RE FORUM
[REVERSE ENGINEERING] => Newbie => Topic started by: eraser on April 12, 2007, 09:09:36 AM
-
Vybral som ďal?ie zaujímave Newbie CM, i keď v tomto prípade o ten S/N ani tak nejde. Dôvodom je skorej pou?itý "pack", no je to u? na vás, ako si s ním poradíte. Čím menej toolov pou?ijete, tým lep?ie. Mne stačili dva, pričom jedným bol OllyDbg a do .exe som vôbec nezasahoval.
Nedajte sa odradiť, ide o trapnú zále?itosť a za úspech pova?ujem odhalenie alga a jeho krokovanie, prípadne trace výpis, ktorý sa v tomto prípade dá tie? veľmi pekne zú?itkovať.
Názov: clone.exe (25.088 bytes)
Autor: haggar
Pack: MSLRH
Jazyk: ASM, WinAPI
Typ: KeygenMe
Poprosil by som účastníkov fóra, aby sa ich príspevky v tomto threade týkali zásadne len problematiky tohto CM.
Kto napí?e keygenerátor, tak ma pote?í, ale zrejme to zase ostane na mne, tak?e ma skúste niekto prekvapiť. ;)
-
Názov: clone.exe (25.088 bytes)
Autor: haggar
Pack: MSLRH
Jazyk: ASM, WinAPI
Typ: KeygenMe
No nevim ,nevim jestli to je rozumne do Newbie s timhle packerem - (antidump , antitrace...)..
-
Hmmm, ono tento pack, v stra?ích verziách je úplný lúzer a vôbec nie je potrebné dané CM unwrappovať, i keď i to sa mi úspe?ne podarilo a zisťovať OEP ručne, to samozrejme niewbíkom nedoporučujem.
Nechcem na začiatok moc prezrádzať, no stačí OEP (zrejme viete na akú utilitku myslím) a plugin v Olly na hide debuggera má snáď ka?dý defaultne aktivovaný... Veci na dumping nie sú v tomto prípade nutné, toto by som kľudne posunul Masterovi, ak bude mať o to záujem v unpack skôlke.
-
Jo,pozdeji to tam muzeme dat urcite.
-
...na to unpacknutie funguje ESP TRIK, a vobec nie je potrebne rebuildovat importy :D
-
S importami má? pravdu, jediné, čo mô?e spôsobovať men?í problém, to je ručné (kto by to robil? :) ) nájdenie OEP a tým i pár opcodes, tak?e priamy dump nehrozí, no i tak je to veľmi ľahké. Ak sa v?ak pou?ije tool, následne sa podľa stacku, resp. posledných adresies preskáče o pár krokov dozadu, potom je mo?né nájsť jump na OEP a taktie? ukradnuté in?trukcie. Toto sa v?ak dá i bez tohto procesu ľahko domyslieť... ale to uvidíte.
Neprezradil som v?etky anti-triky, ktoré tento protektor pou?íva, ale verím, ?e ich má ka?dý aktivované.
Dneska som sa hral s ručným krokovaním bez pou?itých anti-anti, tak?e keď budem mať čas, tak spravím popis, ale ten nahodím i s videom do unpack ?kôlky, keď príde na to tá pravá chvíľa.
-
A ja az se odlepim od world of warcraft,tak se taky do toho pustim :/
-
No, aby ťa to nevtiahlo tak, ako som nedávno videl v jednej časti South Park-u. :)
Ja u? mám nachystané video s rýchlym unwrappnutím a rebuildnutím, resp. kompletným odstránením protektora z executable. Rie?enie, vrátane keygenerátora je samozrejmosťou. Teraz mi neostáva nič iné, ne? čakať, ?e sa niekto do toho pustí.
Mimochodom, na tomto príklade je dobre vidieť, ?e rôzne pluginy, ktoré ukrývajú proces debuggovania, prípadne opravujú niektoré chyby, doká?u rapídne zjednoduch?iť a urýchliť prekonanie ochrany. Ďalej treba podotknúť, ?e pokiaľ by protektor neobsahoval rôzne fintičky, tak by sa krokovanie stalo pohodlnou zále?iťosťou... skúste si to potom reverznúť s čistým Ollym. :eek:
-
A ja az se odlepim od world of warcraft,tak se taky do toho pustim :/
A prosimte, kde paris? treba se potkavame ;)
-
pche... Lineage2 je mnohem lepsi nez World Of Warcraft !!! ( i kdyz teda grafika WoW taky neni k zahozeni :D )
-
To si teda pis ze L2 neni lepsi jak WOWko.Styl hrani a promyslenost ve wowku je mnohem lepsi.Navic tomu taky nahrava fakt,ze na wow neni ukradnuty ofic server,proto nikoho nic nenuti jit na ofic.
2 IS: hraju na Bladefistu
Jinak dneska odpoledne se budu muset delat neco do skoly.Tak udelam aspon unpack video prvniho unpack cme a mrknu se na tuhle srajdu.
-
hh .... tak jestli se vsechno podari tak budu mit na ten packer normalni unpacker .. rucne se mi to totiz nepovedlo :(
-
Nevim proc ale po manual unpacku a naslednemu spusteni pomoci F9 se CME sice pusti ale olly mi nechce nacist jednu knihovnu AdvancedApi.dll .... jeste nevim jestli to bude mit na CME nejaky vliv ale jestli stim ma nekdo skusenosti pls napiste :)
-
No, nepredpokladal som, ?e tento protektor spôsobí takéto problémy. Keď som sa k nemu dostal, ani som nevedel, ?e nejaké anti-ochrany vôbec obsahuje. Dôvodom bolo pár nastavení a pluginov, ktoré by mali byť ?tandardne aktivované. :)
Jednoduchým spôsobom, ako odkrokovať program, ktorý je zakryptovaný, spočíva v týchto pár bodoch:
1. Nájdenie OEP - napr. PEiD plugin
2. Deaktivovanie IsDebuggerPresent funkcie - napr. advancedolly plugin
3. Oprava formátovacej %s%s OllyDbg chyby - napr. advancedolly plugin
4. Ignorovanie INT 3 výnimky
5. Nastavenie BPX (hw breakpoint) na dané OEP
6. Run - F9
-
No, nepredpokladal som, ?e tento protektor spôsobí takéto problémy. Keď som sa k nemu dostal, ani som nevedel, ?e nejaké anti-ochrany vôbec obsahuje. Dôvodom bolo pár nastavení a pluginov, ktoré by mali byť ?tandardne aktivované. :)
...upozornoval jsem na to hned ve svem prvnim postu v tomto threadu.
-
Osobne si myslím, ?e sa jedná o ďaleko ľah?ie ochrany, ne? pou?il Hypno vo svojom Newbie CM 18. Naviac tých pár hintov na začiatku bolo dosť okatých. Samozrejme som uviedol typ protektora, tak?e nejaký ten unwrapping tutorial sa dá i vygoogliť. No, ako som napísal, nie je to podmienkou.
Ale skorej by som povedal, ?e to takmer nikto nerie?i. Vhodný postreh sem nahodil pr0p4g4nd4, ďalej sa do toho pustil Frenzy, pričom si myslím, ?e je to pre neho ťa??ie sústo, ale som rád, ?e aspoň niekto bol ochotný s tým bojovať a verím, ?e s pár radami sa mu to i podarí a tým mu toto CM dá i zopár dobrých skúseností. Pred pár mesiacmi by som s tým osobne teda vôbec nepohol...
-
Osobne si myslím, ?e sa jedná o ďaleko ľah?ie ochrany, ne? pou?il Hypno vo svojom Newbie CM 18. Naviac tých pár hintov na začiatku bolo dosť okatých. Samozrejme som uviedol typ protektora, tak?e nejaký ten unwrapping tutorial sa dá i vygoogliť. No, ako som napísal, nie je to podmienkou.
Ale skorej by som povedal, ?e to takmer nikto nerie?i. Vhodný postreh sem nahodil pr0p4g4nd4, ďalej sa do toho pustil Frenzy, pričom si myslím, ?e je to pre neho ťa??ie sústo, ale som rád, ?e aspoň niekto bol ochotný s tým bojovať a verím, ?e s pár radami sa mu to i podarí a tým mu toto CM dá i zopár dobrých skúseností. Pred pár mesiacmi by som s tým osobne teda vôbec nepohol...
...asi tak, mas pravdu. Ale som fakt rad, ze sa do toho pustil aspom jeden newbie(mam na mysli FRENZY-ho). Aj ked som si neni isty ci to je prenho toto cme dostatocne lahke lebo milnuly piatok som mu musel cez icq vysvtlovat take zaklady ako napr. co znamenaju tie cisla v olly pri nazvoch registrov... Ale nechcem ho vobec podcenovat... sak uvidime, mozno nakoniec nahodi aj nejake to solution ;)
...inac na tie vselijake antitriky by mal v pohode stacit OLLYADVACED plugin do olly
...BTW: tutorial mam uz na 90% hotovy, takze ked budem mat cas tak ho hodim na forum :rolleyes:
-
No, je to tro?ku silné sústo, to beriem, ale niekedy i na takýchto CMs sa doká?e človek dosť priučiť, je to taká ?oková terapia, ako hodiť neplavca do vody... :) Ak sa pamätám, podobne na tom pre mňa bolo CM 18 od Hypna. Ten svoj účel splnil triplovane. Vtedy som nemal potuchu o nejakom anti-disassemble, anti-debuggingu, technikách TLS, Running Line, RSA ?ifrovanie, apod. A myslím, ?e zaujal i skúsenej?ích členov tohto fóra, veď stačí sa pozrieť na celú diskusiu, vtedy to tam vrelo dohadami a objasnovaním techník. A to nehovorím o PMkách, resp. ICQ správach, ktoré lietali hore-dole. Tro?ku ma v?ak mrzí, ?e popis je tam iba od CZpCZ a kompletný keygenerátor len odomňa. :)
Frenzyho mám stále na dráte, usmerňujem ho k tomu, aby postupne k rie?eniu dospel sám. Taktie? mu objasňujem základy ASM a WinAPI. No na tomto mám aspoň mo?nosť vidieť, ako sa na RE pozerá úplný začiatočník a vďaka tomu si uvedomujem, čo je nutné vyzdvihnúť, a ktoré veci nutno objasniť ako prvé. Ono, ja zastávam teóriu, ?e kniha, publikácia, či článok je úspe?ný a vhodne napísaný vtedy, ak mu porozumie 90% čitateľov, z cieľovej skupiny, ktorej je určený.
A som rád, ?e mu pomahajú i ostatní, vrátane teba, Master-a, či Iron Screw-a.
Heh, si ma nesklamal, som tajne veril, ?e niekde pomaličky a potichúčky bastlí? nejaké to rie?enie. Ja u? mám nachystané i video s ručným unwrappnutím, vrátane odhalenia ukradnutých opcodov, i keď v tomto prípade by som si tých pár in?trukcií i domyslel. ;)
-
Heh, si ma nesklamal, som tajne veril, ?e niekde pomaličky a potichúčky bastlí? nejaké to rie?enie. Ja u? mám nachystané i video s ručným unwrappnutím, vrátane odhalenia ukradnutých opcodov, i keď v tomto prípade by som si tých pár in?trukcií i domyslel. ;)
...to hej, sice pomalicky ale isto :D
-
Tak se chystam na vypocet toho HASHE a nesledne prevraceni ... ale da mi to peknej zahul !!! .. potomhle bydu vypadat asi takhle: :p (Vcelku vyhulene :D )
-
...takze som zase nesklamal a opat tu mam pripraveny maly tutorial. aj ked na druhu stranu nie je az taky velmi maly, dokonca by som povedal ze je dost velky a strasne som sa na nom nadrel :rolleyes: ;)
-
Tak vidím, ?e moja predtucha sa vyplnila. Som si hovoril, ?e ten dlh?í čas bude vykúpený podrobným tutoriálom a po jeho zhliadnutí mô?em tento predpoklad potvrdiť.
Vysvetlené algo hashovania mena, ďalej rozbor hashovania registračného čísla, a? na kosť a následný reverzný algoritmus pre zisk správneho serial čísla z výsledku vyhashovaného mena.
Výborne.
Tro?ku som dúfal, ?e aspoň na ten unwrapping s lokalizáciou alga sa vrhne niekto s pokročilej?ích... No, nič. E?te by som počkal na Frenzyho, u? je len kúsok od rie?enia. Následne nahodím svoj postup a desať (číslom 10) :eek: keygenerátorov. Tro?ku som sa nudil a pohral som sa s LCC, TASM a MASM. :cool: Ako, mô?em povedať, ?e s TASM v5.0 som sa natrápil najviac, jednak ne? som na?iel tie správne prepínače pre linker a potom, keď som zistil problém s Borland resource kompilátorom.
Taktie? mám i prichystané video ručného unpacku, resp. decryptu. Má v?ak 3.0 MB, tak?e musím vymyslieť, kam to uploadnem. Nejaký rapidshare a podobné ?mejdy neprichádzajú do úvahy. :confused:
-
Treba na www. files.to ... .. jj a stim kuskem od resenia mas pravdu .. ete nebudu koukat na TUTor ... ale ked mi to nepude ... precitam ho :)
-
Tak vidím, ?e moja predtucha sa vyplnila. Som si hovoril, ?e ten dlh?í čas bude vykúpený podrobným tutoriálom a po jeho zhliadnutí mô?em tento predpoklad potvrdiť.
Vysvetlené algo hashovania mena, ďalej rozbor hashovania registračného čísla, a? na kosť a následný reverzný algoritmus pre zisk správneho serial čísla z výsledku vyhashovaného mena.
Výborne.
Tro?ku som dúfal, ?e aspoň na ten unwrapping s lokalizáciou alga sa vrhne niekto s pokročilej?ích... No, nič. E?te by som počkal na Frenzyho, u? je len kúsok od rie?enia. Následne nahodím svoj postup a desať (číslom 10) :eek: keygenerátorov. Tro?ku som sa nudil a pohral som sa s LCC, TASM a MASM. :cool: Ako, mô?em povedať, ?e s TASM v5.0 som sa natrápil najviac, jednak ne? som na?iel tie správne prepínače pre linker a potom, keď som zistil problém s Borland resource kompilátorom.
Taktie? mám i prichystané video ručného unpacku, resp. decryptu. Má v?ak 3.0 MB, tak?e musím vymyslieť, kam to uploadnem. Nejaký rapidshare a podobné ?mejdy neprichádzajú do úvahy. :confused:
...diki za pochvalu
...kurna 10 keygenov? tebe uz z toho RE asi uplne sibe :rolleyes:
-
Áno, tro?ku mi z toho rachotí, lebo je toho na mňa moc... potreboval by som dvoch-troch klonov, prípadne quad-core do lebzny. Toti?, súbe?ne drtím Assembler (masm32, tasm32), následne ?tudujem rôzne systémové informácie a WinAPI funkcie, unpackujem, nedávno som dokončil decrypt a unwrap komerčnej ochrany (samozrejme pre ?tudijné účely ;) ) od Reflexive Arcade (heh, lamky), natáčam videjka (to si mal, čo vymyslieť, Master :rolleyes: ), chystám CMká určené pre nácvik loaderov/mini-debuggerov, tro?ku sa vŕtam v alfa verzii Hypnovho packera, hookujem API funkcie, prerábam svoje C utilitky do ASM, a keď u? kolabujem, tak si nostalgicky prečítam nejaký tutor z dôb ostrých vojen medzi crackermi a tvorcami komerčných ochrán. Taký R!SC si s nimi pekne vytieral prdel... :) najmä, keď vidím, niektoré pekné zdrojáky, prípadne disassemble kód utilít na unwrap SafeDisc-u.
Keď u? je reč o tomto borcovi, neviete niekto, čo sa s ním stalo? Podľa nejakých crackoch, ktoré som náhodne vyhrabal, som zistil, ?e patril ku skupine eVC - The Ebola Virus Crew, ktorá mala dobré vzťahy s Phrozen Crew a fakovala na Razor 1911. Na?iel som toti? na nich zopár posme?ných nará?ok, ktoré zanechal R!SC vo svojich binárkach.
Mám taký blbý pocit, ?e ho asi zabásli, prípadne dostal strach a verejne odi?iel zo scény.
-
Áno, trošku mi z toho rachotí, lebo je toho na mňa moc... potreboval by som dvoch-troch klonov, prípadne quad-core do lebzny. Totiž, súbežne drtím Assembler (masm32, tasm32), následne študujem rôzne systémové informácie a WinAPI funkcie, unpackujem, nedávno som dokončil decrypt a unwrap komerčnej ochrany (samozrejme pre študijné účely ;) ) od Reflexive Arcade (heh, lamky), natáčam videjka (to si mal, čo vymyslie?, Master :rolleyes: ), chystám CMká určené pre nácvik loaderov/mini-debuggerov, trošku sa vŕtam v alfa verzii Hypnovho packera, hookujem API funkcie, prerábam svoje C utilitky do ASM, a keď už kolabujem, tak si nostalgicky prečítam nejaký tutor z dôb ostrých vojen medzi crackermi a tvorcami komerčných ochrán. Taký R!SC si s nimi pekne vytieral prdel... najmä, keď vidím, niektoré pekné zdrojáky, prípadne disassemble kód utilít na unwrap SafeDisc-u.
Keď už je reč o tomto borcovi, neviete niekto, čo sa s ním stalo? Podža nejakých crackoch, ktoré som náhodne vyhrabal, som zistil, že patril ku skupine eVC - The Ebola Virus Crew, ktorá mala dobré vz?ahy s Phrozen Crew a fakovala na Razor 1911. Našiel som totiž na nich zopár posmešných narážok, ktoré zanechal R!SC vo svojich binárkach.
Mám taký blbý pocit, že ho asi zabásli, prípadne dostal strach a verejne odišiel zo scény.
...kurna mohol by si chvilu uz od toho RE trochu uvolnit - chod radsej kukat hokej. Bude prca ked rozbijeme cechov(aj ked tento zapas bude az o par dni) ;)
...tak to hej r!sc je legenda v RE. A nemozem zabudnut na reverzera meno yoda, tiez podla mojho nazoru legenda v RE
...hm, neviem ci r!sc neopustil RE kvoli rodinnym dovodom - to byva najcastejsi dovod opustit RE scenu. Nemam dojem ze by bol v base, aj ked na druhu stranu ktovie... :p
-
Nechce sa mi u? čakať, tak?e tu je moje rie?enie, vrátane unwrapnutého executable. Desať podôb keygenerátora berte ako prejav začínajúceho Alzheimer-a. :D
-
Ako som dávnej?ie písal, resp. vám sľúbil, dávam k dispozícii ručné unwrap video. Veľkosť celého archívu je 2,13 MB.
unpackschool.free-site-host.com/Users/eraser/t4c-newbie23--unwrapping-mslrh-zip
-
Sice neskoro, ale predsa som zbuchal pekny keygen..