ВИДЕОКУРС ВЗЛОМ
выпущен 2 июня!

Есть софт защищённый этим. USB ключ есть в наличии
3 exe файла. В 2-х из них в импорте winbucm32.dll.
№1:
1 CmAccess
100 CmAccess2
108 CmGetRemoteContextBuffer
124 CmExecuteRemoteUpdate
126 CmCrypt2
130 CmGetBoxContents2
28 CmCrypt
29 CmCryptEcies
48 CmGetBoxes
50 CmGetInfo
52 CmGetLastErrorCode
70 CmGetVersion
76 CmRelease

№2
1 CmAccess
100 CmAccess2
108 CmGetRemoteContextBuffer
126 CmCrypt2
130 CmGetBoxContents2
28 CmCrypt
29 CmCryptEcies
50 CmGetInfo
52 CmGetLastErrorCode
70 CmGetVersion
76 CmRelease

3-ий запакован AxProtector судя по строкам внутри.

если с первыми 2-мя можно написать свой вариант winbucm32.dll, то как распаковать 3-ю непонятно пока.
Ключ пока не привезли - изучаю теорию. Кто снимал такое подскажите в какую сторону копать. Если есть человек с готовым эмулем х32/x64 или наработками по теме, то охотно рассмотрю предложения за $ т.к. сроки поджимают.

ant0xa

> как распаковать 3-ю непонятно пока.

Тоесть есть протектор(axprotect"), мне например такой не известен, для которого нет анпакера.

В таком случае решение очевидно - работай с ним в динамике. Зачем вообще нужно распаковывать, если оно всё само анпак выполняет, иначе оно не может выполняться(если это не виртуальная машина, то напрямую происходит исполнение, нужно лишь получить эти события)

Подмени нужные данные в динамике. Это куда быстрее, чем тратить время на реверс какого то очередного пакера/криптора, тысячи их.

Добавлено спустя 40 минут
Поискал я в гугле:

.

Какое отношение к этому имеет мс не понятно.

У них есть ресурс --> Link <--

Я не нашёл где там что то скачать.

Нет. Это WIBU Codemeter ставит такую сигнатуру как я понял. В файле 7 секций - с __wibu00 по __wibu07.
В сети пока только такое нашел - https://github.com/mrexodia/WibuDebugHook. Для дебега т.к. сопротивляется.

Старая версия - AxProtectorInstaller-full-v8.10.854.500
--> Link <--
Сайт - --> Link <--

mak

Оно устанавливается, но не ясно как обработать семпл этой поделкой. Там нет кнопок, вроде бы есть некая консольная командная система:

В DevKit есть гуй через который можно все настроить. Защита там на 4 из 5.
Хотя в последних версиях ближе к 5 из 5.

r_e

Пусть тс даст семпл что бы запустить на анализ.

Семпл без ключа не имеет смысла. Там по сути все сводится к AES, ключ к которому получается через железяку.

r_e

Судя по опциям это можно выключить, а значит запустить локально. Что бы разобрать прот, посмотреть как оно устроено.

Доступ к донглу будет в ближайшее время. Кто копал - подскажите как лучше сдампить и с вызова каких API снять лог. Заинжектить с вой код в процесс знаний хватит, если конечно протектор не сопротивляется этому.

difexacaw пишет:
Что бы разобрать прот, посмотреть как оно устроено
Да на что там смотреть? Никакие системные сервисы не перехватываются, никакой прямой работы с ядром нет, даже никакие анклавы под визором не разрушаются. Тупо ключ из донгла получили, секцию расшифровали и jmp eax. Фу, блядь. Детское поделие просто какое-то

| Сообщение посчитали полезным: difexacaw

rmn
т.е. просто пройтись дебагером да сдампить ?. Как ключ дадут - попробую и отпишу.

ant0xa
Да, для начала попробовать самые простые варианты. Нередко все эти донглы на софте висят просто как пугало и отламываются без самих донглов и без дампов с эмулями.

Он писал что один из файлов под шелом. Если защита достаточно свежая, то не прокатит без донгла или эмуля.
Если используется IXP то и просто дамп не прокатит. Вобщем, дерзайте. Дорогу осилит идущий. Главное донгл не запори (если FAC=1 или 5).

| Сообщение посчитали полезным: ajax

r_e пишет:
Он писал что один из файлов под шелом
Так, может, протом там накрыто что-то типа:

Тогда и снимать ничего не нужно, просто повычищать из импортов эти либы и пропатчить вызовы.

r_e
запарываются они хорошо. даже от процесса/дебаггера вижуал студии, как говорили
rmn
блажен, кто верует - тепло тому на свете (c) ...

Да не только ;) там зоопарк методов. Они не сложные, но если пропустить случайно хоть один - ключ превращается в тыкву.

Добавлено спустя 3 минуты
rmn
IXP обеспечивает возможность динамического декода, выполнения и энкода отдельных функций.
Последние версии обеспечивают виртуализацию части кода с "выносом" в ключ. Релиз, вроде как, перед НГ. Я эту фичу видел только на контесте, но там прошивка еще сырая была.
Еще они работали над HFE (гомоморфным шифрованием) но не знаю зарелизили ли.

r_e
Дело не в том, какие фичи предоставляет донгл, а как этими фичами пользуются девелоперы. Впрочем, может это только мне такой говнософт попадается

Короче семпла нет, работы тс нет(давно бы это отладчиком открыл, если бы мог). Штатно в запросы, там разберутся.

Сэмпл
https://www.sendspace.com/file/3ynrni

rmn
Как гарантировано не запороть донгл ?Или хотябы проверить возможно ли такое во время исследования. Версия codemeter - 6.10a.

ant0xa
Watchout? бгг. Удачи ) Достойный таргет.

Добавлено спустя 18 минут
Кстати, если вдруг кто будет бинарь смотреть - подскажите что это у них за компилятор такой?
Структура блоков, прологи и эпилоги с какого-то не очень популярного компиля.
(Я про то что под протектом, а не про протект, если что)

r_e
Совсем снимать задачи нет. Устроил бы и эмулятор. А так - слишком заморочено и лучше не браться ?

ant0xa
Пара человек точно может его. Жди и они отпишутся тебе в личку в предложениями. Вообще, лучше сразу иди в коммерц. Все равно своей работы никакой.

r_e
VC 100%, предположительно 2013

ajax
Нет, протект мне неинтересен. А под протектом софт точно не МС компилер.
По крайней мере в предыдущих версиях был не МС.
Спасибо. Посмотрел свежие версии и правда, похоже на МС теперь.

раньше, когда ватч был на вибу-кей, там было два слоя защиты. сейчас на кодеметере все также осталось или что-то добавили? и еще можно посмотреть остались ли в конверте вызовы вибу-кей.

Там все так же но добавили IXP вызовы (с пяток криптанутых функций).

В общем решил сам не заниматься. С коммерческого тоже никто не отписал.

Может ты просто пожадничал? На этом, пожалуй, и закончим.