eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 3 апреля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: hlmadip, subword (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› AxProtector от WIBU и CmStick/C
Посл.ответ Сообщение

Ранг: 2.5 (гость)
Статус: Участник

Создано: 9 февраля 2019 21:21 New!
Цитата · Личное сообщение · #1

Есть софт защищённый этим. USB ключ есть в наличии
3 exe файла. В 2-х из них в импорте winbucm32.dll.
№1:
1 CmAccess
100 CmAccess2
108 CmGetRemoteContextBuffer
124 CmExecuteRemoteUpdate
126 CmCrypt2
130 CmGetBoxContents2
28 CmCrypt
29 CmCryptEcies
48 CmGetBoxes
50 CmGetInfo
52 CmGetLastErrorCode
70 CmGetVersion
76 CmRelease

№2
1 CmAccess
100 CmAccess2
108 CmGetRemoteContextBuffer
126 CmCrypt2
130 CmGetBoxContents2
28 CmCrypt
29 CmCryptEcies
50 CmGetInfo
52 CmGetLastErrorCode
70 CmGetVersion
76 CmRelease

3-ий запакован AxProtector судя по строкам внутри.

если с первыми 2-мя можно написать свой вариант winbucm32.dll, то как распаковать 3-ю непонятно пока.
Ключ пока не привезли - изучаю теорию. Кто снимал такое подскажите в какую сторону копать. Если есть человек с готовым эмулем х32/x64 или наработками по теме, то охотно рассмотрю предложения за $ т.к. сроки поджимают.

Ранг: 245.0 (наставник)
Статус: Участник

Создано: 10 февраля 2019 16:08 · Поправил: difexacaw New!
Цитата · Личное сообщение · #2

ant0xa

> как распаковать 3-ю непонятно пока.

Тоесть есть протектор(axprotect"), мне например такой не известен, для которого нет анпакера.

В таком случае решение очевидно - работай с ним в динамике. Зачем вообще нужно распаковывать, если оно всё само анпак выполняет, иначе оно не может выполняться(если это не виртуальная машина, то напрямую происходит исполнение, нужно лишь получить эти события)

Подмени нужные данные в динамике. Это куда быстрее, чем тратить время на реверс какого то очередного пакера/криптора, тысячи их.

Добавлено спустя 40 минут
Поискал я в гугле:

Code:
  1. X++ SOURCE CODE PROTECTION AND SOFTWARE LICENSING IN MICROSOFT DYNAMICS AX
.

Какое отношение к этому имеет мс не понятно.

У них есть ресурс --> Link <--

Я не нашёл где там что то скачать.

Ранг: 2.5 (гость)
Статус: Участник

Создано: 10 февраля 2019 20:31 New!
Цитата · Личное сообщение · #3

Нет. Это WIBU Codemeter ставит такую сигнатуру как я понял. В файле 7 секций - с __wibu00 по __wibu07.
В сети пока только такое нашел - https://github.com/mrexodia/WibuDebugHook. Для дебега т.к. сопротивляется.


Ранг: 635.3 (!)
Статус: Участник
CyberMonk

Создано: 10 февраля 2019 20:56 New!
Цитата · Личное сообщение · #4

Старая версия - AxProtectorInstaller-full-v8.10.854.500
--> Link <--
Сайт - --> Link <--

Ранг: 245.0 (наставник)
Статус: Участник

Создано: 10 февраля 2019 23:07 New!
Цитата · Личное сообщение · #5

mak

Оно устанавливается, но не ясно как обработать семпл этой поделкой. Там нет кнопок, вроде бы есть некая консольная командная система:

Code:
  1. Specification=AxProtector Command File
  2. Version=6.30
  3.  
  4. [Commandline]
  5. -x
  6. -kwk
  7. -f10 -p12
  8. ...

Ранг: 565.4 (!)
Статус: Модератор

Создано: 10 февраля 2019 23:13 New!
Цитата · Личное сообщение · #6

В DevKit есть гуй через который можно все настроить. Защита там на 4 из 5.
Хотя в последних версиях ближе к 5 из 5.

Ранг: 245.0 (наставник)
Статус: Участник

Создано: 10 февраля 2019 23:17 New!
Цитата · Личное сообщение · #7

r_e

Пусть тс даст семпл что бы запустить на анализ.

Ранг: 565.4 (!)
Статус: Модератор

Создано: 10 февраля 2019 23:22 New!
Цитата · Личное сообщение · #8

Семпл без ключа не имеет смысла. Там по сути все сводится к AES, ключ к которому получается через железяку.

Ранг: 245.0 (наставник)
Статус: Участник

Создано: 10 февраля 2019 23:30 New!
Цитата · Личное сообщение · #9

r_e

Судя по опциям это можно выключить, а значит запустить локально. Что бы разобрать прот, посмотреть как оно устроено.

Ранг: 2.5 (гость)
Статус: Участник

Создано: 11 февраля 2019 14:07 New!
Цитата · Личное сообщение · #10

Доступ к донглу будет в ближайшее время. Кто копал - подскажите как лучше сдампить и с вызова каких API снять лог. Заинжектить с вой код в процесс знаний хватит, если конечно протектор не сопротивляется этому.

Ранг: 136.0 (ветеран)
Статус: Участник

Создано: 11 февраля 2019 14:27 New!
Цитата · Личное сообщение · #11

difexacaw пишет:
Что бы разобрать прот, посмотреть как оно устроено

Да на что там смотреть? Никакие системные сервисы не перехватываются, никакой прямой работы с ядром нет, даже никакие анклавы под визором не разрушаются. Тупо ключ из донгла получили, секцию расшифровали и jmp eax. Фу, блядь. Детское поделие просто какое-то

| Сообщение посчитали полезным: difexacaw


Ранг: 2.5 (гость)
Статус: Участник

Создано: 11 февраля 2019 15:29 New!
Цитата · Личное сообщение · #12

rmn
т.е. просто пройтись дебагером да сдампить ?. Как ключ дадут - попробую и отпишу.

Ранг: 136.0 (ветеран)
Статус: Участник

Создано: 11 февраля 2019 15:32 New!
Цитата · Личное сообщение · #13

ant0xa
Да, для начала попробовать самые простые варианты. Нередко все эти донглы на софте висят просто как пугало и отламываются без самих донглов и без дампов с эмулями.

Ранг: 565.4 (!)
Статус: Модератор

Создано: 11 февраля 2019 16:20 New!
Цитата · Личное сообщение · #14

Он писал что один из файлов под шелом. Если защита достаточно свежая, то не прокатит без донгла или эмуля.
Если используется IXP то и просто дамп не прокатит. Вобщем, дерзайте. Дорогу осилит идущий. Главное донгл не запори (если FAC=1 или 5).

| Сообщение посчитали полезным: ajax


Ранг: 136.0 (ветеран)
Статус: Участник

Создано: 11 февраля 2019 16:41 New!
Цитата · Личное сообщение · #15

r_e пишет:
Он писал что один из файлов под шелом

Так, может, протом там накрыто что-то типа:
Code:
  1. BOOL IsValidLicense (const char* licenseKey)
  2. {
  3.     if (...)
  4.         return TRUE;
  5.  
  6.     return FALSE;
  7. }

Тогда и снимать ничего не нужно, просто повычищать из импортов эти либы и пропатчить вызовы.


Ранг: 325.7 (мудрец)
Статус: Участник
born to be evil

Создано: 11 февраля 2019 16:42 · Поправил: ajax New!
Цитата · Личное сообщение · #16

r_e
запарываются они хорошо. даже от процесса/дебаггера вижуал студии, как говорили
rmn
блажен, кто верует - тепло тому на свете (c) ...

Ранг: 565.4 (!)
Статус: Модератор

Создано: 11 февраля 2019 18:46 New!
Цитата · Личное сообщение · #17

Да не только ;) там зоопарк методов. Они не сложные, но если пропустить случайно хоть один - ключ превращается в тыкву.

Добавлено спустя 3 минуты
rmn
IXP обеспечивает возможность динамического декода, выполнения и энкода отдельных функций.
Последние версии обеспечивают виртуализацию части кода с "выносом" в ключ. Релиз, вроде как, перед НГ. Я эту фичу видел только на контесте, но там прошивка еще сырая была.
Еще они работали над HFE (гомоморфным шифрованием) но не знаю зарелизили ли.

Ранг: 136.0 (ветеран)
Статус: Участник

Создано: 11 февраля 2019 19:14 New!
Цитата · Личное сообщение · #18

r_e
Дело не в том, какие фичи предоставляет донгл, а как этими фичами пользуются девелоперы. Впрочем, может это только мне такой говнософт попадается

Ранг: 245.0 (наставник)
Статус: Участник

Создано: 11 февраля 2019 19:25 New!
Цитата · Личное сообщение · #19

Короче семпла нет, работы тс нет(давно бы это отладчиком открыл, если бы мог). Штатно в запросы, там разберутся.

Ранг: 2.5 (гость)
Статус: Участник

Создано: 12 февраля 2019 12:32 · Поправил: ant0xa New!
Цитата · Личное сообщение · #20

Сэмпл
https://www.sendspace.com/file/3ynrni

rmn
Как гарантировано не запороть донгл ?Или хотябы проверить возможно ли такое во время исследования. Версия codemeter - 6.10a.

Ранг: 565.4 (!)
Статус: Модератор

Создано: 12 февраля 2019 12:47 New!
Цитата · Личное сообщение · #21

ant0xa
Watchout? бгг. Удачи ) Достойный таргет.

Добавлено спустя 18 минут
Кстати, если вдруг кто будет бинарь смотреть - подскажите что это у них за компилятор такой?
Структура блоков, прологи и эпилоги с какого-то не очень популярного компиля.
(Я про то что под протектом, а не про протект, если что)

Ранг: 2.5 (гость)
Статус: Участник

Создано: 12 февраля 2019 13:05 New!
Цитата · Личное сообщение · #22

r_e
Совсем снимать задачи нет. Устроил бы и эмулятор. А так - слишком заморочено и лучше не браться ?

Ранг: 565.4 (!)
Статус: Модератор

Создано: 12 февраля 2019 13:08 New!
Цитата · Личное сообщение · #23

ant0xa
Пара человек точно может его. Жди и они отпишутся тебе в личку в предложениями. Вообще, лучше сразу иди в коммерц. Все равно своей работы никакой.


Ранг: 325.7 (мудрец)
Статус: Участник
born to be evil

Создано: 12 февраля 2019 13:14 New!
Цитата · Личное сообщение · #24

r_e
VC 100%, предположительно 2013

Ранг: 565.4 (!)
Статус: Модератор

Создано: 12 февраля 2019 13:27 New!
Цитата · Личное сообщение · #25

ajax
Нет, протект мне неинтересен. А под протектом софт точно не МС компилер.
По крайней мере в предыдущих версиях был не МС.

Спасибо. Посмотрел свежие версии и правда, похоже на МС теперь.

Ранг: 380.6 (мудрец)
Статус: Участник

Создано: 12 февраля 2019 18:20 · Поправил: BfoX New!
Цитата · Личное сообщение · #26

раньше, когда ватч был на вибу-кей, там было два слоя защиты. сейчас на кодеметере все также осталось или что-то добавили? и еще можно посмотреть остались ли в конверте вызовы вибу-кей.

Ранг: 565.4 (!)
Статус: Модератор

Создано: 12 февраля 2019 20:37 New!
Цитата · Личное сообщение · #27

Там все так же но добавили IXP вызовы (с пяток криптанутых функций).

Ранг: 2.5 (гость)
Статус: Участник

Создано: 15 февраля 2019 09:10 New!
Цитата · Личное сообщение · #28

В общем решил сам не заниматься. С коммерческого тоже никто не отписал.

Ранг: 565.4 (!)
Статус: Модератор

Создано: 15 февраля 2019 10:02 New!
Цитата · Личное сообщение · #29

Может ты просто пожадничал? На этом, пожалуй, и закончим.
 eXeL@B —› Протекторы —› AxProtector от WIBU и CmStick/C
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS