Реверсинг. Задай вопрос - получи ответ

Discussion in 'Реверсинг' started by 0x0c0de, 2 Sep 2007.

  1. goodguysoft

    goodguysoft Member

    Joined:
    25 Mar 2016
    Messages:
    49
    Likes Received:
    24
    Reputations:
    2
    Я лично учил по книгам Юрова, но там с упором на MASM. Хотя тут главное не компилятор, а само понимание принципов низкоуровневого программирования, так что рекомендую Юрова, если есть новые переиздания с учетом новых процессоров и т. д.
     
    Shawn1x, #colorblind and CKAP like this.
  2. goodguysoft

    goodguysoft Member

    Joined:
    25 Mar 2016
    Messages:
    49
    Likes Received:
    24
    Reputations:
    2
    Знает ли кто, в чем смысл данного кода, он регулярно встречается в начале функций андроид-библиотеки:

    .text:B0456BB8 ADR R0, dword_B0456BD0 ; Загружаем в R0 адрес переменной dword_B0456BD0
    .text:B0456BBC LDR R1, [R0] ; Загружаем в R1 значение переменной dword_B0456BD0, оно всегда равно 4.
    .text:B0456BC0 ADD R1, R1, R0 ; В R1 теперь адрес dword_B0456BD0 плюс 4.
    .text:B0456BC4 MOV R0, #1
    .text:B0456BC8 MUL R0, R1, R0 ; Зачем-то R0 = R1 * 1 (чего не MOV??? Умножение, вроде бы, довольно дорогостоящая инструкция)
    .text:B0456BCC MOV PC, R0 ; Делаем джамп на позицию сразу за dword_B0456BD0, где продолжается код программы.
    .text:B0456BD0 dword_B0456BD0 DCD 4

    Из комментариев к коду и кода видно, что этот участок кода фактически не делает ничего, а только передает управление на следующий за ним участок. Если этот учаток заменить NOP, по сути, ничего не изменится. Хотя на самом деле изменится - Ида воспринимает MOV PC, R0 как конец функции и анализирует код некорректно. Тем не менее, в чем смысл этого кода? Это какой-то хитрый трюк от компилятора, или авторы кода специально его запутывали, чтобы усложнить анализ? Встречал ли кто-то аналогичный код в своей практике?
     
  3. Fedorjke

    Fedorjke New Member

    Joined:
    27 Dec 2016
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Всем привет!

    Помогите нубу как узнать пароль из файла *.xob
    Ссылка на файл: http://dropmefiles.com/tm2Ro

    Данный файл получил, скачав его из промышленной панели оператора Weintek.

    Пароль мне взломали на другом форуме из этого файла, но не хотят говорить как это сделали.
    Пароль: 22041975
    Помогите разобраться. Каким способом или утилитами можно узнать данный пароль?
     
  4. #colorblind

    #colorblind Moderator

    Joined:
    31 Jan 2014
    Messages:
    634
    Likes Received:
    246
    Reputations:
    42
    Тут тоже тебе никто не скажет)
     
  5. Fedorjke

    Fedorjke New Member

    Joined:
    27 Dec 2016
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    А почему? Не умеют или не хотят раскрывать свои знания или просто лень?
     
  6. AbakBarama

    AbakBarama Elder - Старейшина

    Joined:
    25 Sep 2010
    Messages:
    349
    Likes Received:
    298
    Reputations:
    51
    Хотя бы потому, что файла *.xob недостаточно. Пароль в нём может храниться в любом месте и в любом виде.

    Общий подход: берётся программа, которая работает с такими файлами, в ней ищется и изучается код проверки правильности введённого пароля. Без программы никто ничего конкретного не скажет.
     
    binarymaster likes this.
  7. Fedorjke

    Fedorjke New Member

    Joined:
    27 Dec 2016
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Программу брать не нужно никакую
    Этот бинарный файл открывается в проге и дальше контрольные суммы и т.д. делается реверсинг программы.
     
  8. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Сами-то поняли, что написали противоречие? Вы молодые, шутливые, вам всё легко... а нам теперь жить с этим противоречием в голове.
     
    KIR@PRO likes this.
  9. gqiwilokest

    gqiwilokest New Member

    Joined:
    26 Jan 2016
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    так мне ктонить поможет откарыть ?
     
  10. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    О, запахло жареным. Вы думаете, на этом форуме количество постов играет какую-то особую роль?

    Спецификации на формат файла нет, копаться некому, потому что выгода для сообщества почти нулевая. Если бы это была прошивка от роутера, например, было бы куда интереснее. :rolleyes:
     
    KIR@PRO likes this.
  11. KIR@PRO

    KIR@PRO from Exception

    Joined:
    26 Dec 2007
    Messages:
    826
    Likes Received:
    291
    Reputations:
    359
    Если вы не заметили, ваше сообщение было удалено еще 16 декабря. В теме по реверсингу любая просьба должна сопровождаться названием конкретного ПО и ссылкой на него.

    Исходя из вашего описания в первом посте, речь идет о защищенном паролем файле-данных, с которым работает конкретное ПО ("...промышленной панели оператора Weintek"(с) ), так вот без этого ПО понять алгоритм шифрования/криптования практически не возможно. ADD: в открытом виде пароля там точно нет, возможно это и простой XOR, но тогда вам надо обращаться к тем кто занимается криптоанализом, а не реверсингом.

    И не надо оскорблять других участников форума, "реверсинг" != "ясновидение/шаманство/гадание"
    Вам был приведен довод, который, вы посчитали не достаточно весомым:
     
    _________________________
    #1111 KIR@PRO, 30 Dec 2016
    Last edited: 30 Dec 2016
  12. Fedorjke

    Fedorjke New Member

    Joined:
    27 Dec 2016
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Вот ссылка на ПО: https://cloud.mail.ru/public/KemK/Gh8bdEmx8

    Не надо умничать. Все как один, сами придумайте что-нибудь новое. Гадать не нужно, включите свой мозг. Тип на другом форуме сказал, что для того чтобы найти пароль в файле нужен реверсинг программ. Шаманщики бл.
     
  13. KIR@PRO

    KIR@PRO from Exception

    Joined:
    26 Dec 2007
    Messages:
    826
    Likes Received:
    291
    Reputations:
    359
    "Тип на другом форуме..." вам правильно сказал, а вы не правильно восприняли. Видимо у него данное ПО имелось на руках. Читайте нижеприведенный список, и не пишите охинеи.
    http://thelocalhost.ru/reversing/
    https://exelab.ru/faq/Реверсинг
    https://ru.wikipedia.org/wiki/Обратная_разработка

    В любом случае реверсинг без "подопытной" программы невозможен, это как хирургическая операция без пациента...


    p.s. Всех с наступившим!
     
    _________________________
    #1113 KIR@PRO, 6 Jan 2017
    Last edited: 6 Jan 2017
    binarymaster likes this.
  14. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    316
    Likes Received:
    22
    Reputations:
    0
    А как в windbg настроить режим отладки ядра ? Хочу в своей программе отладить выполнение функции NtCreateFile в ядре, проблема в том, что этот отладчик ведет себя как ring3 и не входит в ядро при проходе sysenter. А как настроить его на это ? На вин хп пробую.
     
  15. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Если вы запускаете программу и отладчик в ring 3, то последний в ring 0 никак попасть не сможет.

    Интерактивно отлаживать ring 0 можно только извне. Либо это виртуальная машина, к которой WinDbg подсоединён по виртуальному COM-порту, либо две физические машины, объединённые последовательными портами.

    И при этом тестируемая система должна быть загружена в отладочном режиме.


    P.S. Added by KIR@PRO
    https://l0werring.wordpress.com/2009/08/29/ring-0-debugging-and-windbg-–-part-1/
    https://l0werring.wordpress.com/2009/09/28/ring-0-debugging-and-windbg-–-part-2/
     
    #1115 binarymaster, 15 Jan 2017
    Last edited by a moderator: 16 Jan 2017
  16. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    316
    Likes Received:
    22
    Reputations:
    0
    А не подскажете команду как извне запустить нужную прогу с остановкой в точке входа ? Там когда по pipe коннект делаю в виртуалку, на хостовой машине не доступны пункты из меню эти.
     
  17. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Посмотрите тут:
    https://a888r.ru/WinDbg/

    Сам давно этим занимался, детали уже плохо помню.
     
  18. Ssaiks

    Ssaiks New Member

    Joined:
    13 Feb 2017
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    HELP!!
    Нужна помощь в распаковке TheMida 2.1, за вознаграждение. Напишите в личку, кому интересно.
     
    #1118 Ssaiks, 13 Feb 2017
    Last edited: 14 Feb 2017
  19. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    316
    Likes Received:
    22
    Reputations:
    0
    А кто-нибудь знает как из прошивки вытащить ключи 3des шифра ? Прошивка на arm, нашел саму функцию 3des. Стал распутывать, то есть кто ее вызывает, нашел пару других функций, которые вызывают 3des, с ними повторяю и ищу кто их, но в конечном итоге нашел функцию, которую ida определяет как экспортируемую и ее внутри самой прошивки уже никто не вызывает. Вот куда дальше копать, откуда она может вызываться в устройстве интересует.
     
  20. AbakBarama

    AbakBarama Elder - Старейшина

    Joined:
    25 Sep 2010
    Messages:
    349
    Likes Received:
    298
    Reputations:
    51
    Если есть обращения к экспортируемой функции не изнутри файла - значит, они извне. Значит, "прошивка" не из одного файла состоит, ищите полный комплект и в нём - обращение к интересующей функции.

    Кстати, в типовых реализациях DES генерация расширенного ключа и шифрование/дешифрование обычно сделаны отдельными функциями, для поиска ключа нужна первая.