بررسی امنیت Packer

[SalarSoft]

از دوستان اگر سطح امنیت این پکری رو که نوشتم تامین میکنه بررسی کنند ممنون میشم.

توضیح اینکه فایل ضمیمه شده با استفاده از پکری که نوشتم پک شده. هدف از این پکر تامین امنیت برنامه های دات نت هست.
نسخه قبلی پکر رو تو سایت گذاشتم ولی تو این نسخه هیچ مورد امنیتی پیاده سازی نشده بود.
نسخه قبلی: https://barnamenevis.org/showthread.php?t=61230

از اونجایی که این پکر رو برای خودم ننوشتم، امکان قرار دادن سورس اون وجود نداره ولی می تونم در صورت رفع مشکلات، نسخه تغییرات داده شده رو مخصوص این سایت و برای استفاده عموم بزارم.

هدف: بررسی سطح امنیتی که این پکر می تونه تامین کنه.

[Nima NT]

سطح امنیت : زیر صفر
پسورد لازم برای ورود به نرم افزار : Microsoft Sans Serif

[SalarSoft]

در مورد روش عملتون توضیح بفرمایید لطفا.
چه مواردی رو دیدید که سطح امنیت رو زیر صفر میگید؟

[Nima NT]

باید خدمتتون عرض کنم که پکر شما فقط می تونه جلوی کراکر های تازه وارد رو بگیره ( البته در مواردی فقط در حد سخت تر کردن کار ) ، وقتی برنامه شما لود می شه رو رم ، من برنامه شما رو توسط Dumper ها دامپ می کنم ، فایل دامپ شده چون هیچ گونه تکنیک Ram Protection و یا Anti Dump به همراه خودش نداشته کاملا" سالم بدست میاد ، بعد از این کار من میتونم توسط Decompiler های موجود برای سیستم NET. سورس مربوط به نرم افزار رو کاملا" مشاهده کنم ، اینم یه نمونه از سورس برنامه به زبان VB.NET :

Private Sub doit(ByVal sender As Object, ByVal e As DoWorkEventArgs)
If (CStr(e.get_Argument) = "Microsoft Sans Serif") Then
MessageBox.Show("You did it!" & ChrW(10) & "Please report in forum and describe how.", "Thanks for your time", MessageBoxButtons.OK, MessageBoxIcon.Asterisk)
End If
End Sub

[Programmer.G]

نیما جان می شه فایل های Obfuscate شده به وسیله Dotfuscator و Xenocode را هم DeOfuscate کرد؟

ممنون.

[Nima NT]

برنامه هایی که اسمشون رو بردی ، علاوه بر Obfuscate کردن فایل ، اون رو Pack هم می کنن ، در مورد Pack کردنش میشه گفت برای هر Packer یه Unpacker هم وجود داره و به راحتی آنپک میشن.
ولی در مورد موتور Obfuscate اونها میشه گفت در مواردی DeObfuscate کردن اونها تقریبا" غیر ممکنه ، Obfuscate کردن یه فایل دات نت اون رو از کرک شدن محافظت نمیکنه ، تنها کاری که میکنه کار کراکر رو سخت تر میکنه ، مثلا" در مورد همین فایل پک شده جناب سالار سافت ، اگه فایلش رو Obfuscate هم کرده بود رشته Microsoft Sans Serif به صوزت رمز شده در می اومد ، اونوقت من نمی تونستم در عرض 10 ثانیه رشته رو پیدا کنم و به اصلاح برنامه کرک شه ، اونوقت من مجبور بودم کد های IL برنامه ایشون رو مطالعه بکنم و این کار زیاد آسونی نیست.
در ضمن جناب Programmer.G یادتون باشه که برای محافظت از برنامه های دات نتی خودتون از چند Obfuscator استفاده کنید ( حتما" یه دستی به تنظیماتش هم برای سخت تر کردن کار کراکر بکشید ، و سعی کن از تکنیک Strong Names هم بهره بگیری ).
برای دریافت یه سری از برنامه های محافظتی دات نت می تونی به سایت زیر هم یه سری بزنی.

http://www.pediy.com

[SalarSoft]

فایل دامپ شده چون هیچ گونه تکنیک Ram Protection و یا Anti Dump به همراه خودش نداشته کاملا" سالم بدست میاد ،

دقیقا نکته همین جاست. این پروتکتور سه تا thread داره که مرتبا اعمال AntiDump و anti debug رو با روشهای متفاوت انجام میدن. من اینطوری احتمال میدم که این ها به درستی کار نکردن.

مثلا" در مورد همین فایل پک شده جناب سالار سافت ، اگه فایلش رو Obfuscate هم کرده بود رشته Microsoft Sans Serif به صوزت رمز شده در می اومد ، اونوقت من نمی تونستم در عرض 10 ثانیه رشته رو پیدا کنم و به اصلاح برنامه کرک شه ، اونوقت من مجبور بودم کد های IL برنامه ایشون رو مطالعه بکنم و این کار زیاد آسونی نیست.

این مسئله وظیفه پکر نیست که این کار رو بکنه. این قضیه مربوط به برنامه است که قراره پک بشه. یعنی قبل از پک یک بار عمل obfuscate بعد pack. البته خب در اینجا هدف بررسی packer بود پس obfuscate رو انجام ندادم.
از همکاریتون ممنونم

[Nima NT]

اتفاقا" برعکس ، روتینهای Anti Debug و Anti Dump رو هم دیدیم ، ولی فکر کنم شما یه اشتباه کوچیک کردین ، روتینهای ضد دیباگ و ... برای فایلهای Win32 و دات نت کاملا" متفاوت هستند ، برنامه شما با Olly DBG دیباگ نمیشه واصلا" قرار هم نیست که دیباگ بشه ، چون برای کرک کردن یه فایل دات نت به دامپر ساده + یه Hex Editor کافیه تا من بتونیم فایل شما رو کرک کنم ، پکر شما برای جلوگیری از دامپ شدن برنامه خیلی ضعیف عمل کرد ، سعی کنید بیشتر رو مساله آنتی دامپ متمرکز شوید.
سوالی بود بازم در خدمتم.

[Programmer.G]

آقا نیما از لطفتون ممنونم.

فقط دو سوال دیگه می خواستم بپرسم.
یکی اینکه من اول با Code Veil فایل را محافظت می کنم، وقتی می خوام همین فایل را یک بار دیگر برای مثال توسط SmartAssemblies محافظت کنم، خطا می ده. می گه اسمبلی استاندارد نیست.

دوم هم اینکه برای Dotfuscator ، آنپکر سراغ دارید؟

ممنون.

[Nima NT]

برنامه های Code Veil و SmartAssemblies اصلا" باهم سازگاری ندارن چون هرکدومشون میان اسمبلی برنامه شما رو با متد خودشون رمزنگاری می کنن ، شما بهتره بیای اول با برنامه هایی مثل 9Ray Spice و دیگر برنامه های Dotfuscator برنامت رو obfuscate بکنی بعد از برنامه هایی مثل Code Veil و ... استفاده بکنی.
در مورد آنپکری هم که خواستی باید بگم ، برنامه هایی که توسط Dotfuscator محافظت می شن ، پک نمی شن ، فقط اسم کلاس ها ، متغیر ها ، رشته ها و ... توسط یه متد رمزنگاری اختصاصی رمزی میشن.
کراکر ها میان برای اینگونه برنامه ها ، نرم افزارهایی به اسم DeOfuscator درست میکنن که فقط رشته ها از حالت رمز در میاره ، ولی اسم نابه حنجار کلاس ها و ... پا برجاست ( از همین رو گفتم DeOfuscate کردن در مواردی غیر ممکنه )
اینم از DeOfuscator نرم افزار smart assemblies ، در ضمن اگه سوالی داشتی مشتاقانه در خدمتم.
این هم از یه برنامه که ادعای DeOfuscator بودن داره ( ولی در اکثر مواقع درست کار نمیکنه )

[Programmer.G]

در ضمن اگه سوالی داشتی مشتاقانه در خدمتم.

دوست عزیز لطف می کنید. ممنونم که وقتتان را برای آموزش دیگران صرف می کنید.

[Nima NT]

این یه سورپرایز واسه جناب Programmer.g
آموزش ویدوئی استفاده از Smart Kill برای کرک کردن یه برنامه دات نتی.

[SalarSoft]

روتینهای ضد دیباگ و ... برای فایلهای Win32 و دات نت کاملا" متفاوت هستند

اگه اطلاعاتی در این زمینه دارید خوشحال میشم. در اختیار همه بزارید.

[Nima NT]

بدون شرح !