eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: subword, parfetka (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› Eset Malware Researcher
. 1 . 2 . >>
Посл.ответ Сообщение


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 августа 2013 15:28 New!
Цитата · Личное сообщение · #1

Вроде интересно, сам ковыряю в свободное время, застрял на 2-ом файле, ну не знаток я криминального чтива в оригинале нужен пинок или озарение.

ссыль: http://www.joineset.com/researcher.html

| Сообщение посчитали полезным: =TS=, neomant, Alinator3500



Ранг: 988.8 (! ! !)
Статус: Участник

Создано: 22 августа 2013 16:27 · Поправил: reversecode New!
Цитата · Личное сообщение · #2

это конечно дикий оффтоп, но никогда не понимал компании которые ищут и нанимают только офигительных спецов с хорошими знаниями и умениями
тестируя претендетов и в хвост и в гриву,
но продукты у самих компаний ужасное г

| Сообщение посчитали полезным: theCollision



Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 августа 2013 16:30 New!
Цитата · Личное сообщение · #3

reversecode хах) ну не совсем уж г но в целом верно)


Ранг: 520.5 (!)
Статус: Участник
5KRT

Создано: 22 августа 2013 16:55 · Поправил: daFix New!
Цитата · Личное сообщение · #4

Hellspawn
Что-то я второй бинарь не могу анпакнуть. OEP, импорт восстанавливаю, но получаю "Ошибка при инициализации приложения (0xc000007b)"

Всё, справился с этим


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 августа 2013 17:05 New!
Цитата · Личное сообщение · #5

daFix я застопорился на втором файле, который в ресурсах, не могу его расшифровать.


Ранг: 315.6 (мудрец)
Статус: Участник
born to be evil

Создано: 22 августа 2013 17:31 New!
Цитата · Личное сообщение · #6

Hellspawn
битмап с "паролем" в 32 байта?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 августа 2013 17:38 New!
Цитата · Личное сообщение · #7

ajax там их 2 первый достать не проблема. второй сложнее, врядли там брут, скорее всего я не понимаю подсказку. ну и это конечно же не битмапы


Ранг: 315.6 (мудрец)
Статус: Участник
born to be evil

Создано: 22 августа 2013 17:47 New!
Цитата · Личное сообщение · #8

Hellspawn
один что-то через дотнет сервер, второй через malcho.dll, вроде так. в подсказки тоже не втыкаю


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 августа 2013 17:51 New!
Цитата · Личное сообщение · #9

ajax я думаю, что первый дотнетовский файл, без второго скорее всего бесполезен. я в нем поковырялся, там опять пайп и отложил его пока, думаю как дернуть второй.


Ранг: 69.5 (постоянный)
Статус: Участник

Создано: 22 августа 2013 17:55 · Поправил: Dr0p New!
Цитата · Личное сообщение · #10

Инде в этом говнице покопался, пруф http://vx.security-portal.cz/showthread.php?tid=116

Есно кому нужно эту погань полностью ресерчить. Аверы ебанутые!

Ранг: 366.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 22 августа 2013 18:09 New!
Цитата · Личное сообщение · #11

По-моему в секуроме интересней анекдоты читать
Code:
  1. Hidden part #1. Text picked from the following URL:
  2. * http://www.virusradar.com/en/Win32_Virut.E/description
  3. Hidden part #2. Text picked from the following URL:
  4. * http://www.virusradar.com/en/Win32_Ridnu.NAA/description
  5. Hidden part #3.
  6. Continue with the next ESET crackme here:
  7. http://www.joineset.com/download/bmV4dF9maWxl/crack_me_2.zip


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 августа 2013 18:12 New!
Цитата · Личное сообщение · #12

ELF_7719116 дальше трава стала забористее второй поинтереснее будет.

Ранг: 366.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 22 августа 2013 18:21 New!
Цитата · Личное сообщение · #13

Hellspawn
Уже в отладчике. Первичная информация: два файла(dll ?) должно быть в TEMP. Пароль к картинке (BMP) нужно подобрать? Еще какая-то MAHLO.DLL ...


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 августа 2013 18:23 New!
Цитата · Личное сообщение · #14

ELF_7719116
файла 2, к первому пароль есть, ко второму 2 подсказки. длл-ка должна содержать 1 функу в экспорте и возвращать в EAX указатель на пароль ко второму файлу

подсказки:
base64: Um95YWxlIHdpdGggQ2hlZXNl // Royale with Cheese
message: Hamburgers. The cornerstone of any nutritious breakfast!
string: 00425FFC 4C 65 20 42 69 67 20 4D 61 63 Le Big Mac

а уже как только не пробывал, в каких вариациях. нужно 20 байт для декрипта.
з.ы. фразы из фильма - криминальное чтиво

Dr0p
давайте без флуда, только по теме


Ранг: 69.5 (постоянный)
Статус: Участник

Создано: 22 августа 2013 18:25 · Поправил: Dr0p New!
Цитата · Личное сообщение · #15

Hellspawn

Пошутить низя чтоле. Тема раскрыта уже имхо. У меня сей шлак не завёлся.

Ранг: 366.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 22 августа 2013 18:27 · Поправил: ELF_7719116 New!
Цитата · Личное сообщение · #16

Pigs are filthy animals
I did it!


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 августа 2013 18:29 New!
Цитата · Личное сообщение · #17

ELF_7719116 шутка актуальна http://www.youtube.com/watch?v=ZA_Tl1kvlQU


Ранг: 69.5 (постоянный)
Статус: Участник

Создано: 22 августа 2013 18:36 New!
Цитата · Личное сообщение · #18

Во кста лодер с сабжем, мб кому надо.

{ Атач доступен только для участников форума } - Eset.zip


Ранг: 520.5 (!)
Статус: Участник
5KRT

Создано: 22 августа 2013 18:44 New!
Цитата · Личное сообщение · #19

ELF_7719116 пишет:
Pigs are filthy animals

Hellspawn пишет:
длл-ка должна содержать 1 функу в экспорте и возвращать в EAX указатель на пароль ко второму файлу


Не могу понять, MAHLO.DLL самому писать что-ли? Вроде всё перерыл, нету


Ранг: 315.6 (мудрец)
Статус: Участник
born to be evil

Создано: 22 августа 2013 18:48 · Поправил: ajax New!
Цитата · Личное сообщение · #20

daFix
ес-но
Hellspawn пишет:
нужно 20 байт для декрипта

UPX0:00404A3A mov ecx, 8
UPX0:00404A3F lea edi, [ebp+ThePassW]
UPX0:00404A47 rep movsd
8*4=32 ?

Flint
это необязательное условие. там вторая bmp с тем же aes-256, брутить килобайт даже на принтаблах, предположив http где-то внутри - жестко


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 22 августа 2013 19:32 New!
Цитата · Личное сообщение · #21

Там вместо bmp pipe-сервер на дотнете (EASTER EGG PIPE SERVER IS READY!). Первый файл читает из пайпа, сервер пишет в пайп строку Royale with Cheese. Первый файл сравнивает строку с Le Big Mac.

Сервер обфусцирован Obfuscar v1.0 - v2.X (дедотом снимается) , для тех кто не расшифровал:

{ Атач доступен только для участников форума } - EASTER EGG PIPE SERVER .exe


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 августа 2013 20:04 New!
Цитата · Личное сообщение · #22

ajax 0x20 конечно же)

Flint, нужен второй файлик


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 22 августа 2013 20:37 · Поправил: Flint New!
Цитата · Личное сообщение · #23

А никого не смущает такой блок шифрованных данных второго файла?


Имхо, это вообще не aes шифрование, похоже на банальный ксор с ключем ñ‰hÀ™‚Ê«×Æ¿@Y

Ранг: 35.7 (посетитель)
Статус: Участник

Создано: 22 августа 2013 21:14 New!
Цитата · Личное сообщение · #24

Все что делает программа это пишет в консоль и выходит. Нужно пропатчить что-то чтобы программа запустилась?

| Сообщение посчитали полезным: Dr0p



Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 22 августа 2013 21:17 · Поправил: Flint New!
Цитата · Личное сообщение · #25

Качайте сразу второе задание http://www.joineset.com/download/bmV4dF9maWxl/crack_me_2.zip


Ранг: 315.6 (мудрец)
Статус: Участник
born to be evil

Создано: 22 августа 2013 21:22 · Поправил: ajax New!
Цитата · Личное сообщение · #26

Flint
думал уже над блоком этим. мб какие уязвимости специально сделаны. аес по сути и есть ксор
блоки по 16 байт берутся

Hellspawn
черт его знает. один массив продекриптил, ничего дельного. да, сам видишь - никак пароль из него не берется
Code:
  1. .Vincent_VegaWaitForConnection_Callback: Exception OperationCanceledExceptionA.CCE2AC65C-F447-470B-8561-EBEA96B8C5D8Another instance is already running.iexploreRoyale with Cheese{0}{1}Le Big Mac{0}{1}L_000000030L_000000031L_000000032L_000000150L_000000160L_000000470L_000000480L_000000420L_000000430L_000000440L_000000450L_000000460L_000000490L_0000004A0L_0000000D0L_0000000E0L_0000000F0L_000000100L_000000530L_000000540L_000000110L_000000120L_000000130L_000000260L_000000400L_000000410L_000000270L_000000280L_000000290L_0000002A0L_0000002B0L_0000002C0L_0000002D0L_0000002E0L_000000300L_000000310L_000000390L_0000003A0L_000000330L_000000350L_0000004B0L_0000004D0L_0000004F0L_000000170L_000000180L_0000001A0L_0000001B0L_000000000L_000000010L_000000020L_000000080L_000000090L_0000000A0L_0000001D0L_0000003D0L_0000001F0L_000000230L_000000240L_000000250L_000000210L_0000000B0L_0000000CFL_000000370L_0000003B0L_0000003CFL_0000003E0L_0000003FFL_00000041FL_00000046FL_000000510L_000000550L_00000056FL_000000570L_000000140L_000000580Invalid argumentpictureBox1.ImagepictureBox1$this.IconEasterEggFormEaster Egg

из фраз ничего не увидел полезного


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 августа 2013 21:27 New!
Цитата · Личное сообщение · #27

ajax а дотненовский файлик, бесполезен чтоль? с трудом вериться. я все таки думаю, что пароль для второго файла фраза из фильма в base64 по аналогии с первой bmp..

пасхальный кролик... а можно картинку дернуть из дотнетовского файла.
внутри 2 картинки, кролик и яйцо http://rghost.ru/48301632


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 22 августа 2013 22:32 New!
Цитата · Личное сообщение · #28

нет в ней ничего


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 августа 2013 22:42 New!
Цитата · Личное сообщение · #29

Flint ещё одна есть с яйцом.



Ранг: 315.6 (мудрец)
Статус: Участник
born to be evil

Создано: 22 августа 2013 22:57 New!
Цитата · Личное сообщение · #30

если запустить дотнет сервер (exe), то как раз яйко будет иконкой проги, а кролик - на основной форме
. 1 . 2 . >>
 eXeL@B —› Основной форум —› Eset Malware Researcher

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS