Реверсинг. Задай вопрос - получи ответ

Discussion in 'Реверсинг' started by 0x0c0de, 2 Sep 2007.

  1. AbakBarama

    AbakBarama Elder - Старейшина

    Joined:
    25 Sep 2010
    Messages:
    346
    Likes Received:
    295
    Reputations:
    51
    Бывает, серьёзные протекторы используют имена секций а-ля UPX.
    Если запрос ещё актуален - скиньте софтину в ЛС, гляну на досуге.
     
    svesve likes this.
  2. #colorblind

    #colorblind Moderator

    Joined:
    31 Jan 2014
    Messages:
    634
    Likes Received:
    246
    Reputations:
    42
    Под упых обычно косили Энигма и ВМП, если есть криптокод, то без валидного ключа анпакнуть не выйдет
     
    DartPhoenix likes this.
  3. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,101
    Likes Received:
    8,452
    Reputations:
    25
    Аверы же анпакают как-то вроде.
    Или имеется ввиду если с тулзой идет ключ в нагрузку ? Если так - то да.
     
  4. #colorblind

    #colorblind Moderator

    Joined:
    31 Jan 2014
    Messages:
    634
    Likes Received:
    246
    Reputations:
    42
    Аверы не анпакают, а в большинстве случаев дампят основной стаб, во время запуска в своей внутренней песочнице, зашифрованые участки остаются нечитаемыми. Все сигнатуры утехших в паблик протов по-дефолту считаются аверами как угроза. Так же у аверов есть инструмент для чтения цифровых подписей. Когда очередной билд ВМП оказывается скарженым, аверам отправляют подпись утекшего билда, которая присутсвует во всех накрытых таргетах. С энигмой аналогично, только умельцы разобрали старую энигму и нашли как чистить подпись.

    p.s.: Это дела давно минувших дней, сейчас возможно новые технологии применяются.
     
  5. svesve

    svesve Elder - Старейшина

    Joined:
    15 Jun 2007
    Messages:
    574
    Likes Received:
    86
    Reputations:
    11
    Написал в лс.
     
  6. svesve

    svesve Elder - Старейшина

    Joined:
    15 Jun 2007
    Messages:
    574
    Likes Received:
    86
    Reputations:
    11
    Старые билды этой софтины запакованы и распаковываются upx нормально, видимо тут решили добавить "перчинки" с вводом функционала жадности.
     
  7. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,101
    Likes Received:
    8,452
    Reputations:
    25
    Ехзешник в студию ! :) Чо гадать-то...
     
  8. svesve

    svesve Elder - Старейшина

    Joined:
    15 Jun 2007
    Messages:
    574
    Likes Received:
    86
    Reputations:
    11
    @AbakBarama помог распаковать, спасибо ему большое.
    Дальше буду бороться с лицензией.

    @DartPhoenix если есть спортивный интерес, могу скинуть в лс

    З.Ы. реверс инженеры это конечно отдельная каста, в хорошем смысле слова.
     
  9. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,101
    Likes Received:
    8,452
    Reputations:
    25
    Не.
    дело сделано :)
     
  10. Demir3344

    Demir3344 New Member

    Joined:
    27 Oct 2021
    Messages:
    6
    Likes Received:
    2
    Reputations:
    0
    Приветствую!
    Пытаюсь отреверсить либу на golang. Застрял на одном месте. Имеется вот какой код.

    [​IMG]

    Тут вызывается функция
    func NewCFBEncrypter(block Block, iv []byte) Stream
    Из модуля crypto.cipher
    По моим исследованиям cs:eek:ff1EEBF40 указывает это второй аргумент функции iv []byte. Мне нужно найти место где инициализируется эта переменная чтобы понять понять, что там написано. Я думаю что cs:eek:ff1EEBF40 является глобально инициализированной переменной в модуле вне функций.
    Если пойти по этому адресу то попадаем сюда
    [​IMG]

    off_1EEBF40 инициализирована другим адресом который находится в секции .noptrdata
    [​IMG]
    Думаю адрес unk_1E14750 видимо является типом, так как длина массива iv должна быть 32, а тут их всего 13.
    [​IMG]

    То есть данные ниже qword_1EEBF.. не инициализированы. Искал ссылки на эти адреса но нигде, кроме этого места где они напрямую используется, никаких других ссылок не нашел.
    Функция init модуля отсутствует.
    Помогите пожалуйста найти место где хранятся реальные данные и для чего нужна секция .noptrdata