3-ий запакован AxProtector судя по строкам внутри.
если с первыми 2-мя можно написать свой вариант winbucm32.dll, то как распаковать 3-ю непонятно пока. Ключ пока не привезли - изучаю теорию. Кто снимал такое подскажите в какую сторону копать. Если есть человек с готовым эмулем х32/x64 или наработками по теме, то охотно рассмотрю предложения за $ т.к. сроки поджимают.
Создано: 10 февраля 2019 16:08 · Поправил: difexacaw New! Цитата · Личное сообщение · #2
ant0xa
> как распаковать 3-ю непонятно пока.
Тоесть есть протектор(axprotect"), мне например такой не известен, для которого нет анпакера.
В таком случае решение очевидно - работай с ним в динамике. Зачем вообще нужно распаковывать, если оно всё само анпак выполняет, иначе оно не может выполняться(если это не виртуальная машина, то напрямую происходит исполнение, нужно лишь получить эти события)
Подмени нужные данные в динамике. Это куда быстрее, чем тратить время на реверс какого то очередного пакера/криптора, тысячи их.
Добавлено спустя 40 минут Поискал я в гугле:
Code:
X++ SOURCE CODE PROTECTION AND SOFTWARE LICENSING IN MICROSOFT DYNAMICS AX
Создано: 10 февраля 2019 20:31 New! Цитата · Личное сообщение · #3
Нет. Это WIBU Codemeter ставит такую сигнатуру как я понял. В файле 7 секций - с __wibu00 по __wibu07. В сети пока только такое нашел - https://github.com/mrexodia/WibuDebugHook. Для дебега т.к. сопротивляется.
Создано: 11 февраля 2019 14:07 New! Цитата · Личное сообщение · #10
Доступ к донглу будет в ближайшее время. Кто копал - подскажите как лучше сдампить и с вызова каких API снять лог. Заинжектить с вой код в процесс знаний хватит, если конечно протектор не сопротивляется этому.
Создано: 11 февраля 2019 14:27 New! Цитата · Личное сообщение · #11
difexacaw пишет: Что бы разобрать прот, посмотреть как оно устроено Да на что там смотреть? Никакие системные сервисы не перехватываются, никакой прямой работы с ядром нет, даже никакие анклавы под визором не разрушаются. Тупо ключ из донгла получили, секцию расшифровали и jmp eax. Фу, блядь. Детское поделие просто какое-то
Создано: 11 февраля 2019 15:32 New! Цитата · Личное сообщение · #13
ant0xa Да, для начала попробовать самые простые варианты. Нередко все эти донглы на софте висят просто как пугало и отламываются без самих донглов и без дампов с эмулями.
Создано: 11 февраля 2019 16:20 New! Цитата · Личное сообщение · #14
Он писал что один из файлов под шелом. Если защита достаточно свежая, то не прокатит без донгла или эмуля. Если используется IXP то и просто дамп не прокатит. Вобщем, дерзайте. Дорогу осилит идущий. Главное донгл не запори (если FAC=1 или 5).
Создано: 11 февраля 2019 18:46 New! Цитата · Личное сообщение · #17
Да не только ;) там зоопарк методов. Они не сложные, но если пропустить случайно хоть один - ключ превращается в тыкву.
Добавлено спустя 3 минуты rmn IXP обеспечивает возможность динамического декода, выполнения и энкода отдельных функций. Последние версии обеспечивают виртуализацию части кода с "выносом" в ключ. Релиз, вроде как, перед НГ. Я эту фичу видел только на контесте, но там прошивка еще сырая была. Еще они работали над HFE (гомоморфным шифрованием) но не знаю зарелизили ли.
Создано: 12 февраля 2019 12:47 New! Цитата · Личное сообщение · #21
ant0xa Watchout? бгг. Удачи ) Достойный таргет.
Добавлено спустя 18 минут Кстати, если вдруг кто будет бинарь смотреть - подскажите что это у них за компилятор такой? Структура блоков, прологи и эпилоги с какого-то не очень популярного компиля. (Я про то что под протектом, а не про протект, если что)
Создано: 12 февраля 2019 13:08 New! Цитата · Личное сообщение · #23
ant0xa Пара человек точно может его. Жди и они отпишутся тебе в личку в предложениями. Вообще, лучше сразу иди в коммерц. Все равно своей работы никакой.
Создано: 12 февраля 2019 13:27 New! Цитата · Личное сообщение · #25
ajax Нет, протект мне неинтересен. А под протектом софт точно не МС компилер. По крайней мере в предыдущих версиях был не МС. Спасибо. Посмотрел свежие версии и правда, похоже на МС теперь.
Создано: 12 февраля 2019 18:20 · Поправил: BfoX New! Цитата · Личное сообщение · #26
раньше, когда ватч был на вибу-кей, там было два слоя защиты. сейчас на кодеметере все также осталось или что-то добавили? и еще можно посмотреть остались ли в конверте вызовы вибу-кей.