elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  .
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: .  (Leído 7,675 veces)
Shout

Desconectado Desconectado

Mensajes: 191


Acid


Ver Perfil
Re: [Resuelto | Copy me] hkFuzzer v1.0
« Respuesta #10 en: 12 Noviembre 2014, 14:39 pm »

MCKSys es un monstruo, yo le he retado en varias ocasiones con crackmes y me los resuelve todos practicamente. Te aconsejo que trabajes un buen crackme con alguna rutina de generación de serial o keyfile. Añadas alguna protección antidebug (las más jodidas son las basadas en ticks o timming) y luego lo enmascares todo con una buena VM y/o Packer.

Suerte!
Ya, ya me he revisado algunos de sus posts (y también hubo algún crackme tuyo), y veo que no se le resiste nada...

Así que nada, gracias por el consejo, pero antes de hacer crackmes, aprenderé a crackearlos (mi nivel de unpacker es... muy bajo). Así tendré claro qué es lo más jodido que hay, y podré hacer crackmes buenos.

Saludos!
En línea

I'll bring you death and pestilence, I'll bring you down on my own
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: [Resuelto | Copy me] hkFuzzer v1.0
« Respuesta #11 en: 12 Noviembre 2014, 14:39 pm »

MCKSys Argentina, por cierto a que te refieres con "IN" podrías explicar este truco?

SHOUT: No creo que sea muy entretenido un packer muy difícil, entretenido es la habilidad del reversing ya que muchos se aburren intentando desempaquetar por lo cual prefieren no aceptar el reto, saludos y excelente reto  ;-).
« Última modificación: 12 Noviembre 2014, 14:47 pm por .:UND3R:. » En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: [Resuelto | Copy me] hkFuzzer v1.0
« Respuesta #12 en: 12 Noviembre 2014, 18:53 pm »

MCKSys Argentina, por cierto a que te refieres con "IN" podrías explicar este truco?

Sería algo como esto (detección del Hypervisor de VMWare):

Código
  1. function IsInsideVMware: Boolean;
  2. begin
  3.  Result := True;
  4.  
  5.  try
  6.    asm
  7.      push edx;
  8.      push ecx;
  9.      push ebx;
  10.  
  11.      mov eax, 'VMXh';
  12.      mov ebx, 0;
  13.      mov ecx, 10;
  14.      mov edx, 'VX';
  15.  
  16.      in eax, dx;
  17.  
  18.      cmp ebx, 'VMXh';
  19.      setz [Result];
  20.  
  21.      pop ebx;
  22.      pop ecx;
  23.      pop edx;
  24.    end;
  25.  except
  26.    Result := False;
  27.  end;
  28. end;
  29.  

Lo que se busca es el 'VMXh' o el 'VX'. En el caso de Enigma, copia el string 'VMXh' en la sección .data y luego lo compara con lo devuelto por el comando IN. Creo que hace eso para ocultar la comparación. De todas formas, entre una cosa y otra hay varias instrucciones, lo que te permite buscar el valor en memoria, cambiarlo y chau detección...  :P

Saludos!

EDIT:

Me olvidé de decir que esta detección se puede quitar desde el mismo VMWare (editando el .vmx): click.

Pero como te jode las VMTools (te quita el copy/paste entre OS host y OS emulado), no las uso (excepto con VMProtect  :P ).
« Última modificación: 12 Noviembre 2014, 18:58 pm por MCKSys Argentina » En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: [Resuelto | Copy me] hkFuzzer v1.0
« Respuesta #13 en: 13 Noviembre 2014, 06:21 am »

Increíble estuve investigando el cómo funcionaba esto y no tengo nada que decir, increíble  eres un genio ;-)
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines