HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Безопасность и Анонимность > Защита ОС: вирусы, антивирусы, файрволы.
Перезагрузить страницу Помощь в обходе защиты программы на прем функции и проверку файлов
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

  #1  
Старый 21.12.2024, 12:28
Hytp2836
Новичок
Регистрация: 20.12.2024
Сообщений: 0
Провел на форуме:
0

Репутация: 0
По умолчанию
Здравствуйте.
Скажу сразу я и близко не реверс инженер и в этой теме я только из-за этой программы.
Программу собираюсь использовать только в свои целях, не буду её никуда сливать, у меня нет цели навредить как-либо автору программы.

Вкратце, я собираю образы Windows для собственного использования и не делаю их публичными, так как они не подходят большому кругу лиц (делаю под себя и собственные задачи). В процессе работы наткнулся на установщик одного сборщика, но он имеет защиту от замены файлов install.esd и install.wim, а так же премиум функции, за которые нужно заплатить автору.
Я несколько дней пытался обойти защиту. Удалось обойти защиту кода Generic и UPX, но саму проверку на файл install.esd\install.wim, а так же прем функции — нет.
Возможно, проверка реализована не только в основном файле setup.exe, но и в одноимённом файле в boot.wim.
Ошибка если в autorun.inf не прописан ключ и ник на сайте с премиумом (скрин1). С премом есть возможность продолжать использование программы на "живой винде".
Суть в том, что когда я пытаюсь заменить файл install.esd\install.wim (в зависимости от ситуации ли один или другой, двух сразу быть не может), программа выдает ошибку (скрин2), связанную с неверной контрольной суммой. Если всё удачно, появляется окно, где нужно ввести имя пользователя, имя ПК и другие данные (скрин3). Я уже подготовил файлы, в которых нет защиты кода (файл setup.exe в корне и одноимённый файл в boot.wim по пути Windows\System32\setup.exe). Эти файлы можно проанализировать в IDA. Я специально положил install.wim на который будет срабатывать защита. Так же хотелось бы заполучить прем функции без ввода ключа и ника на сайте (это как-то взаимосвязанно), а так же убрать ссылкку на сайт разработчика в левом нижнем углу на первом этапе установки (тот же скрин3)

Попробую детально описать, с чем столкнулся, насколько смог разобраться.
  1. По поводу упоминания премиум-аккаунта:

    Я так и не нашел упоминаний премиум-аккаунта в коде, несмотря на все попытки.
  2. Поиск проверок связанных с файлами install.esd\install.wim:

    Я нашел упоминания нужных мне файлов (см. скрин4 и скрин5). В этом месте я пытался изменить проверки call sub_571D50 и call sub_598DC0. Конкретно, заменял инструкцию test al, al на mov al, 1 и условный переход jz на jmp. Эти изменения я проводил в разных местах как для install.wim, так и для install.esd. К сожалению, это не дало нужного результата.

    На основе увиденного, мне кажется, что программа должна была бы перейти к строке text:00000000008AA7BF, так как именно там я увидел ссылку на сайт разработчика, которая должна быть на первом этапе как я говорил ранее. Именно с этой точки на мой взгляд должна запускаться программа. Я пытался удалить эту ссылку, чтобы она не "мазолила глаза", но тоже не смог это сделать.
  3. RIP в самом начале программы:

    Почему-то IDA показывает RIP на самом начале программы, не доходя до проверок. Я не смог понять, что именно вызывает такую проблему. (См. скрин6 и скрин7).
  4. Анализ setup.exe в boot.wim (по пути Windows\System32):

    Я извлек этот файл из boot.wim для анализа. Данный файл нужен для запуска корневого файла. В нем я также пытался найти следы проверок.

    4.1 Проверки на премиум: не обнаружил.

    4.2 Упоминания install.esd и install.wim: Я нашел строки с их упоминаниями в коде, но, судя по всему, это не проверки.

    Строки, которые нашёл:
      • text:0000000000C7A89C
      • text:0000000000C7A767
      • text:0000000000C7A7B6
      • text:0000000000C7A86C

        (См. скрин8 и скрин9).
    • RIP в начале программы: Как и в предыдущем случае, RIP в самом начале программы, не знаю с чем это связано. (См. скрин10 и скрин11).
  5. Настройки для IDA: Все настройки, которые я использовал для анализа, указаны на скрин12, скрин13,скрин14. Оба exe'шника написаны на Delphi.

    Ссылки на Virustotal:

    1.Файл setup.exe в корне. По неизвестной мне причине орут 3 НН говноантивируса

    2.Файл setup.exe в boot.wim по пути Windows\System32

    Ссылка на архив со всем необходимым
P.S. Я понимаю, что, скорее всего, я что-то упускаю, и что защиту можно обойти достаточно быстро. Честно пытался разобраться, много искал в интернете, но, к сожалению, мне так и не удалось победить её. Я всё таки не планировал быть реверс-инженером и скорее всего много чего не знаю и делаю не так, я залез в эту область только чтобы пользоваться этой программой. Если кто-то может подсказать или ломануть эту защиту, буду очень благодарен.
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.