Сейчас на форуме: zds, -Sanchez- (+9 невидимых)

 [email protected] —› Протекторы —› ASProtect - вопрос по криптованным функциям
<< . 1 . 2 .
Посл.ответ Сообщение


Ранг: 450.3 (мудрец), 13thx
Активность: 0.20
Статус: Участник

Создано: 13 января 2006 17:53
· Личное сообщение · #1

Здравствуйте. Уверен, что на такой вопрос отвечали уже не раз, но всё же прошу короткий ответ.
Программа запакована asprotect-ом. Стриппер её распаковал. До ввода правильного кода много функций заблокированно. Вид такой:

Jpm msg
….
криптованный код

msg эта функция недоступна.

Другими словами введя валидный код, от чего бы он не зависел, мы рано или поздно доходим до функции аспра которая должна раскриптовать все подобные куски проги.
Не зная этот код – это можно сделать ? Что может передаваться в эту функцию и каким алгоритмом аспр раскриптовывает этот кусок ? Или может в функцию подаётся dword а вся раскриптовка проходит xor-ом ?



Ранг: 203.3 (наставник)
Активность: 0.220
Статус: Участник
UPX Killer -d

Создано: 22 марта 2006 09:18
· Личное сообщение · #2

tar4
Если это GetTickCount, то в её код впиши в самое начало

mov eax, 12345678
ret

Иначе, никак что-то другое там юзается. GetTickCount всего лишь возвращает некоторое постоянно изменяющееся число в глубинах памяти (у меня оно по адресу 7FFE0000h).

-----
Я медленно снимаю с неё UPX... *FF_User*




Ранг: 136.5 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 22 марта 2006 11:10
· Личное сообщение · #3

AlexZ
Не выходит. Я пробывал, конечно, изменять ЕАХ, но увы. Бред какой-то. До 1-го исключения дойти не могу. Спасибо за помощь. Будет время, разберусь с этим приколом.



Ранг: 218.5 (наставник), 2thx
Активность: 0.090
Статус: Участник

Создано: 24 марта 2006 01:37 · Поправил: 0xy
· Личное сообщение · #4

tar4
Чего-то я не заметил различий его с оригиналом, так же глючит.
Ну не знаю, может это от оси зависит (у меня 9x)

Расскажи лучше, как искать: какую сигнатуру (base64?), где прогу стопорить (на OEP или раньше?), или прямо в запакованом файле можно? Сам хочу научиться
Да, и чем искать? Ведь ни СС, ни CryptoSearcher вроде не умеют искать base64



Ранг: 136.5 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 24 марта 2006 05:19 · Поправил: tar4
· Личное сообщение · #5

0xy пишет:
Расскажи лучше, как искать:

Я думаю, что этот блок, который тебе нужен, находится где-то перед ОЕР. Точнее сказать не могу, надо смотреть, а я пока не могу . Вероятно, этот блок находится где-то рядом с функциями, ответственными за работу с реестром. Искать можно и в запакованной проге. Учитывая, что нужно будет неоднократно перезапускать прогу, лучше написать в Оле скрипт. Ну а появление сигнатуры Base64, я думаю, можно искать просто бинарным поиском "ABCDE...." после каждого Exception. Так локализуешь его место расположения.
А ось у меня - ХР SP2.



Ранг: 218.5 (наставник), 2thx
Активность: 0.090
Статус: Участник

Создано: 29 марта 2006 02:22 · Поправил: 0xy
· Личное сообщение · #6

tar4 пишет:
Искать можно и в запакованной проге.

Я имел в виду прямо в запакованом файле, т.е. в HEX-редакторе -- так похоже нельзя.
Да и в дампе на разных стадиях (после нескольких expection и на OEP) ни чего не нашел
Да, искать я пытался ту сигнатуру, которую нашел ASAP:

HVPjnac4MbCdP1j4CbiFqxBLzAF5ynuPM2rNFKUwT0pHMD58dpKFegEE3mVNUYEXOXhbVw 8A0lkq
hNxinpvO/X04aRgtvt/j27QtBTj5zB5gMI4GEr4Jvuub7FU/aLPVxlfVqYJX7ev02cwdyo 8WHCM/
PnTX7H9gE1WEUIKYHb0=

Искал и в таком виде, и в расшифрованом -- все бес толку
Но ведь ASAP ее не сам придумал
А вообще, с большой вероятностью можно предположить, что это и есть наш ключ N
Что ж, предположим. А че нам с ним дальше делать???



Ранг: 136.5 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 29 марта 2006 05:24
· Личное сообщение · #7

0xy пишет:
Я имел в виду прямо в запакованом файле, т.е. в HEX-редакторе -- так похоже нельзя.

Почему нельзя? Ты же в Олле прогу запускаешь, вот и ищи в ней.
0xy пишет:
с большой вероятностью можно предположить, что это и есть наш ключ N

Мне кажется, сначало надо все же определить, какая криптосистема применена для шифрования критичных участков в этой проге. Если ассимитричная - то, наверное это RSA, если нет - то какой-то другой применен алгоритм. А потом уже рассуждать об атаке.
А что такое ASAP?



Ранг: 218.5 (наставник), 2thx
Активность: 0.090
Статус: Участник

Создано: 29 марта 2006 13:44
· Личное сообщение · #8

tar4
Да я пока не об атаке...

Вот, еще раз коротко о том, за что боримся:
1) Как выдрать из проги E и N? -- с этим вроде пока глухо, хотя АСАП что-то выцарапал
Comment: АСАП=ASAP=As-AntiProtector -- эт тулза такой ООчень глючный тулза...

2) Как, при наличии вышеупомянутых, расшифровать рег. ключ Аспра ([b]v 1.0, если кто забыл ), т.е. выдрать из него ключи для крипованых кусков проги, а также рег. данные (не подделать, а просто прочесть)?[/b] -- решил перейт ко второму пункту
Comment: Регистрационный ключ у старых Аспров представляет собой MIME-строку 172 байта (это вам не SKE!) Это [b]архив, зашифрованый RSA, внутри которого содержатся: ключ кля криптованых кусков проги и регистрационные данные юзверя. Вот его структура:

Then when a registration key is computed:
1 - H1 = RipeMD-160(A) -- ключ для криптованых кусков
2 - H2 = MD5(Registration Information—H1)
3 - Key = RSA(D,N, [H2—Registration Information—H1])

Итак, задача пункта 2 -- распаковать этот "архивчик"

А атака планируется третим пунктом...



Ранг: 136.5 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 30 марта 2006 05:17
· Личное сообщение · #9

Повторюсь, что комментировать твои вопросы, мне нужно запустить прогу в отладчике. А она не идет".
Ты бы выбрал что-нибудь другое.




Ранг: 450.3 (мудрец), 13thx
Активность: 0.20
Статус: Участник

Создано: 02 апреля 2006 02:28
· Личное сообщение · #10

Простите что немного не в тему, дайте ASAP. Поиск в гугле ничего не дал.



Ранг: 218.5 (наставник), 2thx
Активность: 0.090
Статус: Участник

Создано: 03 апреля 2006 19:46
· Личное сообщение · #11

tar4 пишет:
Ты бы выбрал что-нибудь другое.


Ладно, вот сваял крэк-ми: Aspr 1.2 non-registered, минимальная защита.
Искомые ключи E и N прилагаются. Задача--найти их в файле

rapidshare.de/files/17111207/notepad_aspr12.rar_.html
пароль на архив: ключи

ToBad пишет:
дайте ASAP


Я его брал то ли здесь, то ли на ExeTools (скорее всего), то ли на Васме
Если не найдешь -- залью на Рапиду



Ранг: 218.5 (наставник), 2thx
Активность: 0.090
Статус: Участник

Создано: 13 апреля 2006 05:09 · Поправил: 0xy
· Личное сообщение · #12

Да, на всякий случай -- вот ключ к этому кряк-ми:

[HKEY_CURRENT_USER\Software\crack me\notepad aspr1.2]

"Key"="0Kgd7boCI8OG8m5RNsLi2kDWgd/25/btDjR4xBzoOj9hI70H+G+0XyYDcb2JB4ZO
xmPOJpBbcOrNW8y3G77TnH9B0gGAtJpVwyAlS9qZlER5FHz1kfyZPJwZkM18zk2L
H+TbWBj4bF+6zwsea7uSO+q1eAa2VDST/7w7bvTG65zY="



<< . 1 . 2 .
 [email protected] —› Протекторы —› ASProtect - вопрос по криптованным функциям
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати