкми собрать. Немного неделю продумал механизмы. Что бы в коде не копались, сделаю по хитрому.

Допустим дан линейный блок кода(заканчивается он ветвлением), назовём его фреймом для удобства. Ветвление заменяем на шлюз(а адрес ветвления если задан) шифруем(любая функция для примера, пусть сумма), деля на две части. Одну часть оставляем в самом шлюзе, а вторую часть(ключ) оставляем в предыдущем фрейме(те том, который передаёт управление на текущий). Шлюз выполнит сложение, таким образом вычислив адрес следующего фрейма и сформирует ключ для него.

Получается что во фреймах нет адреса ветвления, он формируется по ключу из предыдущего фрейма и так рекурсивно. Тоесть адрес ветви и адрес ссылки на фрейм узнать нельзя. Получится массив перемешанных фреймов, где ключ передаётся при выполнении фреймов(локально в потоке).

Для возврата из процедур аналогично - часть суммы в стеке, часть в шлюзе и часть в предыдущем до рет фрейме. Тогда стектрейс будет содержать только ключи, по которым адреса не узнать.

Вот показал на диаграмке:


Интересно как такое решать ?

Кстате по трассировке, что получится?:

Code:
  1.          mov ss,R
  2.          mov ds,RPL(11B)
  3.          mov R,ds




-----
vx


| Сообщение посчитали полезным: SDK

Ранг: 43.1 (посетитель), 20thx
Активность: 0.160.29
Статус: Участник

Создано: 23 августа 2019 20:48
· Личное сообщение · #24

difexacaw, а чем ваша идея принципиально отличается от виртуалки в VMProt 3.0?



Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

Создано: 23 августа 2019 21:44
· Личное сообщение · #25

difexacaw пишет:
Интересно как такое решать ?

давайте "семпл" и конечную цель пусть будет
как и раньше зашифрованный файл на выходе
поломаем голову.




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 24 августа 2019 07:32
· Личное сообщение · #26

user99

Код остаётся нэйтивным, удаляются только связи между блоками(cfg). Виртуализация это совершенно другое. Нет никакого интереса разбирать виртуальные машины, это тривиальная рутина.

-----
vx




Ранг: 43.1 (посетитель), 20thx
Активность: 0.160.29
Статус: Участник

Создано: 24 августа 2019 08:42 · Поправил: user99
· Личное сообщение · #27

difexacaw, я про механизм переходов.
Пример одного из блоков ВМ:
Code:
  1. mov edx,[esi]
  2. lea esi,[esi+4]
  3. sub ebp,1
  4. movzx ecx,byte ptr [ebp]
  5. xor cl,bl
  6. xor cl,BC
  7. neg cl
  8. sub cl,C3
  9. neg cl
  10. dec cl
  11. rol cl,1
  12. neg cl
  13. xor bl,cl
  14. mov [esp+ecx],edx
  15. sub ebp,4
  16. mov ecx,[ebp]
  17. xor ecx,ebx
  18. inc ecx
  19. rol ecx,2
  20. inc ecx
  21. bswap ecx
  22. xor ebx,ecx
  23. add edi,ecx
  24. jmp edi

Явного перехода нет, часть ключа для вычисления перехода хранится в ebx и в edi (эти части меняются в каждом блоке, поэтому если пропустить какой-либо блок без пересчета ключей, то дальнейшая работа будет невозможной), а вторая часть ключа берется из управляющего буфера (ebp).
И периодически меняются блоки:
- jmp меняется на связку push / ret.
- ключом помимо ebx/edi могут служить другие регистры.
Если это тривиальная рутина, то почему ваш метод неявных переходов не будет тривиальным?




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 24 августа 2019 08:59 · Поправил: difexacaw
· Личное сообщение · #28

user99

Это ведь не исходный нэйтив код, а вм. Там же нет исходных бинарных инструкций.

> Если это тривиальная рутина, то почему ваш метод неявных переходов не будет тривиальным?

Потому что не нужно заниматься задродством с девиртом. Исходные блоки не тронуты, только между собой развязаны что бы дизасм не взял. Кто же будет в крэкми реверсить вирт машину

Только ньюби могут взять хеловорд криптануть чем то, тем же вмп и разбирайтесь.. такое нафиг никому не нужно.

-----
vx




Ранг: 0.7 (гость)
Активность: 0.01=0.01
Статус: Участник

Создано: 31 августа 2019 00:50
· Личное сообщение · #29

Помогите понять
в конфигурационном файле установщика приложения есть следующая строка
{
"tu.license": "TAHDA-ZXAN7-V2P4E-QRHKT-HOLWG-NT2AA;eyJkYXRhX3ZlcnNpb24iOjEsInBhcmFtZXRlcnMiOnsicmV2b2NhdGlvbl9jb3VudGVyIjo2NSwiZXhwaXJhdGlvbiI6eyJ0eXBlIjoicmVsYXRpdmUiLCJ2YWx1ZSI6IjE1In19LCJsbl9oYXNoIjoiQkRGMjNDMTIxM0E0QkY3REFGMzNDNDQzNjZGMDZEQjQxN0FFRDNERCIsInNlcnZlcl9jb29raWUiOiJmaWxlZGlyLTcwNy02NSJ9O1NIQTE7ODYzNjM2ZTU7TUN3Q0ZBOTJ2dWZqZDF4dU44NkZrRFdYaHlmQ1prc1ZBaFJZdXRKWk5ISnhVZVZuMFJOSXZ5NW1sdFdrM0E9PQ=="
},
Понятно что первое после tu.license код активации а что за ним ??
хеши ?? параметры лицезии ??



Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 31 августа 2019 01:29
· Личное сообщение · #30

что-то base64 encoded. может подпись, а может и параметры.

-----
старый пень



. 1 . 2 . 3 . >>
 eXeL@B —› Крэки, обсуждения —› Крякми.
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати