Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Реверсинг (https://forum.antichat.xyz/forumdisplay.php?f=94)
-   -   CliSecure и DNGuard HVM (https://forum.antichat.xyz/showthread.php?t=114370)

life_is_shit 03.04.2009 18:57
CliSecure и DNGuard HVM
 
Привет реверсерам :)

У меня тут возник вопросец и без вашей помощи не обойтись)

Подскажите плиз, вам что-нибудь известно об этих защитах и способах их обхода?

Заранее спасибо.

Lamia 03.04.2009 19:15
А конкретней!Пакер,протектер т так далее..Или гуглить надо?

life_is_shit 03.04.2009 19:24
ClieSecure - пакер + протектор + обфускатор от SecureTeam.
DNGuard HVM - пакер + протектор от китайцев (точнее хз).
Оба для .net

Если точнее сформулировать вопрос, то:
- какой эффорт на получение исходников (читать какова должна быть стоимость проги (ориентировочно, минимальная), ради которой стоит эту защиту ломать)?

Lamia 03.04.2009 19:36
http://www.cracklab.ru/download.php?action=list&n=NjA=
И есчё на форуме полазий!

Lamia 03.04.2009 19:40
А лучше прямой линк,может гуру этотго дела и помогут!

Lamia 03.04.2009 19:58
Запости на cracklab,здесь хоть гуру и пояыляются,но не всегда помогут,да и может и не захотят!

Lamia 03.04.2009 21:06
Прогани через IDA,но в общем если,не секрет,то зачем тебе эта прога!?

G@n4 03.04.2009 22:02
В общем, расклад такой, что многоуважаемый life_is_shit, задал этот вопрос по моей просьбе.

Обыкновенными диссасемблеррами и рефлекторами эта фигня не ломается, так как она пререпакована по полной программе. Что удалось выяснить - это то, что обе эти фигни jitter'у отдают методы по одному, то есть дамп памяти тоже трудновато сделать. Разве что через какие либо хуки прям на джиттер.

В принципе, насколько я знаю (пока не получилось) у CliSecure можно всю эту лабуду задекриптить прям на диске, так как они только меняют RVA, что приводит к тому, что в рефлекторе мы видим, что все методы либо возвращают null, либо new от ретвала, либо тупые вещи для простых типов.

Фича в том, что используя тот же CFF, можно найти кусочками реальный байт код, но как собрать это всё по едино, для меня пока остаётся загадкой.

В случае Китайца, там ваще звездец полный, вроде. Триалы его хачили - лично видел, но в энтерпрайзе у него там есть мегаёптель технология HVM, которая читай пердставляет собой вєємвару между с джиттером - тут я вообще в шоке, акуе и прострации....

Best regards:).

PS: Lamia, либо пишем по теме, либо не пишем вообще, ОК?;)

G@n4 03.04.2009 22:04
Да, кстати, attach to process не канает на обеих...

AlexGT 03.04.2009 23:08
Прогу в студию, заценим. А так сказать не видя софта что да как сам понимаешь
2 Lamia жаль что не в 10 постах ответ ;)

G@n4 03.04.2009 23:13
AlexGT, тебе протектор, или прогу, покрытую протектором?:)
на протекторы:
http://www.secureteam.net/Downloads.aspx - Сli. Там на эвалюэйшн запрос делать надо
http://www.dnguard.net/DNGuard_Trial.exe - DNGuard. Триалка. HVM отрублен:(.

Можешь тупо попробовать у себя приложение забацать и засекьюрить. Похачишь с рассказом, как сделал, - с меня пиво:).

ЗЫ: пофиг куда - пиво вышлю:).

AlexGT 03.04.2009 23:22
Лучше бы запаковану прогу конешно :)

G@n4 03.04.2009 23:36
Я те в асе скинул тупой сэмпл:)

zeppe1in 04.04.2009 01:54
что насчёт
Kurapica DotNET Dumper и Tracer
почему не приатачица к процессу?
а ещо можно поискать инфу тут portal.b-at-s.info они шарят по дотНЕТу)

вот
Unpacking CLI-secure
http://portal.b-at-s.info/download.php?view.94

G@n4 04.04.2009 18:51
Флешу смотрел. Ещё вчера.
Прям на сайте крякера того:). Вот ток тулза, которая у него там ысть, она сборки, запротекченнные 4.5 версией не хавает. Ещё хуже им делает:).

Почему к процессу не приаттачится? Ибо анресолвед симбол секвенс:).

AlexGT 04.04.2009 22:20
у меня под винсервером дампер даж не запустился оО


Время: 03:59