eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Помогите подступиться
Посл.ответ Сообщение

Ранг: 288.4 (наставник)
Статус: Участник

Создано: 17 января 2014 18:26 · Поправил: Medsft New!
Цитата · Личное сообщение · #1

Периодически заглядываю в тему "Запросы на взлом программ" и вот на днях обнаружил чудо природы
http://exelab.ru/f/index.php?action=vthread&forum=2&topic=21832&page=19#9
Я не разбираюсь в названиях обфускаторов))) поэтому не знаю что это за протектор. Да это и не важно.
Программа вроде бы написана на C# а с ней dll`ка с unmanadged кодом.
Если открыть программу декомпилятором Net видим что тела методов перегружены мусорными инструкциями и насколько я могу судить вообще на этом этапе не содержат скольнибудь работающих инструкций.
Естественно пошел легким путем: деобфускаторы не берут)) но мы как говориться трудностей не боимся))
Удаление мусорных инструкции ничего не дало код лучше не стал
Натравил на прогу universal fixer и тут господа о чудо после ее работы код преобразился... но КАК
все тела методов стали содержать всего одну инструкцию ... RET. Каково)))
Сами понимаете что так быть не должно... вернее конечно теоритически возможно запатчить mscoree воткнуть туда свой обработчик кода .... но где же сам код.. господа???
В этой самой dll??? фиг знает как же прекомпиляция и все такое...
Нет чето не то....
Есть еще один вероятный способ что тела методов скажем как нибудь заархивированы и то что мы видим и думаем что это мусорные инструкции таковым не является.
Копнув дальше... дальше больше))) при запуске приложения мы вообще не попадаем в метод Start() прям сразу стартует метод load из самой dll при этом ни одной строчки кода из NET приложения не выполнялось... по ходу юзается TSL загрузчик. ... Подзабыл я однако x86 натив)))
Вообщем кому интересно помогите разобраться с принципами работы защиты и особенно передачи управления от exe к dll и обратно.
Как бонус от себя))) кто поможет отдам в хорошие руки приватную версию SAE декомпилятора с функционалом которого еще не было на публике))) ... и не будет

Ранг: 556.7 (!)
Статус: Модератор

Создано: 17 января 2014 19:56 New!
Цитата · Личное сообщение · #2

Речь про CIC & NBT? Если да, то это шел от "Feitian Technologies Co". Как работает в деталях не расскажу - я новые версии не видел давно уже. В очень старых был просто загрузчик + декриптор.

Ранг: 8.5 (гость)
Статус: Участник

Создано: 17 января 2014 22:33 New!
Цитата · Личное сообщение · #3

В первом приближении очень похоже на хук JIT, по этой теме есть "классическая" --> статья <--

Ранг: 22.4 (новичок)
Статус: Участник

Создано: 18 января 2014 10:38 · Поправил: Dazz New!
Цитата · Личное сообщение · #4

Medsft, не в курсе, чем SAE так не понравилась гуглу и почему он удалил со своего хостинга эту замечательную программу? Есть ли новая страница у программы?

Ранг: 288.4 (наставник)
Статус: Участник

Создано: 18 января 2014 13:01 New!
Цитата · Личное сообщение · #5

Речь идет о программе для обновления навигационных карт.

Ранг: 288.4 (наставник)
Статус: Участник

Создано: 18 января 2014 15:00 New!
Цитата · Личное сообщение · #6

HaRpY статью читал но в данном случае не понял как запускается иньектор.Покажи плиз наглядно

Ранг: 8.5 (гость)
Статус: Участник

Создано: 18 января 2014 17:57 · Поправил: HaRpY New!
Цитата · Личное сообщение · #7

Medsft пишет:
HaRpY статью читал но в данном случае не понял как запускается иньектор.Покажи плиз наглядно

Да уж, видимо native действительно подзабыт .
В .Net методах этой сборки загрузки runtime.dll не наблюдается, но в обычном PE-импорте она прописана вместе с mscoree.dll. Такой вот инжект.
Подробностей работы runtime.dll я тоже не знаю, но использование HID.dll предполагает работу с USB девайсом. Сам заказчик пишет:
Code:
  1. Скорей всего генератор заблокирован китайцами с привязкой на флешку с паролем

Я бы предположил, что тела методов и/или ключи декриптовки могут находится как раз на этом USB-девайсе. Что-то вроде долгла... А как на самом деле - хз, мне вникать не охота.
Так что если хочешь разобраться что к чему, вспоминай native, ИДУ в зубы и вперед.
ЗЫ
Если прога реально завязана на донгл, то без самой USB-железки получить требуемый результат вряд ли получится...

Ранг: 556.7 (!)
Статус: Модератор

Создано: 18 января 2014 20:31 New!
Цитата · Личное сообщение · #8

HaRpY
Не что-то, а скорей всего так и есть - можно погуглить ту компанию что я дал. И если грамотно подошли к защите, то код генерации внутри донгла и достать его будет весьма проблематично.

| Сообщение посчитали полезным: HaRpY

 eXeL@B —› Протекторы —› Помогите подступиться
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS