eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Medsft (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Крэки, обсуждения —› Крякми.
. 1 . 2 . 3 . >>
Посл.ответ Сообщение


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 26 августа 2013 23:22 New!
Цитата · Личное сообщение · #1

Сабж. Там гдето есть холст в png формате, он полностью декриптуется. На холсте изображён код. Код нужно этот достать.

Код чистый, нет ни обфускации, ни тайминга, ни вирт машин.

Если у вас получится достать код, не выкладывайте его сюда, он вам понадобится ;)

{ Атач доступен только для участников форума } - Crmy.zip

| Сообщение посчитали полезным: Abraham



Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 26 августа 2013 23:25 New!
Цитата · Личное сообщение · #2

Анубис http://anubis.iseclab.org/?action=result&task_id=1f35f4c73aaf55b2409c8fc3cbc35a8d2&format=html

Таймаут, так как нужно время на обработку. Где то секунд 10.

Ранг: 19.6 (новичок)
Статус: Участник

Создано: 27 августа 2013 23:47 New!
Цитата · Личное сообщение · #3

Code:
  1. ---------------------------
  2. Crmy.exe - Ошибка приложения
  3. ---------------------------
  4. Инструкция по адресу "0x00412650" обратилась к памяти по адресу "0x71aeffff". Память не может быть "read".
  5.  
  6. "ОК" -- завершение приложения
  7. "Отмена" -- отладка приложения
  8. ---------------------------
  9. ОК   Отмена   
  10. ---------------------------


что-то ваш илитный кодес сдох. Небось там VMBE не присутствует?


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 28 августа 2013 00:09 New!
Цитата · Личное сообщение · #4

int_256

У всех робит. Откатали на 5.1/32, 6.1/32, 6.1/64. Вы покиляйте свои отладчики и почистите ось от говна, которое память бьёт.

Ранг: 19.6 (новичок)
Статус: Участник

Создано: 28 августа 2013 00:45 New!
Цитата · Личное сообщение · #5

Dr0p
говнокод детектед
пишите человеческий код, а не который хз что в системных либах копошится


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 28 августа 2013 00:51 · Поправил: Dr0p New!
Цитата · Личное сообщение · #6

int_256

Я знаю чего он крешится у вас. Потому что у вас секция кода нтдлл битая(вы её патчите в целях отладки или быть может авер какой побил или малварка хз), а это не боевой код(в этом случае обычно RE секции подгружаются с диска, W из памяти) и с диска её подгружать не нужно. Есчо такое может быть если запускается в режиме совместимости(если шим подгружается). Во всех этих случаях в системной кодосекции есть относительное ветвление за пределы проекции. Есно оно криво раскодируется. Но это только плюс.
Кстате не удивительно, у вас ось наверно самопальная пруф :D

Ранг: 19.6 (новичок)
Статус: Участник

Создано: 28 августа 2013 01:24 New!
Цитата · Личное сообщение · #7

Dr0p
насчет того пруфа, так то проблема была не в софте, а в глючном китайском Jmicron'овском ata контроллере. И вообще к вашему сведению я коней не запускаю на рабочей тачке. И кодес, который работает в кастомном случае и живучесть которого зависит от того, как кишки у мс устроены это не код.


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 28 августа 2013 01:26 New!
Цитата · Личное сообщение · #8

int_256

Всё отлично работает. Если вы не можите осилить, то матчасть учите. Что от меня нужно то.


Ранг: 1288.1 (!!!!)
Статус: Модератор

Создано: 29 августа 2013 17:38 New!
Цитата · Личное сообщение · #9

выпилил всё ) ломайте крякми

| Сообщение посчитали полезным: DimitarSerg, kid, Abraham


Ранг: 6.7 (гость)
Статус: Участник

Создано: 31 августа 2013 18:28 New!
Цитата · Личное сообщение · #10

строки в дампе:
http://webfile.ru/6659834
зачем в крякми строки реестра?

{ Атач доступен только для участников форума } - Crmy.txt

Ранг: 379.7 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 31 августа 2013 18:39 New!
Цитата · Личное сообщение · #11

bizdon пишет:
зачем в крякми строки реестра?

--> Чтоб увеличить свои показатели на вирустотал <--


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 1 сентября 2013 11:22 · Поправил: Dr0p New!
Цитата · Личное сообщение · #12

bizdon

Их в нём нет. Это у вас showsnaps ntldr, верифер и прочие отладочные тулзы выводят на скока понял.

| Сообщение посчитали полезным: dosprog



Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 1 сентября 2013 11:22 New!
Цитата · Личное сообщение · #13

ELF_7719116

Быть может импорта нет ?


Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 1 сентября 2013 12:26 New!
Цитата · Личное сообщение · #14

bizdon

Полистал подробно ваш текстовик, это не иначе, как список текстовых строк в нтдлл(идой чтоле рипнул ?).

| Сообщение посчитали полезным: Functor


Ранг: 408.5 (мудрец)
Статус: Участник

Создано: 1 сентября 2013 16:29 · Поправил: dosprog New!
Цитата · Личное сообщение · #15

Компьютер не взорвался...
Dr0p, рисунок я подредактировал. Чуток, чтобы лучше смотрелось.)

{ Атач доступен только для участников форума } - HOLST.png

| Сообщение посчитали полезным: Abraham



Ранг: 72.3 (постоянный)
Статус: Участник

Создано: 2 сентября 2013 01:55 · Поправил: Dr0p New!
Цитата · Личное сообщение · #16

dosprog

Неужели вы пробили сабж. Не верю своим глазам

Код не палите. Вероятно после вашего сообщения к вам в лк полезут хомяки. Помните что меняется всё.

В таком случае вы можите вступить. Надеюсь вы извлекли чтонить новое для себя, потратив время. Также надеюсь вы не использовали тулзы для arce, типо side(в этом случае анализ делается на коленке и сабж вскрывается за минуты).


Ранг: 660.5 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 2 сентября 2013 10:14 New!
Цитата · Личное сообщение · #17

Dr0p пишет:
Также надеюсь вы не использовали тулзы для arce, типо side

Не, ну давайте не будем, может, ещё кто начал реверсить и не хочет подсказок.


Ранг: 1013.4 (!!!!)
Статус: Участник

Создано: 27 декабря 2016 16:20 New!
Цитата · Личное сообщение · #18

одно из решений --> Link <--

Ранг: 408.5 (мудрец)
Статус: Участник

Создано: 28 декабря 2016 08:00 · Поправил: dosprog New!
Цитата · Личное сообщение · #19

Вот ещё: { Атач доступен только для участников форума } - get_png!.rar - Archive password is "1".


Ранг: 56.2 (постоянный)
Статус: Участник

Создано: 28 декабря 2016 11:25 New!
Цитата · Личное сообщение · #20

http://crackmes.de/
погиб смертью храбрых


Ранг: 314.0 (мудрец)
Статус: Участник

Создано: 28 декабря 2016 11:30 New!
Цитата · Личное сообщение · #21

Не решено, пока не решено автоматикой.


Ранг: 123.9 (ветеран)
Статус: Участник

Создано: 14 августа 2019 23:12 New!
Цитата · Личное сообщение · #22

difexacaw
хороший хелоуворлд - давай еще


Ранг: 314.0 (мудрец)
Статус: Участник

Создано: 23 августа 2019 19:24 · Поправил: difexacaw New!
Цитата · Личное сообщение · #23

SDK

Я тоже решил крэкми собрать. Немного неделю продумал механизмы. Что бы в коде не копались, сделаю по хитрому.

Допустим дан линейный блок кода(заканчивается он ветвлением), назовём его фреймом для удобства. Ветвление заменяем на шлюз(а адрес ветвления если задан) шифруем(любая функция для примера, пусть сумма), деля на две части. Одну часть оставляем в самом шлюзе, а вторую часть(ключ) оставляем в предыдущем фрейме(те том, который передаёт управление на текущий). Шлюз выполнит сложение, таким образом вычислив адрес следующего фрейма и сформирует ключ для него.

Получается что во фреймах нет адреса ветвления, он формируется по ключу из предыдущего фрейма и так рекурсивно. Тоесть адрес ветви и адрес ссылки на фрейм узнать нельзя. Получится массив перемешанных фреймов, где ключ передаётся при выполнении фреймов(локально в потоке).

Для возврата из процедур аналогично - часть суммы в стеке, часть в шлюзе и часть в предыдущем до рет фрейме. Тогда стектрейс будет содержать только ключи, по которым адреса не узнать.

Вот показал на диаграмке:


Интересно как такое решать ?

Кстате по трассировке, что получится?:

Code:
  1.          mov ss,R
  2.          mov ds,RPL(11B)
  3.          mov R,ds


| Сообщение посчитали полезным: SDK


Ранг: 19.0 (новичок)
Статус: Участник

Создано: 23 августа 2019 20:48 New!
Цитата · Личное сообщение · #24

difexacaw, а чем ваша идея принципиально отличается от виртуалки в VMProt 3.0?


Ранг: 123.9 (ветеран)
Статус: Участник

Создано: 23 августа 2019 21:44 New!
Цитата · Личное сообщение · #25

difexacaw пишет:
Интересно как такое решать ?

давайте "семпл" и конечную цель пусть будет
как и раньше зашифрованный файл на выходе
поломаем голову.


Ранг: 314.0 (мудрец)
Статус: Участник

Создано: 24 августа 2019 07:32 New!
Цитата · Личное сообщение · #26

user99

Код остаётся нэйтивным, удаляются только связи между блоками(cfg). Виртуализация это совершенно другое. Нет никакого интереса разбирать виртуальные машины, это тривиальная рутина.

Ранг: 19.0 (новичок)
Статус: Участник

Создано: 24 августа 2019 08:42 · Поправил: user99 New!
Цитата · Личное сообщение · #27

difexacaw, я про механизм переходов.
Пример одного из блоков ВМ:
Code:
  1. mov edx,[esi]
  2. lea esi,[esi+4]
  3. sub ebp,1
  4. movzx ecx,byte ptr [ebp]
  5. xor cl,bl
  6. xor cl,BC
  7. neg cl
  8. sub cl,C3
  9. neg cl
  10. dec cl
  11. rol cl,1
  12. neg cl
  13. xor bl,cl
  14. mov [esp+ecx],edx
  15. sub ebp,4
  16. mov ecx,[ebp]
  17. xor ecx,ebx
  18. inc ecx
  19. rol ecx,2
  20. inc ecx
  21. bswap ecx
  22. xor ebx,ecx
  23. add edi,ecx
  24. jmp edi

Явного перехода нет, часть ключа для вычисления перехода хранится в ebx и в edi (эти части меняются в каждом блоке, поэтому если пропустить какой-либо блок без пересчета ключей, то дальнейшая работа будет невозможной), а вторая часть ключа берется из управляющего буфера (ebp).
И периодически меняются блоки:
- jmp меняется на связку push / ret.
- ключом помимо ebx/edi могут служить другие регистры.
Если это тривиальная рутина, то почему ваш метод неявных переходов не будет тривиальным?


Ранг: 314.0 (мудрец)
Статус: Участник

Создано: 24 августа 2019 08:59 · Поправил: difexacaw New!
Цитата · Личное сообщение · #28

user99

Это ведь не исходный нэйтив код, а вм. Там же нет исходных бинарных инструкций.

> Если это тривиальная рутина, то почему ваш метод неявных переходов не будет тривиальным?

Потому что не нужно заниматься задродством с девиртом. Исходные блоки не тронуты, только между собой развязаны что бы дизасм не взял. Кто же будет в крэкми реверсить вирт машину

Только ньюби могут взять хеловорд криптануть чем то, тем же вмп и разбирайтесь.. такое нафиг никому не нужно.

Ранг: 0.7 (гость)
Статус: Участник

Создано: 31 августа 2019 00:50 New!
Цитата · Личное сообщение · #29

Помогите понять
в конфигурационном файле установщика приложения есть следующая строка
{
"tu.license": "TAHDA-ZXAN7-V2P4E-QRHKT-HOLWG-NT2AA;eyJkYXRhX3ZlcnNpb24iOjEsInBhcmFtZXRlcnMiOnsicmV2b2NhdGlvbl9jb3VudGVyIjo2NSwiZXhwaXJhdGlvbiI6eyJ0eXBlIjoicmVsYXRpdmUiLCJ2YWx1ZSI6IjE1In19LCJsbl9oYXNoIjoiQkRGMjNDMTIxM0E0QkY3REFGMzNDNDQzNjZGMDZEQjQxN0FFRDNERCIsInNlcnZlcl9jb29raWUiOiJmaWxlZGlyLTcwNy02NSJ9O1NIQTE7ODYzNjM2ZTU7TUN3Q0ZBOTJ2dWZqZDF4dU44NkZrRFdYaHlmQ1prc1ZBaFJZdXRKWk5ISnhVZVZuMFJOSXZ5NW1sdFdrM0E9PQ=="
},
Понятно что первое после tu.license код активации а что за ним ??
хеши ?? параметры лицезии ??

Ранг: 574.3 (!)
Статус: Модератор

Создано: 31 августа 2019 01:29 New!
Цитата · Личное сообщение · #30

что-то base64 encoded. может подпись, а может и параметры.
. 1 . 2 . 3 . >>
 eXeL@B —› Крэки, обсуждения —› Крякми.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS