eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: LoxmatbIj (+6 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› CrackMe и zLib
Посл.ответ Сообщение

Ранг: 1.2 (гость)
Статус: Участник

Создано: 18 ноября 2017 17:42 · Поправил: PastInTheFuture New!
Цитата · Личное сообщение · #1

Пытаюсь решить этот CrackMe уже третью неделю. Застопорился на одной функции. Узнав, какое значение оно должно возвращать, я принялся за работу и начал разрабатывать стратегию. В итоге все тщетно, сколько бы я не пытался — практически нереально подобрать нужные значения.

Вот, что я узнал из того, что требует CrackMe:
В поле E-mail вводится почта в нормальном виде, я так понимаю. Затем есть функция, которая заменяет точки, на _ и прочее.
Затем в поле Serial вводим путь к папке, в котором то и должны быть байты, удовлетворяющие функции.
Убив просто гору времени на разбор этой функции, я попытался проанализировать строки программы еще раз. Увидев строку inflate 1.2.11 Copyright 1995-2017 Mark Adler и строки исключения, я принялся гуглить. Погуглив я узнал, что это скорее всего метод сжатия файла zlib, но подробной информации что где взять и как ее использовать, я не нашел.

Прошу знающих помочь или хотя бы направить меня в нужное направление: в какую сторону копать.
Чтоб вы убедились, что я правда пытался сделать — прикрепляю сам crackme и некоторые мои наработки в IDA Pro.

https://mega.nz/#!944DQIpI!LZJu_mX6Wjfu56sy8Bf7-OKbA3EyDpKp5DL7aWy6BaY


Ранг: 331.3 (мудрец)
Статус: Участник
born to be evil

Создано: 18 ноября 2017 17:49 New!
Цитата · Личное сообщение · #2

нет слов. гугль забанен? --> http://www.zlib.net <--

Ранг: 1.2 (гость)
Статус: Участник

Создано: 18 ноября 2017 17:54 New!
Цитата · Личное сообщение · #3

ajax пишет:
нет слов. гугль забанен?

Мне нужна помощь именно по функции, для начала. Может я и ошибся вовсе с zlib.

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 18 ноября 2017 17:57 New!
Цитата · Личное сообщение · #4

Спермский крякми


Ранг: 331.3 (мудрец)
Статус: Участник
born to be evil

Создано: 18 ноября 2017 18:14 · Поправил: ajax New!
Цитата · Личное сообщение · #5

PastInTheFuture
никому тут всякие крякми не нужны, за редким исключением. не катит - ищите задачу проще. сырки злиба никто не утаивает. по сигнатурам "шуруйте". кста, png-картинка на основе адлера может быть

Ранг: 1.2 (гость)
Статус: Участник

Создано: 18 ноября 2017 18:29 New!
Цитата · Личное сообщение · #6

ajax пишет:
кста, png-картинка на основе адлера может быть

Поподробнее можно?
Или ссылку

Ранг: 70.7 (постоянный)
Статус: Участник

Создано: 18 ноября 2017 18:40 New!
Цитата · Личное сообщение · #7

PastInTheFuture пишет:
Увидев строку

А, сначала в анализатор сабж подкинуть?

Ранг: 1.2 (гость)
Статус: Участник

Создано: 18 ноября 2017 18:42 New!
Цитата · Личное сообщение · #8

sefkrd пишет:
А, сначала в анализатор сабж подкинуть?


Не понимаю, о чем вы?


Ранг: 292.6 (наставник)
Статус: Участник

Создано: 18 ноября 2017 19:33 New!
Цитата · Личное сообщение · #9

PastInTheFuture

Ну ясно что у вас не получается и полная засада, но вы не сказали в чём именно. Что есть некоторая функция не понятная, понятно. Но что именно с ней не получается, какое звено цепи не понятно ?

Подозреваю что разбор функции" свёлся не к анализу её, последовательному реверсу, а судя по описанию тупо попытки извлечь инфу путём перебора и запроса в гугл на строки.

Ранг: 1.2 (гость)
Статус: Участник

Создано: 18 ноября 2017 20:03 New!
Цитата · Личное сообщение · #10

difexacaw пишет:
Ну ясно что у вас не получается и полная засада, но вы не сказали в чём именно. Что есть некоторая функция не понятная, понятно. Но что именно с ней не получается, какое звено цепи не понятно ?

Подозреваю что разбор функции" свёлся не к анализу её, последовательному реверсу, а судя по описанию тупо попытки извлечь инфу путём перебора и запроса в гугл на строки.

Далеко не так. Я делал так: сначала разобрался с тем, какое значение должна возвратить функция. Она должна возвратить 1. Ну вот я и посмотрел в теле функции, откуда может взяться 1.
Нашел такой код: v84 = 1; вот от этого места и шел. А подбирал я именно ASCII символы, чтоб обойти все исключения.
Проблема в том, что очень запутанно, возможно, я пошел не тем путем, каким нужно: я начал реверсить, возможно, уже известную функцию(zlib). Может быть там нужно сделать какие либо манипуляции с данными, чтоб эта функция успешно сработала.

Знаете, это наподобие реверса уже известного всем алгоритма MD5. Зачем его реверсить, если и так понятно, что будет на выходе. Можно же просто воспользоваться ею, не обязательно ее анализировать. Вот я и спрашиваю, возможно, этот тот самый случай.

В гугле я искал только информацию по zlib и информацию о исключениях в этой функции.


Ранг: 292.6 (наставник)
Статус: Участник

Создано: 18 ноября 2017 20:18 · Поправил: difexacaw New!
Цитата · Личное сообщение · #11

PastInTheFuture

Если вы залезли в механизм сжатия, то это чисто вопрос опыта - нужно быть знакомым с этими механизмами, любой их них может быть определён как механизм сжатия/криптования просто полистав код; он будет монотонный, странные казалось бы повторения, mmx операции, отсутствие обращения в память - это всё для оптимизации.

С другой стороны вопрос остаётся не понятным. По выражению vXX = M понятно что вы разбираете код, сгенеренный декомпилером. Причём анализ его происходит через восстановление данных, обратный проход по графу данных, это не анализ, а проход по источникам данных. То что вам кажется весьма запутанным, думаю скорее всего так и есть, часто декомпиль выдаёт дикий треш, что делает его использование бессмысленным.

Покажите исходный асм код, на котором возникла проблема.

| Сообщение посчитали полезным: Gideon Vi


Ранг: 1.2 (гость)
Статус: Участник

Создано: 18 ноября 2017 21:08 New!
Цитата · Личное сообщение · #12

difexacaw пишет:
Покажите исходный асм код, на котором возникла проблема.


Вы меня неправильно понимаете.
Проблема не в каком то коде асма, а в функции в целом. В функции используется 31 case. Через дизасм смотреть его просто нереально.
Декомпилятор показывает все правильно, разве что некоторые операции заменяет сдвигами, но результат тот же. Просто взгляните на crackme.idb и все поймете, если есть желание. Функцию я назвал, переменные тоже обозначил некоторые. Может быть вы увидите в ней какой либо алгоритм сжатия и т.д


Ранг: 292.6 (наставник)
Статус: Участник

Создано: 18 ноября 2017 21:46 New!
Цитата · Личное сообщение · #13

PastInTheFuture

> Через дизасм смотреть его просто нереально.

Для вас не реально. Мне не нужен выхлоп декомпилера. Впрочем раз кода нет, то и нет задачи.)

Ранг: 1.2 (гость)
Статус: Участник

Создано: 18 ноября 2017 22:24 New!
Цитата · Личное сообщение · #14

Вот кодdifexacaw пишет:
Для вас не реально



{ Атач доступен только для участников форума } - asm.txt

Ранг: 70.7 (постоянный)
Статус: Участник

Создано: 18 ноября 2017 23:18 New!
Цитата · Личное сообщение · #15

PastInTheFuture пишет:
Убив просто гору времени

Вот я о чем..

Ранг: 1.2 (гость)
Статус: Участник

Создано: 18 ноября 2017 23:44 New!
Цитата · Личное сообщение · #16

sefkrd пишет:
Вот я о чем..

Сначала нужно же самому попытаться решить, не сразу же на форму заливать. Или вы не это имели в виду?

Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 19 ноября 2017 00:08 · Поправил: dosprog New!
Цитата · Личное сообщение · #17

) А на кой тебе тот крякмикс сдался? - жаждешь трудиться в той конторе?
Взял бы лучше полезный какой софт поковырял,
а крякмиксы то херня полная - при желании можно такого навертеть, что и сам фиг распутаешь.
Проблемы на ровном месте

--Добавлено--
) Пропатчи вон
crackme.exe
.00403C0B: C0 D0
- и не парься

| Сообщение посчитали полезным: Gideon Vi



Ранг: 1117.7 (!!!!)
Статус: Участник

Создано: 19 ноября 2017 06:12 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #18

PastInTheFuture пишет:
Сначала нужно же самому попытаться решить


ну вот решил ты, что нужно разбираться с zlib (на самом деле нет), и где попытки разобраться? Где асм-листинг функции, на разбор которой ты потратил гору времени? Что в ней не понятно?

Введение в крэкинг с нуля, используя OllyDbg (сборник)

REVERSING WITH IDA PRO FROM SCRATCH

Ранг: 287.7 (наставник)
Статус: Модератор
CrackLab

Создано: 19 ноября 2017 09:24 New!
Цитата · Личное сообщение · #19

PastInTheFuture пишет:
Проблема не в каком то коде асма, а в функции в целом. В функции используется 31 case.

посмотри эту функу, может что-то знакомое увидишь... Если нет,
то тренируйся пока на кошках--> Link <--

Ранг: 1.2 (гость)
Статус: Участник

Создано: 19 ноября 2017 13:01 New!
Цитата · Личное сообщение · #20

Gideon Vi пишет:
где попытки разобраться? Где асм-листинг функции, на разбор которой ты потратил гору времени?


Внимательнее читайте, выше прикрепил asm-код функции.

Добавлено спустя 4 минуты
SReg пишет:
посмотри эту функу, может что-то знакомое увидишь...

Эту функцию, как раз таки, и смотрю

Добавлено спустя 10 минут
dosprog пишет:
А на кой тебе тот крякмикс сдался? - жаждешь трудиться в той конторе?


Да, хочу там работать, а что такого?

Ранг: 241.7 (наставник)
Статус: Участник

Создано: 19 ноября 2017 13:14 New!
Цитата · Личное сообщение · #21

PastInTheFuture пишет:
Да, хочу там работать, а что такого?

Рабочие вопросы сам решить не сможешь, будешь нас просить? А зарплату свою отдашь?

Ранг: 1.2 (гость)
Статус: Участник

Создано: 19 ноября 2017 13:22 New!
Цитата · Личное сообщение · #22

TryAga1n пишет:
Рабочие вопросы сам решить не сможешь, будешь нас просить? А зарплату свою отдашь?

Глупые вопросы

Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 19 ноября 2017 13:47 · Поправил: dosprog New!
Цитата · Личное сообщение · #23

PastInTheFuture пишет:
Глупые вопросы

) Ну ты понел.

Что ж, трудись. Может, когда и сам такой вот крякмикс №3 составишь.
(Сюда не тяни).



Ранг: 292.6 (наставник)
Статус: Участник

Создано: 19 ноября 2017 15:44 · Поправил: difexacaw New!
Цитата · Личное сообщение · #24

PastInTheFuture

> Внимательнее читайте, выше прикрепил asm-код функции.

Это вы внимательно читайте, вам затем на сурец дали линк этого кода. Вы потратили кучу времени, разбирая не то что нужно было для решения, а стандартный паблик код. Какого чёрта вы полезли разбирать штатные механизмы сжатия не понятно. Короче рано вам крякми решать, раз вы не можите общее видеть. Декомпиль ведь не просто так использован, верно ?
- так как нет фундаментальных знаний, асм не понятен, архитектуру не знаю. Единственный путь загнать что то в декомпиль - результат такой же бессмысленный, вы сами себя ввели в заблуждение

> Да, хочу там работать, а что такого?

Что за контора, как обычно авер и есчо может быть каспер ?

Ранг: 287.7 (наставник)
Статус: Модератор
CrackLab

Создано: 19 ноября 2017 16:20 New!
Цитата · Личное сообщение · #25

difexacaw пишет:
Что за контора

Лаборатория Касперского, типа тестовое задание при приеме на работу


Ранг: 292.6 (наставник)
Статус: Участник

Создано: 19 ноября 2017 16:26 New!
Цитата · Личное сообщение · #26

SReg

Я так и думал, спасибо, всё ясно.

Ранг: 0.0 (гость)
Статус: Участник

Создано: 19 ноября 2017 16:47 New!
Цитата · Личное сообщение · #27

PastInTheFuture пишет: Да, хочу там работать, а что такого?

не узнать inflate и хочу работать, это шутка такая? патчить кстати тоже нет смысла, в таких заданиях требуется именно разобрать алгоритм генерации логин\пароль. на хабре были статьи с разбором крякми касперского, посмотрите, как решают их люди.


Ранг: 292.6 (наставник)
Статус: Участник

Создано: 19 ноября 2017 16:53 · Поправил: difexacaw New!
Цитата · Личное сообщение · #28

shellstorm

Помню на woodman была тема по крякми каспера, к сожалению этот ресурс удалён. Был использован хитрый трюк для решения(вливался загрузчик, но подробности я не помню) с запуском на онлайн визоре(Анубис). Оказалось что крякми не решаем принципиально, он был не корректно сделан.

Ранг: 0.0 (гость)
Статус: Участник

Создано: 19 ноября 2017 16:58 · Поправил: shellstorm New!
Цитата · Личное сообщение · #29

difexacaw пишет: он был не корректно сделан

В части их крякми требуется брут, один из прошлых решали с помощью символьных вычислений, а с качеством у них всегда проблема, что не удивительно, учитывая качество кода самого антивируса, куча легаси с откровенно нубским кодом.
ТС читай статью: https://habrahabr.ru/company/kaspersky/blog/323116/
У них все крякми на одну трубу.

Ранг: 1.2 (гость)
Статус: Участник

Создано: 19 ноября 2017 17:20 New!
Цитата · Личное сообщение · #30

Да уж, попросишь помочь — обосрут с ног до головы. Ничего нужно не услышал. Возомнили из себя профессионалов.

| Сообщение посчитали полезным: SDK

 eXeL@B —› Вопросы новичков —› CrackMe и zLib
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS