eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: AlexKey
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Вопрос знатокам кто сталкивался с TrusCont TSFD Protection Toolkit
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 3.5 (гость)
Статус: Участник

Создано: 27 марта 2013 18:49 New!
Цитата · Личное сообщение · #1

TrusCont TSFD Protection Toolkit - комплекс для защиты программ против копирования внедряет свою библиотеку в exe фаил и гадит весь код
Пытаюсь отучить программу от проверки с какого носителя она запускается,
в оригинале она запускается только с USB накопителя. В программе используется алгоритм получения из реестра данных о подключенном USB устройстве. Проверка VID и PID и серийного номера , ключ программы генерируется относительно серийного номера и 2 дополнительных параметров введенных пользователем , эту проверку я обошёл. Так же в оригинальном USB накопители странная разметка флеш накопителя там по мимо FAT32 разметки есть не понятные разделы, при помощи Linux и команды dd был слит полный дамп с устройства, из дампа были выдернуты те самые разделы которые были нужны для полного клонирования флеш накопителя. Но тут меня ожидал очередной уровень защиты при запуске с клонированного устройства выдаётся окно с текстом вставте оригинальный USB
из дезассемблема вызов идёт с
Code:
  1. .itext:0082F6AC call    eax

в регистре eax хронится точка входа в библиотеку tcpm_exe_usb.dll
и внутри этой библиотеки принимается решение о том верный ли USB носитель или нет.

Если кто нибудь сталкивался с этим "пакером" поделитесь опытом как отвязать эту библиотеку или как обойти эту защиту


Ранг: 646.0 (!)
Статус: Участник
ALIEN Hack Team

Создано: 28 марта 2013 22:29 New!
Цитата · Личное сообщение · #2

SReg
Дык в хаспе сессионное шифрование.

А про то, что можно юзать NtQueryObject, чтоб получить имя по хэндлу - это хорошо, можно меньше хучить.


Ранг: 646.0 (!)
Статус: Участник
ALIEN Hack Team

Создано: 29 марта 2013 00:56 New!
Цитата · Личное сообщение · #3

Вот ещё немного подумал. Получается, что NtQueryObject не проканает. Т.е. проканает только частично для логгера. Когда мы будем делать эмулятор, он должен реализовывать работу с флешкой, которой на самом деле нет. Т.е. предположим, процедура проверки пытается получить доступ к устройству с буквой Z. Такого устройства нет, но благодаря эмулятору CreateFile вернёт некоторое значение хэндла, например, DEADCODE. CloseHandle будет успешно закрывать этот хэндл. А DeviceIoControl будет создавать видимость работы с ним. Так что не выйдет тут юзать NtQueryObject.

Ранг: 367.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 29 марта 2013 17:26 New!
Цитата · Личное сообщение · #4

Касаемо эмуляции: чет вы излишне усложняете. Не по фигу ли,в принципе, виртуальный диск будет или физический и тп и тд - всего-то нужно возвратить правильные данные в буфере и запхнуть в EAX единицу. Берем тот-же \.\C:, перехватываем CreateFile, DeviceIoControl, GetDriveType, CloseHandle(или низкоуровневые аналоги). У мну в SecuROMе это даже прокатывало, а тут толком даже анти-дебаг я не увидел.
unix3d
Вообще я бы посоветовал после входа в tcpm_exe_usb.dll
Code:
  1. .itext:0082F6AC call    eax <- вызов Dll tcpm_exe_usb.dll

ставить memory breakpoint(OllyDbg: Alt+M->F2 на .text ,.itext) на кодовую секцию NormaF и смотреть куда и откуда(по стеку) управление передается из библиотеки(выделенной памяти) при правильной флешке. Если сработало и вы очутились в кодовой секции, ставьте теперь memory breakpoint в кодовую секцию tcpm_exe_usb.dll, ну а дальше по обстановке.


Ранг: 468.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 17 апреля 2013 19:20 New!
Цитата · Личное сообщение · #5

может будет полезно:

документация на русском: http://protectmedia.com.ua/soft/DVDR_Protection_Toolkit_RUS.pdf

и вот еще интересная флэшка http://protectmedia.uaprom.net/p2886378-usb-flash-drive.html уже с защитой.

Ранг: 367.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 17 апреля 2013 19:56 New!
Цитата · Личное сообщение · #6

еврейская защита
на странице http://protectmedia.com.ua/support.html внизу
Code:
  1. Полезные материалы
  2.  
  3.          Kris Kaspersky (Крис Касперски) 
  4. Техника защиты компакт-дисков от копирования
  5. Публикуемые материалы предоставлены здесь только для ознакомления, все права на них принадлежат их владельцам ...
  6.          Программа для защиты дисков от копирования
  7. Скачать бесплатную программу для защиты дисков от копирования


Ранг: 110.0 (ветеран)
Статус: Участник

Создано: 17 апреля 2013 20:54 · Поправил: Rainbow New!
Цитата · Личное сообщение · #7

ELF_7719116 пишет:
еврейская защита на странице http://protectmedia.com.ua/support.html внизу


Наука рушится в буквальном смысле слова. Попытаюсь предположить почему... Наверное потому что много евгеев, котогые хотят много денег ? )) Наука держится на таких людях как Крис. И кроме уважения и восхищения у меня данный человек ничего не вызыват. А технологий он подал в массы немало..


P.S. Извиняюсь за излишнюю эмоциональность, но это правда.


Ранг: 512.8 (!)
Статус: Участник
оптимист

Создано: 18 апреля 2013 13:56 New!
Цитата · Личное сообщение · #8

Rainbow пишет:
Наука держится на таких людях как Крис.

Крис давно сбомжевался и сидит под дурью и незнает где реальность а где сон.

| Сообщение посчитали полезным: reversecode



Ранг: 110.0 (ветеран)
Статус: Участник

Создано: 18 апреля 2013 16:26 New!
Цитата · Личное сообщение · #9

ClockMan пишет:
Крис давно сбомжевался и сидит под дурью и незнает где реальность а где сон.


Хм.. Откуда инфа ?


Ранг: 988.8 (! ! !)
Статус: Участник

Создано: 18 апреля 2013 16:39 New!
Цитата · Личное сообщение · #10

этого не знают разве что глухие, немые и слепые
остальные все в курсе


Ранг: 110.0 (ветеран)
Статус: Участник

Создано: 18 апреля 2013 16:45 New!
Цитата · Личное сообщение · #11

Ну на самом деле персонально не узнавал, а материалы изучал Человек толковый. Факт.


Ранг: 988.8 (! ! !)
Статус: Участник

Создано: 18 апреля 2013 16:48 · Поправил: reversecode New!
Цитата · Личное сообщение · #12

кто толковый?
купите себе аккаунт на rsdn, если бесплатно не можете зарегится)) и почитайте его
тема про вагианальный массажер который он возит с собой и подружкой - очень примечательная
да и вообще все его негритянки и прочий лол

Ранг: 367.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 18 апреля 2013 17:40 New!
Цитата · Личное сообщение · #13

Rainbow пишет:
Крис давно сбомжевался

Вообще он Америке. Насчет "сбомжевался" - писал ему недавно, ответил. Не, ну если у них бомжи с ноутбуками ходят или под мостом с HP WorkStation сидят...
Касаемо самого TSFD - ссылка внизу ведет к самому тулкиту(можно скачать бесплатно и без смс), там есть tsfd_publ_gui.exe, где
Code:
  1. WPARAM __stdcall sub_5604B0(LPVOID a1)
  2. {
  3.   WPARAM v2; // eax@1
  4.   WPARAM wParam; // [sp+0h] [bp-4h]@1
  5.  
  6.   v2 = loc_40DEB0((char *)a1 + 203352, 268435498);
  7.   wParam = v2;
  8.   sub_404810(0x414u, v2, 0);
  9.   return wParam;
  10. }

ну неважно короче...
Rainbow пишет:
ELF_7719116 пишет:
еврейская защита

жыды делали и Крис там не при чем.


Ранг: 126.6 (ветеран)
Статус: Участник

Создано: 3 июля 2013 01:22 New!
Цитата · Личное сообщение · #14

Попалась такая флешка. После всех проверок в дллке восстанавливает код потом CreateThread с OEP.
Дамп, импорт и привет.

Ранг: 9.8 (гость)
Статус: Участник

Создано: 14 января 2014 15:06 New!
Цитата · Личное сообщение · #15

zeppe1in, подскажите, пожалуйста, чем можно сделать дамп, импорт, чтобы получился "привет"?

Ранг: 367.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 14 января 2014 17:19 New!
Цитата · Личное сообщение · #16

ac86
Ва-а-а-тсон! Ну этож так элементарно - для ответа достаточно прочитать любую статью по распаковке для новичков (например тут http://exelab.ru/art/?action=view&id=206). При наличии флешки, Вам останется только правильно найти OEP(оригинальную точку входа).

Ранг: 9.8 (гость)
Статус: Участник

Создано: 15 января 2014 15:18 New!
Цитата · Личное сообщение · #17

ELF_7719116, а может быть подскажите можно ли сделать просто клонирование флешки на аналогичную, чтобы приложение продолжало думать, что оно запускается с оригинальной флешки?

Ранг: 367.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 15 января 2014 17:15 New!
Цитата · Личное сообщение · #18

ac86
Если Вы разработчик этой херни, то открою небольшой секрет - скорее всего, да! Хотя проще и быстрее, эмульнуть через DeviceIoControl + сразу захачить проверку сигнатур. Если Вы не разработчик, разбирайтесь дальше сами(если у Вас есть флешка).

Ранг: 9.8 (гость)
Статус: Участник

Создано: 16 января 2014 14:25 New!
Цитата · Личное сообщение · #19

ELF_7719116, Может бы вы можете помочь в этом "простом" деле? Готов вознаградить труды.


Ранг: 1964.9 (!!!!)
Статус: Модератор
retired

Создано: 16 января 2014 15:50 New!
Цитата · Личное сообщение · #20

ac86
Так ничего внятного по теме и не увидел. В запросы.

Ранг: 85.4 (постоянный)
Статус: Участник

Создано: 17 февраля 2014 15:59 · Поправил: drone New!
Цитата · Личное сообщение · #21

Кто там барыжит курсами, дайте халявы. В личку.
<< . 1 . 2 .
 eXeL@B —› Протекторы —› Вопрос знатокам кто сталкивался с TrusCont TSFD Protection Toolkit

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS