Сейчас на форуме: NIKOLA, r0lka, johnniewalker, vsv1 (+4 невидимых)

 eXeL@B —› Крэки, обсуждения —› Крякми.
<< . 1 . 2 . 3 .
Посл.ответ Сообщение


Ранг: 72.3 (постоянный), 133thx
Активность: 0.380
Статус: Участник

Создано: 26 августа 2013 23:22
· Личное сообщение · #1

Сабж. Там гдето есть холст в png формате, он полностью декриптуется. На холсте изображён код. Код нужно этот достать.

Код чистый, нет ни обфускации, ни тайминга, ни вирт машин.

Если у вас получится достать код, не выкладывайте его сюда, он вам понадобится ;)

f931_26.08.2013_EXELAB.rU.tgz - Crmy.zip

| Сообщение посчитали полезным: Abraham


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 12 сентября 2019 21:36 · Поправил: difexacaw
· Личное сообщение · #2

Gideon Vi

> Setup.TrIsDebug 0xC0000353
> далее вылет

А если много раз запустить ?
Тоесть анстаб связан не с этим блоком кода, а с ядром(что то с планировщиком после манипуляций с сегментами или переключений CM/64). На 8-ке 64 иногда вылетает рандомно в произвольном месте.

Добавлено спустя 1 час 13 минут
Попробовал пином(SDE) крутнуть. Запрос WSL под пин приводит к C0000004, есчо до начала проверки WSL

-----
vx





Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 13 сентября 2019 03:30
· Личное сообщение · #3

difexacaw
на тридцать попыток регулярный вылет с однотипным логом, вида

Setup.RPL 0x3
Setup.RPLDF
Setup.PeGetNativeBase 0x77180000
NtGateInit.PTR 0x771F0905
Setup.NtGateInit 0x771F0905
Setup.ENV 0x00030000
Setup.NTCRC 0x2144DF1C
Setup.TLS 0x00560000
Setup.TsGet 0x00560000
TmInit.TmCreateTimer 0x0
TmInit.TmSetTimer 0x0
TmInit.TmAccessFile 0x0
TmInit.TmAccessFile 0x0
TmInit.TmNewObject 0x0
Setup.StkTrap 0xC0000353 STKCRC 0xBADC0DE
Setup.Key 0xE144DC4F
NtReTree.PeMapView 0x40000003
NtReTree.NTQUERY 0x0
NtReTree.NtFree 0x0
NtReTree.NtTree 0x1E2
NtReTree.NTUNMAP 0x0
Setup.STKCRC 0xBADC0DE
Setup.NtReTree 0x1E2
Setup.TrIsDebug 0xC0000353


и один вылет с логом вида

Setup.RPL 0x3
Setup.RPLDF
Setup.PeGetNativeBase 0x77180000
NtGateInit.PTR 0x771F0905
Setup.NtGateInit 0x771F0905
Setup.ENV 0x00030000
Setup.NTCRC 0x2144DF1C
Setup.TLS 0x021A0000
Setup.TsGet 0x021A0000
TmInit.TmCreateTimer 0x0
TmInit.TmSetTimer 0x0
TmInit.TmAccessFile 0x0
TmInit.TmAccessFile 0x0
TmInit.TmNewObject 0x0
Setup.StkTrap 0xC0000353 STKCRC 0xBADC0DE
Setup.Key 0xE144DC4F
NtReTree.PeMapView 0x40000003
NtReTree.NTQUERY 0x0
NtReTree.NtFree 0x0
NtReTree.NtTree 0x1E2
NtReTree.NTUNMAP 0x0
Setup.STKCRC 0xBADC0DE
Setup.NtReTree 0x1E2
Setup.TrIsDebug 0xC0000353
WwGetTurboThunk.TURBOTHUNK OK
WwSetup.WwGetTurboThunk 0x77174FF8
WwSetup.TURBO Id: 0x33F0000, Thunk: 0x77174FF8, Return: 0x77171C7B, Service: 0x77171778, Dispatch: 0x77173600
Setup.WwSetup 0x77174FF8
Setup.STKCRC 0xBADC0DE
Setup.TURBOCALL 0x3A12CB8A
Setup.STKCRC 0xBADC0DE
Setup.NtCrcToId 0x19
Setup.TURBOCALL 0x0
Setup.STKCRC 0xBADC0DE
Setup.Key 0x7F652008
Setup.Debug 0x1
Setup.NtTime 0x0: 0x3FB39
NtGetUserId.KCT 0x76CE1000
NtGetUserId.PeMapView 0x40000003
Setup.NtGetUserId 0x0
Setup.TmWait 0x102
Start.Setup 0xE6D7C8BA
Start.CRC 0x7419A326
Start.RtGetSize 0xC0000005
SVMSGX





Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 13 сентября 2019 04:03
· Личное сообщение · #4

Gideon Vi

Code:
  1. Setup.TrIsDebug 0xC0000353


Code:
  1. %DBG "Setup.TrIsDebug 0x%X", Eax
  2. %DBG "Setup.STKCRC 0x%X", [Esi].Crc


Как такое возможно, что бы каждый раз вылетало на ничего не делающем месте с дебаг выводом ?

Если бы был какой то косяк с регистром, допустим не сохранялся, то оно всегда бы вылетало на этом месте.

-----
vx





Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 13 сентября 2019 08:10
· Личное сообщение · #5

difexacaw пишет:
Как такое возможно, что бы каждый раз вылетало на ничего не делающем месте с дебаг выводом ?


могу предложить поставить на варю образ ltsc и посмотреть самому )

--> Link <-- или --> Link <--




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 13 сентября 2019 20:08
· Личное сообщение · #6

Gideon Vi

Я это с мобилы загрузить не могу, иначе бы не спрашивал ничего.

-----
vx





Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 14 сентября 2019 07:05 · Поправил: Gideon Vi
· Личное сообщение · #7

фигово. Кидай адрес, болванки пришлю



Ранг: 1.3 (гость), 2thx
Активность: 0.02=0.02
Статус: Участник

Создано: 05 октября 2019 10:43 · Поправил: Voluptas
· Личное сообщение · #8

Такой лог
RPL 0xFFD8
Setup.PeGetNativeBase 0x770C0000
NtGateInit.PTR 0x771321D5
Setup.NtGateInit 0x771321D5
Setup.ENV 0x02120000
Setup.NTCRC 0x2144DF1C
Setup.TLS 0x02150000
Setup.TsGet 0x02150000
TmInit.TmCreateTimer 0x0
TmInit.TmSetTimer 0x0
TmInit.TmAccessFile 0x0
TmInit.TmAccessFile 0x0
TmInit.TmNewObject 0x0
Setup.StkTrap 0xC0000353 STKCRC 0xBADC0DE
Setup.Key 0xE144DC4F
NtReTree.PeMapView 0x40000003
NtReTree.NTQUERY 0x0
NtReTree.NtFree 0x0
NtReTree.NtTree 0x1E3
NtReTree.NTUNMAP 0x0
Setup.STKCRC 0xBADC0DE
Setup.NtReTree 0x1E3
Setup.TrIsDebug 0xC0000353
Setup.STKCRC 0xBADC0DE
Setup.Key 0x5E21FF15
Setup.TmQueryTimer 0x0
WsGet 0x771D91E3 0x84C05E40
WsGet 0x770B61E3 0xA22330FB

Чисто запуск от админа, перед этим запускала x64dbg

RPL 0xFFD8
Setup.PeGetNativeBase 0x770C0000
NtGateInit.PTR 0x771321D5
Setup.NtGateInit 0x771321D5
Setup.ENV 0x022F0000
Setup.NTCRC 0x2144DF1C
Setup.TLS 0x02320000
Setup.TsGet 0x02320000
TmInit.TmCreateTimer 0x0
TmInit.TmSetTimer 0x0
TmInit.TmAccessFile 0xC558150

Это в x64dbg

Версия ОС 10.0.18362.388 (Win10 RS6 [1903] May 2019 Update)

Лог валиден?

Добавлено спустя 28 минут
И да.. Окошко Good не вылазит

| Сообщение посчитали полезным: difexacaw


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 05 октября 2019 21:36
· Личное сообщение · #9

Voluptas

спс, там вроде бы баг с логом был, нужно пересобрать с другим способом вывода. мб завтра соберу.

По теме кстати копался в драйверах, есть общий способ положить в синь системные плагины. Простейшая рейскд атака:

Code:
  1.          STRONGOD
  2. fengyue0+0x5140:
  3. b19f8140 c70000000000      mov dword ptr [eax],0  ds:0023:00403000=????????
  4.  
  5.          PHANTOM
  6. extrem+0xa03:
  7. f7beca03 c70000000000      mov dword ptr [eax],0  ds:0023:00403000=????????
  8.  
  9.          TITANHIDE
  10. TitanHide+0x16d6:
  11. b19e26d6 c70300000000      mov dword ptr [ebx],0  ds:0023:00330000=????????


Я только эти посмотрел, с драйверами плагинов не много.. такое впечатление что их клепали по какому то шаблону

c834_05.10.2019_EXELAB.rU.tgz - rc.7z

-----
vx




Ранг: 1.3 (гость), 2thx
Активность: 0.02=0.02
Статус: Участник

Создано: 05 октября 2019 22:20
· Личное сообщение · #10

difexacaw где можно почитать про рейскд атаки?

Добавлено спустя 11 минут
difexacaw
https://i.imgur.com/AfJpJWS.png а я то думала, что шумит




Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

Создано: 10 октября 2019 03:24
· Личное сообщение · #11

Voluptas
Вероятно, инде имел в виду race condition.
--> Состояние гонки (англ. race condition) <--

-----
EnJoy!





Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 10 октября 2019 07:02
· Личное сообщение · #12

уронить можно всё, что угодно. Но клиенсткий софт должен работать, это ключевой момент.




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 12 октября 2019 06:34
· Личное сообщение · #13

Gideon Vi

Грамотно написанная обработка не уязвима, как например сервисы нт - для них синхроатака бесполезна, так как до начала обработки отключается APC(останов потоков). А обработка как в этих поделках просто жесть, так беграмотно заколхожено..

-----
vx




Ранг: 1.3 (гость), 2thx
Активность: 0.02=0.02
Статус: Участник

Создано: 17 октября 2019 15:56
· Личное сообщение · #14

Jupiter как это можно повторить в коде?



Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

Создано: 17 октября 2019 19:32
· Личное сообщение · #15

когда уже увидим релиз кряк ми ?




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 17 октября 2019 20:16
· Личное сообщение · #16

SDK

Когда появится возможность отладки на 10-ке. И когда я найду полноценное решение по этой задаче --> Link <--

Иначе нет смысла что либо собирать - юзер отладчиком теневые вызовы пройти нельзя, но визоры всё это проходят с парой фиксов. Или что бы сняли активость всё через туже XM. В отличие от твоего крэкми" мне интересно сделать по нормальному, а не поксорить ветвление и тп, такое уг никому не интересно.

-----
vx


| Сообщение посчитали полезным: SDK

Ранг: 28.5 (посетитель), 8thx
Активность: 0.070.15
Статус: Участник

Создано: 29 октября 2019 08:17
· Личное сообщение · #17

Обновление по теме есть?



Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

Создано: 29 октября 2019 21:23
· Личное сообщение · #18

galenkane пишет:
Обновление по теме есть?

а сами поучаствовать в написании крекми не хотите ?
может у вас интересное есть что то поковырять на пол часика?



Ранг: 28.5 (посетитель), 8thx
Активность: 0.070.15
Статус: Участник

Создано: 30 октября 2019 07:17
· Личное сообщение · #19

SDK вмп



Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

Создано: 30 октября 2019 08:25
· Личное сообщение · #20

galenkane пишет:
вмп

можно



Ранг: 28.5 (посетитель), 8thx
Активность: 0.070.15
Статус: Участник

Создано: 30 октября 2019 08:41
· Личное сообщение · #21

решил потестить cb.exe
win 7, x64

Setup.RPL 0x3
Setup.RPLDF
Setup.PeGetNativeBase 0x77B30000
NtGateInit.PTR 0x77B4FF76
NtGateInit.NTX
Setup.NtGateInit 0x77B4FF76
Setup.ENV 0x00220000
Setup.NTCRC 0x2144DF1C
Setup.TLS 0x00250000
Setup.TsGet 0x00250000
TmInit.TmCreateTimer 0x0
TmInit.TmSetTimer 0x0
TmInit.TmAccessFile 0x0
TmInit.TmAccessFile 0x0
TmInit.TmNewObject 0x0
Setup.StkTrap 0xC0000353 STKCRC 0xBADC0DE
Setup.Key 0xE144DC4F
NtReTree.PeMapView 0x40000003
NtReTree.NTQUERY 0x0
NtReTree.NtTree 0x1A4
NtReTree.NTUNMAP 0x0
Setup.STKCRC 0xBADC0DE
Setup.NtReTree 0x1A4
Setup.TrIsDebug 0xC0000353
Setup.Key 0x5E21FF15
Setup.TmQueryTimer 0x0
WsGet 0x73EA51E3 0x5632AEDF
WsGet 0x77B5F1E3 0x84C05E40
WsGet 0x73E221E3 0xA22330FB
Setup.WsGet 0x673C0E37
Setup.STKCRC 0xBADC0DE
Setup.WsCrc2Key 0xE6D7C8BA
Setup.STKCRC 0xBADC0DE
Setup.WOW
Setup.GS 0x0
Setup.STKCRC 0xBADC0DE
WwQueryGate.WwGetImage 0x0
WwQueryGate.WOW 0x73E20000 0x73E28000
WwQueryGate.WwGetGate 0x73E2271E
WwSetup.WwQueryGate 0x0
WwSetup.WwIsTurbo 0x0
Setup.WwSetup 0x0
Start.Setup 0x0




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 15 февраля 2020 22:03 · Поправил: difexacaw
· Личное сообщение · #22

Выяснилось следующее:

1. Селекторы нельзя изменять, поведение становится зависящим от планировщика и дескрипторного кэша; вот часть шедулера которая фактически неизменна Xp-10:

Code:
  1. ; Set base of compatibility mode TEB.
  2. ;
  3. ; N.B. The upper 32-bits of the compatibility mode TEB address are always
  4. ; zero.
  5. ;
  6.  
  7.         mov     eax, ThTeb[rsi]         ; compute compatibility mode TEB address
  8.         add     eax, CmThreadEnvironmentBlockOffset ;
  9.         mov     rcx, (PcGdt - PcPrcb)[rbx] ; get GDT base address
  10.         mov     KgdtBaseLow + KGDT64_R3_CMTEB[rcx], ax ; set CMTEB base address
  11.         shr     eax, 16                 ;
  12.         mov     KgdtBaseMiddle + KGDT64_R3_CMTEB[rcx], al ;
  13.         mov     KgdtBaseHigh + KGDT64_R3_CMTEB[rcx], ah   ;
  14.  
  15. ;
  16. ; If the user segment selectors have been changed, then reload them with
  17. ; their cannonical values.
  18. ;
  19. ; N.B. The following code depends on the values defined in ntamd64.w that
  20. ; can be loaded in ds, es, fs, and gs. In particular an "and" operation
  21. ; is used for the below comparison.
  22. ;
  23.  
  24.         mov     eax, ds                 ; compute sum of segment selectors
  25.         mov     ecx, es                 ;
  26.         and     eax, ecx                ;
  27.         mov     ecx, gs                 ;
  28.         and     eax, ecx                ;
  29.         cmp     ax, (KGDT64_R3_DATA or RPL_MASK) ; check if sum matches
  30.         je      short KiSC25            ; if e, sum matches expected value
  31.         mov     ecx, KGDT64_R3_DATA or RPL_MASK ; reload user segment selectors
  32.         mov     ds, ecx                 ;
  33.         mov     es, ecx                 ;
  34.  
  35. ;
  36. ; N.B. The following reload of the GS selector destroys the system MSR_GS_BASE
  37. ; register. Thus this sequence must be done with interrupt off.
  38. ;
  39.  
  40.         mov     eax, (PcSelf - PcPrcb)[rbx] ; get current PCR address
  41.         mov     edx, (PcSelf - PcPrcb + 4)[rbx] ;
  42.         cli                             ; disable interrupts
  43.         mov     gs, ecx                 ; reload GS segment selector
  44.         mov     ecx, MSR_GS_BASE        ; get GS base MSR number
  45.         wrmsr                           ; write system PCR base address
  46.         sti                             ; enable interrupts
  47. KiSC25: mov     eax, KGDT64_R3_CMTEB or RPL_MASK ; reload FS segment selector
  48.         mov     fs, eax                 ;
  49.         mov     eax, ThTeb[rsi]         ; get low part of user TEB address
  50.         mov     edx, ThTeb + 4[rsi]     ; get high part of user TEB address
  51.         mov     (PcTeb - PcPrcb)[rbx], eax ; set user TEB address in PCR
  52.         mov     (PcTeb - PcPrcb + 4)[rbx], edx ;
  53.         mov     ecx, MSR_GS_SWAP        ; get GS base swap MSR number
  54.         wrmsr                           ; write user TEB base address


2. Перед вызовом syscall необходимо выполнить xchg rsp,r14
3. После возврата из сервиса необходимо перезагрузить SS.
4. По дефолту для GS дескрипторный кэш не обновлён.

Если это не сделать, возникнет анстаб при переключениях compat <=> legacy.

-----
vx




Ранг: -4.9 (нарушитель), 1thx
Активность: 0.07=0.07
Статус: Участник

Создано: 16 февраля 2020 19:05
· Личное сообщение · #23

ну что давай какой нибудь свежий крек ми анпакми с хитрой антиотладкой чтоб мозги поразмять difexacaw
а то скучно сидим.


<< . 1 . 2 . 3 .
 eXeL@B —› Крэки, обсуждения —› Крякми.
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати