IDA Pro 6.8 + All Decompilers Full Leak
https://mega.nz/#!3wsXSSqR!hDLuTpwk4jE8Wguwt-ohlyE_3ZlxOfZ4MX_TpN048K8
http://forum.exetools.com/showthread.php?t=17269

Релиз дистрибутивов из компаний, занимающихся безопасностью (APTguy, IDA 6.1 OS X, IDA 5.7 linux):
New IDA, please (re)distribute ASAP:
http://pastebin.com/r8fA3Vta
Ссылка больше не работает. Релиз можно найти в Google по ключевым словам: apt-surprise ida
Пароль: APT-APT_fuck_the_world_security!

От модератора: для особо непонятливых вынесено отдельно: не надо здесь канючить новые версии, как будут, так и появятся, персонально их вам никто не выкатит

| Сообщение посчитали полезным:

все, разобрался
из за того что ключа нет, не сохраняется в idb базу информация о idainfo стутруктуре
тоесть тип процессора итд
все это в ida.wll

вариант 1)
или нужно заполнить фейком $ user1
привожу нужное место, дальше сами))

add лучше все таки сразу вариант2


или
вариант 2) запатчить проверку $user1 что бы сохранялась инфо, тоесть потереть if-ы

потерет три последних if-a, на nop-ы



ps никто не хочет md5 на cuda покрутить?
очень инетересно что там за строка под тем хешем unk_1011D958

| Сообщение посчитали полезным: 4kusNick

r_e пишет:
Она работает с Intel/Motorola без проблем.
В таком случае в чем затык? Если все соответствует спецификации?
Как задизассмить файл?

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

ида диззасемблирует hex прошивки если они соответствуют требованиям и всписке сигнатур есть нужный проц.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

reversecode
пропатчил по твоему методу - теперь просто датабэйз корруптед

у кого есть куда - запускайте барса с таким конфигом:
charset=aA0~
hash=fcae5fc8bae1104be126e5d1289a0a81

-----
SaNX

| Сообщение посчитали полезным:

ClockMan пишет:
ида диззасемблирует hex прошивки если они соответствуют требованиям и всписке сигнатур есть нужный проц.
Другими словами нужного проца нет в списке и прошивка не соответствует требованиям...
ARM проц не катить, ошибка на 38 линии..

OnLyOnE пишет:
Тип процессора - Intel® Xscale™ PXA 270 312 Mhz
Какой из списка иды соответствует данному типу процессора?

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

SaNX
ну я думал остальные ограничения все уже и так поснимали?)
оставалось только сохранение

ida.wll

.text:100E0320 xor eax,eax retn
датабейс корруптед убрать

.text:10014360 mov eax,1 retn
что бы idc можно было дампить, а так же другие форматы asm lst итд, все что завязаны за лицензией

ps я 6.1 все равно пользоватся не буду, у меня вся линейка демо 6.0, 6.1 глючит, виснет "иногда" при загрузке анализа файлов

SaNX пишет:
у кого есть куда - запускайте барса с таким конфигом:
charset=aA0~
hash=fcae5fc8bae1104be126e5d1289a0a81

там вроде хеш поболее будет
224 dw

add можно сделать проще, у кого лицензионная 6.0 или 6.1
скажите какая там строка хешится в md5 для сравнения
.text:100E0320 в функцию сразу приходит char *

| Сообщение посчитали полезным:

reversecode пишет:
там вроде хеш поболее будет
md5 бывает больше 16 байт?

-----
SaNX

| Сообщение посчитали полезным:

SaNX
)) вот это я туплю
точно
там несколько наборов md5 блоков
которые проверяются после хеша строки

тогда я думаю, зная примерно хотя бы одной строки
можно будет понять ихнюю вариацию

вполне возможно что там серийники лицензии, утекшие на паблик
но я не уверен

| Сообщение посчитали полезным:

Эти md5 - черный список. Если грузить в 6.0 idb от 5 ломаной версии то она ругается на то что не будет грузить базы от пиратской версии.

| Сообщение посчитали полезным:

reversecode пишет:
.text:100E0320 xor eax,eax retn
датабейс корруптед убрать
не помогает

выложите уже ктонить нормально пропатченный файл

-----
SaNX

| Сообщение посчитали полезным:

Veliant пишет:
Эти md5 - черный список. Если грузить в 6.0 idb от 5 ломаной версии то она ругается на то что не будет грузить базы от пиратской версии.
это понятно, но мне интересен формат строки
это лицензия? xx-xxxx-xxxx-xx ? что там за строка входит в md5 генерацию?

что ни у кого сохранение не заработало?
ajax?

| Сообщение посчитали полезным:

Как понимаю xx-xxxx-xxxx-xx и есть id-шники, но смысловой нагрузки не несут. Но md5 берется от всех текстовых строк в ключе кроме тех что после S:

| Сообщение посчитали полезным:

reversecode пишет:
ps никто не хочет md5 на cuda покрутить? очень инетересно что там за строка под тем хешем unk_1011D958
Там несколько хэшей от имен юзеров на которых зареганы иды, которые утекли в паблик.
что ни у кого сохранение не заработало?
У мну - нет, хотя с тобой одной дорогой вродь идем...

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

а кто хорошо знает RSA?
насколько я помню, то ключ которым можно дешифровать
им же можно и зашифровать
функция одна и таже, только експонента и ключ меняются местами

в ida вроде ключ для дешифровки, вот только с rsa не совсем понятно
она стандартная? может кто знает исходный код открытой реализации именно этого варианта что в Ida?

| Сообщение посчитали полезным:

РСА асимметричен, и местами там числа не меняются. По открытому ключу закрытый не узнаешь при должной длине ключа.

| Сообщение посчитали полезным:

открытым ключем можно только шифровать
но ida то дешифрует из хеша, значит в ней уже закрытый ключ?
а значит можно и обратную операцию провести тем же ключем?

ajax пишет:
У мну - нет
хм, вечерком перепроверю у себя еще значит
но место где сохраняется в базу инфо, уже найдено
попробуй от него оттолкнутся

ajax пишет:
В данном случае шифруется закрытым. А в ней самой - открытый.
%) видимо я чего то не понимаю в rsa
я считал что публичный ключ раздается всем для шифрования, и дешифровать им нельзя
а вот приватным ключем дешифруют и читают то что зашифрованое
и приватным же ключем можно и шифровать

| Сообщение посчитали полезным:

В данном случае шифруется закрытым. А в ней самой - открытый.

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

SaNX пишет:
reversecode пишет:
.text:100E0320 xor eax,eax retn
датабейс корруптед убрать
не помогает
sub_100E0480
mov eax,1 retn

залейте патченые куда то на шару, кто уже все пропатчит и загрузка заработает
я со своим тырнетом не смогу залить

| Сообщение посчитали полезным:

reversecode
.text:100E0480 mov eax, [esp+arg_4]
.text:100E0484 push esi
.text:100E0485 mov esi, [esp+4+arg_0]
.text:100E0489 push 0
.text:100E048B push offset RSA_N
.text:100E0490 push offset RSA_E
Тут патчил по-другому, внутри вызываемой процедуры. Этот код вызывается при просмотре хеадера (мд5, лайсенсед ту, итп) продизасмленного. База сохраняется, но без проца.

> я считал что публичный ключ раздается всем для шифрования, и дешифровать им нельзя
> а вот приватным ключем дешифруют и читают то что зашифрованое и приватным же ключем можно и шифровать
Это для схемы обмена мессагами. Для цифроподписи делается декрипт приватом, а при проверке енкрипт пабликом. Как-то так

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax
что бы проц сохранялся в базе
патчишь три последних if-а, на NOP в sub_1006A520
пост выше, где листинг этой процедуры смотри

| Сообщение посчитали полезным:

--> вкусняшка <--

Восстановлен оригинальный idaq.exe, пропатчен IDA.WLL. Следил за релоками, поэтому должно работать
и на семёрке с вистой. Потестите

-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет:
Восстановлен оригинальный idaq.exe, пропатчен IDA.WLL. Следил за релоками, поэтому должно работать
и на семёрке с вистой. Потестите
Показал пару окон начальных и вылетел. До окна выбора файла или главного даже не дошел


Да 7ка 64бит.

| Сообщение посчитали полезным:

убитую китайцами первую процедуру лучше восстановить, ебаут все таки приятно
а релоки не использовать вообще
xor_key и isregd нужно запатчить сразу в ida.wll
что бы из под ксор буффера сразу _idainit заполнялся
ну а дальше там по мелочам

| Сообщение посчитали полезным:

.

| Сообщение посчитали полезным:

http://rghost.ru/10616471
мой вариант, но я себе много оставил для отловли самого формата key и что там куда заполняется
но в целом должно работать на всех win
key файл тоже обязательный

add license.txt тоже обязательный) патчить было лень. там одна процедура если кому это окно надоест
хотя это окно должно исчезать после accept, и в реестре взводится нужный флаг, но реестр чист, ибо ида портеибл а не инсталирована

add нужно занопить ida.wll с .text:100B450C до .text:100B453C
что бы небыло "The processor module is prohibited by the key" на процессорах отличных от x86

| Сообщение посчитали полезным:

reversecode пишет:
убитую китайцами первую процедуру лучше восстановить, ебаут все таки приятно
Восстановил ведь. xor_key и isregd восстанавливаю в ida.wll в get_license_info, где эти флаги и должны
возводиться. idaq.exe сейчас полностью в оригинальном состоянии, как до китайцев.
Хотя конечно может быть не весь код, запатченный ими удалось найти.

Veliant
Семёрка?

Отпишитесь у кого какая система, и как работает.
Удалите все старые базы, создайте новые, попробуйте их открыть.
Кстати, создайте файл license.txt. После эбаута, айда показывает содержимое файла


ADDED1: *Тут был тупняк*
ADDED2: Какой-то добряк уже успел оставить коментарии на rghost. Потролить кому-то неимётся

-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет:
get_license_info, где эти флаги и должны
возводиться
зачем?) их можно сразу на месте где они используются указать
в процедуре которая _idainit скрипт выполняет

кстати а что там под ксор буффером?что бы лишний раз ольку не грузить

daFix пишет:
ADDED1: Блин, забыл сказать чтобы кинули key файл от версии 5.5
у них форматы абсолютно разные

| Сообщение посчитали полезным:

До


После


Слово test и несколько dword-ов

-----
Research For Food

| Сообщение посчитали полезным:

Пробуйте мою сборку

http://rghost.ru/10619091

Сохранение базы пропатчил по методу reversecode

| Сообщение посчитали полезным: vptrlx

Несу тупняк, ключ не нужен

-----
Research For Food

| Сообщение посчитали полезным: