Реверс софта

Discussion in 'Реверсинг' started by Samidare, 9 Jan 2021.

  1. Samidare

    Samidare New Member

    Joined:
    1 Dec 2019
    Messages:
    23
    Likes Received:
    3
    Reputations:
    0
    Вкратце поковырял я этот файл дабы надыбать себе ключ активаций,файл упакован upx,проверял и ghidrой и x64dbg ничего толком кроме распаковать и то криво не смог.Как я понял для активаций ключа как и для логина софт отправляет хэшированый запрос на сервер через функцию urlhashW и urlhashA.Прошу помочь как-то отджампить верификацию подписки/ключа либо если возможно сгенерировать парочку,премного благодарен за любой ответ и совет.
    Прикрепляю файл ниже:
    https://anonfiles.com/5bo2s67epc/03745565-c9a0-4b2d-9aac-f5a25257076f_exe
     
    CyberTro1n likes this.
  2. #colorblind

    #colorblind Moderator

    Joined:
    31 Jan 2014
    Messages:
    636
    Likes Received:
    246
    Reputations:
    42
    Верно, upx 3.96
    Как можно чистый upx криво распаковать? И где анпакнутый?
    Как ты это понял? Где листинги?
     
    CyberTro1n and DartPhoenix like this.
  3. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,107
    Likes Received:
    8,491
    Reputations:
    25
    Почему не смог-то ? Есть анпакеры же. Они за тебя распакуют. Тем более там вроде-как много ума не надо. Сбросить дамп + пофиксить импорты.
    И как ты с ним дальше собираешься работать без рабочей версии. Идой ? Ну можно но проще анпакнуть нормально все-таки...

    Ну тоесть если это к теме: "сделайте все за меня" - то... так и написал бы уже :)

    UPD: кстати огнелис задетектил как малварь, авера у меня на Ляликсе нету. До чего техника дошла... :)
     
    #3 DartPhoenix, 9 Jan 2021
    Last edited: 9 Jan 2021
  4. 4Fun

    4Fun Elder - Старейшина

    Joined:
    25 Jul 2018
    Messages:
    496
    Likes Received:
    709
    Reputations:
    11
    ExeInfoPE сообщает, что применялся протектор (найдена самоизменяющая секция). Возможно, нужно копать в сторону снятия защиты.
     
  5. Samidare

    Samidare New Member

    Joined:
    1 Dec 2019
    Messages:
    23
    Likes Received:
    3
    Reputations:
    0
    Всё таки на свежую голову с утра я сумел распаковать файл так чтобы экзешник не крашил,теперь осталось самое трудное это разобрать эльфийский и найти нужную функцию
    https://imgur.com/a/jFnEiH9
     
    CyberTro1n likes this.
  6. Samidare

    Samidare New Member

    Joined:
    1 Dec 2019
    Messages:
    23
    Likes Received:
    3
    Reputations:
    0
    Поковырял еще код в IDA и увы даже алгоритм шифровки переменных не смог найти...даже обидно
    Кому не сложно скиньте парочку актуальных курсов либо книг по реверсу,желательно бесплатные ибо студент(
    Заранее благодарен
     
    #6 Samidare, 9 Jan 2021
    Last edited: 10 Jan 2021
  7. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,107
    Likes Received:
    8,491
    Reputations:
    25
    Тут наверное только практика. Сомневаюсь что в какой-то книжке написано где искать алгоритм шифрования. Маны по IDA нужны, чтобы самому скрипты мутить.
    Олли или Имунити, чтобы дебажить (и тоже скрипты мутить). Надо хорошо знать (есессно) формат PE и WinAPI, тогда будешь знать где примерно сей алгоритм может
    быть. (Кстати если поставить бряку на том месте где он уже выполнился и посмотреть на вызовы DLL или API-шек - уже можно много чего узнать.)
    =================
    Надо посмотреть будет, может и есть такая книжка но я не припомню... Надо много книжек.
     
    CyberTro1n and fandor9 like this.
  8. Samidare

    Samidare New Member

    Joined:
    1 Dec 2019
    Messages:
    23
    Likes Received:
    3
    Reputations:
    0
    Дело в том что даже после распаковки и дебаггинга через ИДУ то всё равно ничего непонятного ибо функции,переменные,и весь текст обфусцирован,максимум что в моих силах было это запустить прогу через Cheat Engine и попытаться пропустить этап аутентификации...но увы у меня руки кривые и разджампить не удается,крашит (
     
  9. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,107
    Likes Received:
    8,491
    Reputations:
    25
    Вот для этого тебе и надо знать как работают скрипты под Идой. Она много чего умеет.
    Но для начала лучше брать крякмисы которые по зубам и их щелкать чтобы привыкнуть. И самому их делать.
    Закодил что-то - зашел сломал. Закодил покрепче - еще раз сломал. Со временем научишься и перейдешь на коммерческий софт. Процесс это не быстрый мягко говоря - но верный :)
    И тут уже не совсем книжки нужны, скорее статьи по антиотладке. Зато будешь уметь и накодить защиту и ее сломать и вообще всех умников поганой метлой гонять :)
     
  10. mankurt13

    mankurt13 Well-Known Member

    Joined:
    18 Oct 2019
    Messages:
    378
    Likes Received:
    1,537
    Reputations:
    3
    Вот забавно получится, если прога работает только онлайн и часть ее функционала исполняется на сервере.
     
  11. Samidare

    Samidare New Member

    Joined:
    1 Dec 2019
    Messages:
    23
    Likes Received:
    3
    Reputations:
    0
    Из exe выгружается dll который в свою очередь инжектиться и самоликвидируется :D
     
  12. #colorblind

    #colorblind Moderator

    Joined:
    31 Jan 2014
    Messages:
    636
    Likes Received:
    246
    Reputations:
    42
    Хватит уже воздух гонять. Там Enigma VirtualBox. Сам ты не распакуешь, тут тебе тоже никто не будет распаковывать. Ищи исполнителей за деньги в топике о работе.
     
    DartPhoenix likes this.
  13. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,107
    Likes Received:
    8,491
    Reputations:
    25
    хренасе upx...
     
    user100 likes this.
  14. Samidare

    Samidare New Member

    Joined:
    1 Dec 2019
    Messages:
    23
    Likes Received:
    3
    Reputations:
    0
    Как определил если не секрет,да и я уже забил на тот файл вот начинаю изучать базу для реверса )
     
  15. #colorblind

    #colorblind Moderator

    Joined:
    31 Jan 2014
    Messages:
    636
    Likes Received:
    246
    Reputations:
    42
    Посмотрел на начало стаба виртуальной машины
    Молодец. Именно этим изначально и нужно было заняться. Я кстати в реверс так и пришёл, мне нужно было сломать какую-то простую софтину, но за меня это делать никто не хотел. Пришлось курить мануалы)
     
  16. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,107
    Likes Received:
    8,491
    Reputations:
    25
    А... после распаковки upx если еще раз прогнать через DiE (или что там у вас) - оно что показывает-то ? Неужто MsVcpp ?
     
  17. CyberTro1n

    CyberTro1n Elder - Старейшина

    Joined:
    20 Feb 2016
    Messages:
    1,075
    Likes Received:
    855
    Reputations:
    14
    Я отдам жизнь за нерзул... Нужно больше золота!)))
     
  18. Samidare

    Samidare New Member

    Joined:
    1 Dec 2019
    Messages:
    23
    Likes Received:
    3
    Reputations:
    0
    *** x64 *** Unknown EXE - CPU : AMD Std Compiler section + Self modifying section ( PROTECTOR ) , MS C++ Visual Studio 20xx [ Win Vista ] <- PE
    https://imgur.com/a/a0YcV6W <- Die

    Как я понял поверх этого стоит еще и encryption at runtime
     
    #18 Samidare, 13 Jan 2021
    Last edited: 13 Jan 2021
  19. Samidare

    Samidare New Member

    Joined:
    1 Dec 2019
    Messages:
    23
    Likes Received:
    3
    Reputations:
    0
    + стоит еще и string obfuscator,даже непонятно что и что всё в эльфийском,помогает разобрать только cheat engine,но вот отджампить со стадии логина до вкладки инжекта мне не получается,думаю сейчас как отследить и распаковать .dll который инжектится при найденого процесса
     
  20. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,107
    Likes Received:
    8,491
    Reputations:
    25
    Вот это все означает что сломать ты это не сможешь :) Я так до конца и не крякнул Фиму. Мне просто осточертело 2 недели морщить мозг да и другой работы хватало. И вот до сих пор я Фиму так и не крякнул. Хотя ожидаю что настанет тот день... Ну... это и не моя профессия немного, я не крякер но это довольно сложная штука. У нее есть свои собственные инструкции которые тебе надо расшифровать чтобы понять что вообще там происходит. Это НадЭльфийский язык таксказать. Вероятность того что ее взломает нуб - 0. Ну... ладно... если ему помогут Боги - 0.0001%.

    Плюнь и разотри. Пока что... Когда научишься - тогда возвращайся :)