Protector Раскопки Sentinel LDK

CrackLAB

CrackLAB

Авторы статей
Сообщения
1
Реакции
8
Раскопки Sentinel LDK
Введение:
Сегодня мы поговорим об особенностях восстановления импорта после дампа программы, защищенной сентинеловским
конвертом LDK. Не буду объяснять подробно, что это такое и для чего надо, думаю, квалификация присутствующих
достаточна для того, чтобы не заострять на этом внимание. Вдобавок, все это давно и многократно описано до меня, как
восстанавливать импорт руками или (полу)автоматическими средствами.
К сожалению, инструменты защиты непрерывно совершенствуются, а их авторы изобретают все новые ловушки, мешающие
автоматическому снятию стандартными средствами. Попробуем и мы самостоятельно провести анализ и обход подобных
ловушек на примере некого сэмпла, защищенного конвертром LDK...
 

Прикрепленные файлы:

Последнее редактирование модератором:
BfoX

BfoX

Мудрец
Сообщения
350
Реакции
534
годится, но есть пару вопросов:
1. версия конверта (перед началом секции .AKS1);
2. как быть с эмулируемыми функциями - их быдвает от 5+
 
Последнее редактирование:
BfoX

BfoX

Мудрец
Сообщения
350
Реакции
534
_MBK_ сказал(а):
Гораздо больше, но там, вроде, про это написано.
Нажмите, чтобы раскрыть...
перечитал еще раз - не увидел. да и по поиску emul и эмул не находит. покАжите?
про "Гораздо больше" - в первых версиях .AKS-конверта (если память не изменяет v1.20) было штук 5, потом, с увеличением версий, было и 7 и 9...
 
Последнее редактирование:
M

_MBK_

Мудрец
Сообщения
620
Реакции
219
BfoX сказал(а):
покАжите
Нажмите, чтобы раскрыть...
Начиная с фразы
----------------------------------+
Каждая импортируемая функция изначально задается 32битным хэшем, который преобразуется в реальный адрес вызовом
sub_48524F. Однако, реальные адреса некоторых хэшей (0x73ECD87E, 0x78BAB983, ...) заменяются на локальные
переходники, при дампе превращающиеся в тыкву.
Нажмите, чтобы раскрыть...
Не?
 
BfoX

BfoX

Мудрец
Сообщения
350
Реакции
534
_MBK_ сказал(а):
Начиная с фразы

Не?
Нажмите, чтобы раскрыть...
Не. я про то, что некоторые функции перед наложением конверта рипаются и при работе конверта эмулируются. а после его снятия, т.е. конверта, который их эмулирует, нет - софт на них падает.
 
M

_MBK_

Мудрец
Сообщения
620
Реакции
219
BfoX сказал(а):
Не. я про то, что некоторые функции перед наложением конверта рипаются и при работе конверта эмулируются. а после его снятия, т.е. конверта, который их эмулирует, нет - софт на них падает.
Нажмите, чтобы раскрыть...
Ну, так там прямо про это и сказано. Некоторые импорты заменены на эмулированные в IAT, некоторые - прямо в исходном коде через промежуточные переходники. Потом накладывается конверт, а после дампа ссылки на них повисают в воздухе. Как то так.
 
Для ответа нужно войти/зарегистрироваться
Верх Низ