eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› Eset Malware Researcher
<< . 1 . 2 .
Посл.ответ Сообщение


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 августа 2013 15:28 New!
Цитата · Личное сообщение · #1

Вроде интересно, сам ковыряю в свободное время, застрял на 2-ом файле, ну не знаток я криминального чтива в оригинале нужен пинок или озарение.

ссыль: http://www.joineset.com/researcher.html

| Сообщение посчитали полезным: =TS=, neomant, Alinator3500



Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 августа 2013 22:59 New!
Цитата · Личное сообщение · #2

ajax не большевата для иконки то? все таки подсказку нужно искать в сервере.

а этот текст нормальное явление для студийных файлов?

Ранг: 105.8 (ветеран)
Статус: Участник

Создано: 23 августа 2013 11:23 New!
Цитата · Личное сообщение · #3

Hellspawn пишет:
а этот текст нормальное явление для студийных файлов?


это строчки в base64, каждый байт похорен на 1

Code:
  1. ------------------------------------------------------
  2. RURJVA== (EDIT)
  3. ------------------------------------------------------
  4. dXNlcjMyLmRsbA== (user32.dll)
  5. ------------------------------------------------------
  6. a2VybmVsMzIuZGxs (kernel32.dll)
  7. ------------------------------------------------------
  8. XHVzZXJpbml0LmV4ZQ== (\userinit.exe)
  9. ------------------------------------------------------
  10. ICAgICBUSEUgRU5ELg0KVGhlIG1vdmllIGlzIG92ZXIu
  11.      THE END.
  12. The movie is over.
  13. ------------------------------------------------------
  14. bG9jYWxob3N0 (localhost)
  15. ------------------------------------------------------
  16. d2dldA== (wget)
  17. ------------------------------------------------------
  18. UE9TVA== (POST)
  19. ------------------------------------------------------
  20. aW5kZXgucGhw (index.php)
  21. ------------------------------------------------------
  22. Q29udGVudC1UeXBlOmFwcGxpY2F0aW9uL3gtd3d3LWZvcm0tdXJsZW5jb2RlZA== (Content-Type:application/x-www-form-urlencoded)
  23. ------------------------------------------------------
  24. a2V5PQ== (key=)
  25. ------------------------------------------------------
  26. Ymx1cA== (blup)
  27. ------------------------------------------------------
  28. d2luaW5ldC5kbGw= (wininet.dll)
  29. ------------------------------------------------------


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 23 августа 2013 12:15 New!
Цитата · Личное сообщение · #4

vden как догадался, что ксор на 1? ещё строки нашел, там много их.
Code:
  1. 004221E8  29 7D 61 4C 7E 50 4F 6F 25 72 75 50 28 4D 24 32  )}aL~POo%ruP(M$2
  2. 004221F8  4F 6A 43 76 2B 70 68 70 35 4D 55 34 77 4C 23 37  OjCv+php5MU4wL#7
  3. 00422208  5F 25 68 62 36 59 26 3D 4A 3A 2E 3A 7C 73 4F 42  _%hb6Y&=J:.:|sOB

сам нашел
Code:
  1. 00407C14     803402 01         XOR BYTE PTR DS:[EDX+EAX],1
  2. 00407C18     8B15 88BA4200     MOV EDX,DWORD PTR DS:[42BA88]  ;<EsetCrac.aStskw@Eyombklx>
  3. 00407C1E     803C02 2C         CMP BYTE PTR DS:[EDX+EAX],2C
  4. 00407C22     75 0A             JNZ SHORT EsetCrac.00407C2E
  5. 00407C24     C60402 00         MOV BYTE PTR DS:[EDX+EAX],0
  6. 00407C28     8B15 88BA4200     MOV EDX,DWORD PTR DS:[42BA88] ;<EsetCrac.aStskw@Eyombklx>


Ранг: 315.6 (мудрец)
Статус: Участник
born to be evil

Создано: 23 августа 2013 12:17 · Поправил: ajax New!
Цитата · Личное сообщение · #5

Hellspawn
видел и вчера пробовал как пасс по-разному. мож че недоглядел
Code:
  1. UPX0:00407C14 xor     byte ptr [edx+eax], 1
  2. UPX0:00407C18 mov     edx, dword_42BA88
  3. UPX0:00407C1E loc_407C1E:
  4. UPX0:00407C1E cmp     byte ptr [edx+eax], 2Ch

RW бряк на память


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 23 августа 2013 12:33 New!
Цитата · Личное сообщение · #6

хех, и это только начало... вообещем так, бряк сюда:
Code:
  1. 00405F50     55                PUSH EBP
  2. 00405F51     8BEC              MOV EBP,ESP
  3. 00405F53     81EC 14010000     SUB ESP,114
  4. 00405F59     A1 80124200       MOV EAX,DWORD PTR DS:[421280]
  5. 00405F5E     33C5              XOR EAX,EBP
  6. 00405F60     8945 FC           MOV DWORD PTR SS:[EBP-4],EAX
  7. 00405F63     837D 0C 0D        CMP DWORD PTR SS:[EBP+C],0D
  8. 00405F67     8B45 08           MOV EAX,DWORD PTR SS:[EBP+8]
  9. 00405F6A     53                PUSH EBX
  10. 00405F6B     56                PUSH ESI
  11. 00405F6C     8B75 14           MOV ESI,DWORD PTR SS:[EBP+14]
  12. 00405F6F     57                PUSH EDI
  13. 00405F70     8985 ECFEFFFF     MOV DWORD PTR SS:[EBP-114],EAX
  14. 00405F76     89B5 F0FEFFFF     MOV DWORD PTR SS:[EBP-110],ESI
  15. 00405F7C     0F85 04010000     JNZ EsetCrac.00406086
  16. 00405F82     8B4D 10           MOV ECX,DWORD PTR SS:[EBP+10]
  17. 00405F85     56                PUSH ESI

это обработчик эдитов, в первый вводим цитату про хрюшек. во второй чего угодно и вперед.
дальше эта хрень сверяет хеши, потом запускает юзеринит, выделяет в нем память ну и т.д.
хеш:
Code:
  1. 004227EC  3F 93 0E 05 A6 44 6C F8 2D 47 40 21 C5 85 1F 19   ?....Dlш-G@!Е...

пасс 16 символов или больше


Ранг: 106.9 (ветеран)
Статус: Участник

Создано: 23 августа 2013 13:37 New!
Цитата · Личное сообщение · #7

Hellspawn пишет:
хеш:
Code:

004227EC 3F 93 0E 05 A6 44 6C F8 2D 47 40 21 C5 85 1F 19 ?....Dlш-G@!Е...


пасс 16 символов или больше

Строка к хешу
Code:
  1. Zed's dead, baby
, но в результате этот ключ ни чего не дает =\


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 23 августа 2013 13:43 New!
Цитата · Личное сообщение · #8

Oott брутил или реверснул? я чего-то поленился расшифровывать и попер дальше отлаживать шеллкод.

з.ы. сам допер, она обратима

код, который инжектиться в userinit коннектиться на localhost:8080
потом POST на index.php
Code:
  1. 0068FF6C  0066064E  ASCII "Content-Type:application/x-www-form-urlencoded"
  2. 0068FF70  FFFFFFFF
  3. 0068FF74  006606CE  ASCII "key=52064331"

и читает 64h байта, а ответ должен быть 5 байт... вообщем ничего интересного, опять
дерагется функа для нашего ответа и на выходе должно быть Jules потом мессага фильм закончен
и ещё один POST. все у меня ступор дальше


Ранг: 165.6 (ветеран)
Статус: Участник
Волшебник

Создано: 28 августа 2013 09:33 · Поправил: neomant New!
Цитата · Личное сообщение · #9

Никто не разбирал динамический метод и шел в пасхалке?
Вроде как ищется какое-то окно IE, возможно инжект и затем пайп-сервер возвращает правильный ответ.

Ошибался, это не инжект. Окошко IE сверяется с покриптованной строкой. Однобайтовый ключ берётся от контрольной суммы оригинальных функций. Думаю, что это может быть ссылкой.

Кому ещё это интересно вот полная ссылка из пасхалки http://www.joineset.com/download/bmV4dF9maWxl/cGEkJHdk.txt
Догадываетесь к чему там ключик?

Аха, тут ещё и Ява!

Ранг: 8.3 (гость)
Статус: Участник

Создано: 16 октября 2013 15:57 New!
Цитата · Личное сообщение · #10

Так в в итоге какой ключь к 1 Чеку если он там есть?
А TMP файл как он использует? Или нет?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 16 октября 2013 16:56 New!
Цитата · Личное сообщение · #11

Dimarik5 1 чек - это что?

Ранг: 8.3 (гость)
Статус: Участник

Создано: 16 октября 2013 18:42 New!
Цитата · Личное сообщение · #12

Чек-ключ.
Или как там написано Stage 1:
Stage 2:


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 16 октября 2013 18:48 New!
Цитата · Личное сообщение · #13

Dimarik5 ну так в теме вся инфа есть, внимателньо прочитайте.

Ранг: 8.3 (гость)
Статус: Участник

Создано: 16 октября 2013 18:56 New!
Цитата · Личное сообщение · #14

Crackme_2
Перед тем как вызывается DialogBox Программа запускает еще 2 потока.Один из потоков расшифровывает часть Дампа.После завершения вызывается DialogBox и меня в отладчике что то режет.Или Вызывается DialogBox. И все.Ступор Или я что то напутал?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 16 октября 2013 19:16 New!
Цитата · Личное сообщение · #15

Dimarik5 да вроде так, там важная часть еще до показа окна и после показа вторая половинка.

neomant ты доковырял? что-то ума не приложу что делать с файликом с джавой

Ранг: 8.3 (гость)
Статус: Участник

Создано: 16 октября 2013 19:20 New!
Цитата · Личное сообщение · #16

HellspawnА там его по ходу патчить не где не нужно?Как к примеру с Crack_me 1.
Пытался следовать вашему совету вешать бряк на тот участок кода который был приведен выше.
Но программа пролетает мимо него!)


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 16 октября 2013 19:23 New!
Цитата · Личное сообщение · #17

Dimarik5 не нужно, там реверсить ток ставь железные, но рано ещё за такое браться.

Ранг: 8.3 (гость)
Статус: Участник

Создано: 16 октября 2013 21:07 New!
Цитата · Личное сообщение · #18

Hellspawn
Спасибо.Все ровно я нарыл кое что но Stage:1 не получилось пройти.
На твой взгляд сложность первого и второго крекми. по 10 бальной шкале?


Ранг: 165.6 (ветеран)
Статус: Участник
Волшебник

Создано: 16 октября 2013 21:49 · Поправил: neomant New!
Цитата · Личное сообщение · #19

Hellspawn, там Java чистый, только запустить.

Вот отчёт составлял для Есетов, как просили.

{ Атач доступен только для участников форума } - EsetCrackme2013_ru.docx


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 16 октября 2013 21:49 New!
Цитата · Личное сообщение · #20

Dimarik5 наверное первое 1, а второе там составное, напихали разных очень тем, на 6-7 думаю.

neomant какой-то сумбурный отчет, а чего на русском? некоторые моменты не были упомянуты.
что значит чистая джава? чем его на исполнение открывать? я обычно джар только потрошил


Ранг: 315.6 (мудрец)
Статус: Участник
born to be evil

Создано: 16 октября 2013 22:02 New!
Цитата · Личное сообщение · #21

neomant
ай, молодец


Ранг: 165.6 (ветеран)
Статус: Участник
Волшебник

Создано: 16 октября 2013 22:08 New!
Цитата · Личное сообщение · #22

Hellspawn
Да, согласен, ответ сумбурный и далеко не полный, но он больше шуточный, не было целью выдавать себя за соискателя. Да и на русском - лень было специально переводить, ребята и так поняли.

Если имя файла Bible.class, запускаем java Bible.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 16 октября 2013 23:02 New!
Цитата · Личное сообщение · #23

neomant ясн если не мучиться с путями, то как-то так можно:

java.exe -cp C:\DIR\ ClassName что аналогично java.exe -classpath C:\DIR\ ClassName

з.ы. вообщем я разочарован, думал будет интереснее, да и тему с фильмом можно было бы лучше вплести.

Ранг: 191.8 (ветеран)
Статус: Участник

Создано: 18 октября 2013 01:13 New!
Цитата · Личное сообщение · #24

На любителя
http://compsciclub.ru/courses/cryptoprotocols
http://compsciclub.ru/courses/codingtheory

http://compsciclub.ru/courses

http://www.youtube.com/watch?v=sHoh8i7Vp9o
Вредоносное программное обеспечение-Malware

| Сообщение посчитали полезным: Dimarik5



Ранг: 988.8 (! ! !)
Статус: Участник

Создано: 6 января 2014 02:43 New!
Цитата · Личное сообщение · #25

чейто разбор --> Link <--

Ранг: 1.0 (гость)
Статус: Участник

Создано: 10 января 2014 14:23 New!
Цитата · Личное сообщение · #26

Я тоже пробовал: crackme, engine developer


Ранг: 988.8 (! ! !)
Статус: Участник

Создано: 10 января 2014 14:28 New!
Цитата · Личное сообщение · #27

что ж вы там rc4 не угадали

Ранг: 1.0 (гость)
Статус: Участник

Создано: 10 января 2014 14:34 New!
Цитата · Личное сообщение · #28

reversecode, как говорится: "Было бы с чем сравнивать". Никогда раньше не видел RC4.


Ранг: 69.5 (постоянный)
Статус: Участник

Создано: 12 января 2014 17:10 · Поправил: Модератор New!
Цитата · Личное сообщение · #29

Есчо один кряк чтоле ?

Помню прошлый был не рабочим, а авторы отожгли напалмом, была выполнена модификация семпла для запуска на анубисе, он не работал(как и исходный материал), был отправлен аверам архив(с сурсами), а они придурки отписали что архив инфицирован/досвидания". У меня после этого желания есчо в их ... копаться нет.


Ранг: 988.8 (! ! !)
Статус: Участник

Создано: 3 марта 2015 18:59 New!
Цитата · Личное сообщение · #30

http://joineset.com/jobs-analyst.html
Send your analysis to: crackme2015@eset.com

| Сообщение посчитали полезным: neomant



Ранг: 988.8 (! ! !)
Статус: Участник

Создано: 13 октября 2015 18:33 New!
Цитата · Личное сообщение · #31

вроде в тему --> Link <--
<< . 1 . 2 .
 eXeL@B —› Основной форум —› Eset Malware Researcher

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS