Русский / Russian English / Английский

Сейчас на форуме: rmn, morgot
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› keygenme 0x01
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: 220.9 (наставник)
Статус: Участник

Создано: 9 апреля 2014 20:33 · Поправил: void New!
Цитата · Личное сообщение · #1

Делать было нечего, набросал небольшой кейгенми. У кого время будет можете глянуть.
Сложность 2/10. Ничем не запакован.
Вирустотал(6 / 50), пищит всякий шлак на энтропию файла.
Проверял на Win 8.1 x64, WinXP x86. Сталобыть на всем остальном тоже работает.

{ Атач доступен только для участников форума } - keygenme0x01.7z


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 10 апреля 2014 08:34 New!
Цитата · Личное сообщение · #2

Писал с учетом ASLR, т.к. он у меня отключен решил, что база может быть динамичной, но после того как включил его для теста, то оказалось, что база не меняется. Ну вобщем-то лежит у меня более универсальный кейген, но т.к. он тут не нужен, то вбил значение константой.

{ Атач доступен только для участников форума } - void_keygen.7z

| Сообщение посчитали полезным: void


Ранг: 220.9 (наставник)
Статус: Участник

Создано: 10 апреля 2014 16:36 New!
Цитата · Личное сообщение · #3

BoRoV
Ай маладца, быстро разобрал. Выноси вердикт


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 10 апреля 2014 17:01 · Поправил: BoRoV New!
Цитата · Личное сообщение · #4

Забавный, неплохо провел 4 часа. Сперва хотел писать интерпретатор, но потом плюнул, т.к. это частный случай и было заявлено что сложность небольшая, потому решил, что и головы хватит для интерпретации.
А так да, несложная реализация мейнстримовой технологии защиты кода

Ранг: 220.9 (наставник)
Статус: Участник

Создано: 10 апреля 2014 18:30 New!
Цитата · Личное сообщение · #5

BoRoV пишет:
решил, что и головы хватит для интерпретации.

Сильно мудрить не стал, самому хватило пары листков бумаги и вечер чтобы продумать основу.
А сам ключген на асме у меня вышел строчек в 20 кода

Ранг: 301.0 (мудрец)
Статус: Участник

Создано: 10 апреля 2014 18:35 · Поправил: Veliant New!
Цитата · Личное сообщение · #6

Заморочился, написал дизасм для кода виртуальной машины.. на выходе следующее.
http://pastebin.com/XTu7N1qq
http://pastebin.com/sfPizhRa (оно же с x86 регистрами)

Сам то алго не сложный для генерации.

Люблю кейгенми на основе ВМ, время убивают хорошо)

P.S.
можно было разбавить пикод мусорными командами для усложнения анализа

| Сообщение посчитали полезным: void



Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 10 апреля 2014 18:39 New!
Цитата · Личное сообщение · #7

void пишет:
А сам ключген на асме у меня вышел строчек в 20 кода

Я тоже посмотрел свой в ольке, тоже на строчек 20.

Ранг: 220.9 (наставник)
Статус: Участник

Создано: 10 апреля 2014 18:50 New!
Цитата · Личное сообщение · #8

Veliant
Браво. Алго полностью соответствует моему.

Veliant пишет:
Сам то алго не сложный для генерации.

Поэтому сложность 2\10

Veliant пишет:
можно было разбавить пикод мусорными командами для усложнения анализа

Думал над этим, но стало лень. А если бы занялся генератором треша, то алго увеличился бы раз в 5, это точно. Тогда бы мало кто захотел полностью решить данный кейгенми

Ранг: 220.9 (наставник)
Статус: Участник

Создано: 22 декабря 2019 23:00 New!
Цитата · Личное сообщение · #9

Нашел старые сорцы. Кому интересно, могут изучать

{ Атач доступен только для участников форума } - vm_keygenme.7z

| Сообщение посчитали полезным: HandMill, SReg, Orlyonok, ELF_7719116



Ранг: 327.4 (мудрец)
Статус: Участник

Создано: 22 декабря 2019 23:29 · Поправил: difexacaw New!
Цитата · Личное сообщение · #10

Надеюсь там проверка при запуске, до того как пройдёт такая же проверка после ввода. Иначе вся активность пойдёт в лог карты исполнения, визор выдаст в чистом виде весь ваш крипто-код.

Ранг: 148.0 (ветеран)
Статус: Участник

Создано: 22 декабря 2019 23:42 New!
Цитата · Личное сообщение · #11

difexacaw
Так где кейген-то? Или хотя бы чистый код алгоритма из-под визора?


Ранг: 327.4 (мудрец)
Статус: Участник

Создано: 22 декабря 2019 23:45 New!
Цитата · Личное сообщение · #12

rmn

Не понимаю о чём вы говорите. Что бы не дать автоматике сравнить две карты активности для этого нужно до ввода вызвать процедуру. Именно так сделал SDK, его семпл не прошла автоматика по этой причине, точнее она не нашла разницу в активности. Хотя он это и сделал не понимая данные вещи.

| Сообщение посчитали полезным: SDK


Ранг: 148.0 (ветеран)
Статус: Участник

Создано: 23 декабря 2019 01:48 New!
Цитата · Личное сообщение · #13

difexacaw пишет:
Не понимаю о чём вы говорите.

Я говорю о пруфцах же, ну. Если визорная автоматика щелкает виртуальные машины как орешки, тебе же не составит труда закопипастить сюда в чистом виде весь крипто-код вышеприведенного кейгенми? Да?

| Сообщение посчитали полезным: DimitarSerg, void



Ранг: 327.4 (мудрец)
Статус: Участник

Создано: 23 декабря 2019 02:21 · Поправил: difexacaw New!
Цитата · Личное сообщение · #14

rmn

--> Link <--
--> Link <--

Можно есчо сотни линков добыть. Но тут очень кривой поиск.

Если первый раз не будет проход по блоку, то в следующий раз он будет показан в логе. В результате будет короткий список ветвлений, которые выполняют вашу обработку. Тогда достаточно минуты что бы полистать код по полученным адресам и решить задачу.


Ранг: 235.9 (наставник)
Статус: Участник
radical

Создано: 23 декабря 2019 02:24 New!
Цитата · Личное сообщение · #15

difexacaw
И как эти ссылки относятся к вопросу ?

Ты продемонстрируешь код, который выполняется на ВМ или будешь и дальше на кривой поиск жаловаться ?

| Сообщение посчитали полезным: void



Ранг: 327.4 (мудрец)
Статус: Участник

Создано: 23 декабря 2019 02:27 · Поправил: difexacaw New!
Цитата · Личное сообщение · #16

DimitarSerg

А какая разница что в начинке, будут выделены места с обработкой в вм. Эти методы отличаются от привычной вам отладки

Добавлено спустя 20 минут
rmn

> Если визорная автоматика щелкает виртуальные машины как орешки

Кстати забыл про главное. Хоть десяток вм друг на друга наложи, всё равно останется исходная выборка. Это значит что данные в памяти не зависят от вм.

Ранг: 148.0 (ветеран)
Статус: Участник

Создано: 23 декабря 2019 02:53 New!
Цитата · Личное сообщение · #17

difexacaw пишет:
Хоть десяток вм друг на друга наложи, всё равно останется исходная выборка. Это значит что данные в памяти не зависят от вм.




Ранг: 327.4 (мудрец)
Статус: Участник

Создано: 23 декабря 2019 03:01 New!
Цитата · Личное сообщение · #18

rmn

У меня для тебя новость что данные не криптуются, потому что они выбираются ядром. Как ты не используй вм, в MsgBox передашь ссылку на строку. Этого обычно достаточно, но так же просто можно установить зависимости src-dst. Этик кейген/крэкми пишут исключительно школьники и неплохо над ними посмеялись.

Ранг: 148.0 (ветеран)
Статус: Участник

Создано: 23 декабря 2019 03:15 New!
Цитата · Личное сообщение · #19

difexacaw пишет:
Как ты не используй вм, в MsgBox передашь ссылку на строку. Этого обычно достаточно


Для чего достаточно? Задача же не в том, чтобы понять, какое сообщение будет в MsgBox при правильном ключе, а в том, чтобы изучить систему команд вм, алгоритм проверки ключа, записанный в этой системе команд и написать для него обратный алгоритм, который будет создавать валидные ключи.

difexacaw пишет:
достаточно минуты что бы полистать код по полученным адресам и решить задачу.

У тебя щас нет свободной минуты, чтобы решить задачу или че?


Ранг: 327.4 (мудрец)
Статус: Участник

Создано: 23 декабря 2019 03:19 New!
Цитата · Личное сообщение · #20

rmn

> чтобы изучить систему команд вм

Зачем её изучать, задача определить что код делает с данными и в частности выборку, я выше подчеркнул даже, а что из себя представляет код - нэйтив или куча вм не имеет значения, разве для вас может.

> У тебя щас нет свободной минуты

Нет, я пока напитки не допил

Ранг: 148.0 (ветеран)
Статус: Участник

Создано: 23 декабря 2019 03:27 New!
Цитата · Личное сообщение · #21

difexacaw пишет:
и в частности выборку

Ну, бля, увидел ты, что он сделал выборку серийника из памяти, загрузил его в регистры и дальше идет мегабайт мозгоебного ксора с константами и сдвигами. И как тебе визор поможет написать обратный алгоритм?


Ранг: 327.4 (мудрец)
Статус: Участник

Создано: 23 декабря 2019 12:04 New!
Цитата · Личное сообщение · #22

rmn

Карта исполнения даст ключевые места с обработкой в этих мегабайтах кода. Посмотрите примеры, тут где то были ссылки. Это надуманная сложность, практически нет никаких подобных проблем. Проверено на тысячах семплов.

Ранг: 220.9 (наставник)
Статус: Участник

Создано: 23 декабря 2019 12:12 New!
Цитата · Личное сообщение · #23

difexacaw пишет:
Это надуманная сложность, практически нет никаких подобных проблем.

Если это не представляет никаких проблем, тогда почему вы еще не представили сообществу полный разбор вм вмпротекта\фемиды через ваши визоры?


Ранг: 327.4 (мудрец)
Статус: Участник

Создано: 23 декабря 2019 12:22 New!
Цитата · Личное сообщение · #24

void

А зачем полный разбор или вообще какой то разбор, обычно нужно по быстрому место проверки найти. Реверс вирт машин это задротство, на это нужна куча времени и терпения. Что бы не просто найти какую то проверку, а выяснить алгоритм, тогда конечно нужен девирт.

Ранг: 220.9 (наставник)
Статус: Участник

Создано: 23 декабря 2019 12:28 New!
Цитата · Личное сообщение · #25

difexacaw пишет:
А зачем полный разбор или вообще какой то разбор, обычно нужно по быстрому место проверки найти.

К примеру с помощью ключа расшифровывается часть кода, которая ответственна за функционал фулл версии. А процедура расшифровки - это какая-либо математика. Я не говорю еще о том, что весь этот пикод будет обфусцирован. Чем в этом случае поможет визор?


Ранг: 327.4 (мудрец)
Статус: Участник

Создано: 23 декабря 2019 12:34 · Поправил: difexacaw New!
Цитата · Личное сообщение · #26

void

Он найдёт место вычисления. Так например было найдено место проверки пароля для иды. В том случае нельзя было решить, так как функция не обратима, только брут. Не помню была она чем то протекчена или нет, впрочем не имеет значения.

Ранг: 50.0 (постоянный)
Статус: Участник

Создано: 23 декабря 2019 13:49 New!
Цитата · Личное сообщение · #27

difexacaw пишет:
Он найдёт место вычисления.

Это 1% работы

Ранг: 405.7 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 23 декабря 2019 14:11 New!
Цитата · Личное сообщение · #28

void
Реальные регистры cpu не сохраняются/конвертируются в стек vm? vm отдельно от кода-родителя живет (кроме сейва stack pointer)?

Ранг: 220.9 (наставник)
Статус: Участник

Создано: 23 декабря 2019 14:44 New!
Цитата · Личное сообщение · #29

ELF_7719116 пишет:
Реальные регистры cpu не сохраняются/конвертируются в стек vm?

Если ты про кейгенми, то нет.
ELF_7719116 пишет:
vm отдельно от кода-родителя живет (кроме сейва stack pointer)?

Да. Код интерпретатора полностью базонезависимый.


Ранг: 327.4 (мудрец)
Статус: Участник

Создано: 23 декабря 2019 15:12 New!
Цитата · Личное сообщение · #30

spinz

> Это 1% работы

Определитесь, вам работать или решить.
. 1 . 2 . >>
 eXeL@B —› Основной форум —› keygenme 0x01

Видеокурс ВЗЛОМ