Краеугольный камень здания искусственного сознания - заложОн!

Тема в разделе "WASM.HEAP", создана пользователем __sheva740, 9 мар 2019.

  1. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    TrashGen,

    Это было слишком давно, что бы я помнил какие то тех детали. Фактически меня интересует только отработка дий, я прогнал его на всём на чём только можно что касается защиты. Пройти вручную десяток фаултов можно и олей. Ты утверждаешь что какая то файловая операция пропущена в этой цепочке, управление из под визора апп получает только на время закрузки железячных брекпоинт -- срабатывание ловушки, далее продолжает крутиться. Если как то управление вышло из под визора, то апп упало бы. Ядерный сервис не может быть скипнут, это невозможно. Хотя нет, для этого нужно сделать всё ап не исполняемым.
     
  2. TrashGen

    TrashGen ТрещГен

    Публикаций:
    0
    Регистрация:
    15 мар 2011
    Сообщения:
    1.173
    Адрес:
    подполье
    Инде, а посмотрите процмоном или фаелмоном. Пока других советов у меня нет, тк я сижу ловлю рыбу с нокией s40 и совсем без xp
     
    Indy_ нравится это.
  3. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    TrashGen,

    procmon:

    [​IMG]

    Последняя файловая операция действительно есть. Я никакими системными инструментами это не смотрел, так как думал что такое невозможно. Что я могу сказать, мне есть значит что копнуть и проработать, раз инструмент который прошёл все протекторы не справился с простейшим крэкме :blush:

    Респект, думаю только ты и получишь сборку дий в сурках, раз смог это обойти!
     
  4. TrashGen

    TrashGen ТрещГен

    Публикаций:
    0
    Регистрация:
    15 мар 2011
    Сообщения:
    1.173
    Адрес:
    подполье
    Ну что я могу сделать. Только заплакать. Я мог ждать лет пять-восемь, но никак не есчо неделю. Надо найти стотью с дамаги. Призываю моргота/квейка, у вас есть такая?
     
  5. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    TrashGen,

    Пока больше ничего не нужно, статьи как использовать отладчики в том числе км мне не нужны. Удачной рыбалки, я напишу когда будут результаты.
     
  6. TrashGen

    TrashGen ТрещГен

    Публикаций:
    0
    Регистрация:
    15 мар 2011
    Сообщения:
    1.173
    Адрес:
    подполье
    Да там не про отладчики стотья была, а про пошаговую суть работы недопереоцэнненнова ваме вброса.
    Всё чо сам помню, там был дикий костыль добавления из тлс-кэллбэка в таблицу адреса следующего. В курсе, что такое работает тока на хп. Ну вощем ответ нашел нужный вопрос.
    Наловили немного маленьких рыб
     
  7. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    TrashGen,

    В то время отладчик был инструментом, сейчас же отладка это не действия спеца, если нужно открывать отладчик, значит скилл маловат. Запускать виндебаг в случае вашего семпла было бы верхом нубства.
     
    Последнее редактирование: 7 авг 2019
  8. TrashGen

    TrashGen ТрещГен

    Публикаций:
    0
    Регистрация:
    15 мар 2011
    Сообщения:
    1.173
    Адрес:
    подполье
    Знач маловат открывайте отладчик км. В то время когда писоно оно было все юм отладчеки юм дружно ахале. Эх вы, а мы с котом (иных и нет уже) старались
     
  9. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    TrashGen,

    Да, что то я упустил. Разбираться я буду завтра или ночью, мне после пиваса сейчас не охота. Это хороший семпл, я искал на чём не сработает дий. Вот вчерашняя куча семплов с клаба - уг, всякие pcguard и прочее говно успешно проходит автоматика. А тут малый размер и облом. Впрочем не так всё плохо, дий ведь отрабатывает штатно. Если бы управление терялось, то это отразилось бы в логе при вызове сервиса. Если конечно это не теневой вызов, сам колбек разумеется мониторится, но я не обращал внимания на гуй. Может файловые операции происходят при выводе сообщения, я не смотрел дальше msgbox ?
     
  10. TrashGen

    TrashGen ТрещГен

    Публикаций:
    0
    Регистрация:
    15 мар 2011
    Сообщения:
    1.173
    Адрес:
    подполье
    Да, чо искать то? Мои костыли о ваши костыли там ломаются и вы в своём логе не видите самого главного (из за чего, собственно, и заморочка). Домой приду и залью весь этот треш в сорцэ, мне там всяко понятно сейчас меньше, чем тому кто это первый раз видит:)
     
  11. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    TrashGen,

    Не нужно, те я сам должен разобраться. Я не буду смотреть даже!!

    Предполагалось что решения нет, я ошибся. Если ты выложишь сурки, это значит что я полностью сольюсь. Можете тогда этот акк в перманент и вовсе или я сам это сделаю если найду как.
     
    Последнее редактирование: 7 авг 2019
  12. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    заливай == твои костыли должны встретить Вечноцць :)
     
  13. TrashGen

    TrashGen ТрещГен

    Публикаций:
    0
    Регистрация:
    15 мар 2011
    Сообщения:
    1.173
    Адрес:
    подполье
    пожалуй. с ключом и видюжкой
    --- Сообщение объединено, 7 авг 2019 ---
    вот это, осмеюс предполоджыть
     

    Вложения:

    • CrackMe_alpha.rar
      Размер файла:
      171,2 КБ
      Просмотров:
      327
    • SEHCallAPI.rar
      Размер файла:
      2,5 КБ
      Просмотров:
      294
    q2e74 нравится это.
  14. TrashGen

    TrashGen ТрещГен

    Публикаций:
    0
    Регистрация:
    15 мар 2011
    Сообщения:
    1.173
    Адрес:
    подполье
    исходный гомнотекст целиком (как собирать сиё - тайна покрытая пылью лет)
     

    Вложения:

    Indy_ нравится это.
  15. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    TrashGen,

    Прошёл я отладчиком до создания файла. system event -> break on access на образ, брекпоинт на адрес возврата из сентер(KiFast..Ret). Пропускаем запрос порта, что бы не спалить отладчик и оказываемся на открытии файла. С этим какая то трабла, попытка его создания приводит о ошибке(если поменять file_open -> create). Можно создать вручную, затем идёт запрос размера.

    Я не верный адрес изначально задал для скипания железых брекпоинтов, нужно было 4013DC, а я указал ветвь далее. Это привело к скипанию файловых операций:

    [​IMG]

    Почему то дебаг принт обрезает имя.
     
  16. TrashGen

    TrashGen ТрещГен

    Публикаций:
    0
    Регистрация:
    15 мар 2011
    Сообщения:
    1.173
    Адрес:
    подполье
    Почему обрезает имя ключевого фаела такое и есть: _
     
  17. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    TrashGen,

    Да, не туда глянул.. короче вся трабла была с аппаратными брекпоинтами, это я пофиксил. Если правильный размер задать 32байта, тогда срабатывает чтение. Причём я сразу подумал что я глюкнул, так как в WriteFile() -> ZwWrite находится NtRead, хороший трюк :good3:

    Дальше ветвление на адрес в файле, тоесть не известно куда. Вот в архиве, если прицепить отладчик и выйти в экзешник, то там jmp [buf], а buf{} прочитан из файла.
     

    Вложения:

    • d2.7z
      Размер файла:
      348,4 КБ
      Просмотров:
      253
  18. TrashGen

    TrashGen ТрещГен

    Публикаций:
    0
    Регистрация:
    15 мар 2011
    Сообщения:
    1.173
    Адрес:
    подполье
    Так с правильным ключевым файлом (есть в архиве с екзешником крэкми) ваш логгер проходит таки до самого создания победного окна? Чтение файла там вроде на втором кэллбэке из пяти (я мельком посмотрел и совсем не помню как это всё работает)
     
  19. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    TrashGen,

    Сейчас попробую, если там есть файл.
    --- Сообщение объединено, 8 авг 2019 ---
    10 минут крутится, потом появляется гуй, при этом никакие сервисы не вызываются, кроме гуя. Если далее нажать на кнопку, то виснет(и при прямом запуске) вместе с остальным гуем, в цикле map/unmap/fault.
     
  20. TrashGen

    TrashGen ТрещГен

    Публикаций:
    0
    Регистрация:
    15 мар 2011
    Сообщения:
    1.173
    Адрес:
    подполье
    Знач всё норм проходит. Поздравляем'с. Гуй работает на вм, с вызовами через сех-стековую жопу, потому наверное всё и тормозит. При нажатии на кнопку должно всё брякаца в бсод каким то там трюком с аттачтредом, у вас, похоже, венда этого делать не хочет потому и висит :) как то так