بررسي امنيت رشته در برنامه

[دنیای دلفی]

دوست عزيز در خصوص كرك مي شما من يك بررسي اجمالي كردم :
برنامه شما تشكيل شده است از سه تاLabel به نامهاي Label1 , Label2 , Label3
يك به نام Edit1 و يك كليد به نام Button1 و يك تايمر به نام Timer1 كد نويسي شما در Edit1KeyPress و در رويداد OnClick كليد و OnTimer مربوط به تايمر انجام گرفته است . من به راحتي مي توانم برنامه شما به جاي ورودي Timer1Timer عبارت nil را قرار دهم و بدون يك خط كد نويسي تايمر شما را غير فعال كنم و ساير اشيا ء به كار رفته را .


لطف كنيد توضيح دهيد با چه روشي (Packer ,Protector) فايل را حفاظت نموده ايد

[ali ahwaz top]

دوست عزیز ; دنیای دلفی:
من در کد نویسی از متدهای Anti-DUMP و Anti-Debbug و Anti-Loader و Anti-Unpack و Anti-Trace که خودم همه اونها رو نوشتم استفاده کردم ولی برای Protect کردن فایل EXE از دو نرم افزار خارجی که کار یک
کرکر هستند استفاده کردم.
و این فقط یک تست و نمونه بود ولی میتونم از این پیچیده تر رو هم بسازم.
اگه کسی بتونه اینو روش کار کنه و بهم نتیجه بده قول میدم سورسش رو واسه دانلود شما عزیزان
در همین تاپیک بذارم البته با توضیحات کامل.

اهورامزدا نگهدارتان.

[دنیای دلفی]

دوست گرامي ما اينجا فقط براي آموزش كار مي كنيم . هميش سعي كنيد آموخته هاي خود را ارائه دهيد تا هميشه بيشتر ياد بگيريد

[ali ahwaz top]

دوست عزیز ; دنیای دلفی:

من هم با کفته شما موافقم ولی اگه من این روش رو بهتون بگم و بعد راهی برای مقابله باهاش
پیدا بشه که دیگه کار همه تمامه.
پس اول باید نقصش رو بگید که من بتونم بگم چیکار کردم و دوستان با همفکری بتونن حلش کنن.
در ضمن من خودم هم کرک رو بلدم و هم ضد اونو ولی با کسی کل کل ندارم فقط میخوام یه راه قطعی
برای مقابله با کرک پیدا کنم.
شما ضعفش رو پیدا کنید. اگه میشه اونو Unpack کنید و یک Crack واسش بسازید.
اگه این برنامه باز نشه همه ما میتونیم از الگوریتمهاش استفاده کنیم.
البته توی این برنامه از اشیاء Dynamic استفاده نشده اگه اینکار رو بکنم دیگه اینارو هم شما نمیتونید
پیدا کنید.

[Fh_prg]

در مورد كركمي آخر دنياي دلفي نظري ندارم چون به نظر مياد شبيه قبليش باشه دانلود نكردم در مورد كركمي قبل از آخر :
رشته گرفته شده از كاربر تبديل به كد ميشه و با كد شده رشته اصلي مقايسه ميشه. همونطور كه مهران گفته اين رشته كد شده هست :

cDoog0jSTFp4auXXv1ko5A==

رشته به خوبي مخفي شده ولي چون الگوريتم استفاده شده قابل بازگشت (البته فكر ميكنم) هست باز هم امكان پيدا شدن آن وجود دارد. رشته با اين كليد به كد تبديل شده :

wf8/+*0@}?++¦?-

پس با داشتن الگوريتم و همينطور كليد بالا ميشه رشته رو ديكد كرد.
ولي چون در برنامه هيچوقت رشته ديكد نميشود اصلا لزومي نداشت كه از الگوريتم هاي بازگشت پذير براي كد كردن آن استفاده كنيد. ميتونستيد از MD5 استفاده كنيد. به هر حال كركر در برخورد با اين نوع پروتكشنها ابتدا به الگوريتم كدگذاري توجه ميكند و اگر مطمئن شود كه بازگشتپذير است شروع به ريورس كردن آن ميكند كه بسته به ميزان پيچيدگي الگوريتم وقت زيادي ميبرد. ولي اگر هدف اصلي كرك كردن برنامه باشد كه معمولا همينطور هست ، كركر بلافاصله بدون تلف كردن وقت خود محل مقايسه رشته را پيدا كرده و آن را حذف ميكند.....
متاسفانه وقت آزاد زياد ندارم و بيشتر از اين نميتونم اين كركمي رو آناليز كنم.

در مورد كركمي ali ahwaz top :
نوع پروتكتور بكار رفته ناشناخته هست ولي تا حد زيادي به RlPack شبيه است. به هرحال قدرت آن در حد متوسط يا مبتدي ميباشد. روشهاي استفاده شده در تايمر برنامه جهت آنتي دامپ و آنتي ديباگ هم جالبند ولي در حد مبتدي ميباشند.
در مورد كرك كردن برنامه: رشته دريافتي از كاربر با يك الگوريتم تقريبا طولاني به كد تبديل ميشود و در نهايت اگر كد بدست آمده 113E665 باشد پيغام You Win داده ميشود براي كرك كردن برنامه كافي است شرط موجود در آدرس 0045A031 را به NOP تبديل كنيد.

[Securebit]

این کرک می از پروتکتور Hying PE Armor & Reversing Labs Protection=RLPACK استفاده کرده بود

[دنیای دلفی]

در مورد كركمي آخر دنياي دلفي نظري ندارم چون به نظر مياد شبيه قبليش باشه دانلود نكردم

دستت درد نكنه ممنون
اگر امكان داره روي كرك مي آخري يه بررسي بكن ببينم مي توني سريال كد شده رو بدست بياري روش خيلي كار كردم كه امكان پذير نباشه

[ali ahwaz top]

دوست عزیز ; Fh_prg :
RLPack رو فقط به عنوان یک برنامه ساده استفاده کردم.
ولی تکنیکهای دیگر که در کد نویسی استفاده شده اند همگی کار خودم است.
و فکر نمیکنم مبتدی باشند.
چنانچه شما ابزار مفیدی را میشناسید معرفی کنید.

[ali ahwaz top]

procedure Anti_Dump();
begin
asm
mov eax, fs:[$30]
mov eax, [eax+$C]
mov eax, [eax+$C]
mov dword ptr [eax+$20], $FFFFFFFF // image size
mov dword ptr [eax+$1C], $FFFFFFFF // Entry Point
mov dword ptr [eax+$18], $FFFFFFFF // image Base
end;
end;

[ali ahwaz top]

این کد رو پس از اینکه برنامه بالا اومد ران کنید.
پس از اون دیگه برنامه اجرا شده در حافظه Anti-Dump و Anti-Attach میشه وبرنامه هایی مثل
OllyDBG و DEDE و LordPE و Wark و غیره رو از کار میندازه.

[دنیای دلفی]

تفاوت كد شما با اين كد در چيست

procedure FOLL();

begin

asm

        mov eax, fs:[$30]

        mov eax, [eax+$C]

        mov eax, [eax+$C]

        add dword ptr [eax+$20], $2000    

end;

end;

[ali ahwaz top]

دوست عزیز منکه گفتم.یه ذره دقت کنید میفهمید.
در ضمن میتونید امتحان کنید.و امنیتش رو بررسی کنید.

[دنیای دلفی]

دوست عزیز منکه گفتم.یه ذره دقت کنید میفهمید.
در ضمن میتونید امتحان کنید.و امنیتش رو بررسی کنید.

مي دونم شما گفتيد ولي در عمل اين دو كد با هم فرقي ندارند

[Securebit]

تو این کرک می از هیچ کریپتوری استفاده نکردم

[مهران موسوی]

procedure Anti_Dump();
begin
asm
mov eax, fs:[$30]
mov eax, [eax+$C]
mov eax, [eax+$C]
mov dword ptr [eax+$20], $FFFFFFFF // image size
mov dword ptr [eax+$1C], $FFFFFFFF // Entry Point
mov dword ptr [eax+$18], $FFFFFFFF // image Base
end;
end;

دوستان تغيير Image Base ديگه هيچ فايده اي نداره ....

برنامه ي شما به راحتي در Olly بارگذاري ميشه ... ( از اولش هم بهتر )

تصوير زير رو هم نگاه كنيد بدك نيست ... !

[Masoudxb]

تو این کرک می از هیچ کریپتوری استفاده نکردم

من که ترفند خاصی ندیدم...
DebugBreak که اصلا" مشکلی ایجاد نمیکنه. برای اینکه برنامه خودش رو دوباره اجرا نکنه هم کافیه رو CreateProcess بریک پوینت بذارید و ببینید که برای عدم اجرای فایل توسط خودش باید مسیر همین فایل رو بعنوان پارامتر ارسال کرد.

[ali ahwaz top]

دوستان عزیز:
کدی رو که داده بودم فقط از Attach کردن ollydbg و دیگر برنامه ها جلوگیری میکنه.
بدین معنا که اگه شما این کد رو در FormCreate برنامه قرار دادید و برنامه در حال اجرا رو بخواهید
با Ollydbg از منوی File و Attach بهش یورش ببرید با خطا مواجه میشید.
امتحانش مجانی میباشد.

[مهران موسوی]

دوستان عزیز:
کدی رو که داده بودم فقط از Attach کردن ollydbg و دیگر برنامه ها جلوگیری میکنه.
بدین معنا که اگه شما این کد رو در FormCreate برنامه قرار دادید و برنامه در حال اجرا رو بخواهید
با Ollydbg از منوی File و Attach بهش یورش ببرید با خطا مواجه میشید.
امتحانش مجانی میباشد.

اين روش در كنار يك پروتكشن قدرتمند جالب خواهد بود ولي بعد از انپك راحت ميشه اين تيكه كد رو پيدا كرد و اون رو از بين برد ... در كل براي پيچوندن كركرهاي تازه كار روش مناسبي خواهد بود .

[ali ahwaz top]

خداحافظ کرک:

یه سری به این سایت بزنید.
http://www.antidebuglib.com

[ali ahwaz top]

آقا Mehran :
من یک پروتکتور تووووووووووووپ دارم که اصلا" Unpack نمیشه و تا بحال هیچ جایی واسش
Unpacker پیدا نکردم.
این فایل یک نمونه از اونه که باهاش پروتکت شده.
اگه میتونید اونو چک کنید.

[مهران موسوی]

اين چرا همه چيش چيني ژاپني هست ؟؟

من كه اصلا نفهميدم موضوع از چه قراره !!! ( اگه پروتكشن خوبي باشه بدم نمياد منم ازش استفاده كنم )

[مهران موسوی]

اقا اين خيلي به vprotector 1.3 شباهت داره !!؟ درسته ؟

[joker]

دوستان عزیز:
کدی رو که داده بودم فقط از Attach کردن ollydbg و دیگر برنامه ها جلوگیری میکنه.
بدین معنا که اگه شما این کد رو در FormCreate برنامه قرار دادید و برنامه در حال اجرا رو بخواهید
با Ollydbg از منوی File و Attach بهش یورش ببرید با خطا مواجه میشید.
امتحانش مجانی میباشد.

با تشکر
ممنون سورس خوبی بود ،
همون فایل شما با این تفاوت که از منوی فایل و اتچ هم ناپدید میشه
فقط نمیدونم روی کامپیوتر من اینطوریه (یه چیزائی نصبه که بعضی وقتا یه چیزائی میگم و بعدش آبروم میره :) )، یا نه ، اگه ممکنه شما هم تست کنید :)

[مهران موسوی]

بله دوست عزيز درست كار ميكنه ...

اگه مقدوره سورس رو هم براي استفاده ي عموم قرار بدين ...

[Securebit]

آقا Mehran :
من یک پروتکتور تووووووووووووپ دارم که اصلا" Unpack نمیشه و تا بحال هیچ جایی واسش
Unpacker پیدا نکردم.
این فایل یک نمونه از اونه که باهاش پروتکت شده.
اگه میتونید اونو چک کنید.

Vprotect پروتکتور قوی هست ولی ..................!

[دنیای دلفی]

سلام و خسته نباشید خدمت جوکر جان
اگر امکان دارد کد را جهت استفاده عموم قرار دهید

[دنیای دلفی]

جوكر جان من برنامه شما را يك مقداري رديابي كردم شما همان كدهاي دوستمان ahwaz را نوشته ايد ولي يك خط اضافه كرده ايد به صورت پايين درست حدث زدم يا نه:

 

procedure Anti_Dump();

begin

asm

mov eax, fs:[$30]

mov eax, [eax+$C]

mov eax, [eax+$C]

mov dword ptr [eax+$20], $FFFFFFFF // image size

mov dword ptr [eax+$1C], $FFFFFFFF // Entry Point

mov dword ptr [eax+$18], $FFFFFFFF // image Base

mov dword ptr [eax+$0A], $FFFFFFFF //  ????

end;

end;

[دنیای دلفی]

mov dword ptr [eax+$0A], $FFFFFFFF // ????

همچنين اين خط در آدرس 44D97A قرار دارد Nop ===> BOMB

[ali ahwaz top]

دوست عزیز ; Joker :
با اضافه کردن این خط کد به سورس من برنامه روی Vista دچار اشکال میشه و مدام سیستم
پیغام خطا مبنی بر اینکه ntdll نمیتونه یه آدرسی رو بخونی میده.

[ali ahwaz top]

دوست عزیز ; Bardia_dst :
فایلی که گذاشتید کار نمیکنه لطفا" بررسیش کنید.
در ضمن این پروتکتور اسمش VprotectCompile 1.3 هستش و فایلی رو که من گذاشته بودم
با Shell استندارد خودش پک شده بود.
حالا یه سئوال با چی آنپک میشه؟

[ali ahwaz top]

اون کدی که داده بودم یک خطش رو از یه سایت گرفته بودم البته 5 سال پیش و
دوخطی رو که بهش اضافه کردم خودم با دیباگر OllyDBG پیدا کردم البته هنوزهم به دنبال کدهای دیگه هم هستم.
به یاری خدا چند روز دیگه چند خط کد ضد Trace واسطون میزارم.



راستی دوستان نظرتون درباره DCU Protector چیه؟

[مهران موسوی]

راستی دوستان نظرتون درباره DCU Protector چیه؟

من تا به حال باهش كار نكردم .

يك ايده براي بچه هاي مشتاق در ضمينه ي امنيت دارم ... از جايي كه يك مدت هست اين بحث داغ شده فكر ميكنم دوستان از اين ايده بدشون نياد ...

اگر بچه ها مايل باشن با دانسته هاي خودمون يك پروتكشن كوچولو بنويسيم به صورت گروهي ... دليل اينكه ميگم به صورت گروهي باشه اينه كه بدون شك اگه همه ي اطلاعاتمون رو بزاريم روي هم ميتونيم يه چيز جم و جور با هم بنويسيم ... ( لطفا افرادي كه حاظر هستند همكاري كنند اعلام كنن )

شرايط همكاري :

1: اشنايي با اسمبلي .

2: اشنايي سطحي با كركينگ

3: اشنايي با مباحث امنيتي .

در ضمن : اعلام كنيد كه با چه زباني بنويسيمش . نوع زبان بر اساس بيشترين راي توسط همكاران انتخاب ميشه ..

[ali ahwaz top]

من قبلا" یک Cryptor کوچولو درست کرده بودم که بد نبود اگه خواستید واستون میزارم.
البته سورسش با دلفی نوشته شده.

[مهران موسوی]

من قبلا" یک Cryptor کوچولو درست کرده بودم که بد نبود اگه خواستید واستون میزارم.
البته سورسش با دلفی نوشته شده.

اين طور كه معلومه شما هم در ضمينه ي امنيت تجربه ي لازم رو داريد .

خوشحال ميشم در اين پرژه شركت كنيد . ( سورس رو هم اگر مايل هستين بزاريد )

[ali ahwaz top]

بله حتما" این کارو میکنم.
به یاری خدا فردا اینو واستون میزارم.

[مهران موسوی]

با سلام ...

تا اونجايي كه من تا حالا توي اين چند مدت ديدم بيشتر افرادي كه توي اين مباحث در اين سايت شركت كردن خدمت Delphi ارادت دارن .

من فكر ميكنم اگه قراره گروهي كار كنيم همين delphi گزينه ي مناسبي هست . اگر احيانا كسي مايل بود با VC++‎ نوشته بشه من مايلم با يك نفر ديگه هر بار كه روي پرژه كار ميكنيم كدها رو از Delphi به C++‎ ترجمه كنم . در اين صورت در پايان كار يك پروتكشن در اختيار داريم به دو زبان مختلف كه جفتشون از قدرت بالايي برخوردار هستن .

اگر تعداد همكاراني كه شرايط لازم رو دارن به 3 الي 4 نفر رسيد كار رو از 24 خرداد ( بعد از امتحانات ترم ) شروع ميكنيم .

يك تاپيك جدا براي اين پرژه ايجاد خواهد شد ... از مديران ميخوام كه همكاري لازم رو با دوستان بكنن

[whitehat]

يك تاپيك جدا براي اين پرژه ايجاد خواهد شد ... از مديران ميخوام كه همكاري لازم رو با دوستان بكنن

من کماکان منتظر نتیجه گیری و توضیح در مورد این تاپیک هستم!
در صورتی که این تاپیک به نتیجه نرسد ،تاپیک های مشابه قفل یا حذف خواهند شد
لطفا بر اساس تاپیک "Crack Me" عمل کنید، بدیهی است که در تاپیک های مفید مدیران همکاری لازم را با شما خواهند داشت
با تشکر

[مهران موسوی]

من کماکان منتظر نتیجه گیری و توضیح در مورد این تاپیک هستم!
در صورتی که این تاپیک به نتیجه نرسد ،تاپیک های مشابه قفل یا حذف خواهند شد
لطفا بر اساس تاپیک "Crack Me" عمل کنید، بدیهی است که در تاپیک های مفید مدیران همکاری لازم را با شما خواهند داشت
با تشکر

واقعا بهتون حق ميدم .

هدف اين تاپيك در واقع Crack ME بوده ولي تقريبا منحرف شده ...

لطفا تا بعد از نتييجه ي راي گيري در مورد پرژه ي ذكر شده صبر كنيد و بعد تاپيك رو قفل كنيد .

علت اينكه ميگم قفل كنيد اين است كه شايد افرادي بعد ها خواستن مطالبش رو مطالعه كنن و شايد براشون مفيد واقع شد .

يا حق ...

[joker]

دوست عزیز ; Joker :
با اضافه کردن این خط کد به سورس من برنامه روی Vista دچار اشکال میشه و مدام سیستم
پیغام خطا مبنی بر اینکه ntdll نمیتونه یه آدرسی رو بخونی میده.

بله همون یک خطی که دنیای دلفی گفت فقط اضافه کردم ، که اثر جالبی روی این دیباگر داشت !!!
ظاهرا پروسه را از نوع سیستمی تشخیص میده و دیگه توی لیستش نمیاره
درهرحال له نظرم جالب اومد
اما اینکه چرا روی ویستا مشکل داره ، نی دو نم ،ویستا تاحالا نصب نکردم ببینم،
میشه پیغامشو کامل اینجا بزارید ؟

[Fh_prg]

ظاهرا پروسه را از نوع سیستمی تشخیص میده و دیگه توی لیستش نمیاره

خير...دليلش اينه كه با اين كار شما PEB* رو به هم ميريزين و توابعي كه از اون براي گرفتن اطلاعات در مورد پروسه ها استفاده ميكنن به اشتباه ميفتن و مقادير اشتباه برميگردونن. اين كار بيشتر روي توابع كتابخانه PSAPI اثر ميذاره و برنامه هايي كه از اين كتابخانه استفاده ميكنن نيز طبعا دچار مشكل ميشن. نمونش ديباگر ollydbg هست كه چون براي بدست آوردن ليست پروسه هاي در حال اجرا از تابع EnumeProcess از كتابخانه PSAPI استفاده ميكنه به مشكل بر ميخوره. در حالي كه اگر نگاهي به ليست پروسه ها در TaskManager خود ويندوز بندازين نام پروسه رو خواهيد ديد به اين دليل كه اين برنامه از توابع Kernel براي ليست گرفتن استفاده ميكنه.
اين روش جالب و كارآمد هست ولي در ويندوز 98 و ويستا به مشكل بر ميخوره البته جلوي اجراي برنامه رو نميگيره ولي سيستم عامل مرتب پيغام ميده كه نميتونه مكاني از حافظه رو بخونه كه در اينجا FFFFFFFF هست.

PEB : Process Environment Block