Там примерно такое: substr(md5(SN + swapSalt("d44fb0960aa0-a5e6-4a30-250f-6d2df50a"))); , где swapSalt("d44fb0960aa0-a5e6-4a30-250f-6d2df50a") == "6d2df50a-250f-4a30-a5e6-d44fb0960aa0" , но md5 всёравно не совпадает. Есть возможность залить обратно и запустить пропатченный (sprint() -> printf()) файл? Тогда можно было бы посмотреть, именно какая строка хешируется.
Это потому, что товарищ в серийнике лишнюю тройку написал. А алгоритм - да, такой. В соли фрагменты строки идут в обратном порядке.
Вообщем, ребят, спасибо всем помогавшим! Генератор радует людей (http://jsfiddle.net/p0rsche/tqz3eqru/) Вопрос вдогонку - посоветуйте чтиво по IDA хорошее, ну и в целом по реверсу. Гугль, конечно, много всего знает, но мусора там полно.
Приветствую всех. Такой вопрос. Хочу разобраться как работает такое. Например есть программа, она использует файлы лежащие в псевдоархиве. Задача такая. Отловить когда программа подгрузит псевдоархив, распакует файл в память и сбросить его на диск. Дождаться когда распакует следующий файл и опять сбросить его на диск. И при этом сохранить структуру папок. Подскажите алгоритм действий и API которые в этом процессе участвуют. P.S. Можно конечно ковырять сам псевдоархив, искать структуру (а если её и нет) как и что... но нужно именно из программы распаковать.
Придётся ассемблер изучать, IDA моторолу не декомпилирует. Что такое "режим выработки имитовсатвки"? Прошивка грузится в IDA начиная с соответствующего начального адреса, также и дамп ОЗУ (ROM start address + RAM start address). Эти адреса надо сначала найти. Есть 2 способа: 1. Разобрать схему дешифрации адреса. 2. Грузить в ИДА в разные адреса, пока не получается правильный код и данные. Как искать Гост в коде, я уже писал в предыдущей странице. Для 68K сдвиг на 11 влево будет смотреться примерно так: Code: moveq #$B,d1 rol.l d1,d0 или, если компилятор придумал пооптимизировать что-то там, так: Code: moveq #$15,d1 ror.l d1,d0 Перед поиском весь код надо декомпилировать, естественно.
Это он и есть. Очевидно исходный код на C написали универсальным и годным для процессоров без rol тоже. Code: (i << rolbits) | (i >> (sizeof(int) * 8 - rolbits)) Там дальше должно быть что-то типа Code: moveq #$15,d2 lsr.l d2,d3 or.l d3,d0 1. Разобрать, значит на плате с процессором по дорожкам проследить, каким образом формируется адресное пространство системы. 2. Загрузить для начала код с нулевого адреса, а данные с 0х100000, например, и смотреть, находит ли ИДА ссылки. Если красным выделены, значит первое приближение неправильное. Находим младшие и старшие неправильные ссылки и в следующий раз грузим уже в эту область. С годами это уже делается подсознательно, и это труднее объяснить, чем сделать.
может кто подскажет решение имеется 2 *.sli файла оригинал и измененный, в HEX редакторе нахожу отличия, а как перевести в более читаемый вид, чтоб отыскать нужное мне значение? заранее спасибо
Исследую уязвимость ворда cve-2014-1761. Сгенерировал metasploit'ом вредоносный rtf-файл, при открытии которого отрабатывает полезная нагрузка, предоставляющая серверу доступ к командной строке компа, на котором был открыт файл. В чем проблема. Пытаюсь запустить под отладчиком. Хочу посмотреть где и что переполняет и т.п. Сама полезная нагрузка не так интересна, как непосредственно эксплуатация уязвимости (переполнение). Суть в том, что эксплойт отрабатывает только тогда, когда запускаешь сам rtf файл (при открытии из ворда, ничего не происходит). То есть открыть отладчиком winword.exe, а уже потом из него открыть rtf файл нельзя. Соответственно я не знаю, каким образом подключиться к процессу, до начала переполнения. Есть идеи?
Ну в общем такое дело , нашел софт и решил сменить название заголовка и убрать копирайт . Но Т*ахаюсь уже целый день и в винхексе и в ольке. Ничего понять не могу . Вроде и софт на делфи но обфурсификация кода кажется присутствует . В общем кому не сложно помогите новичку. Вот линк https://yadi.sk/d/1n3BGvwspbqDW Если кто сможет просто оставить само название и снести копирайт . что-бы ни скайпов лишних не было просто чистый софт.
Уважаемые форумчане, будьте любезны подсказать реально ли снять с dll защиту Themida: Exeinfo PE: - Themida & WinLicense 2.0 - 2.1 - struct (Hide from PE scanners II-V); RDG Packer Detector: (Possible) Themida + Secure Engine (Heuristic Detection). Сама либа: https://yadi.sk/d/5jXlPQkOqFLuW Взял StrongOD, PhantOM и ODbgScript. скрипты Themida - Winlicense Ultra Unpacker'ы (пробовал разные) говорят: EntryPoint is 0 = PE Header was selfmodded! Enable the option AdvEnumModule in your StrongOD Plugin and restart! На ВМ XP x32 по совету скрипта AdvEnumModule включаю - то же самое. На своей Win 7 x64 я ScyllaHide использую с настройками под Themida и реакция скрипта аналогична. Можно (нужно ли?) ли как-то восстановить EP в ней? Помогите, пожалуйста.
Как распаковывается разобрался. Как найти VM OEP? Я так понимаю это первый шаг для девиртуализации. Direct VM OEP Address not found! - But is in use! -Rebuild Manually Push & JUMP Values! Как я понял vm oep найти тут не так просто. Там первый джамп на такое вот дело: PUSH EBP MOV EBP,ESP CMP DWORD PTR SS:[EBP+0xC],0x1 JNZ SHORT main.61794BB7 CALL main.617978E8 Т.е. Oreans UnVirtualizer не помогает мне тут (или не знаю как). Можете что-нибудь посоветовать?
