Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Tersine Mühendislik

Tersine Mühendislik Reverse Engineering ve Cracking ile ilgili dökümanları bulabileceğiniz, CrackMe gibi uygulamaların paylaşıldığı bölüm.





Obfuscation & .NET Üzerinde VMProtect Unpack //Phemis | Tersine Mühendislik #4

Tersine Mühendislik

Yeni Konu aç Cevapla
 
Seçenekler
Alt 4 Hafta önce   #1
  • Analiz Ekibi
  • Üye Bilgileri
Üyelik tarihi
12/2017
Mesajlar
Konular

Teşekkür (Etti): 821
Teşekkür (Aldı): 583


Obfuscation & .NET Üzerinde VMProtect Unpack //Phemis | Tersine Mühendislik #4






Obfuscation : Kodları tersine mühendisin okumasını zorlaştırmak neredeyse imkansız hale getirmek.


Bu örnekte de gördüğümüz üzere kodlar obfuscate edilmiş.
**Hiçbir koruma kırılması imkansız hale getirilemez böyle bir şey imkansızdır.




Obfuscationun teknikleri vardır.

1 ) Asıl programı memory üzerinde çalıştırarak kodlar önüne guard olarak.
2 ) Program kodları üzerinde direkt olarak değişiklik yaparak.





Bugün , forum üzerinde paylaşılan bir crackMe olan bazr09'un crackmesinde kullanılan VMProtect'i nasıl çözebiliriz buna bakacağız.
VMProtect'in o sürümünde obfuscationun birinci tekniği kullanılmış.
Asıl program memory üzerinde çalıştırılıyor ve önüne bir koruma getiriliyor dolayısıyla program direkt olarak okunulamıyor.

İlgili CrackMe İçin Buraya Tıklayabilirsiniz..

Burada amacımız memory'de araştırma yaparak okunulabilir kodlara ulaşmak.



: Kullanılan Programlar :
Detect It Easy (Die)

Process Hacker 2



Bu işlem için Process Hacker en ideal araçtır bence.
Programımızı taratalım bakalım bizi hangi koruma(lar) bekliyor ?





Evet VMProtect ama bu gözümüzü korkutmasın.
Çünkü hedefimizdeki native dillerden herhangi birisi ile yazılmış bir program değil.
Bunu nereden mi anlıyoruz ?
Programı açalım.





Programı açtığımızda arkasında gardiyan gibi bir koruma modülünün beklediğini görüyoruz.
Programa baktığımızda ise bize "Ben .NET'im" diye bağırıyor zaten.


İnternette araştırdınız baktınız nasıl unpack edeceğim nasıl unpack edeceğim ve karşılaştınız ki hepsi debuggerlar ile çözülüyor.(Script ile çözülenler dahil)
Registers vb. yapıları bilmeyen biri debugger kullanamaz , kullansa da verimli olmaz.


Program açık haldeyken Process Hacker programımızı çalıştıralım.
Sağ üstte bulunan Search bölümüne programımızın ismini yazarak aratalım ve programımızı bulduktan sonra iki kere tıklayalım.





Açılan pencereden memory sekmesine geçelim.
Size ' a basıp boyutu büyük olan en üste gelecek şekilde sıralayalım.





Evet şimdi görüyoruz ki bu sekmede programın Memory üzerinde çalıştırdığı ve memory üzerinde eriştiği dll ve exe dosyaları mevcut.
Bu sekmede hedefimiz Use kısmı boş olan dosyalar.
Use kısmı boş demek memory de çalıştırılıyor demek yani program üzerinde kendi kendine çalıştırıyor.


Burada boş olan hepsini denemeliyiz arkadaşlar başka yolu yok bunun.
Sadece boş olanlara iki kere tıklyoruz ve açılan ekran göreceksiniz ki hex editor ekranı.
Burada başta MZ olmasına dikkat ediyorsunuz ve MZ olanı alıyorsunuz.



Bunu farklı bir örnekle gösterecek olursak herhangi bir (Şifrelenmemiş) .NET dosyayı hex editor aracılığı ile açarsanız bu görüntüye ulaşırsınız..





Evet bulduk !
Sağ altta bulunan Save buttonuna basıp program isminin sonuna .exe ekleyip kaydedelim.
Çıkan programı tekrar taratalım.




Uygulamalı Video :



Mutlu Son




___________________________________________

▶️ @Phemis
____________________________

Cahille Girme Münakaşaya; Ya Sinirini Zıplatır Tavana, Ya Da Yazık Olur Adabına.

Konu Phemis tarafından ( 4 Hafta önce Saat 21:08 ) değiştirilmiştir..
 Offline  
 
Alıntı ile Cevapla
Alt 3 Hafta önce   #2
  • Teğmen
  • Üye Bilgileri
Üyelik tarihi
06/2018
Yaş
19
Mesajlar
Konular

Teşekkür (Etti): 11
Teşekkür (Aldı): 24




.net uygulama unpack en kolayı zaten
Eline sağlık
Bunun aynisini megadumpper yapmiyormuydu ?
 Offline  
 
Alıntı ile Cevapla
Alt 3 Hafta önce   #3
  • Analiz Ekibi
  • Üye Bilgileri
Üyelik tarihi
12/2017
Mesajlar
Konular

Teşekkür (Etti): 821
Teşekkür (Aldı): 583




Alıntı:
cemx42´isimli üyeden Alıntı Mesajı göster
.net uygulama unpack en kolayı zaten
Eline sağlık
Bunun aynisini megadumpper yapmiyormuydu ?

Merhaba ,
Evet , MegaDumper'de memoryden geçen dosyaları kopyalar ve Dumps klasörüne aktarır fakat .NET özelliği false olan programlara karşı MegaDumper'i kullanamazsınız



___________________________________________

▶️ @Phemis
____________________________

Cahille Girme Münakaşaya; Ya Sinirini Zıplatır Tavana, Ya Da Yazık Olur Adabına.
 Offline  
 
Alıntı ile Cevapla
Alt 3 Hafta önce   #4
  • Teğmen
  • Üye Bilgileri
Üyelik tarihi
06/2018
Yaş
19
Mesajlar
Konular

Teşekkür (Etti): 11
Teşekkür (Aldı): 24




Alıntı:
Phemis´isimli üyeden Alıntı Mesajı göster
Merhaba ,
Evet , MegaDumper'de memoryden geçen dosyaları kopyalar ve Dumps klasörüne aktarır fakat .NET özelliği false olan programlara karşı MegaDumper'i kullanamazsınız
Doru bu programi ben .net saniyordum
Zamanim olirsa cheat engine cracki ben gostermiyi planliyorum
Herkes sadece hile yapmaya yarar saniyor
 Offline  
 
Alıntı ile Cevapla
Alt 3 Hafta önce   #5
  • Teğmen
  • Üye Bilgileri
Üyelik tarihi
10/2018
Mesajlar
Konular

Teşekkür (Etti): 149
Teşekkür (Aldı): 26




Alıntı:
cemx42´isimli üyeden Alıntı Mesajı göster
Doru bu programi ben .net saniyordum
Zamanim olirsa cheat engine cracki ben gostermiyi planliyorum
Herkes sadece hile yapmaya yarar saniyor
D:QWddsf bende onlara gülüyorum zaten, bence mühenidslik harikası bir yazılım ^^

+ konuun incelemedim ama vmrpotectle c++ falan packliyorsun net yapılıyor fakat megadmpr falan kırılıyor C++ olanları kırmak mesele



___________________________________________

C++/C#

 Offline  
 
Alıntı ile Cevapla
Alt 3 Hafta önce   #6
  • Asteğmen
  • Üye Bilgileri
Üyelik tarihi
03/2019
Mesajlar
Konular

Teşekkür (Etti): 38
Teşekkür (Aldı): 3




Alıntı:
Javabex´isimli üyeden Alıntı Mesajı göster
D:QWddsf bende onlara gülüyorum zaten, bence mühenidslik harikası bir yazılım ^^

+ konuun incelemedim ama vmrpotectle c++ falan packliyorsun net yapılıyor fakat megadmpr falan kırılıyor C++ olanları kırmak mesele
Dostum C++ değil PE App lüften dikkat edelim!
 Offline  
 
Alıntı ile Cevapla
Alt 2 Hafta önce   #7
  • Asteğmen
  • Üye Bilgileri
Üyelik tarihi
03/2019
Mesajlar
Konular

Teşekkür (Etti): 38
Teşekkür (Aldı): 3




Bro bunu nasıl yapıyorlar Pe uygulaması ile .Net uygulamasını birlestiriyorlarmı?
 Offline  
 
Alıntı ile Cevapla
Alt 2 Hafta önce   #8
  • Analiz Ekibi
  • Üye Bilgileri
Üyelik tarihi
12/2017
Mesajlar
Konular

Teşekkür (Etti): 821
Teşekkür (Aldı): 583




Alıntı:
mamo434376´isimli üyeden Alıntı Mesajı göster
Bro bunu nasıl yapıyorlar Pe uygulaması ile .Net uygulamasını birlestiriyorlarmı?
PE uygulaması .NET ile yazılmış uygulamayı hafızada çalıştırıyor.



___________________________________________

▶️ @Phemis
____________________________

Cahille Girme Münakaşaya; Ya Sinirini Zıplatır Tavana, Ya Da Yazık Olur Adabına.
 Offline  
 
Alıntı ile Cevapla
Alt 2 Hafta önce   #9
  • Asteğmen
  • Üye Bilgileri
Üyelik tarihi
03/2019
Mesajlar
Konular

Teşekkür (Etti): 38
Teşekkür (Aldı): 3




Alıntı:
Phemis´isimli üyeden Alıntı Mesajı göster
PE uygulaması .NET ile yazılmış uygulamayı hafızada çalıştırıyor.
Resources? Hafıza derken ben nasıl yapabilirim yardımcı olurmusun brom ♥️♥️♥️♥️
 Offline  
 
Alıntı ile Cevapla
Alt 2 Hafta önce   #10
  • Analiz Ekibi
  • Üye Bilgileri
Üyelik tarihi
12/2017
Mesajlar
Konular

Teşekkür (Etti): 821
Teşekkür (Aldı): 583




Alıntı:
mamo434376´isimli üyeden Alıntı Mesajı göster
Resources? Hafıza derken ben nasıl yapabilirim yardımcı olurmusun brom ♥️♥️♥️♥️
2 uygulama birbirine bind edilince C++ oluyor ve VMProtect dosyayı koruyor @bazr09



___________________________________________

▶️ @Phemis
____________________________

Cahille Girme Münakaşaya; Ya Sinirini Zıplatır Tavana, Ya Da Yazık Olur Adabına.
 Offline  
 
Alıntı ile Cevapla
Teşekkür

mamo434376 Teşekkür etti.
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
Siber Güvenlik
sosyal medya bayilik paneli

wau