Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Реверсинг (https://forum.antichat.xyz/forumdisplay.php?f=94)
-   -   YourCamera & Base64 (https://forum.antichat.xyz/showthread.php?t=53364)

Noman 11.11.2007 18:14
YourCamera & Base64
 
Ребят, подскажите plz такую вещь. Я в реверсинге относительно недавно, столкнулся с одной польской программой. Просмотрел ее в PEID, написана на делфях, не запакована. Но смутило меня то, что плагином Krypto ANALyser выявляются 2 закриптованные base64 сигнатуры:
Код:
BASE64 table :: 000D43EC :: 004D4FEC
        Referenced at 005387C4
BASE64 table :: 00136F5C :: 0053875C
        Referenced at 004D292F
        Referenced at 004D3734
        Referenced at 004D3751
        Referenced at 004D379B
        Referenced at 004D37C3
        Referenced at 004D37E0
        Referenced at 004D383B
        Referenced at 004D3863
        Referenced at 004D388B
        Referenced at 004D38A5
Скажите, как можно снять данный крипт?

0x0c0de 11.11.2007 18:24
Может непосредственно к самой защите base64 не имеет никакого отношения. довольно пространно задан вопрос. кроме того, что вы отсканировали анализатором вы еще что-нибудь делали? Вы уверены, что base64 используется в самом алгоритме генерации ключа? поподробнее о защите и что вы пробовали делать.

ProTeuS 11.11.2007 19:26
скорее всего сабж никакого отнощшения к защите не имеет, да и смысл. это всеголишь кодирование символов, а не криптографи4еское преобразование и усложнить время взлома алгоритмом кодирования не выйдет. ссылки в студию, а еще лу4ше описание 4то сделано и 4то уже успел наковырять и конкретные куски листинга

Noman 11.11.2007 20:30
Спасибо, что откликнулись.
Я сейчас попробую объяснить ситуацию. Данная программа имхо имеет довольно... ммм... запутанную систему регистрации программы. А именно: Программа запускается, просит ввести адрес почты, после ввода просит подключения к инету. На введенный мыльник приходит бинарный файл с названием Trial15851.lic. В теле письма написано, что его нужно положить в папку с прогой и воспользоваться логином и паролем aka названием файла, то бишь Trial15851. При этом если файл в корень папки не положить, то программа запустившись скажет, что ищите мол файл на мыле. Если файл положить, то программа запускается, и просит ввести указанные выше реквизиты (при этом положенный туда файл исчезает). Файл я положил, но трассировка программы приводит к тому, что вылетает ошибка (на скрине), после чего прога вылетает.
Брал прогу тут
Ошибка:
_http://img160.imageshack.us/img160/3861/screenpk9.th.png
Присылаемый файл _h**p://www.rapidshare.ru/462077, единственно, есть подозрение, что он сравнивает IP.
Что подскажете?

ProTeuS 11.11.2007 21:56
ошибка на скрине никакого отношения, как понимаю, к регалго не имеет

Noman 12.11.2007 00:16
2ProTeuS,
Спасибо. Значит буду копать дальше.

0x0c0de 12.11.2007 00:31
Нет там никаких проблем с отладкой......
Код:
0040A06C  /$  55            PUSH EBP
0040A06D  |.  8BEC          MOV EBP,ESP
0040A06F  |.  81C4 ACFEFFFF ADD ESP,-154
0040A075  |.  8945 F8      MOV [LOCAL.2],EAX
0040A078  |.  8D85 ACFEFFFF LEA EAX,[LOCAL.85]
0040A07E  |.  50            PUSH EAX
0040A07F  |.  8B45 F8      MOV EAX,[LOCAL.2]
0040A082  |.  E8 A9AFFFFF  CALL YourCame.00405030
0040A087  |.  50            PUSH EAX                                ; |FileName
0040A088  |.  E8 3FD3FFFF  CALL <JMP.&kernel32.FindFirstFileA>      ; \FindFirstFileA
0040A08D  |.  8945 F4      MOV [LOCAL.3],EAX
0040A090  |.  837D F4 FF    CMP [LOCAL.3],-1
0040A094  |.  74 37        JE SHORT YourCame.0040A0CD
0040A096  |.  8B45 F4      MOV EAX,[LOCAL.3]
0040A099  |.  50            PUSH EAX                                ; /hSearch
0040A09A  |.  E8 25D3FFFF  CALL <JMP.&kernel32.FindClose>          ; \FindClose
0040A09F  |.  F685 ACFEFFFF>TEST BYTE PTR SS:[EBP-154],10
0040A0A6  |.  75 25        JNZ SHORT YourCame.0040A0CD
0040A0A8  |.  8D45 EC      LEA EAX,[LOCAL.5]
0040A0AB  |.  50            PUSH EAX                                ; /pLocalFileTime
0040A0AC  |.  8D85 C0FEFFFF LEA EAX,[LOCAL.80]                      ; |
0040A0B2  |.  50            PUSH EAX                                ; |pFileTime
0040A0B3  |.  E8 04D3FFFF  CALL <JMP.&kernel32.FileTimeToLocalFileT>; \FileTimeToLocalFileTime
0040A0B8  |.  8D45 FC      LEA EAX,[LOCAL.1]
0040A0BB  |.  50            PUSH EAX                                ; /pDOSTime
0040A0BC  |.  8D45 FE      LEA EAX,DWORD PTR SS:[EBP-2]            ; |
0040A0BF  |.  50            PUSH EAX                                ; |pDOSDate
0040A0C0  |.  8D45 EC      LEA EAX,[LOCAL.5]                        ; |
0040A0C3  |.  50            PUSH EAX                                ; |pFileTime
0040A0C4  |.  E8 EBD2FFFF  CALL <JMP.&kernel32.FileTimeToDosDateTim>; \FileTimeToDosDateTime
0040A0C9  |.  85C0          TEST EAX,EAX
0040A0CB  |.  75 07        JNZ SHORT YourCame.0040A0D4
0040A0CD  |>  C745 FC FFFFF>MOV [LOCAL.1],-1
0040A0D4  |>  8B45 FC      MOV EAX,[LOCAL.1]
0040A0D7  |.  8BE5          MOV ESP,EBP
0040A0D9  |.  5D            POP EBP
0040A0DA  \.  C3            RET
Вызывается

Код:
0040A0DC  /$  55            PUSH EBP
0040A0DD  |.  8BEC          MOV EBP,ESP
0040A0DF  |.  83C4 F8      ADD ESP,-8
0040A0E2  |.  8945 FC      MOV [LOCAL.1],EAX
0040A0E5  |.  8B45 FC      MOV EAX,[LOCAL.1]
0040A0E8  |.  E8 7FFFFFFF  CALL YourCame.0040A06C
0040A0ED  |.  40            INC EAX
0040A0EE  |.  0F9545 FB    SETNE BYTE PTR SS:[EBP-5]
0040A0F2  |.  8A45 FB      MOV AL,BYTE PTR SS:[EBP-5]
0040A0F5  |.  59            POP ECX
0040A0F6  |.  59            POP ECX
0040A0F7  |.  5D            POP EBP
0040A0F8  \.  C3            RET
Этим процедурам присмотрись... Там проверка наличия файла. дальше копать не могу, усталость=\ давай сам дальше. завтра если что дальше посмотрю.....

dmnt 12.11.2007 12:38
этот kanal всегда находит base64 если в проге есть строка всего английского алфавита A...z + спецсимволы в порядке следования


Время: 16:59