Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Tersine Mühendislik

Tersine Mühendislik Reverse Engineering ve Cracking ile ilgili dökümanları bulabileceğiniz, CrackMe gibi uygulamaların paylaşıldığı bölüm.





Unpacking Modded ConfuserEx // Phemis | Tersine Mühendislik #3

Tersine Mühendislik

Yeni Konu aç Cevapla
 
Seçenekler
Alt 17-04-2019 20:11   #1
  • Analiz Ekibi
  • Üye Bilgileri
Üyelik tarihi
12/2017
Mesajlar
Konular

Teşekkür (Etti): 821
Teşekkür (Aldı): 583


Unpacking Modded ConfuserEx // Phemis | Tersine Mühendislik #3





Unpack : Hedef dosyanın kodlarında karşılaştığımız korumanın kırılması
Modded ConfuserEx : ConfuserEx adlı obfuscate yazılımının saf kodlarını değiştirerek otomatik unpack yazılımlarından kaçırabilir hale getirilmiş ConfuserEx




: Kullanılan Programlar :
Debugger / dnSpy-x86
Scanner / Detect It Easy (die)





Bakalım burda ne vaar





hmm hiç koruması yokmuş
Kodlarına bakalım emin olalım derkeeeen...





Arkadaşlar işin püf noktası anti tamperi kaldırarak gchandle.Free() kod satırına bp koymak daha sonrasında çalıştırmak ve içeriden geçen modülü almak.


Şimdi yukarıdaki resimde gördüğünüz gibi kodlarda Anti Tamper var.
x0rz'un modladığı ConfuserEx 'lerde (denedim) otomatik araçlar ile anti tamper kalkmıyor.
O yüzden şimdi manuel bir şekilde kaldıracağız.






Bu şekilde yaparak module.cctor ' a gidelim.



Evet burada göreceğiz ki for döngüsü içerisinde sadece bir işlem çalıştırılıyor.
Bu işlem de tahmin ettiğimiz üzere Anti Tamper işlemi.





O noktaya BreakPoint (bp) koyarak programı debuglayalım.






Çalıştırdığımız zaman bp koyduğumuz noktada sarılaşma olacak ve program duracak.
Modules sekmesinde (Eğer sizde yoksa Üst taraftan Debug > Windows > Modules)
Bir modül olduğunu göreceğiz.


O modülü memory de açalım.





Evet program solda açılacak gördüğünüz üzere.


Debug'ı durdurabiliriz.
Solda sadece bizim memoryde açtığımız modül kalacak şekilde diğerlerini silelim de temiz olsun
Şimdi tekrar module.cctor'a gidip aşağı indiğiniz vakit göreceksiniz ki anti tamper kalkmış yani bu ne demek oluyor ?
Tabiki de artık gchandle.Free() ' ye gidebiliriz demek oluyor.


module.cctor'dayken CTRL + F kombinasyonu ile gchandle.Free() ' yi aratalım.





Gideceğimiz sonuçta gchandle.Free() ' ye bp koyalım.
Programı tekrar debuglayalım.






Evet aşağıda görüyoruz ki uğraştığımız program dışında yeni bir modül gelmiş "xywz"
Şimdi bu modülü Sağ tık > Save Module diyerek kaydedelim.


Şimdi artık işimiz xywz modülü ile.


xywz modülüdnSpy üzerinde açalım bakalım onda ne varmış ?






Haydaa e yine aynı koruma ?
Evet yine aynı koruma fakat artık işimiz daha kolay.

Module içerisindeki kodlara baktığınızda tekrardan bir anti tamper olduğunu göreceksiniz.
yine module.cctor ' a gidelim.





for döngüsü içerisindeki case lerin ilkinde çalıştırılan modüle bp koyalım.
debuglayıp modules penceresinde çıkan xywz modülümemoryde açtığımız zaman göreceğiz ki anti tamper kalkmış.
modules penceresindeki xywz modülünü ismini değiştirerek kaydedebiliriz artık işimiz var onunla




Fakat arkadaşlar şimdi gchandle.Free() aramamıza gerek yok çünkü ulaşmak istediğimiz modüle zaten ulaştık.
Şimdi farklı bir şey yapıcaz.
xywz-Tamped diye çıkardığımız uygulamanın kodlarına bakacak olursanız göreceksiniz ki yine karma karışık kodlar var.
Şimdi onların icabına bakmak için programı de4dot ile çalıştırıyoruz.
de4dot işleminden çıkan dosyayı "xywz-Tamped-cleaned" dnSpy'a attığımızda manzara güzel olacak :


Bu crackme'nin gerisinde patch işlemi ile çözüm var fakat amacı konuma aykırı olduğu için buraya yazmama gerek yok







Konu Phemis tarafından ( 4 Hafta önce Saat 17:52 ) değiştirilmiştir..
 Offline  
 
Alıntı ile Cevapla
Alt 17-04-2019 20:23   #2
  • Yüzbaşı
  • Üye Bilgileri
Üyelik tarihi
07/2015
Nereden
Şanlıurfa
Mesajlar
Konular

Teşekkür (Etti): 46
Teşekkür (Aldı): 98




Normal ConfuserEx (v1) ile maximum protectden gecmiş bir program için bu işlemler uygulansa yada herhang bir yol ile kaynak koda erişim saglanabilirmi ? Modded kullanmanın artıları ve eksileri nelerdir ? Sorularima cevap verirseniz müteşekkir olacağım .
 Offline  
 
Alıntı ile Cevapla
Alt 17-04-2019 20:33   #3
  • Analiz Ekibi
  • Üye Bilgileri
Üyelik tarihi
12/2017
Mesajlar
Konular

Teşekkür (Etti): 821
Teşekkür (Aldı): 583




Alıntı:
IDEATHI´isimli üyeden Alıntı Mesajı göster
Normal ConfuserEx (v1) ile maximum protectden gecmiş bir program için bu işlemler uygulansa yada herhang bir yol ile kaynak koda erişim saglanabilirmi ? Modded kullanmanın artıları ve eksileri nelerdir ? Sorularima cevap verirseniz müteşekkir olacağım .
.NET dosyası olduğu için önce IL kodlara çevrilmek zorundadır. .NET uygulamalarında kaynak kodlarının kolay erişilmesine de sebep veren budur. Ne yaparsanız yapın .NET tabanlı uygulamaların IL kodları .net framework e vermesine engel olamazsınız.
Yani demek istediğim şudur ki ne yaparsanız yapın sadece unpack işlemini zorlaştırabilirsiniz ama kesinlikle imkansız hâle getiremessiniz.
Modded kullanmanın artı yanlarından bahsedecek olursak kodlarınızı bilgisiz kişilerin elinden yani de4dotculardan korumuş olursunuz ve bilgisiz kişiler tarafından çözülemez.
Eksi fazla bir yanı olduğunu sanmıyorum fakat uygulamayı ilk çalıştırdığınız vakit yavaş açılmasına sebebiyet verebilir.
Teşekkür ederim iyi forumlar.
 Offline  
 
Alıntı ile Cevapla
Alt 18-04-2019 17:53   #4
  • Asteğmen
  • Üye Bilgileri
Üyelik tarihi
02/2019
Nereden
[Kalu Bela]
Mesajlar
Konular
3

Teşekkür (Etti): 6
Teşekkür (Aldı): 10




ilk defa bir tersine mühendislik örneği görüyorum. bana ziyadesiyle karışık göründü. neyse kolay gelsin



___________________________________________

「La Galibe illAllah」

꧁Baykuştan pervâmız yok, biz şahinler sürüsüyüz.꧂


Sultan Mehmed
 Offline  
 
Alıntı ile Cevapla
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
Siber Güvenlik
sosyal medya bayilik paneli

wau