The purpose of the contest is to demonstrate good knowledge in analysis of executable files for Microsoft Windows.
The contestants will be offered to generate a code that will successfully pass validation in a specially prepared program. The program verifies three different codes. It is possible to enter another code after successful validation of the previous one.

Tasks downloaded here. Responses should be sent by mail best2013re best2013re@phdays.com

Проходило 23-24 мая 2013, результатов не видел, но вероятно уже закончилось.
Приложение 64-бит PE на QT размером под 10 метров. Сначало попросило ДЛЛ, а потом упало с исключением. Дальше смотреть отпала охота.

PS: Посмотрел онлайн трансляцию награждения, победителя в конкурсе нет и конкурс продлен.
#BestReverser challenge at #PHDays III still unsolved. Challenge extended to 23:59:59 May 31, 2013 GMT

Интересней была задача в рамках проводимого там-же финала одноименного CTF.

--> Link <--

Опять всеми любимая ВМ (куда без нее). Написал декомпиль для 1го слоя, но оказалось, что вторым слоем фактически еще одна ВМ - машина Тьюринга. Пока не свернул =(. Самая большая сложность во внутреннем "менеджере памяти" со страницами по 16 байт и обратным следованием страниц, что не дает возможности нормально осмыслить содержимое памяти ВМ.

У кого есть интерес, свободное время и левел +++ - welcome.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: r_e, mak, neomant

-Алана- с финала CTF добил.
Ужоснах, теперь ленту машины тьюринга могу в голове гонять.
Файл по ссылке выше скачан 10 раз. У кого какие успехи??

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Я думаю он скачан только интереса ради. =)
А тебе респект и уважуха.

-----
старый пень

| Сообщение посчитали полезным:

Пока разбираю первый слой, пишу дизасм. На менеджер памяти можно не обращать внимания.
При желании можно пропатчить инициализацию менеджера и получим обычную плоскую модель в 64 кБ.

Дописал дизассемблер. Назначение команд с опкодами 1, 2 и 3 пока не совсем понятно. В аттаче исходник памяти виртуальной.

c114_09.06.2013_EXELAB.rU.tgz - alan.txt

Как вариант, слишком чтоб не заморачиавться можно пропатчить:

На

-----
Следуй за белым кроликом

| Сообщение посчитали полезным:

neomant пишет:
можно пропатчить

Задание с контеста и цель не получить сообщение, а иметь номер (пароль\флаг). Так можно было бы вообще сразу на входе виртуальной машины объявить начало ленты пикода со смещением 5E8h и получить
Oh, hi, Alan! Glad to see you!

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: neomant

OKOB пишет:
Задание с контеста и цель не получить сообщение, а иметь номер (пароль\флаг).

Прекрасно это понимаю. Сворачиваю первый слой, времени уходит туева хуча.

-----
Следуй за белым кроликом

| Сообщение посчитали полезным:

neomant пишет:
Сворачиваю первый слой, времени уходит туева хуча

Руками что-ли? Глядя на приведенные куски, то готов декомпиль для ВМ.



-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Да, ручками. Сначала помучаюсь, декомпиль потом обсудим.

Думаю, что не поняли друг друга. Есть дизассемблер пи-кода.
Декомпилирую ВМ асм в си руками. Или есть технологии типа Хекс-рейса и я о них элементарно не знаю?

0614 вызов микрокода машины Тьюринга
06C0 распаковка данных для машины
084C исполнение микрокода
09D0 упаковка данных

Визуально видно, что первая операция микрокода - это NOT.
Для остальных похоже придётся разбирать микрокод.

Пока решил повременить с разбором машины Тьюринга, пошёл другим путём.
Подаю на вход образец, снимаю выход, сопоставляю и пытаюсь угадать операцию.
Вторая (0340) - это ROR 1.
Третью (03A0) пока не опознал, но видно, что она работает с тетрадами и можно построить таблицу переходов из 16 значений.

Итак имеем:

Какая-то логика в заменах наблюдается, но разбирать её уже лень.
В конечном итоге результат получится тем же, а времени будет затрачено больше.
Да и таблицы замен по 16 значений, небольшие.
Осталось прокрутить оригинальное значение в обратную сторону и получим ключ.
Этим и займусь, уже завтра.

Немного смутил ROR, он не совсем обычный. Перенос происходит не в следующий байт, а в предыдущий.
В основном доволен, поимел удовольствие. Ключ постить?

-----
Следуй за белым кроликом

| Сообщение посчитали полезным:

neomant пишет:
Ключ постить?
нет

| Сообщение посчитали полезным:

#PHDays III #BestReverser callenge is over. Winners are:
1: @AV1ct0r,
2: @VMS11 + Litvinov Denis,
3: @cherepanov74.
Congratulations!

http://nightsite.info/blog/10431-phdays-iii-2013-best-reverser-solution.html

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Почитал запись победиля в блоге. Да... нету слов. Чувак красавец.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Да... нету слов. Чувак красавец.
Присоединяюсь!

Тут вот почитал новости с PHDays: наткнулся вот на что --> Link <--
Наибольший интерес участников вызвало задание на факторизацию RSA 512 бит. Для ее решения победителю конкурса участнику Karim из команды Bushwhackers потребовалось 190 процессорных часов CPU на 20 CPU Intel XEON по 32 потока каждый. Отметим, что Karim стал единственным, кому удалось решить данное задание.
Надо будет его попросить за пивко...

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

А что ты его просить-то собрался? Если тут и так был топик по бруту 512 битов рса в софте.

| Сообщение посчитали полезным:

Archer пишет:
Если тут и так был топик по бруту 512 битов рса в софте.
Я и не спорю, что был топик ) Помню...
Единственное, что запамятовал, так это время факторизации.... 190 часов - приемлимо...

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным: