Reversing

Żenada o nazwie Comodo Antivirus

przez

Comodo-AntivirusJeśli nadal sądzisz, że antywirus ochroni Cię przed wirusami to mam dla Ciebie dobrą wiadomość! Jest lepiej! Comodo Antivirus poprzez swój emulator x86 wykonuje kod hookowanych funkcji WinApi z uprawnieniami NT AUTHORITY\SYSTEM. Czyli jeszcze wspomoże każdy rodzaj malware dając im pełne uprawnienia administracyjne 😉

https://bugs.chromium.org/p/project-zero/issues/detail?id=769

Jeśli sądzisz, że to jednostkowe przypadki to całkiem niedawno „zwariował” antywirus ESET i dzięki nieudolnie przygotowanym aktualizacjom – zaczął wykrywać wszędzie zagrożenia 🙂

[Aktualizacja] ESET znajduje konie trojańskie na Onecie, WP, Allegro i innych stronach

Warto się zastanowić czy lepiej wydać pieniądze na antywirus, który zamuli komputer i jeszcze będzie sypał fałszywymi detekcjami albo będzie uruchamiał kod wszystkiego w trybie administracyjnym, czy nie lepiej kupić sobie piwko w sklepie, wyjdzie bezpieczeniej 😉

Reversing zajął jedynie 5 lat

przez

Dungeon_Master_Box_ArtGość 5 lat dekompilował starą grę Dungeon MasterChaos Strikes Back dla Atari ST 🙂

Niech to będzie nauczka dla młodych adeptów RE:, że być może RE: zajmuje dużo czasu, wymaga sporej wiedzy, zabiera życie osobiste, ale nigdy się nie nudzi 🙂

http://www.dungeon-master.com/forum/viewtopic.php?f=25&t=29805

Rekrutacyjne CrackMe ESET

przez

ESETNasz tajemniczy znajomy podesłał hasło + tipy do 1 levela rekrutacyjnego crackme ESETu dostępnego na:

http://www.joineset.com/assets/files/crackme2015.zip (to EXE nie ZIP jakby ktoś miał wątpliwości)

Mirror: crackme2015

Hasło: Drevokocur

Tip: tym haslem i ich algorytmem trzeba roz*** innego stringa z crackme i wychodzi link do prawdziwego crackme

41F0A0 - tu jest zaszyfrowany texcik
 
41F1A8 - GOTCHA! zaszyfrowany link: (trzeba ustawic w: d 41f034)
0041F1A8  68 74 74 70 3A 2F 2F 77  http://w
0041F1B0  77 77 2E 6A 6F 69 6E 65  ww.joine
0041F1B8  73 65 74 2E 63 6F 6D 2F  set.com/
0041F1C0  61 73 73 65 74 73 2F 66  assets/f
0041F1C8  69 6C 65 73 2F 61 47 6C  iles/aGl
0041F1D0  6B 5A 47 56 75 2F 63 72  kZGVu/cr
0041F1D8  61 63 6B 6D 65 32 30 31  ackme201
0041F1E0  35 2E 7A 69 70 00 67 78  5.zip.gx
0041F1E8  71 6D 71 65 77 74 46 74  qmqewtFt
0041F1F0  67 78 71 6D 71 65 77 74  gxqmqewt
0041F1F8  46 74 67 78 71 6D 71 65  Ftgxqmqe
0041F200  77 74 46 74 67 78 71 6D  wtFtgxqm
0041F208  71 65 77 74 46 74 67 78  qewtFtgx
0041F210  71 6D 71 65 77 74 46 74  qmqewtFt
0041F218  67 78 71 6D 71 65 77 74  gxqmqewt
0041F220  46 74 67 78 71 6D 71 65  Ftgxqmqe
0041F228  77 74 46 74 67 78 71 6D  wtFtgxqm
0041F230  71 65 77 74 46 74 67 78  qewtFtgx
0041F238  71 6D 71 65 77 74 46 74  qmqewtFt
0041F240  67 78 71 6D 71 65 77 74  gxqmqewt
0041F248  46 74 67 78 71 6D 71 65  Ftgxqmqe
0041F250  77 74 46 74 67 78 71 6D  wtFtgxqm
0041F258  71 65 77 74 46 74 67 78  qewtFtgx
0041F260  71 6D 71 65 77 74 46 74  qmqewtFt
0041F268  67 78 71 6D 71 65 77 74  gxqmqewt
0041F270  46 74 67 78 71 6D 71 65  Ftgxqmqe
0041F278  77 74 46 74 67 78 71 6D  wtFtgxqm
0041F280  71 65 77 74 46 74 67 78  qewtFtgx
0041F288  71 6D 71 65 77 74 46 74  qmqewtFt
0041F290  67 78 71 6D 71 65 77 74  gxqmqewt
0041F298  46 74 67 78 71 6D 71 65  Ftgxqmqe
0041F2A0  77 74 46 74 67 78 71     wtFtgxq
 
0041F1A8  http://www.joineset.com/assets/files/aGlkZGVu/crackme2015.zip

Czyli drugie, właściwe CrackMe znajduje się na:

http://www.joineset.com/assets/files/aGlkZGVu/crackme2015.zip

Mirror: crackme2015

Możecie od razu przejść do analizy właściwego crackme.

Obfuscator dla Assemblera

przez

Ukazała się zaktualizowana wersja mojego Obfuscatora dla kodu źródłowego assemblera. Aktualizacja jest niewielka, gdyż dotyczy zmiany komunikacji z serwerem docelowym (końcówka WebAPI) poprzez szyfrowany protokół HTTPS zamiast HTTP.

Obfuscator

Dla czytelników SecNews darmowy kod aktywacyjny

28F2-4D58-4652-7BE1

Bierzcie i korzystajcie z niego dopóki jest aktywny 🙂

Obfuscator Eazfuscator i zabezpieczenia aplikacji .NET

przez

Dzisiaj rozmawiałem z twórcą obfuscatora dla .NET – Eazfuscator i przyznam szczerze, że trochę zdębiałem. Interesowało mnie jak obecnie radzi sobie Eazfuscator z deobfuscatorem de4dot. Po pierwszej odmowie udzielenia mi odpowiedzi, gdyż reprezentuję firmę sprzedającą zabezpieczenia oprogramowania, poinformowałem go, że interesuje mnie sam obfuscator dla moich prywatnych celów, jednak odpowiedź jaką uzyskałem postanowiłem opublikować, w sumie jako ostrzeżenie dla innych klientów.

Obfuscator Eazfuscator

Rozmowa zeszła na techniki zabezpieczające aplikacje .NET przed inżynierią wsteczną i uzyskałem odpowiedź, że najlepszą techniką zabezpieczającą jest zmiana nazw klas, zmiennych i nazw funkcji… Dopytałem z ciekawości, czy sobie nie żartuje, ale najwidoczniej nie:

> Renaming is the best obfuscation technique? I hope you’re kidding 🙂
No pun intended. Renaming is the best technique because it is completely
*irreversible *— a Holy Grail property of any protection scheme.

Oleksiy Gapotchenko

Jak widać cała moja wiedza o zabezpieczeniach oprogramowania była jak dotąd uboga, a najlepszą metodą ochrony obfuscatora za 399 USD jest zmiana nazw w skompilowanym pliku. Doh!? Nie mutacja kodu, nie wirtualizacja, żadne dynamiczne szyfrowanie, JITtowanie… tylko zmiana nazw! Nie muszę chyba tłumaczyć nikomu, że nazwy klas, zmiennych czy funkcji nie są nikomu potrzebne przy próbie łamania zabezpieczenia, dotyczy to zarówno aplikacji .NET, natywnych czy Java po zastosowaniu obfusatora i takie stwierdzenia jak powyżej twórcy jednego z najpopularniejszych obfuscatorów stawiają duży znak zapytania nad poziomem ich wiedzy o tym czym są zabezpieczenia oprogramowania.

Rynek obfuscatorów dla .NET, których ceny są astronomicznie wysokie w porównaniu do systemów zabezpieczających 32 i 64 bitowe natywne aplikacje, a poziom skomplikowania zabezpieczeń natywnych wykracza technicznie daleko poza metody stosowane w zabezpieczeniach aplikacji .NET zawsze mnie zastanawiał. Zwłaszcza w obliczu aplikacji takich jak de4dot, które jednym klikiem sprawiają, że wszystkie te drogie zabezpieczenia znikają niczym pieniądze z portfeli klientów, którzy inwestują w tak słomianą ochronę.