eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июня!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Artificia, dma (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› EvePilot взлом
Посл.ответ Сообщение

Ранг: 0.5 (гость)
Статус: Участник

Создано: 10 сентября 2013 21:17 · Поправил: Alexey007 New!
Цитата · Личное сообщение · #1

Пытаюсь взломать данную программу, но ничего не получается, распишу все по порядку
сама програма http://rghost.ru/48676568

1 Net.Reflector не открывает, пишет Индекс находиться вне границы массива


2 SAE открывает, но от этого лучше не становитсья, потому что он от обфусцирован



3 Делаем Дамп используя Dotnet_Dumper Получаем почему то 2 файла ??? exe и несколько библиотек с повторами, честно говоря я не пойму откуда они появляютсья и зачем они нужны?


Программа запускается из дампа. Еще можно заметить что библиотека используестся IntelliLock.Licensing.dll
Скорее всего используетсья система защиты http://www.eziriz.com/intellilock_online_help/source/sdk_license.html

4 Пробуем Деобфусцировать

4.1 Пробуем найти чем обфусцировали используем программы

DotNET DeObfuscator v0.5 --- Can`t open assembly for Deobfucation

Используя SAE если выделить все файлы и попробовать их по дефолту деобурфить то вылезет ошибка

Can't handle two same assemblies tegother: IntelliLock.Licensing, Version=1.0.2.0, Culture=neutral, PublicKeyToken=fa31f7b96357acdc
в SimpleAssemblyExplorer.Deobfuscator.LoadAllAssemblies()
в SimpleAssemblyExplorer.Deobfuscator.Go()
в SimpleAssemblyExplorer.frmDeobf.btnOK_Click(Object sender, EventArgs e)
в System.Windows.Forms.Control.OnClick(EventArgs e)
в System.Windows.Forms.Button.OnClick(EventArgs e)
в System.Windows.Forms.Button.OnMouseUp(MouseEventArgs mevent)
в System.Windows.Forms.Control.WmMouseUp(Message& m, MouseButtons button, Int32 clicks)
в System.Windows.Forms.Control.WndProc(Message& m)
в System.Windows.Forms.ButtonBase.WndProc(Message& m)
в System.Windows.Forms.Button.WndProc(Message& m)
в System.Windows.Forms.Control.ControlNativeWindow.OnMessage(Message& m)
в System.Windows.Forms.Control.ControlNativeWindow.WndProc(Message& m)
в System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)

если тупо exe файл то запуститься окошко программы о том что это триальная версия, как я читал на этом форуме это говорит о том что работать эта программа не будет (

Пробуем программой de4dot, но она пишет, что что найти обфурсикатор не может



тоже неудача, во первых он не открывает программу, а во вторых практически не обфуцирует (



Вобщем теряюсь в догадках что делать, как его взломать, что я сделал не так,буду благодарен, если подскажите, что предпринять, да и еще
есть похожая тема, http://exelab.ru/f/index.php?action=vthread&forum=5&topic=21813, но там программу смогли отучить от триала, файл уже сдох, да и не хочу влезать в чужую тему

Ранг: 304.2 (мудрец)
Статус: Участник
ILSpector Team

Создано: 12 сентября 2013 15:28 New!
Цитата · Личное сообщение · #2

1.Update client to newest version.
2.Exec, then Use MegaDumper (you need only 2 file: EvePilot.exe and IntelliLock....dll)
3.Use Universal Fixer (target:EvePilot.exe)
4.Rename modify EvePilot......exe to original name: EvePilot.exe
5a.Use SAE(deobfuscator) with option "Flow with all option". Object after exec this step not execute ))) but help you to undestand crypto-logic"
5b. Use any disassembler on target (You made it in step 4)
3Ye.3DE.GetLicense -> 3ee.3oe.xPIe->... ->3ee.3oe.xPxe->...->3ee.3oe.xPHe <- (Decrypt License)

)))) Уф заепся ))) это я английский изучаю )))
1.Результат кладется в 3De.3Qe.xape
А вот дальше все процедуры проверки с значениями в реестре и т.д. (для анализа лучше использовать ILSPy: становишься на переменную -> Analize->Used by)

Alexey007 пишет:
Вобщем теряюсь в догадках что делать, как его взломать, что я сделал не так,буду благодарен, если подскажите


З.Ы. Есть еще по ходу процедуры проверки контрольной суммы файла
З.Ы.Ы. Надеюсь теперь у Вас будет чем занять Ваш мозг )))))

З.Ы.Ы.Ы. Если нужен будет run-time отладчик для анализа Вашей проги пиши здесь... дам ... но только в том случае если докажешь что понимаешь что делаешь... И для того чтобы не было лишних вопросов, инфа: Отладчик Net, в ран-тайме позволяет идти по коду но не позволяет его модифицировать по ходу действия.

Ранг: 304.2 (мудрец)
Статус: Участник
ILSpector Team

Создано: 12 сентября 2013 15:34 New!
Цитата · Личное сообщение · #3

Забыл 3De лежит в namespace 3Ye


Ранг: 468.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 12 сентября 2013 15:36 New!
Цитата · Личное сообщение · #4

Medsft пишет:
Если нужен будет run-time отладчик для анализа Вашей проги пиши здесь... дам


Было бы неплохо потестить, поделишься?

Ранг: 0.5 (гость)
Статус: Участник

Создано: 13 сентября 2013 21:59 New!
Цитата · Личное сообщение · #5

Medsft Очень нужен, я скачал net reflector плагин, но он не работает(, а так можно смотреть что за чем исполняется, что меняется, программировании эта вещь просто незаменима, а тут так и подавно.
Насчет того что понимаю что делать, даже не знаю что и сказать во взломе я конечно новичек, но на c# написал довольно много программ. Ну а по поводу взлома прочитал все что есть в рунете. Надеюсь убедил

И еще один вопрос я обновился до последней версии reflector 8,2,042 использую последнюю версию SAE.v1.14.2.x86, но SAE отказываеться открывать reflector выдает

Метод не найден: "Void Reflector.ApplicationManager..ctor(Reflector.IWindowManager)".
в SimpleAssemblyExplorer.LutzReflector.SimpleReflector..ctor()
в SimpleAssemblyExplorer.LutzReflector.SimpleReflector.get_Default()
в SimpleAssemblyExplorer.ClassEditReflectorHandler.InitControls()
в SimpleAssemblyExplorer.ClassEditDecompilerHandler.Init()
в SimpleAssemblyExplorer.ClassEditDecompilerHandler.tabPage_Enter(Object sender, EventArgs e)
в SimpleAssemblyExplorer.frmClassEdit.tabReflector_Enter(Object sender, EventArgs e)
в System.Windows.Forms.Control.OnEnter(EventArgs e)
в System.Windows.Forms.TabPage.OnEnter(EventArgs e)
в System.Windows.Forms.TabPage.FireEnter(EventArgs e)
в System.Windows.Forms.TabControl.OnSelected(TabControlEventArgs e)
в System.Windows.Forms.TabControl.WmSelChange()
в System.Windows.Forms.TabControl.WndProc(Message& m)
в System.Windows.Forms.Control.ControlNativeWindow.OnMessage(Message& m)
в System.Windows.Forms.Control.ControlNativeWindow.WndProc(Message& m)
в System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)

Ранг: 118.0 (ветеран)
Статус: Участник

Создано: 13 сентября 2013 22:44 New!
Цитата · Личное сообщение · #6

Alexey007 пишет:
использую последнюю версию SAE.v1.14.2.x86

--> чуть поновее попробуй <--

| Сообщение посчитали полезным: Alexey007


Ранг: 304.2 (мудрец)
Статус: Участник
ILSpector Team

Создано: 16 сентября 2013 12:43 New!
Цитата · Личное сообщение · #7

"Не правильно ты дядя Федор бутерброд ешь"

Для начала нужно понять что принципиально все дизассемблеры использующие Mono работать с защищенным кодом не будут так как Mono не предназначался для этих целей
Есть кастомные сборки которые кое как но его берут... например моя ))) брать из темы ILCode editor plugin for ILSpy.
Про reflection вообще ниче не знаю почему там рефлектор не работает не знаю
З.Ы. За дебаггер нужно день два... библу одну прикручу..

Ранг: 304.2 (мудрец)
Статус: Участник
ILSpector Team

Создано: 19 сентября 2013 18:39 New!
Цитата · Личное сообщение · #8

Alexey007 пишет:
Очень нужен


Читаем и радуемся тему "Net Debugger для x86". Там отладчик
 eXeL@B —› Вопросы новичков —› EvePilot взлом

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS