Сейчас на форуме: _MBK_, Adler (+6 невидимых)

 eXeL@B —› Вопросы новичков —› Реверс HTTP бота
Посл.ответ Сообщение

Ранг: 3.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 16 сентября 2011 20:09
· Личное сообщение · #1

Добрый день.
Я начинающий в реверсе, но требуется реверснуть HTTP бота, который стучит на определенный софт, а надо этот сайт изменить на другой.
Какими средствами и с чего стоит начать? (что пригодиться, что требуется знать)



Ранг: 65.3 (постоянный), 10thx
Активность: 0.020
Статус: Участник

Создано: 16 сентября 2011 22:18
· Личное сообщение · #2

Если повезет, можно просто попробовать найти в коде URL и изменить его. Если новый URL не длиннее.
А в общем случае, надо узнать, чем защищена программа (если защищена), в каких местах использует адрес сервера и подправить - либо адрес, либо логику его получения.
Вообще, можно обернуть программу другой, которая подменит вызов того же gethostbyname или что там используется, и бот будет думать, что общается со своим URL-ом, а по факту - с нужным вам.
В первом случае потребуется HEX-редактор
Во втором случае - стандартный набор в стиле Peid/DiE, Olly/IDA/..., если нужно - анпакер/анпротектор для автораспаковки или imprec, lordpe и прочие для ручной распаковки.
В третьем случае - среда программирования и понимание о том, как подменять вызовы.



Ранг: 3.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 16 сентября 2011 22:28
· Личное сообщение · #3

URL не храниться в открытом доступе, а шифрован в Base64 & XOR.
Вызов происходит через gethostbyname, как вы и отписали
Вообще, я только новичек в этом, но хочу покопать и найти, что да как.
В HEX не видно не строчки, в которых как я понял находиться URL до сайта.
Ничем не упаковано.




Ранг: 462.8 (мудрец), 468thx
Активность: 0.280
Статус: Участник
Only One!

Создано: 16 сентября 2011 22:43
· Личное сообщение · #4

iLnes пишет:
URL не храниться в открытом доступе, а шифрован в Base64 & XOR.

Если ты уже это знаешь, отлавливай момент расшифровки URL в дебагере, трассируй способ шифровки.. потом шифруй URL .. тем же способом и патч его в программу...
Примерно так

-----
aLL rIGHTS rEVERSED!





Ранг: 527.7 (!), 381thx
Активность: 0.160.09
Статус: Участник
Победитель турнира 2010

Создано: 16 сентября 2011 22:54
· Личное сообщение · #5

Снифать и фидлером подменять. Скрипты в фидлере песня.

-----
127.0.0.1, sweet 127.0.0.1




Ранг: 3.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 16 сентября 2011 22:59
· Личное сообщение · #6

OnLyOnE пишет:
Если ты уже это знаешь, отлавливай момент расшифровки URL в дебагере, трассируй способ шифровки.. потом шифруй URL .. тем же способом и патч его в программу...

Не подскажите, чем лучше отлавливать момент шифровки, а так же как потом шифровать?) Просто написать патч, который уже будет шифровать и изменять?




Ранг: 462.8 (мудрец), 468thx
Активность: 0.280
Статус: Участник
Only One!

Создано: 16 сентября 2011 23:32
· Личное сообщение · #7

iLnes пишет:
Не подскажите, чем лучше отлавливать момент шифровки, а так же как потом шифровать?) Просто написать патч, который уже будет шифровать и изменять?

Отлавливать момент расшифровки (незнаю как более подробно объяснить) в буфере (стеке).. разобрав алгоритм шифрования написать на любом доступном для вас языке программирования программу которая будет шифровать ваш URL и затем байты URL (пошифрованные) пропатчить в самой прогамме по офсету "старого" URL...
Приблизительно так..

-----
aLL rIGHTS rEVERSED!




Ранг: 310.8 (мудрец), 29thx
Активность: 0.430
Статус: Участник

Создано: 16 сентября 2011 23:41
· Личное сообщение · #8

iLnes
Не подскажите, чем лучше отлавливать момент шифровки
Тебе уже сказали : отладчиком. Ollydebug например. Только с твоими знаниями рановато еще боты реверсить. Base64 и XOR примитвные алгоритмы и программируются элементарно. Существуют готовые реализации. Твой вопрос поэтому говорит о том, что про алгоритм шифровки ты или прочел где-то или тебе подсказали. Ты тратишь зря свое и наше время.



Ранг: 3.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 17 сентября 2011 00:14
· Личное сообщение · #9

Я учусь.
Я думаю вы все учились этому, не родились же со знаниями.
Я благодарен вам всем, дальше буду ковырять сам.


 eXeL@B —› Вопросы новичков —› Реверс HTTP бота
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати