eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: asmerdev1, skv, ivbrovkin (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Распаковка Hasp envelop конверта под Linux
<< . 1 . 2 .
Посл.ответ Сообщение


Ранг: 528.5 (!)
Статус: Участник
5KRT

Создано: 5 июля 2019 21:27 · Поправил: daFix New!
Цитата · Личное сообщение · #1

Приветствую! Попалась задачка по изучению одного бинаря, но он накрыт конвертом. В линухе я не силён, поэтому даже установка GDB для меня проблема - упёрся в отсутствие нужных библиотек для запуска. Реверсил всё это дело через удалённый IDA отладчик, но не придумал как обойти антиотладку через fork. Времени мало и углубляться во внутренности линухи некогда, поэтому буду рад хоть какой-то информации. Задача минимум - просто снять дамп, максимум - снять конверт. Если на паблике инфы вообще нету и задача за пару вечеров не решаема, готов выслушать коммерческие предложения в личке.
Если что, антиотладка там реализована через форк процесса с последующим ptrace. Просто занопить fork и вернуть 0 ни к чему хорошему не приводит


Ранг: 134.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 21 июля 2019 23:17 New!
Цитата · Личное сообщение · #2

difexacaw пишет:
Нет, там шла речь про взаимо-трассировку. Сказали что нужно зачем то пересобирать ядро. Я так понимаю что те кто что то про линь системное говорит это можно не слушать, они бредят. Как эти два товарища выше.


Людей, которые не видели ничего кроме Windows, словосочетание "пересобрать ядро" может привести в религиозный трепет. Этих людей легко понять. Так как в Windows специфичные для реверсинга задачи решаются хуками, кривыми драйверами и использованием недокументированных способностей операционной системы.
На самом же деле пересборка ядра в Linux довольно тривиальная и хорошо документированная рутина.
Естественно при желании эту задачу можно решить и другими способами.


Ранг: 316.3 (мудрец)
Статус: Участник

Создано: 21 июля 2019 23:32 New!
Цитата · Личное сообщение · #3

hors

Я хорошо понимаю что такое собирать ОС, это не даёт ответ на вопрос. Зачем это нужно ?

Понятно если добавить какой то свой функционал, в линях это делается ребилдом как понимаю, в нт драйверами. Но что именно добавлять и зачем не сказано.

Я кстате немного сегодня подебажил вашу поделку. Без какой либо цели, просто что бы ознакомиться с начинкой. Эмулятор работает, даже удивительно как один человек смог запилить стабильный эмуль. Я только два теста провёл - невалид адресация и сервисный шлюз, отрабатывает штатно. Респект конечно. Хорошо что есть даже диз в логе.

Но я всё равно не могу понять главное. Зачем нужна эмуляция протектора, если заранее известна EP и метод анпака?. Ждать когда сформируется готовый для дампа образ, только так можно обьяснить необходимость запуска(эмуляции) ?


Ранг: 1014.5 (!!!!)
Статус: Участник

Создано: 22 июля 2019 00:01 New!
Цитата · Личное сообщение · #4

пересобрать ядро что бы получить KGDB отладчик
которым уже влезть куда угодно

а смысл дебажить опенсорс ?
https://www.unicorn-engine.org/showcase/
https://github.com/unipacker/unipacker
только куте с красивой мордочкой и чуть чуть обвесов


Ранг: 134.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 22 июля 2019 00:43 · Поправил: hors New!
Цитата · Личное сообщение · #5

reversecode пишет:
а смысл дебажить опенсорс ?
https://www.unicorn-engine.org/showcase/
https://github.com/unipacker/unipacker
только куте с красивой мордочкой и чуть чуть обвесов


Эх. Мне бы твоё трудолюбие. После трудного дня сбора трускавки ты ещё находишь в себе силы писать что-то в интернете.
Моё почтение.

Что же касается твоего обвинения в том, что я якобы "своровал" чужой проект, то это, увы, неправда.

Этот проект написан на питоне, а мой на С++. Я его раньше не видел, да и не мог видеть. Я опубликовал свой проект в марте 2018 --> Link <--. А Unipacker был опубликован в феврале 2019 --> Link <--

Так что ты, мой друг, к сожалению в очередной раз обделался.

Также не совсем понятен твой обличительный пафос. Если бы я уже занимался рипом чужих проектов(например взял бы Syser и стал бы перебивать копирайты), то про меня можно было бы сказать что я вор и мразь. Но я что-то ничего такого про себя не помню.

Если ты что-то такое про меня знаешь, поделись с общественностью, не стесняйся.


Ранг: 1014.5 (!!!!)
Статус: Участник

Создано: 22 июля 2019 00:54 New!
Цитата · Личное сообщение · #6

у тебя явно что то защимило, погугли как теперь тебе с этим быть дальше

XVolkolak использует unicorn engine
полностью или частично, мне пох
я лишь дал ссылки на похожие проекты которые делают практически тоже самое


Ранг: 134.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 22 июля 2019 01:25 · Поправил: hors New!
Цитата · Личное сообщение · #7

reversecode пишет:
я лишь дал ссылки на похожие проекты которые делают практически тоже самое


Большое спасибо за ссылки, а также за заботу о моём здоровье. Не простудись на плантации.


Ранг: 334.1 (мудрец)
Статус: Участник
born to be evil

Создано: 22 июля 2019 05:06 New!
Цитата · Личное сообщение · #8

difexacaw пишет: Зачем нужна эмуляция протектора, если заранее известна EP и метод анпака
1. возможно, внутри софта напиханы вызовы ключа. 2-х зайцев разом;
2. автор эмулятора не умеет распаковывать;
3. все в одном - рабочесть+привязка.


Ранг: 134.0 (ветеран)
Статус: Участник
Qt Developer

Создано: 22 июля 2019 13:46 New!
Цитата · Личное сообщение · #9

difexacaw пишет:
Но что именно добавлять и зачем не сказано.


Ну это зависит от того что нам конкретно надо. Например по тому что я услышал от ТС, я бы подправил kernel/ptrace.c А именно возвращаемые значения.

difexacaw пишет:
Но я всё равно не могу понять главное. Зачем нужна эмуляция протектора, если заранее известна EP и метод анпака?.


OEP может быть заранее неизвестен. Для его определения запускается трассировка. С методами распаковки тоже не всё так легко. Например стабы разных версий одного и того же протектора могут сильно отличаться, по сути являясь разными протекторами,но с одинаковым названием. Для определения конкретного метода тоже требуется трассировка+эвристика.


Ранг: 316.3 (мудрец)
Статус: Участник

Создано: 22 июля 2019 18:45 · Поправил: difexacaw New!
Цитата · Личное сообщение · #10

hors

Понятно, я вам отвечу в другой теме.
<< . 1 . 2 .
 eXeL@B —› Протекторы —› Распаковка Hasp envelop конверта под Linux

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS