بررسي امنيت رشته در برنامه

این کار قبل EntryPoint برنامه نویسی کردن نیست. بعضی محافظها با استفاده از TlsTable هدر فایل می تونند به موازات Thread اصلی، Threadهای دیگه ای هم اجرا کنند. برای اینکه بتونی جلوی کارشو بگیری، تو Olly بخش تنظیمات Debug نقطه توقف رو System Breakpoint قرار بدید. بعدش نقطه توقف که بصورت One-shot برای EP تنظیم شده رو هم بردارید.

برای اینکه وقتتون سر چیزهایی که قبلا انجام شده هدر نره، از نسخه های Olly مخصوص ExeCryptor استفاده کنید. خیلی از تکنیکهای سطح کاربر برای تشخیص Debugger رو بی اثر کردند.

تو ايران كمتر برنامه نويسي پيدا ميشه كه بدونه TLS و TlsCallBack چيه ! قضيه ساده تر از اين حرفاست به احتمال زياد داخل يكي از DLL هايي كه بصورت استاتيك همراه برنامه لود ميشن روالهاي آنتي ديباگ وجود داره و پيغام مورد نظر از داخل اون DLL هنگام DLL_PROCESS_ATTACH داده ميشه. بگرد و اون DLL رو پيدا كن....

سلام دوستان:
این CrackME رو هم چک کنید.

دوستان سلام:
یه برنامه واسه پروتکت کردن Form ها پیدا کردم.
اسمش هست Citadel میتونید از سایت زیر اونو بگیرید.
http://www.billeniumsoft.com

سلام
ممنون از راهنمايي اگر امكان دارد Fh_prg يك اشاره اي هم به TlsCallBack بكنيد تا برنامه ها مون را بهش مجهز كنيم . ممنون مي شوم

نقل قول:

---

سلام دوستان:
این CrackME رو هم چک کنید.

---

عجیبه ها ؛ پست های من غیب میشن....
کلمه عبور : 1

سلام من نسخه كامل themida 1.9.8.0 را گير آوردم ولي ميگه TMlicense.dat پيدا نمي شه . در صورتي كه اين فايل داخل پوشه اونه كسي اين فايل رو داره اگر ممكنه بزاره .
يك دفعه خوده themida را نگذاريد مي گن Warez بازي كرديد و جيزه . . .

آقا من دیگه ناامید شدم.
مثل اینکه عملا" نمیشه جلوی کرک رو گرفت.
این CrackME که گذاشته بودم اگه با دیباگر Trace بشه یا Run بشه برنامه رو به یک فرم انحرافی
میبره که رمز مورد نظر در اون عدد 2 هستش ولی در حالت عادی رمز واقعی عدد 1 هستش.
واقعا" آقایون کرکر نابغه تشریف دارن.

قابل توجه آقایونی که در علم کرک استادند:
بابا من یه کمی کرک بلدم و با استفاده از همون یه کم میتونم ضد کرک درست کنم و
شمایی که End کرک هستید بفرمایید چند تا سورس یا راه حل توووووپ برای اینکار جهت استفاده
عموم معرفی کنید.
من منتظر هستم.

نقل قول:

---

نوشته شده توسط joker

عجیبه ها ؛ پست های من غیب میشن....
کلمه عبور : 1

---

joker جان توضیح بده با چه نرم افزار هایی و چطوری کلمه رمز رو پیدا کردی.

آيا مي دانيد ديگر هيچ نسخه اي از Themida فايده اي ندارد .
اين رو از بروبچ چيني دو دره كردم

اينو براي خود توليد كنندگان Themida فرستادم (:عصبانی++:كف كردن:گریه:).
داره چپ راست برام Email مي ياد مي گن بابا تو ديگه كي هستي هرچي مي خواهي بهت مي ديم بازارمونو خراب نكن خلاصه . . .:خجالت::تشویق:

نقل قول:

---

نوشته شده توسط ali ahwaz top

آقا من دیگه ناامید شدم.
مثل اینکه عملا" نمیشه جلوی کرک رو گرفت.
این CrackME که گذاشته بودم اگه با دیباگر Trace بشه یا Run بشه برنامه رو به یک فرم انحرافی
میبره که رمز مورد نظر در اون عدد 2 هستش ولی در حالت عادی رمز واقعی عدد 1 هستش.
واقعا" آقایون کرکر نابغه تشریف دارن.

---

نا امید نشو :)
پلاگینی برای olly هست بنام فانتوم خیلی خوب کار میکنه احتمالا از تشخیص دیباگر نا امید میشی :لبخند:
ببینم میتونی روش تشخیص olly را وقتی این پلاگین همراهش هست ، به صورت سورس همینجا ضمیمه کنی یا نه

دانلود :
http://www.alt.ir/PhantOm1.25.zip


آنپکر اتوماتیک themida که خیلی وقت بود توی فرومهای کرک ریلیز شده بود ، چطور اینا خودشون ندیدن :)

اینم یکی دیگه که عربا نوشتن ....
نیاز به نصب MSVC 2005 داره که توی فایل readme کنارش آدرس دانلودش از سایت میکروسافت را گذاشته...
پیوست: فکر کنم تازه اینا آپدیت هم شده باشن ، دیگه دنبالش نبودم...
http://www.google.com/search?hl=en&q...=Google+Search
و ورژن 3این آنپکر:( بازم کار این ملخ خورها)
http://www.at4re.com/f/showthread.php?p=18727

نقل قول:

---

نوشته شده توسط دنیای دلفی

سلام
ممنون از راهنمايي اگر امكان دارد Fh_prg يك اشاره اي هم به TlsCallBack بكنيد تا برنامه ها مون را بهش مجهز كنيم . ممنون مي شوم

---

TlsCallback یک تابع به فرم DLLEntrypoint هستش که قبل EntryPoint برنامه اجرا میشه. میتونی چند تا از این Callbackها درست کنی، تو هر کدوم هم یک Thread برای محافظت درست و اجرا کنی. برای اطلاعات بیشتر MSDN. این که از DLLEntryPoint ِمربوط به کتابخانه Static استفاده بشه، کار با نمکیه ممنون از Fh_prg که به این اشاره کردید.

براي موضوعات مختلف تاپيكهاي جداگانه بزنيد . اغلب مطالبي كه اينجاست ربطي به امنيت رشته در يك باينري نداره . اگر مطلبي به اين موضوع مربوط بود در ادامه اين تاپيك و الا در يك تاپيك با موضوع مرتبط مطرح بشه

سلام ...

يك روز نبودم ببين چه اتفاقاتي افتاد ... امتحانات شروع شده دستم رو بسته ...

براي تنوع يك لودر براي CrackME علي اقا نوشتم ... پيدا كردن پسوردش خيلي ساده بود اصلا حال نداد .... هر چند لودر نوشتنش هم دسته كمي از پيدا كردن سريالش نداشت ... :لبخند:


امتحانات كه تموم شد نوبتي هم كه باشه نوبت منه Crack Me بزارم :لبخندساده:

راستي يك نكته رو بگم بعد نگين لودر كار نكرد ... چون CrackME كپشن نداشت بر اساس كلاس پنجره لودر برنامه رو شناسايي ميكنه ... يعني بايد توجه كنيد كه برنامه ي ديگه اي كه نام كلاس پنجرش TForm1 هست نبايد در حال اجرا باشه ... اخه حال نداشتم بشينم لودر رو توي اسمبلي بر اساي PID پياده سازي كنم ... انشاالله بعد از امتحانات اين كار رو هم ميكنم ...

در يك كلام خلاصه ميكنم كه براي نتيجه گرفتن فقط كرك مي رو در حال اجرا بگذاريد بعد لودر رو اجرا كنيد و هر پسوردي دلتون خواست به كرك مي بدين تا با جون و دل قبول كنه ازتون ... :شیطان:

پيدا كردن رشته اي كه مي زارم بسيار مشكل است من هم نمي خواهم اون رو پيدا كنيد ولي آيا مي توانيد رشته كد شده را پيدا كنيد :

نقل قول:

---

یک تابع به فرم DLLEntrypoint هستش که قبل EntryPoint برنامه اجرا میشه. میتونی چند تا از این Callbackها درست کنی، تو هر کدوم هم یک Thread برای محافظت درست و اجرا کنی

---

در اين مورد من يك تاپيك درست كردم اگر ممكن است يك مثال عملي بزنيد
ممنون مي شوم

نقل قول:

---

نوشته شده توسط دنیای دلفی

پيدا كردن رشته اي كه مي زارم بسيار مشكل است من هم نمي خواهم اون رو پيدا كنيد ولي آيا مي توانيد رشته كد شده را پيدا كنيد :

---

هر چی دستت اومده زدی تنگ هم ؟؟ :لبخند:

نقل قول:

---

نوشته شده توسط دنیای دلفی

در اين مورد من يك تاپيك درست كردم اگر ممكن است يك مثال عملي بزنيد
ممنون مي شوم

---

اون روشي كه اونجا مطرح كردي عملا هيچ فايده اي نداره ... در نهايت به راحتي ميشه DLL رو دور زد ...

نقل قول:

---

هر چی دستت اومده زدی تنگ هم ؟؟

---

من هم كه گفتم كار بسيار مشكليه بخواهيد رشته رو پيدا بكنيد . گفتم رشته كد شده را پيدا كنيد همين . اون كه كد نشده

فكر مي كردم كار رو مشكل كرده باشم ولي نه اينقدر . عجيب با دوستاني با اين سطح تخصص هنوز بعد از 5 بار دانلود هنوز رشته كد شده (نه رشته اصلي) پيدا نشده است .

نقل قول:

---

نوشته شده توسط دنیای دلفی

فكر مي كردم كار رو مشكل كرده باشم ولي نه اينقدر . عجيب با دوستاني با اين سطح تخصص هنوز بعد از 5 بار دانلود هنوز رشته كد شده (نه رشته اصلي) پيدا نشده است .

---

خدايا خداوندا وقت ما را زياد بگردان .. ( امين :لبخندساده: )

يه نگاهي بهش انداختم ... اين مياد و به صورت نا منظم كاراكترهاي رشته ي كد شده رو با رشته ي كد شده ي سريال چك ميكنه ... البته اين عمل هم به صورت مستقيم انجام نميشه ...

مثلا وقتي ما وارد ميكنيم Mehran تبديل ميشه به

Rn/hqFqdIYUV/bhhJdbcyw==

بعد وقتي ميخواد با رشته ي كد شده مقايسه بشه به ترتيب اين كار انجام نميشه ...

مثلا اول نمياد R رو با اولين كاراكتر رشته ي كد شده مقايسه كنه ... بلكه مياد و يهو يك كاركتر رو از ميون رشته انتخاب ميكنه و با همون كاراكرتر در رشته ي كد شده مقايسه ميكنه ... اين كار به صورت غير مستقيم انجام ميشه ... يك سري محاسبات رياضي هم ديدم توش ... حال نداشتم بشينم و Trace كنم تا رشته رو بدست بيارم ... بقيش به عهده ي دوستان ... :چشمک:

تا اينجا اومدي خوبه ولي اين بخش به سادگي قابل تشخيص بود ولي فايده نداره . شما بايد البته اگر علاقمند باشيد رشته ي كد شده ي سريال را پيدا كنيد .

شما سه الي چهار كاراكتر و آدرسشونو بدست بياريد كافيه همشو نمي خواد
اين مهم است. (هر وقت وقت كرديد)

نقل قول:

---

نوشته شده توسط دنیای دلفی

فكر مي كردم كار رو مشكل كرده باشم ولي نه اينقدر . عجيب با دوستاني با اين سطح تخصص هنوز بعد از 5 بار دانلود هنوز رشته كد شده (نه رشته اصلي) پيدا نشده است .

---

شما داري بحث رو از حالت علمي خارج ميكني!
شما هروقت تو برنامت رشته رو از حالت كد خارج كردي و ازش استفاده كردي از كركر هم توقع داشته باش اين كارو بكنه اگه نه هيچ كركري بيكار نيست وقتشو روي چيزي كه اصلا بهش نياز نداره تلف كنه ! شما كار جديدي نكردي تو خيلي از برنامه ها از اين روش داره استفاده ميشه. بنده اگه مجبور باشم حتما رشته كد شده رو پيدا ميكنم ولي نه در اين مورد! در ضمن من فايل شمارو دانلود نكردم چون فكر ميكنم تكرار مكررات ميشه...

نقل قول:

---

شما هروقت تو برنامت رشته رو از حالت كد خارج كردي و ازش استفاده كردي از كركر هم توقع داشته باش اين كارو بكنه

---

دوست گرامي Fh_prg من كه نگفتم رشته را پيدا كنيد . اگر به پست من دقت كنيد گفتم رشته كد شده را پيدا كنيد .

نام اين تاپيك امنيت رشته در برنامه است نه كرك كردن بخش مقايسه رشته

مثل اينكه واجب شد وقت بزارم ... خوب اول يكم توضيح ميدم ... اين برنامه مياد رشته ي دريافت شده توسط كاربر رو كد ميكنه .. بعد به صورتي تصادفي يك كاراكتر از ميون اون انتخاب ميكنه ... مثلا رشته ي زير رو فرض كنيد ...

مثلا : رشته ي كد شده وارد شده توسط كاربر : abcde

مثلا : رشته ي كد شده مورد نظر كه مقايسه ميشه : Msoft

خوب حال برنامه يك كاراكتر از رشته ي كد شده كه توسط كاربر انتخاب كرده رو به صورت تصادفي انتخاب ميكنه .. مثلا c رو انتخاب كرده ... خوب ميبينيد كه Index كاراكتر c در رشه مثال 3 هست ... خوب حالا از روي همين Index يك كاراكتر از رشته ي مورد نظر برگردونده ميشه ... كه اينجا Index 3 در رشته ي كد شده ي اصلي o هست ... خوب حالا كد اسكي c و o در مبناي 16 با هم مقايسه ميشند ... در صورت اولين نامساوي بودن برنماه از روال چك كردن خارج ميشه ... ( البته اين ها رو كه توضيح دادم به صورت كلي بود و شايد با چيزي كه برنامه نويس نوشته كمي تفاوت داشته باشه ولي كدهاي امبلي بيان گر همين بود )

من چك كردن رو با رمز 123 امتحان كردم كه بعد از كد شدن به شكل زير در اومد ...

aawVmr+wiBMdP/ZcgFzpPw==

بعد اومدم روال رو Trace كردم و قسمتي از رشته ي كد شده ي اصلي رو پيدا كردم ... بقيش رو هم كه ديگه معلومه ... ( به شكل زير توجه كنيد ... )

http://fire-wizard.persiangig.com/C-Rack/Key-cr1.JPG

رشته ي كد شده رو هم بعد از مطالعه ي اين پست بزار ...

يا حق ...

دوستان سلام:
دنیای دلفی کار تقریبا" محکمی رو انجام داده و بدک نیست.
رشته کد اینه : effwe52415%^&*!@
وبعد تبدیل میشه به :
BZnYopy+B6wtNa0VBoHV5Q==

نقل قول:

---

نوشته شده توسط joker

نا امید نشو :)
پلاگینی برای olly هست بنام فانتوم خیلی خوب کار میکنه احتمالا از تشخیص دیباگر نا امید میشی :لبخند:
ببینم میتونی روش تشخیص olly را وقتی این پلاگین همراهش هست ، به صورت سورس همینجا ضمیمه کنی یا نه

---

سلام:
اینم دو تا سورس کد ضد Phantom 1.25 , 1.26

اما در مورد TLS-CallBack :
باید بگم روش منسوخیه ولی برای دور زدن کرکرهای ساده خوبه یه نمونشو پایین گذاشتم نگاش کنید.
البته اگه Phantom رو ollyDBG تون هست جواب میده.

اما یه چیز دیگه ;
تعدادی سورس کد برای مقابله با کرک پایین گذاشتم برداریدو حالشو ببرید.
توی اون انواع Anti ها برای دیباگر و دامپرها و الاماشاا... کد دیگه هست که بدردتون میخوره و
سورس یک TLS-CallBack هم توش هست.
بعد بشینید پشت سرم لیچار ببافید. :لبخند:

اینم یک CrackME که ضد دیباگه و اگه با دیباگر بازبشه....

رشته اصلي : Merlin
كليد : effwe52415%^&*!@
كد شده :sScYo/UOThe1vCUZNaPAFw==
روش كدينگ : Crc32,MD5, . . .

مهران : دست شما درد نكند بجز V كه بايد كوچك باشد بقيه را درست حدث زدي و پيدا نمودي . ممنون از راهنمايي

علي اهواز : كليد را درست پيدا كردي ولي كد كاملا اشتباه بود . ولي باز هم ممنون

اين بار روند پيدا كردن زمان بيشتري بايد صرف مي شد .

نقل قول:

---

مهران : دست شما درد نكند بجز V كه بايد كوچك باشد بقيه را درست حدث زدي و پيدا نمودي . ممنون از راهنمايي

---

خواهش ميكنم ... اشتباه چاپي بود .. :لبخند:

نقل قول:

---

نوشته شده توسط ali ahwaz top

اینم یک CrackME که ضد دیباگه و اگه با دیباگر بازبشه....

---

جالب بود ولي علي الحساب سوراخ گرديد .... :شیطان:

مثل هميشه ... Crack Me رو اجرا كن بعد پشت سرش Loader رو اجرا كن و بعد هم لذت ببر ... :بامزه:

نقل قول:

---

نوشته شده توسط ali ahwaz top

اما یه چیز دیگه ;
تعدادی سورس کد برای مقابله با کرک پایین گذاشتم برداریدو حالشو ببرید.
توی اون انواع Anti ها برای دیباگر و دامپرها و الاماشاا... کد دیگه هست که بدردتون میخوره و
سورس یک TLS-CallBack هم توش هست.
بعد بشینید پشت سرم لیچار ببافید. :لبخند:

---

شبیه به همین لیست هم اینجا دیده بودم http://www.openrce.org/reference_library/ دیده بودم فقط نمیدونم کدوم به روز تره یا به روز میشه....