Алгоритмы - Почему все так озабочены...

Тема в разделе "WASM.HEAP", создана пользователем X-Shar, 16 фев 2021.

  1. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    703
    ребята это не креми это обычный обмотаный мои старым упаковщиком, но инди сказал что все сделал и скинул кино ноя хочу логи и данные кино ямогу за полчаса на коленке нарисовать
    --- Сообщение объединено, 26 фев 2021 ---
    нотепад
    --- Сообщение объединено, 26 фев 2021 ---
    я хочу адреса данные регистров или что ты руками распаковывал где твой хваленый дий и дв это вообще дичь 2 суток блокнот распаковывать даже руками
    --- Сообщение объединено, 26 фев 2021 ---
    а вот теперь я с релом согласен много болтаешь и мало показываешь , как школьник блин
     
  2. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    Не, блекуха - это не ко мне вопрос, ты мне просто напомнил одного персонажа оттуда по манере изложения мысли, думал ты это или нет, ну, видимо, нет.

    Видимо его тоже автоматика будет удалять, только эту автоматику нужно ждать не 2, а 5 дней.
    --- Сообщение объединено, 26 фев 2021 ---
    Для тех кто смог, что другие не смогли - это нормально. Он этим занимается в любой теме, даже если человек спросил nsis установщик распаковать, он предлагает его визором гонять. Как же не вспомнить про чудо-визор.
     
  3. Thetrik

    Thetrik UA6527P

    Публикаций:
    0
    Регистрация:
    25 июл 2011
    Сообщения:
    875
    Win7 x64, да там другой прототип чем в Win8 x64 к примеру:

    Windows 7 x64:

    wow64_win7_scheme.png

    Windows 8 x64:

    wow64_win8_scheme.png

    В этом и проблема.
    А нет ли Dye для Win7 x64?
     
    X-Shar нравится это.
  4. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    Thetrik, маглы васма реквестуют статью про то, как работают эльфиские технологии. Подробную, без выдуманных терминов, без самохвальства и тд.
    Шучу канеш, не бери в голову))
     
    Aiks и Mikl___ нравится это.
  5. X-Shar

    X-Shar Active Member

    Публикаций:
    0
    Регистрация:
    24 фев 2017
    Сообщения:
    354
    Пора Инде скриншеты этой темы сохранять, т.к. опять он смог, а все остальные нет, теперь уже на васме...)

    risovach.ru.jpg

    Да, Дий интересный проект, тоже хотел его поковырять, но знаний мало, а времени не было особо, к сожалению...)))
     
    Indy_ нравится это.
  6. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    sl0n,

    > инди сказал что все сделал и скинул кино ноя хочу логи и данные кино ямогу за полчаса на коленке нарисовать

    Я ничего не делал, взял старую сборку на которой крутились семпла из тем oep, поменял в загрузчике имя апп и запустил. Лог ты можешь видеть в консоле. Thetrik эти адреса получил в отладчике, на скринах выше это видно. Так же я вообще не видел ни событий ни кода ничего связанного с криптой, это не нужно в данном случае, так как задача пройти слой крипты.

    > я хочу адреса данные регистров или что ты руками распаковывал где твой хваленый дий

    Записан в троли как и рел.

    X-Shar,

    Прикол в том, что слив кл был на той же самой задаче, решённой тем же самым инструментом и теми же алгоритмами(немного не так, там я просто сам посмотрел в лог по абсолютной выборке(на текущем семпле это может каждый посмотреть кто успел выкачать бинари из этой темы https://wasm.in/threads/oep-protektory.33242/), в данном случае выведена последовательность cfg после события распаковки) https://archivevx.net/exelab/f/pages/action=vthread&forum=13&topic=26404&page=2.html#3

    Пример примитивный как видно по видео запуск с очень малой задержкой. Тем же самым мотором(без бин трансляции, я её так и не отладил ибо лень), семпл Vamit крутился 4 часа, там действительно проблема по профайлу.

    Там тоже тролей хватало, но Vamit был нужен лишь адрес, число. тут даже вся последовательность и в реалтайме, но это их не устраивает они говорят про какой то ручной разбор и монтаж видео, наверно я вручную ковырял и забил адреса. Мне вручную такого уровня крипты разобрать быстрее в отладчике, чем искать и вспоминать файлы, не говоря уже про сборку дби ;)

    Thetrik,

    Это очень старые паблик сборки, вот билд. На wow 8 оно работает, но тормозит, там какие то опции походу включены. Я сурки не могу найти этого билда что бы уточнить или пересобрать, единственное что нашёл это модуль фильтрации по дебаг форматной строке, который и решает задачу распаковки :)

    Что на счёт смещений, так пофикси на 4 константу в инструкции, делов то. Обычно имеется вся линейка на вирте, где это всё запускается, не на хостовой же системе - у тебя каждый второй семпл с криптой покинет отладчик и поломает систему и побьёт файлы.
    --- Сообщение объединено, 26 фев 2021 ---
    RETN,

    > я могу семпл скинуть , где твой софт подавится на инструкциях

    Давай x32, как раз выходные время есть Не забудь только что сразу эта инструкция будет обнаружена и эмулирована. Тупо сработает ловушка #GP на невалид кодировке, так что маны прикладывай наночь к голове.

    > скинь сорцы под х64

    У меня нет билда 64, это никогда небыло нужно да и по времени слишком затратно, просто физически смысла нет - все механизмы те же, семплы теже как и задачи. Это переписать и отладить системный проект на другую разрядность. Это может быть нужно для комерс задач, какой же интерес тратить месяца на переплавку регистров и тп, просто что бы было ?
     

    Вложения:

    • sl0n.7z
      Размер файла:
      312,7 КБ
      Просмотров:
      177
    • Flt.7z
      Размер файла:
      1,9 КБ
      Просмотров:
      162
    Последнее редактирование: 26 фев 2021
  7. Thetrik

    Thetrik UA6527P

    Публикаций:
    0
    Регистрация:
    25 июл 2011
    Сообщения:
    875
    Спасибо, посмотрю. Насчет пофиксить, боюсь поломать что-нибудь, т.к. не хочу полностью все разбирать.
     
  8. X-Shar

    X-Shar Active Member

    Публикаций:
    0
    Регистрация:
    24 фев 2017
    Сообщения:
    354
    Интересная тема почитал, только я не понял, а в VMProtect вообще реально найти этот OEP ?

    Вот-что ответила Boostyq:

    upload_2021-2-26_22-48-54.png

    Ну и Vamit:

    upload_2021-2-26_22-51-32.png

    Так-что я понял из этой темы, что задача поиска OEP для VMPROTECT не решаема вообще...)

    З.Ы. Там на клабе смотрю уважают Инди, тут на васме Рел ещё достаточно корректно общается, а все говорят что он злой.)))
     
  9. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    Ну я вообще в целом однозначно разделяю ее взгляды на ситуацию. Забавно канеш читать, когда Индий считает, что проблема во флуде и срачах с ним во мне, Слоне или еще в ком то, кроме него самого. Предлагает всех перебанить, кроме согласных с ним. Точнее как согласных, тех, кто ему не перечит, маглы же не способны понять эльфийские технологии.
     
  10. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    999
    Песочница от каспера, и от группы-иб выловит. На песочницы заварачивают не весь траффик, поэтому что и как будет делать какой антивирь - я хз.
     
  11. X-Shar

    X-Shar Active Member

    Публикаций:
    0
    Регистрация:
    24 фев 2017
    Сообщения:
    354
    Я не уверен, что они распаковывают...

    Песочницы могут детектить по другим признакам, по поведению уже самого зверька, то-что он делает в системе.
     
  12. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    X-Shar,

    > Вот-что ответила Boostyq:

    Это был троль в аналогичной теме аналогичный релу.

    > Так-что я понял из этой темы, что задача поиска OEP для VMPROTECT не решаема вообще...)

    И каким местом ты это понял ?

    Была пропущена одна процедура, просто какой то сишный стаб, которую сумел покрыть вмп. Дальше прот не заметен, как и в этом случае. Крипта работает если её работа видна, тоесть какие то трудности, а если она прозрачна и не заметна то её нет.

    Никто не понимает суть, но я обьясню почему этот механизм сработает на любом протекторе крипторе и вмп так же.

    Приложение использует абсолютную адресацию, на 86 нет релатив адресации в отличие от 64.

    Это значит что выборка абсолютная в образ и есть событие исполнения образа.

    Почему это крипторы/протекторы не могут резолвить - если образ не содержит релоков, то адреса выделить полностью невозможно, нельзя это даже сделать частично не внося вероятность ошибки. Поэтому даже сильные проты типо вмп обрабатывают бинарь процентов на 5%10 там где ссылки есть.

    Если даже есть маркеры на указатели, а это релоки, то так же крипта ничего с этим поделать не может, так как не может ими управлять, по причине того что это лишь маркер в битовой карте кода, которая не покрывается, не известно начало карты. Проще говоря нет точек входа для формирования cf. Это упрощает системный механизм cfg, но он больше для малварки помощь, чем защита, тк маркирует процедуры на уровне пе формата.

    В общем следует понимать так - если произвольный бинарь любому протектору задать, то он не сможет ничего с ним сделать, кроме крипты EP. Поэтому критерий распаковки работал работает и будет работать не важно на какой крипте. Это не сработает лишь в случае обфускации или на подобие, когда крипта имеет инфу для сборки на уровне компилера.

    Я не помню протектора который не решался общим критерием по абсолютной выборке. Было несколько тяжёлых(энигма вроде), где в одной секции два образа в которых абсолютная адресация. Эти задачи обсуждались по ссылке выше на кл.
     
    Последнее редактирование: 26 фев 2021
    X-Shar нравится это.
  13. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    999
    X-Shar, у них цель, зверька сдампить. Сколько стоит денег\времени купить вмпротект и накрутить примеров для помощи в анализе? Ну и подумай, был у них этот ресурс или нет?
     
  14. RETN

    RETN Member

    Публикаций:
    4
    Регистрация:
    4 апр 2020
    Сообщения:
    74
    q2e74, VMProt под х64 ломать - себя не любить))
    --- Сообщение объединено, 27 фев 2021 ---
    Rel, чисто :)
    Клерыч, как всегда со своим софтом обиделся на весь мир, да я ничего не сделал, 2,5 года отсутствовал, щас наверстал и понял что надо просто зарабатывать не только на розетках и АСУТП, а просто писать на низком уровне софты для матлаба и 3д - макса, причем не забывать их защищать и поднимать по 2 -10к /мес не зайчиков или бьелорусских рублёув)))
     
  15. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    у аверок совсем иная задача == там нужно выщимить нелегальную активность кода. либо это делается чрез отлов апи, либо тупо по белым спискам (аппа нет в списке, значит запуск блокируется).
     
  16. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    У аверки есть фундаментальная проблема эмуляции. Когда приложение выполняется напрямую, то можно эмулировать определённый адрес, функцию. Когда же приложение разлаживается на выборку, то эмуляция заканчивается, тк функция не существует из ней нет выборки. Они это создавали не предполагая что это станет известным. Отсюда следует что можно назвать приблизительно трассировкой" делает невозможной эмуляцию, в том виде которая она была и есть.

    А что бы получить активность должен эмуль долго крутить, набрать количество итераций без учёта повторений(те не повторяющихся выборок, к примеру инструкций). Если это не получается вирта завершена нельзя построить детект, тк это даже не вероятностный детект а просто рандом.
     
  17. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    Такая уж прям фундаментальная? Аверу и не нужно будет как-то подкручивать свою эмуляцию для противодействия этому. У авера не будет проблем добавить в сигнатурный или эвристический детект тот самый твой код, который делает эти твои выборки. Или ты будешь делать выборки из кода, который делает выборки?

    Поменьше пафоса, бро, никто конкретно против тебя и не работает вовсе. Это ты работаешь против них, хоть и говоришь, что блекухой не занимаешься.

    В облаке семпл может крутиться безконечно, более того даже на реальном железе при желании.
     
  18. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Тролик допустим аверка может выполнить 100 итераций(без учёта повторений те циклов), что не достаточно для построения какого то детекта. Загрузится семпл куда то в облако, там как было 100 итераций так и осталось, хоть крути бесконечно(по количеству попыток). Что дальше ?
     
  19. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.330
    Ты ограничен внутри своей парадигмы и не шаришь, что такое облако, это далеко не аверский эмулятор, там действуют не ограничения пользовательского компьютера, а ограничения огромного дата центра с многими стойками серверов. Там семпл может гоняться на виртуальных машинах (ксен, вмваре, что угодно), может гоняться на реальном железе (которое откатывается каким-нить шадов дефендером), и может гоняться неограниченное время. Да там даже реальный интернет может для семпла быть, что в частности может позволить устроить утчеку инфы оттуда, но опять же это уже совсем другая история.
     
    M0rg0t нравится это.
  20. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    > семпл может гоняться на виртуальных машинах (ксен, вмваре, что угодно)

    Ну будут сто итераций и недетект.

    > гоняться на реальном железе

    Для этого нужно реального человека использовать. У каспера их дятлами называют.