با سلام
وقتی یه فایل پک می شه اگه اشتباه نکنم پکر یه امضا از خودش تو فایل پک شده می زاره که از طریق اون امضا نرم افزار هایی مثل PEID می تونن بفهمم که با کدوم پکر فایل پک شده .
حالا سوال من چطور می تونم امضا یا هر چیزی که باعث شناخته شدن پکر می شه رو از داخل فایل پک شده بر دارم یا از بین ببرم تو اینترنت که گشتم نوشته بود با Hex Editors می شه اگه درسته می شه یه راهنمای چیزی کنید آخه من تو کار امنیت نرم افزار تازه کارم؟؟؟

با تشکر

DotFix FakeSigner رو جستجو کن

هر چقدر هم از این برنامه ها استفاده کنی , کار کراکر رو سخت نمیکنه. و میتونه نوع پکر رو تشخیص و اون رو آنپک کنه , البته با تجربه هاش

هر چقدر هم از این برنامه ها استفاده کنی , کار کراکر رو سخت نمیکنه. و میتونه نوع پکر رو تشخیص و اون رو آنپک کنه , البته با تجربه هاش

بله همینطوره ، اصولا برای یک کراکر حرفه ای نوع پکر زیاد مهم نیست. هر چند که با تعیین نوع پکر برنامه سریعتر می تونه آنپک و سپس کرک بشه.

به نظر من یکی از راههای موثر برای سخت تر کردن کار آنپک ترکیب چند پکر هست که البته این هم در مواردی جواب میده و در مواردی خیر , ولی در صورتی که جواب بده میتونه کار رو بسیار سخت کنه ( در تمامی موارد طرف صحبت کراکر های مبتدی و متوسط هستند و با کراکر های حرفه ای کاری نداریم , چون همه میدونیم که اکثر برنامه های امنیتی ما برای اونها یک شوخی محسوب میشه )

آیا راهی هست که بشه کار رو برای کراکر حرفه ای کمی سخت تر کرد؟

شاید بهتر باشه بگم خیر :(
چون به قولی ما مو رو می بینیم و کراکر های حرفه ای پیچش مو.
میدان مبارزه متاسفانه و یا خوشبختانه فقط محدود شده به کراکر های مبتدی و متوسط. با افرادی مثل Magic_h2001 , GioTin , و آقا بردیای خودمون نمیشه در افتاد. ( لااقل در نیافتیم سنگین تریم )

آیا راهی هست که بشه کار رو برای کراکر حرفه ای کمی سخت تر کرد؟

بله . هميشه راههائي وجود داره . مهمترينش اينه كه اطلاعاتت به روز باشه و از ابزارهائي كه مدتهاست ترتيبشون داده شده استفاده نكني . بايد به روشهائي مسلط بشي كه براي عبور از اونها سواد و تجربه زيادي لازم باشه كه اغلب آدمهائي فعال در زمينه Cracking ندارنش . به عنوان مثال اينو ببين :‌ http://www.openrce.org/articles/full_view/28

براي اينكه كسي بتونه از پس يه همچين VM خفني بر بياد بايد تجربه خيلي زيادي داشته باشه . معمولا چنين آدمي خودش رو علاف كرك كردن برنامه هاي تجاري ديگران كه كار غير قانوني و ابلهانه اي هست نميكنه . اما براي رسيدن به اين مقصود خودت بايد حداقل داراي همين مقدار تجربه و اطلاعات باشي .

و اين چرخه ادامه داره
;)

معمولا چنين آدمي خودش رو علاف كرك كردن برنامه هاي تجاري ديگران كه كار غير قانوني و ابلهانه اي هست نميكنه

دوست عزیز Magic_h2001 میشه گفت یکی از بهترین کراکرهای ایران هست , از آنالیز VM و ... هم کم بلد نیست , با این وجود اگر قرار باشه قفل نرم افزاری یا برنامه ای تو بازار زیاد گرد و خاک کنه , نمیزاره یه روز دوارم بیاره.
بهتره یه سری به تاپیک Please Unpack me بنده بزنید تا ببینید چقدر از VM استفاده کردم و هر بار چه نتیجه ای گرفتم.
همین Hyper Unpack me 2 رو Magic تو 25 دقیقه آنپک کرده , بهتره دنبال MUP مربوطش باشی اگر پیدا نکردی بگو آپلود کنم.

اما براي رسيدن به اين مقصود خودت بايد حداقل داراي همين مقدار تجربه و اطلاعات باشي . قبول دارم ولی شاید همه این اطلاعات هم لازم نباشه , برای مثال از پچ کردن CRC راحت تر چیزی رو سراغ نداریم در صورتی که از همین CRC Check هم اگر زیاد تکرار بشه اعصاب خورد کن میشه و خسته کننده.
به نظر من از چه راهی استفاده میکنید و چقدر در مورد اون اطلاعات دارید مهم نیست , بلکه نحوه استفاده و تعداد استفاده مهم هست.

بازم سلام به همه دوستان
یه سوال دیگه کسی از دوستان می دونه چطوری می شه به جای استفاده از برنامه هایی مانند DotFix FakeSigner که باعث می شن نام و نشان پکر از بین بره با کد نویسی در دلفی نام و نشان پکر رو از بین برد ؟

میتونی 4 بایت اول یا آخر فایل رو تغییر بدی ولی این روش برای پروتکتورهایی که CRC Check دارن به درد نمیخوره.

ممنون که جواب دادید می شه یه توضیحی بدید یا اگه مقاله ای می شناسید معرفی کنید چون من نمی دونم چطور 4 بایت اول و یا آخر فایل رو با کد نویسی در دلفی تغییر بدم.

گفتم 4 بایت البته به صورت معمول , این بستگی به پروتکتوری داره که شما ازش استفاده میکنی , مثلا" اگر از Themida استفاده میکنی باید حداقل 12 بایت رو تغییر بدی و این امر کاملا" تجربی هست , فکر نکنم مقاله ای پیدا بکنی , شاید بتونم یه مقاله از گروه UnReal RCE برات پیدا کنم ولی قول نمیدم ( پیدا کردم همینجا ضمیمه میکنم ).

مابقی اون هم که به برنامه نویسی مربوط میشه و فکر کنم تو بخش برنامه نویسی دلفی بهتر بتونن کمکت کنن. مثلا" فکر کن ما تو EntryPoint فایل مقدار زیر رو داریم
00XXXXXX <> $ 55 PUSH EBP حالا شما باید این مقدار رو عوض کنی , البته به نحوی که برنامت قاطی نکنه. مثلا" اون رو به جامپ تبدیل بکنی و محل Entrypoint رو عوض کنی تا اون جامپ به اونجا پرش بکنه. این کار کمی سخت هست و استفاده از اون سخت تر , من باز هم ترکیب پکر ها رو پیشنهاد میکنم که تو همین سایت هم نتیجه گرفتم.
به نتایج زیر دقت کن :
سختی آنپک کردن برنامه پک شده با EXE Cryptor برابر شد با 4 از 10
سختی آنپک کردن برنامه پک شده با MoleBox برابر شد با 2 از 10
و سختی آنپک کردن برنامه پک شده با Exe Cryptor و MoleBox برابر شد با 6 از 10.
این طوری هم میزان امنیت تا حدی بالا میره و هم اینکه نوع پکر به این راحتی ها لو نمیره.
یه راه دستی دیگه ای هم که وجود داره اینه که بعد از اینکه فایل خودت رو با برنامه مورد نظر پک کردی به اون یه Section اضافی , اضافه بکنی, این طوری همه برنامه های Packer Detector به جز یکی دو مورد در شناخت نوع پکر شما به اشتباه میافتن.

البته در تمامی موارد باید در تنظیمات پکر ها CRC Check رو غیر فعال کنی , چون این طوری فایل با کوچکترین تغییر به دیار باقی پیوند داده میشه.

کسي از دوستان لينک برنامه DotFix FakeSigner که کامل باشد را ندارد؟

اگر منظورت کرک شدش هست , اگر هم کسی داشته باشه نمیتونه لینک بده ( به قانون 22 سایت مراجعه کن )