УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > Программирование > Реверсинг
YourCamera & Base64

Опции темы

Поиск в этой теме

Опции просмотра

YourCamera & Base64

11.11.2007, 18:14

Noman

Участник форума

Регистрация: 10.10.2006

Сообщений: 127

Провел на форуме:
483695

Репутация: 31

Отправить сообщение для Noman с помощью ICQ

YourCamera & Base64

Ребят, подскажите plz такую вещь. Я в реверсинге относительно недавно, столкнулся с одной польской программой. Просмотрел ее в PEID, написана на делфях, не запакована. Но смутило меня то, что плагином Krypto ANALyser выявляются 2 закриптованные base64 сигнатуры:

Код:

BASE64 table :: 000D43EC :: 004D4FEC
	Referenced at 005387C4
BASE64 table :: 00136F5C :: 0053875C
	Referenced at 004D292F
	Referenced at 004D3734
	Referenced at 004D3751
	Referenced at 004D379B
	Referenced at 004D37C3
	Referenced at 004D37E0
	Referenced at 004D383B
	Referenced at 004D3863
	Referenced at 004D388B
	Referenced at 004D38A5

Скажите, как можно снять данный крипт?

11.11.2007, 18:24

0x0c0de

Постоянный

Регистрация: 25.05.2007

Сообщений: 448

Провел на форуме:
4226446

Репутация: 1564

Отправить сообщение для 0x0c0de с помощью ICQ

Может непосредственно к самой защите base64 не имеет никакого отношения. довольно пространно задан вопрос. кроме того, что вы отсканировали анализатором вы еще что-нибудь делали? Вы уверены, что base64 используется в самом алгоритме генерации ключа? поподробнее о защите и что вы пробовали делать.

11.11.2007, 19:26

ProTeuS

HARDstasy

Регистрация: 26.11.2004

Сообщений: 1,367

Провел на форуме:
4226592

Репутация: 2175

Отправить сообщение для ProTeuS с помощью ICQ

скорее всего сабж никакого отнощшения к защите не имеет, да и смысл. это всеголишь кодирование символов, а не криптографи4еское преобразование и усложнить время взлома алгоритмом кодирования не выйдет. ссылки в студию, а еще лу4ше описание 4то сделано и 4то уже успел наковырять и конкретные куски листинга

11.11.2007, 20:30

Noman

Участник форума

Регистрация: 10.10.2006

Сообщений: 127

Провел на форуме:
483695

Репутация: 31

Спасибо, что откликнулись.
Я сейчас попробую объяснить ситуацию. Данная программа имхо имеет довольно... ммм... запутанную систему регистрации программы. А именно: Программа запускается, просит ввести адрес почты, после ввода просит подключения к инету. На введенный мыльник приходит бинарный файл с названием Trial15851.lic. В теле письма написано, что его нужно положить в папку с прогой и воспользоваться логином и паролем aka названием файла, то бишь Trial15851. При этом если файл в корень папки не положить, то программа запустившись скажет, что ищите мол файл на мыле. Если файл положить, то программа запускается, и просит ввести указанные выше реквизиты (при этом положенный туда файл исчезает). Файл я положил, но трассировка программы приводит к тому, что вылетает ошибка (на скрине), после чего прога вылетает.
Брал прогу тут
Ошибка:
_http://img160.imageshack.us/img160/3861/screenpk9.th.png
Присылаемый файл _h**p://www.rapidshare.ru/462077, единственно, есть подозрение, что он сравнивает IP.
Что подскажете?

Последний раз редактировалось Noman; 11.11.2007 в 20:37..

11.11.2007, 21:56

ProTeuS

HARDstasy

Регистрация: 26.11.2004

Сообщений: 1,367

Провел на форуме:
4226592

Репутация: 2175

ошибка на скрине никакого отношения, как понимаю, к регалго не имеет

12.11.2007, 00:16

Noman

Участник форума

Регистрация: 10.10.2006

Сообщений: 127

Провел на форуме:
483695

Репутация: 31

2ProTeuS,
Спасибо. Значит буду копать дальше.

12.11.2007, 00:31

0x0c0de

Постоянный

Регистрация: 25.05.2007

Сообщений: 448

Провел на форуме:
4226446

Репутация: 1564

Нет там никаких проблем с отладкой......

Код:

0040A06C  /$  55            PUSH EBP
0040A06D  |.  8BEC          MOV EBP,ESP
0040A06F  |.  81C4 ACFEFFFF ADD ESP,-154
0040A075  |.  8945 F8       MOV [LOCAL.2],EAX
0040A078  |.  8D85 ACFEFFFF LEA EAX,[LOCAL.85]
0040A07E  |.  50            PUSH EAX
0040A07F  |.  8B45 F8       MOV EAX,[LOCAL.2]
0040A082  |.  E8 A9AFFFFF   CALL YourCame.00405030
0040A087  |.  50            PUSH EAX                                 ; |FileName
0040A088  |.  E8 3FD3FFFF   CALL <JMP.&kernel32.FindFirstFileA>      ; \FindFirstFileA
0040A08D  |.  8945 F4       MOV [LOCAL.3],EAX
0040A090  |.  837D F4 FF    CMP [LOCAL.3],-1
0040A094  |.  74 37         JE SHORT YourCame.0040A0CD
0040A096  |.  8B45 F4       MOV EAX,[LOCAL.3]
0040A099  |.  50            PUSH EAX                                 ; /hSearch
0040A09A  |.  E8 25D3FFFF   CALL <JMP.&kernel32.FindClose>           ; \FindClose
0040A09F  |.  F685 ACFEFFFF>TEST BYTE PTR SS:[EBP-154],10
0040A0A6  |.  75 25         JNZ SHORT YourCame.0040A0CD
0040A0A8  |.  8D45 EC       LEA EAX,[LOCAL.5]
0040A0AB  |.  50            PUSH EAX                                 ; /pLocalFileTime
0040A0AC  |.  8D85 C0FEFFFF LEA EAX,[LOCAL.80]                       ; |
0040A0B2  |.  50            PUSH EAX                                 ; |pFileTime
0040A0B3  |.  E8 04D3FFFF   CALL <JMP.&kernel32.FileTimeToLocalFileT>; \FileTimeToLocalFileTime
0040A0B8  |.  8D45 FC       LEA EAX,[LOCAL.1]
0040A0BB  |.  50            PUSH EAX                                 ; /pDOSTime
0040A0BC  |.  8D45 FE       LEA EAX,DWORD PTR SS:[EBP-2]             ; |
0040A0BF  |.  50            PUSH EAX                                 ; |pDOSDate
0040A0C0  |.  8D45 EC       LEA EAX,[LOCAL.5]                        ; |
0040A0C3  |.  50            PUSH EAX                                 ; |pFileTime
0040A0C4  |.  E8 EBD2FFFF   CALL <JMP.&kernel32.FileTimeToDosDateTim>; \FileTimeToDosDateTime
0040A0C9  |.  85C0          TEST EAX,EAX
0040A0CB  |.  75 07         JNZ SHORT YourCame.0040A0D4
0040A0CD  |>  C745 FC FFFFF>MOV [LOCAL.1],-1
0040A0D4  |>  8B45 FC       MOV EAX,[LOCAL.1]
0040A0D7  |.  8BE5          MOV ESP,EBP
0040A0D9  |.  5D            POP EBP
0040A0DA  \.  C3            RET

Вызывается

Код:

0040A0DC  /$  55            PUSH EBP
0040A0DD  |.  8BEC          MOV EBP,ESP
0040A0DF  |.  83C4 F8       ADD ESP,-8
0040A0E2  |.  8945 FC       MOV [LOCAL.1],EAX
0040A0E5  |.  8B45 FC       MOV EAX,[LOCAL.1]
0040A0E8  |.  E8 7FFFFFFF   CALL YourCame.0040A06C
0040A0ED  |.  40            INC EAX
0040A0EE  |.  0F9545 FB     SETNE BYTE PTR SS:[EBP-5]
0040A0F2  |.  8A45 FB       MOV AL,BYTE PTR SS:[EBP-5]
0040A0F5  |.  59            POP ECX
0040A0F6  |.  59            POP ECX
0040A0F7  |.  5D            POP EBP
0040A0F8  \.  C3            RET

Этим процедурам присмотрись... Там проверка наличия файла. дальше копать не могу, усталость=\ давай сам дальше. завтра если что дальше посмотрю.....

12.11.2007, 12:38

dmnt

Познающий

Регистрация: 06.06.2007

Сообщений: 99

Провел на форуме:
559723

Репутация: 94

Отправить сообщение для dmnt с помощью ICQ

этот kanal всегда находит base64 если в проге есть строка всего английского алфавита A...z + спецсимволы в порядке следования

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
[HTML] Base64	Student :)	PHP, PERL, MySQL, JavaScript	5	03.10.2007 23:50
Sun Drake v 1.4	slider	Избранное	7	09.05.2007 10:58
Base64 в PHP	aka PSIH	PHP, PERL, MySQL, JavaScript	7	31.10.2006 20:41
Base64	}{0TT@БЬ)Ч	PHP, PERL, MySQL, JavaScript	14	04.05.2006 04:53
base64	azeri_hacker	Болталка	0	01.04.2005 13:07

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход