Русский / Russian English / Английский

Сейчас на форуме: Vicshann, maddmaks (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Вопросы новичков —› .NET спрятанные данныые
Посл.ответ Сообщение

Ранг: 8.3 (гость)
Статус: Участник

Создано: 21 июня 2019 14:12 · Поправил: droidische New!
Цитата · Личное сообщение · #1

Всем доброго дня.
имеется програмулина написанная на .NET. Софтина ставит в хранилище windows сертификат подписаный производителем. В процессе ковыряния кода был обнаружен модуль инсталляции сертификата. В этом модуле видно как работает процесс запроса серта. Но ковырянее далее не привело к нахождению строк с доменом, URLом.
В процессе изучения в логах было обнаружено что модули .NET подгружаются неким ядром. Исполняемый файл для запуска написан на .NET, либа с таким же именем есть, она тоже на .NET.
Как можно найти данный модуль чтоб расковырять?
Архив с софтиной (поправил линк)
--> Link <--

Ранг: 47.8 (посетитель)
Статус: Участник

Создано: 21 июня 2019 14:43 New!
Цитата · Личное сообщение · #2

droidische пишет:
В процессе ковыряния кода был обнаружен модуль инсталляции сертификата. В этом модуле видно как работает процесс запроса серта.

Побольше конкретики, где нашел, в каком файле и т.д. Там под сотню файлов, и штук 5 exe, что там как и откуда запускается черт ногу сломит.

Ранг: 251.0 (наставник)
Статус: Участник

Создано: 21 июня 2019 15:13 New!
Цитата · Личное сообщение · #3

droidische пишет:
не привело к нахождению строк с доменом, URLом

Если вопрос только в нахождении домена, почему бы не поснифать трафик?

| Сообщение посчитали полезным: difexacaw


Ранг: 8.3 (гость)
Статус: Участник

Создано: 21 июня 2019 20:45 · Поправил: droidische New!
Цитата · Личное сообщение · #4

Основное приложение PlaterraTerminal.exe, после его старта инитится все через Platerra.Terminal.BLL.Classes.AppInitializers.
Platerra.Terminal.BLL.dll содержит классы работы с сертификатами. Там как раз clsCertificate и описывает работу с сертификатами. В этом классе как раз происходит инсталляция серта.
clsCertificateInitializer производит инициализацию сертов. Но вот там нет проверки на валидность подписи серта.
Софтина при старте записывает в хранилище винды рутовый серт, затем после ввода ключа записывает серт от производителя. Если подсунуть другой серт, она его находит но признавать родным отказывается. Есть подозрение, что проверка подписи рутовым сертом проваливается. Если подсунуть рутовый серт ЦА от которого подписывается мой сертификат, софтина не признаёт его.
Вопрос в том, что рутовый серт не видно. Подозреваю зашит там же где и домены.
С доменами история такая:
Я запустил софтину на 2х разных ВМ и у меня 2 разных хоста. Хотелось бы вынуть все.


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 21 июня 2019 22:01 New!
Цитата · Личное сообщение · #5

droidische

Запустил я по вашей ссылке ZNetCom3.01_Setup.rar

Не нашёл я там никаких PlaterraTerminal.exe

Гадай сам

Ранг: 8.3 (гость)
Статус: Участник

Создано: 22 июня 2019 06:53 · Поправил: droidische New!
Цитата · Личное сообщение · #6

Вот это поворот, по линку не то что надо. Извиняйте. Залил проверил, все тут -> --> Link <--
Приложил лог приклада сюда.
После запуска PlaterraTerminal.exe стартует PlaterraTerminalService.exe который в свою очередь запускает PlaterraCmdClient.exe. В логи софтина пишет, что сгенеренный мно серт не валиден.
Поиск по стокам лога не привёл к нахождению кода.
Подскажите как его локализовать?
Я хочу на данный момент добиться
1. Чтоб сертификат генерируемый мной признавался софтиной как родной и она работала
2. Вынуть все возможные имена хостов к которым софтина обращается

Ранг: 68.4 (постоянный)
Статус: Участник

Создано: 22 июня 2019 20:45 · Поправил: sefkrd New!
Цитата · Личное сообщение · #7

droidische
Ты про это:

че умалчиваешь??


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 23 июня 2019 01:38 · Поправил: difexacaw New!
Цитата · Личное сообщение · #8

droidische

Проблема в том, что .net это вм/транслятор, те её нужно декомпилить что бы понять логику работы. Можно крутнуть автоматикой и достать всю активность апп, но в логе сложно будет разобраться из за размера, те же строки - их будет огромное число. По каким то апи нет смысла снимать лог. В этом случае норм способ это слушать обмен каким то снифером, как вам сразу и сказали. Задача слишком абстрактна", что бы это решить инструментами для анализа апп. В любом случае придётся декомпилить, даже если инструменты найдут нужную активность. Я к примеру не вижу даже с чего начать.

Ранг: 8.3 (гость)
Статус: Участник

Создано: 23 июня 2019 07:25 New!
Цитата · Личное сообщение · #9

sefkrd пишет:
Ты про это:
че умалчиваешь??

Схема Бд лежит папке с прикладом. SQL Express сервер. приклад его пользует для хранения настроек и активного хоста на котором производить получение серта.
С сертами разобрался. Они лежат в хранилище Windows со всеми вытекающими. Помимо этого приклад ищет определённые строки в dn и опять они скрыты.

difexacaw пишет:
Проблема в том, что .net это вм/транслятор, те её нужно декомпилить что бы понять логику работы.

Я все вгрузил в dnSpy, вроде он декомпилит. Пытался там найти строки. Искал строки просто в бинарных файлах. Нигде не обнаружил.

Ранг: 324.7 (мудрец)
Статус: Участник
ILSpector Team

Создано: 23 июня 2019 22:33 New!
Цитата · Личное сообщение · #10

А зечем вообще игры с сертификатом то. Что в итоге ты хочешь? Регистрация на себя? Чего?

Ранг: 8.3 (гость)
Статус: Участник

Создано: 25 июня 2019 14:10 New!
Цитата · Личное сообщение · #11

Регистрация на себя не требует замены сертификата.
Можно импортировать новый серт и софтина принимает его.
Хочу получить возможность сменить домены на себя, ЦАшный серт залить свой. те банально кастомизировать софт под себя и попутно разобраться в алгортме проверки сертификата на валидность.
Ибо как я заметил по логу проверятеся dn, кто выпустил, мозожно что-то ещё.

Ранг: 324.7 (мудрец)
Статус: Участник
ILSpector Team

Создано: 25 июня 2019 18:16 New!
Цитата · Личное сообщение · #12

Для начала убери ее из гака
 eXeL@B —› Вопросы новичков —› .NET спрятанные данныые

Видеокурс ВЗЛОМ