Реверсинг. Задай вопрос - получи ответ

Discussion in 'Реверсинг' started by 0x0c0de, 2 Sep 2007.

  1. Kaimi

    Kaimi Well-Known Member

    Joined:
    23 Aug 2007
    Messages:
    1,732
    Likes Received:
    811
    Reputations:
    231
    [gost_section]
    ...
    dynamic_path = gost
     
    _________________________
    1 person likes this.
  2. imwatch

    imwatch New Member

    Joined:
    24 Apr 2013
    Messages:
    6
    Likes Received:
    1
    Reputations:
    0
    Помогите разобрать генерацию wpa ключа на роутере. (роутер netgear, wnr612v2, с прошивкой от дом.ру)

    Есть переменная wl_ssid_ath0 которая и есть wifi пароль (генерируется на роутере).
    Вот ELF файл http://rghost.ru/private/49372586/059056ac77534f9daf57c4b1f6c73f5c
    В нем все и происходит (хотябы формально), хотелось бы узнать как работает генерация пароля, зависит ли он от mac адреса?
     
  3. ICQ Hool

    ICQ Hool Elder - Старейшина

    Joined:
    31 Mar 2008
    Messages:
    175
    Likes Received:
    25
    Reputations:
    0
    для распаковки exe защищенным vmprotect'ом (VMProtect v1.63 - v2.xx)
    существует ли решение для чайника (который ни черта не понимает в ollydbg)
    т.е анпакер который распакует по счету в раз?

    облазил поисковики, наткнулся только на инструкции всякие где непонимающему человеку очень легко запутаться

    при отладке приложения вылетает окно о том что включен отладчик и программа будет закрыта
     
    #983 ICQ Hool, 17 Oct 2013
    Last edited: 17 Oct 2013
  4. t3cHn0iD

    t3cHn0iD Banned

    Joined:
    6 Apr 2009
    Messages:
    313
    Likes Received:
    63
    Reputations:
    66
    Распаковщика этого протектора не видел.Чтобы вмпротект не палил отладчик нужно либо на уже пропатченном с измененным заголовком работать с плагинами для сокрытия от антиотладки - StrongOD, Hide Debugger, PhantOm.Релиз от Shadow неплох, как по мне.

    http://tuts4you.com/download.php?list.4 - релизы олли, защищенные от определения процесса отладки и не только
    http://tuts4you.com/download.php?list.9 - плагины к ней
    http://tuts4you.com/download.php?400.list.11.50.download_name.ASC - видео туториалы и статьи по снятию вмпротекта, будет от чего отталкиваться.Попрактикуйся в распаковке.
     
    #984 t3cHn0iD, 17 Oct 2013
    Last edited: 17 Oct 2013
    1 person likes this.
  5. neviens

    neviens Member

    Joined:
    9 Oct 2013
    Messages:
    82
    Likes Received:
    28
    Reputations:
    3
    Нет, не зависит. Там примерно такoe:
    Code:
    	buf[0] = 0;
    	for(i = 0; i < 4; ++i)
    		sprintf(buf, "%s%d", buf, rand() / 10 *10);
    	printf("nvram set wl_ssid_ath0=%s", buf);
     
  6. imwatch

    imwatch New Member

    Joined:
    24 Apr 2013
    Messages:
    6
    Likes Received:
    1
    Reputations:
    0
    То есть тупой рандом?
     
  7. ICQ Hool

    ICQ Hool Elder - Старейшина

    Joined:
    31 Mar 2008
    Messages:
    175
    Likes Received:
    25
    Reputations:
    0
    есть приложение которое при запуске выдает base64 ключ, после декодирования выдает что-то вроде "u·™Ђ[ћ»sАГ", что это такое и что с этим делать дальше?
     
  8. neviens

    neviens Member

    Joined:
    9 Oct 2013
    Messages:
    82
    Likes Received:
    28
    Reputations:
    3
    Копать приложение.
     
  9. KIR@PRO

    KIR@PRO from Exception

    Joined:
    26 Dec 2007
    Messages:
    826
    Likes Received:
    291
    Reputations:
    359
    есть приложение которое при запуске выдает base64 ключ, после декодирования выдает что-то вроде "u·™Ђ[ћ»sАГ", что это такое и что с этим делать дальше?


    ограниченный набор байт, на который можно смотреть =)

    Ну а если серьезно, то за ответом на твой вопрос, надо лезть в отладчик. Возможно используется измененный base64 для отвода глаз, возможно это и есть информация (не текстовая).
    Впредь выкладывайте нечитабельную информацию в шестнадцатеричном виде (HEX), её, так будет легче анализировать.
     
    _________________________
    #989 KIR@PRO, 14 Nov 2013
    Last edited: 15 Nov 2013
    1 person likes this.
  10. Rebit

    Rebit Elder - Старейшина

    Joined:
    7 Aug 2007
    Messages:
    85
    Likes Received:
    214
    Reputations:
    2
    Нужно раскодировать http://rghost.ru/50608380
     
  11. Kaimi

    Kaimi Well-Known Member

    Joined:
    23 Aug 2007
    Messages:
    1,732
    Likes Received:
    811
    Reputations:
    231
    004019CB - декодирование вопросов
    00401AC8 - декодирование ответов

    Декодер единый - 0040BFC4
    Code:
    func_0040BFC4(this, void * src, void * dst, char flag);
    
    Хочется алгоритм разобрать - смотри, как устроена функция, она короткая.

    Вопросы: http://pastebin.com/Nv4UsCpi
    Ответы: http://pastebin.com/gxsrsp28
     
    _________________________
    2 people like this.
  12. Rebit

    Rebit Elder - Старейшина

    Joined:
    7 Aug 2007
    Messages:
    85
    Likes Received:
    214
    Reputations:
    2
    Благодарю
     
  13. MaxFast

    MaxFast Elder - Старейшина

    Joined:
    12 Oct 2011
    Messages:
    575
    Likes Received:
    149
    Reputations:
    94
    В общем назрел вопрос реверсинга билда новой версии UFR Stealer.
    Собственно подскажите местонахождение данных т.н. создателя билда. Старые способы увы не работают, в Olly даже после распаковки какой-то мусор.
     
  14. #colorblind

    #colorblind Moderator

    Joined:
    31 Jan 2014
    Messages:
    634
    Likes Received:
    246
    Reputations:
    42
    Под WinUPack'ом еще крипт.
    he 401040 и ты на ЕР
     
  15. myaso

    myaso New Member

    Joined:
    6 Jun 2010
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Можно чем нибудь открыть код готового вируса blackenergy? И удасться ли достать из него что то нужное? например путь к админке ддосера. Или там авторизация?
     
  16. #colorblind

    #colorblind Moderator

    Joined:
    31 Jan 2014
    Messages:
    634
    Likes Received:
    246
    Reputations:
    42
    да. да. да.
     
  17. Nizhegorodets

    Nizhegorodets Member

    Joined:
    21 Mar 2009
    Messages:
    80
    Likes Received:
    66
    Reputations:
    9
    Существует ли сайт с crackme, где удобно отмечать, какие crackme были сломаны мной?
    Короче говоря, удобный инструмент для отслеживания своего прогресса.
     
  18. #colorblind

    #colorblind Moderator

    Joined:
    31 Jan 2014
    Messages:
    634
    Likes Received:
    246
    Reputations:
    42
    1 person likes this.
  19. mikh.titov

    mikh.titov New Member

    Joined:
    13 Jan 2013
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Доброго времени суток.

    Есть видео-кодек для вебинаров GoToMeeting. Кодек устанавливается либо с помощью стандартного установщика (exe-файл), либо вручную:
    1. скопировать библиотеку G2M.dll куда-нибудь, например в C:\TEMP
    2. зарегистрировать библиотеку, например так - regsvr32 C:\TEMP\G2M.dll

    Некоторые видео-проигрыватели (MPC-HC, VLC) могут воспроизводить G2M4 видео без установки кодека.

    Недавно появился новый видео-кодек G2M5. Эксперименты показали, что при небольшом битрейте кодек G2M5 обеспечивает хорошее качество видео.

    (кодек G2M4, кодек G2M5)

    Проблема.
    Библиотека G2M.dll напрямую не поддерживает режим записи в формате GoToMeeting (можно только воспроизвести ранее записанное видео).

    Что нужно:
    - изменить библиотеку G2M.dll (добавить возможность записи видео и звука в формате GoToMeeting из других программ)
    - добавить возможность выбора частоты кадров (по умолчанию только 29.97 fps)

    Это реально ?
     
  20. Kaimi

    Kaimi Well-Known Member

    Joined:
    23 Aug 2007
    Messages:
    1,732
    Likes Received:
    811
    Reputations:
    231
    Т.е. пользователю GoToMeeting не предоставляется ПО, которое кодирует в этот формат? Все реально, только долго и дорого.
     
    _________________________