در زمينه امنيت من هم پايه هستم . به يك سري كدهاي خفن ( انحرافي ) رسيدم كه به موقعه در تاپيك آموزشي خودم اعلام مي كنم .
در زمينه امنيت من هم پايه هستم . به يك سري كدهاي خفن ( انحرافي ) رسيدم كه به موقعه در تاپيك آموزشي خودم اعلام مي كنم .
فايلي كه Bardia_dst آنپك كرده تقريبا درست آنپك شده البته ايمپورت تيبل چند مشكل جزيي داره و همينطور OEP اصلي بازسازي نشده به هر حال در صورت درست كردن IAT به خوبي كار ميكنه.نوشته شده توسط ali ahwaz top
فايل رو چك كردم به نظر مياد كه از پروتكشن كامل استفاده نكرده. به صورت دستي قابل آنپك هست و درجه سختي هم آسان انتخاب ميكنم. من به اين پروتكتور علاقه دارم بخاطر روالهاي آنتي ديباگ حرفه ايش و سرعت بالاش و درجه سختي اون هم در حالت پروتكشن كامل متوسط هست.
Fh_prg سلام
شما به SVKP 1.44 چه نمره اي مي دهيد
یه سوال از دوستان دارم شاید زیاد به موضوع شما ربط نداشته باشه شما پروتکت کردن رو در مرحله کد نویسی انجام دادید حال فرض کنید در asp.net بعد از ترجمه کدها به dll تبدیل میشن و در مرحله کد نوسیی دستمون در asp.net باز نیست حال با فایلهای dll میشه چطور پروتکت کرد (البته نرم افزار هایی هم برای این کار وجود داره اما عمومی بودنشون شاید باعث شده ضدشون راحت تولید بشه آیا میشه کاری کرد؟!)
به نظر من SVKP در حد متوسط هست
صفر! البته اگه از SDK و كد فعال سازي خودش استفاده كني امنيتش تا وقتي كه كركر كد فعال سازي معتبر نداشته باشه خوبه (كه البته اين موضوع در مورد همه پروتكشنها چه قوي چه ضعيف صدق ميكنه) ولي با داشتن كد، باز هم صفر...
ممنون از راهنمايي
Fh_prg جان مي شه بگيد (نظر شخصي خودتون) بهترين protector تجاري كه شما مي شناسيد چه نام دارد
طي سالهايي كه از جنگ بين كركرها و سازندگان پروتكشنها گذشته تنها پروتكشنهايي كه از روش سردرگمي و خسته كردن كركرها استفاده كردن تونستن تا حدي موفق باشند. اين به اين معني است كه تمام پروتكشنهايي كه اساس كار اونها و قدرتشون به روالهاي آنتي ديباگ هر چند قوي وابسته است محكوم به نابودي هستند. طي چند سال اخير روش جديد و پيچيده اي رونق پيدا كرده كه البته به دليل پيچيدگي زياد كمتر كساني موفق به پياده سازي بدون نقص آن شده اند و آن تكنولوژي ماشين مجازي Virtual Machine يا VM ميباشد. اولين پروتكشني كه از اين تكنيك استفاده كرد همان ASProtect با سابقه و قديمي بود و بعد از آن پروتكشنهاي ديگري به آن مجهز شدن. اساس كار VM همونطور كه از اسمش پيداست شبيه سازي يك ماشين يا يك پردازنده يا پروسسور در پروتكشن ميباشد كه آپكدهاي مخصوص به خود را دارد و وظيفه آن اين است كه آپكد هاي پيچيده و رمز گذاري شده را دريافت كرده و بعد از تجزيه و تحليل و رمزگشايي آنها را به كد اصلي ماشين تبديل كرده و اجرا ميكند. حالا اين پيچيدگي بسته به نويسنده پروتكشن ميتواند ساده تا بسيار پيچيده باشد. وجود VM باعث ميشه كه كركر بعد از توفيق در آنپك كردن فايل با يك مشت كد درهم و بي معني روبرو بشه كه ترجمه و اجراي اونها توسط ماشين مجازي امكانپذير است. به عنوان مثال طرز كار اين ماشين مجازي در پروتكشن ASProtect توسط كركرهاي زيادي بررسي شده و اكنون به راحتي قابل حذف شدن ميباشد ولي زمان زيادي براي حذف كردن آن نياز است كه در بيشتر مواقع باعث خسته شدن كركر ميشود. بهترين پروتكشنهايي كه از اين تكنولوژي استفاده ميكنند و من امتياز متوسط بهشون ميدم :
Themida
ASProtect
ExeCryptor
از ميان ديگر پروتكشنهاي تجاري :
Armadillo
Obsidium
هم گرچه از تكنيك فوق به طور كامل استفاده نميكنن ولي امتياز متوسط ميگيرن.
در ميان پروتكشنهاي مجاني و غير تجاري كه اكثرا توسط خود كركرها توليد ميشه هم موارد خوبي پيدا ميشه از جمله :
VProtector
PeSpin البته ورژن آخرش كه قابليت Debug Blocker داره.
lARP كه آخرين نسخش تا اين لحظه 2.0 ultra هست كه توسط يك كركر زن ! نوشته شده و داراي روالهاي آنتي ديباگ فوق العاده قوي هست و من امتياز بالاتر از متوسط يا خوب رو بهش ميدم البته اين پروتكشن به صورت عمومي عرضه نشده و فعلا توسط افراد خاص كه بيشتر از دوستان اين فرد هستند استفاده ميشه و مطمئنا در صورت عمومي شدن اين پروتكشن هم محكوم به نابودي خواهد بود.
بنده با استفاده از روشهاي خاص و غير معمول موفق به حذف كردنش شدم ولي اين پروتكشن هم از تكنيك گيج كردن و خسته كردن كركر استفاده كرده...
اگه دنبال امتياز خيلي خوب يا عالي هستين بايد بگم فعلا همچين چيزي وجود نداره !
براي همه پروتكشنهاي موجود روش حذف كردن يا دور زدن وجود داره پس دلتون رو به تبليغاتشون خوش نكنين گرچه يك برنامه نويس حرفه اي مسلما ميدونه كه اگه نرم افزارش بتونه چرخه حيات خودش رو طي كنه معمولا حدود 6 ماه و در اين مدت كرك نشه برنده بازي خواهد بود پس به طولاني كردن اين مدت فكر كنين به هر طريقي كه ممكنه و نكته مهم ديگه اينه كه استفاده از اين پروتكشنها باعث كم شدن سرعت برنامه و ناسازگاريهاي مختلف ميشه كه كيفيت نرم افزارتون رو پايين مياره....
فراموش نكنين كليه پروتكشنها اگه به صورت اصولي و طبق راهنماي خودشون مورد استفاده قرار بگيرن ميتونن امنيت نسبتا خوبي ايجاد كنن با كمترين ايجاد اختلال در كار نرم افزار. خواندن راهنما و استفاده از SDK و حداكثر امكانات پروتكشنها رو فراموش نكنين هر چند استفاده از آنها راحت نباشد.
آخرین ویرایش به وسیله Fh_prg : دوشنبه 30 اردیبهشت 1387 در 15:54 عصر
يك نمونه از Unpack كردن lARP-2.0-ULTRA
http://www.file-upload.net/download-...y-of-Unpackme-lARP-2.0-ULTRA.rar.html
دوستان سلام :
چند تا مطلب توووووووپ واسه Anti-Debug پیدا کردم که فکر میکنم بدردمون بخوره.
توی این فایله هستن اینو بگیرید و نظر بدید.
قرار بود اون نمونه ي پكر رو هم كه نوشته بودين بزاريد
واسه اون دسته از دوستان که تا بحال به دنبال پیدا کردن نرم افزاری واسه
Trial کردن Component هاشون میگشتن.
این برنامه رو دانلود کنید.
خود برنامه + کرکش.
Mehran جان من اگه یه قولی میدم زیرش نمیزنم.
بیا بگیر:
خيلي اقايي علي جان ... واقعا ممنون .
جالب كد نويسي شده ... افرين
آقایون بهتر از فکر ساختن پروتکتور بیاییم بیرون.
این بحث رو من چند سال پیش پیگیر شدم دیدم که اصلا نوشتن پروتکتور یه کاری
بیخودیه.
کلا" دلفی یک ضعف بزرگ داره اونم اینکه با DEDE یا برنامه های Delphi Decompiler ها راحت
میشه اجزای Form رو تشخیص داد و حتی روالهاشون رو هم پیدا کرد.
من دارم روی یک کد امنیتی برای تخریب این قسمت کار میکنم تا دیگه با Decompile شدن
EXE ها نتونن کرکش کنن.
دوستان اگه کسی در این موضوع میتونه کمک کنه بسم الله...
سلامکلا" دلفی یک ضعف بزرگ داره اونم اینکه با DEDE یا برنامه های Delphi Decompiler ها راحت
میشه اجزای Form رو تشخیص داد و حتی روالهاشون رو هم پیدا کرد.
من دارم روی یک کد امنیتی برای تخریب این قسمت کار میکنم تا دیگه با Decompile شدن
EXE ها نتونن کرکش کنن.
دوستان اگه کسی در این موضوع میتونه کمک کنه بسم الله...
اگر به صورت صحيح از اشيا و توليدشان استفاده كنيد امكان پيدا كردن روالها را از برنامه هاي DEDE مي گيريد به نمونه كدهايي كه در بخش آموزش حفاظت در مقابل DEDE گذاشتم يك نگاهي بندازيد .
اين نكته اي را كه گفتيد براي دلفي خوبه برنامه هاي .NET فورمهايشان نيز اگر درست برنامه نويسي نكنند نشان داده مي شه
تا بعد . . .
لینکش رو بزارید آقای دنیای دلفی.
يك نرم افزار ديدم به نام سامانه (مربوط به آموزشگاههاي رانندگي) اين نرم افزار وقتي با يك ديباگر مثل Olly باز مي شه قبل از اينكه به مرحله تريس برسه پيام عدم وجود قفل رو ميده و از برنامه خارج مي شه .
مگر نه مكان آغاز شروع برنامه EntryPoint است و ما از اين نقطه برنامه را شروع به تريس مي كنيم . اين برنامه يك مرحله قبل از EntryPoint كد نويسي قفلش را كرده يعني باعث مي شود كه ديباگرها ابتدا ضربه را ببينند سپس خواه يا ناخواه ديباگر عملا از كار مي افتد .نكته مهم اين است كه با هيچي هم پروتكت نشده است .
سوال : آيا مي شه قبل از EntryPoint برنامه نويسي كرد يا تو اين مايه ها
این کار قبل EntryPoint برنامه نویسی کردن نیست. بعضی محافظها با استفاده از TlsTable هدر فایل می تونند به موازات Thread اصلی، Threadهای دیگه ای هم اجرا کنند. برای اینکه بتونی جلوی کارشو بگیری، تو Olly بخش تنظیمات Debug نقطه توقف رو System Breakpoint قرار بدید. بعدش نقطه توقف که بصورت One-shot برای EP تنظیم شده رو هم بردارید.
برای اینکه وقتتون سر چیزهایی که قبلا انجام شده هدر نره، از نسخه های Olly مخصوص ExeCryptor استفاده کنید. خیلی از تکنیکهای سطح کاربر برای تشخیص Debugger رو بی اثر کردند.
تو ايران كمتر برنامه نويسي پيدا ميشه كه بدونه TLS و TlsCallBack چيه ! قضيه ساده تر از اين حرفاست به احتمال زياد داخل يكي از DLL هايي كه بصورت استاتيك همراه برنامه لود ميشن روالهاي آنتي ديباگ وجود داره و پيغام مورد نظر از داخل اون DLL هنگام DLL_PROCESS_ATTACH داده ميشه. بگرد و اون DLL رو پيدا كن....
سلام دوستان:
این CrackME رو هم چک کنید.
دوستان سلام:
یه برنامه واسه پروتکت کردن Form ها پیدا کردم.
اسمش هست Citadel میتونید از سایت زیر اونو بگیرید.
http://www.billeniumsoft.com
سلام
ممنون از راهنمايي اگر امكان دارد Fh_prg يك اشاره اي هم به TlsCallBack بكنيد تا برنامه ها مون را بهش مجهز كنيم . ممنون مي شوم
عجیبه ها ؛ پست های من غیب میشن....سلام دوستان:
این CrackME رو هم چک کنید.
کلمه عبور : 1
سلام من نسخه كامل themida 1.9.8.0 را گير آوردم ولي ميگه TMlicense.dat پيدا نمي شه . در صورتي كه اين فايل داخل پوشه اونه كسي اين فايل رو داره اگر ممكنه بزاره .
يك دفعه خوده themida را نگذاريد مي گن Warez بازي كرديد و جيزه . . .
آقا من دیگه ناامید شدم.
مثل اینکه عملا" نمیشه جلوی کرک رو گرفت.
این CrackME که گذاشته بودم اگه با دیباگر Trace بشه یا Run بشه برنامه رو به یک فرم انحرافی
میبره که رمز مورد نظر در اون عدد 2 هستش ولی در حالت عادی رمز واقعی عدد 1 هستش.
واقعا" آقایون کرکر نابغه تشریف دارن.
قابل توجه آقایونی که در علم کرک استادند:
بابا من یه کمی کرک بلدم و با استفاده از همون یه کم میتونم ضد کرک درست کنم و
شمایی که End کرک هستید بفرمایید چند تا سورس یا راه حل توووووپ برای اینکار جهت استفاده
عموم معرفی کنید.
من منتظر هستم.
joker جان توضیح بده با چه نرم افزار هایی و چطوری کلمه رمز رو پیدا کردی.
آيا مي دانيد ديگر هيچ نسخه اي از Themida فايده اي ندارد .
اين رو از بروبچ چيني دو دره كردم
اينو براي خود توليد كنندگان Themida فرستادم (كف كردن
).
داره چپ راست برام Email مي ياد مي گن بابا تو ديگه كي هستي هرچي مي خواهي بهت مي ديم بازارمونو خراب نكن خلاصه . . .
نا امید نشو :)
پلاگینی برای olly هست بنام فانتوم خیلی خوب کار میکنه احتمالا از تشخیص دیباگر نا امید میشی
ببینم میتونی روش تشخیص olly را وقتی این پلاگین همراهش هست ، به صورت سورس همینجا ضمیمه کنی یا نه
دانلود :
http://www.alt.ir/PhantOm1.25.zip
آنپکر اتوماتیک themida که خیلی وقت بود توی فرومهای کرک ریلیز شده بود ، چطور اینا خودشون ندیدن :)
اینم یکی دیگه که عربا نوشتن ....
نیاز به نصب MSVC 2005 داره که توی فایل readme کنارش آدرس دانلودش از سایت میکروسافت را گذاشته...
پیوست: فکر کنم تازه اینا آپدیت هم شده باشن ، دیگه دنبالش نبودم...
http://www.google.com/search?hl=en&q...=Google+Search
و ورژن 3این آنپکر:( بازم کار این ملخ خورها)
http://www.at4re.com/f/showthread.php?p=18727
آخرین ویرایش به وسیله joker : پنج شنبه 02 خرداد 1387 در 00:39 صبح
TlsCallback یک تابع به فرم DLLEntrypoint هستش که قبل EntryPoint برنامه اجرا میشه. میتونی چند تا از این Callbackها درست کنی، تو هر کدوم هم یک Thread برای محافظت درست و اجرا کنی. برای اطلاعات بیشتر MSDN. این که از DLLEntryPoint ِمربوط به کتابخانه Static استفاده بشه، کار با نمکیه ممنون از Fh_prg که به این اشاره کردید.
براي موضوعات مختلف تاپيكهاي جداگانه بزنيد . اغلب مطالبي كه اينجاست ربطي به امنيت رشته در يك باينري نداره . اگر مطلبي به اين موضوع مربوط بود در ادامه اين تاپيك و الا در يك تاپيك با موضوع مرتبط مطرح بشه
UNIX is simple. It just takes a genius to understand its simplicity
-- Dennis Ritchie
سلام ...
يك روز نبودم ببين چه اتفاقاتي افتاد ... امتحانات شروع شده دستم رو بسته ...
براي تنوع يك لودر براي CrackME علي اقا نوشتم ... پيدا كردن پسوردش خيلي ساده بود اصلا حال نداد .... هر چند لودر نوشتنش هم دسته كمي از پيدا كردن سريالش نداشت ...
امتحانات كه تموم شد نوبتي هم كه باشه نوبت منه Crack Me بزارم
راستي يك نكته رو بگم بعد نگين لودر كار نكرد ... چون CrackME كپشن نداشت بر اساس كلاس پنجره لودر برنامه رو شناسايي ميكنه ... يعني بايد توجه كنيد كه برنامه ي ديگه اي كه نام كلاس پنجرش TForm1 هست نبايد در حال اجرا باشه ... اخه حال نداشتم بشينم لودر رو توي اسمبلي بر اساي PID پياده سازي كنم ... انشاالله بعد از امتحانات اين كار رو هم ميكنم ...
در يك كلام خلاصه ميكنم كه براي نتيجه گرفتن فقط كرك مي رو در حال اجرا بگذاريد بعد لودر رو اجرا كنيد و هر پسوردي دلتون خواست به كرك مي بدين تا با جون و دل قبول كنه ازتون ...
پيدا كردن رشته اي كه مي زارم بسيار مشكل است من هم نمي خواهم اون رو پيدا كنيد ولي آيا مي توانيد رشته كد شده را پيدا كنيد :
در اين مورد من يك تاپيك درست كردم اگر ممكن است يك مثال عملي بزنيدیک تابع به فرم DLLEntrypoint هستش که قبل EntryPoint برنامه اجرا میشه. میتونی چند تا از این Callbackها درست کنی، تو هر کدوم هم یک Thread برای محافظت درست و اجرا کنی
ممنون مي شوم
هر چی دستت اومده زدی تنگ هم ؟؟
اون روشي كه اونجا مطرح كردي عملا هيچ فايده اي نداره ... در نهايت به راحتي ميشه DLL رو دور زد ...
پاسخ با نقل قول
