Недавно обнаружил взломанную версию своего приложения. Хотел бы посмотреть как ломали, но проблема то что бинарь запакован, а я очень мало сталкивался с упаковщиками.
Посоветуйте утилиты для детекта/снятия упаковщика?
Может еще какую то информацию, которая бы помогла распаковать exe-чину.
Спасибо.
вам на exelab.ru на поиск специалиста для взлома своей проги, если там еще кто-то живой остался. Бесплатное усиление защиты коммерческого приложения крайне не приветствуется
Он же вроде бы закрыт уже, нет?
ресурс пытался выжить на донейтах (для хостинга), но не выжил. Владелец (bad guy) продал весь сайт с потрохами какой-то компании, занимающейся секюрити, после чего оттуда масса людей ушло. О закрытии не шло речи
Найди багу в своём упаковщике, и ломани уже его. Или же выложи новую версию на те же ресурсы, но которая обязательно будет содержать каку.
Упаковщик обычно саму софтину в память распаковывает и уже тогда запускает.
А целостность исполнимого файла через электронную подпись — проверяешь вообще? Или этот код вырезали/заменили?
Целостность файла чере подпись? Зачем? Для этого есть WAC который покажет пользователю что файл не подписан или нарушена CRC. Дальше все зависит от самого пользователя, насколько он доверяет крякеру или насколько он сам себе Буратино. А все что нужно было убрать от дизасма, я убрал.
Для начала узнай какой использовался упаковщик (например github.com/horsicq/Detect-It-Easy). В зависимости от результат — ищи способ распаковки.
Стандартный путь — ищешь OEP, дамп, восстановление импорта. А вот с виртуализацией так просто не справиться)
Спасибо посмотрю. Я уже до этого успел перепробовать различные детекторы отсюда: www.manhunter.ru/..._ispolnyaemih_faylov.html
Но все они довольно устарели как и их сигнатурные базы, так то у всех результат был Unknown Packer.
Можно немного про «стандартный путь»? Я так понял для начала нужно снять дамп работающего процесса?
Если нужно получить распакованый код, то можешь просто сдампить процесс после запуска программы (github.com/NtQuery). Это будет неработающий кусок исполняемого файла, но зато пригоден для анализа в чем-то типа IDA.
Я не настоящий сварщик, но я ломал .net приложение путем дизасемблирования удаления не нужного мне кода, и последующей сборкой обратно (проверка была весьма простая, и найти ее было просто)
мое приложение ломали, как я потом выяснил у хацкера таким же образом:
Дизасемблирование, ковыряние в дампе памяти, сборка обратно.
Так что советую попробовать самому сломать свое приложение, дабы проверить ее защиту
(больше не скажу, мой опыт 10 летней давности)
Не волнуйтесь. Это кряк а не кейген. Против кейгена у меня да, у меня в приложении имеется вирутальная машина и все критические участки когда работают под ней. Компилятор и виртуализацию я писал сам.
у меня в приложении имеется вирутальная машина и все критические участки когда работают под ней. Компилятор и виртуализацию я писал сам.
Ладно убедили, ща гидрой софту поковыряю
Так что советую попробовать самому сломать свое приложение, дабы проверить ее защиту
Смысл?
В случае с .net это дело пары минут либо пары часов если обфусцированная сборка.
С C++ возможно пары дней.
Но в любом случае все ломается=)
если denuvo/wmprotect то все очень печально, проще дать кому то чтоб сломали и расказали как сломать твою приложуху
Вряд ли там wmprotect. У этого проекта немного другие цели а именно виртуализировать критические участки кода что бы их нельзя было просто так отреверсить например в той же IDA+HexRays. К тому же он закрыт и стоит денег. Я сомневаюсь что тот кто ломал приложение преследовал такую цель :-) Мне по сути нужно получить распакованый exe а дальше я сам найду где было сломано.
Думаю упаковали потому что кроме как слома там еще поселили какую то гадость, как обычно и делают.
У меня очень приблизительное понятие как они работают. Потому и создал этот тред, что есть надежда обнаружить что это стандартный упаковщик и распаковщик уже написан.
Ангуляров Реактин
Сергей Савостин
Ангуляров Реактин
Andrey Rogovsky
Олексій Пєніє
anonymous
schwarzlichtbezirk
Yura Zhivaga
Yura Zhivaga
Антон Радушев
Dmitry Panfilov
Vladyslav Melnyk
Dmitry Panfilov
anonymous
20 коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарів