Вакансия: разработчик систем защиты ПО

← →
Дмитрий СС (2014-03-25 19:41) [120]

> Тесты не прошли.

Бесперспективно? Неужели научить нельзя?

← →
Rouse__ (2014-03-25 19:45) [121]

Ну я ж не студента ищу, которого учить нужно...

← →
Дмитрий СС (2014-03-25 19:49) [122]

> Rouse__ (25.03.14 19:45) [121]

Пользуясь случаем, у тебя случайно нет примера перехвата, который работает следующим образом:
1. Запоминает начало перехватываемой функции.
2. Вставляет вместо начала push/ret на обработчик.
Но такую, чтобы после выполнения обработчика выполнялись запомненные инструкции, а потом делался возврат на оригинальную функцию со смещением.

Тут основная задача определить смещение, чтобы между инструкций не вернуть.

Ну или примера подмены таблиц импорта всех загруженных в процесс библиотек.

← →
Rouse__ (2014-03-25 19:53) [123]

У меня в блоге про перехват почитай, там две статьи

← →
Дмитрий СС (2014-03-25 20:09) [124]

> Rouse__ (25.03.14 19:53) [123]
> У меня в блоге про перехват почитай, там две статьи

Microsoft гарантирует только то, что перед ними всегда будет пять инструкций NOP и каждая такая функция будет начинаться с двухбайтовой инструкции.
Смотрю функцию ShowWindow, которую мне нужно перехватить:
76CD0DF5 C3 ret 76CD0DF6 90 nop 76CD0DF7 90 nop 76CD0DF8 90 nop 76CD0DF9 90 nop 76CD0DFA 90 nop 76CD0DFB B858100000 mov eax,$00001058 <--- ShowWindow 76CD0E00 B908000000 mov ecx,$00000008 76CD0E05 8D542404 lea edx,[esp+$04] 76CD0E09 64FF15C0000000 call dword ptr fs:[$000000c0] 76CD0E10 83C404 add esp,$04 76CD0E13 C20800 ret $0008 76CD0E16 90 nop 76CD0E17 90 nop 76CD0E18 90 nop 76CD0E19 90 nop 76CD0E1A 90 nop 76CD0E1B 8BFF mov edi,edi

Пошел читать дальше.

← →
Rouse_ © (2014-03-25 20:53) [125]

> Дмитрий СС (25.03.14 20:09) [124]

У тебя 64 битная винда (виден вызов Wow64 FS:[$C0]) статья писалась под 32 бита.

← →
Дмитрий СС (2014-03-25 21:00) [126]

Rouse_ © (25.03.14 20:53) [125]
nop-в, главное, добавили. Что мешало добавить двухбайтную инструкцию не ясно.

Но спасибо!

← →
Пит (2014-03-25 21:57) [127]

> Двое не смогли запустить в отладчике кракмикс со сбитой
> точкой входа.
> Третий открыть смог, и даже сдампил образ, но запутался
> с восстановлением таблицы импорта.

Розыч, дык не приходила мысль в голову, что твою защиту не ломают уже пятый год, потому что эта защита - неуловимый джо из анекдота? :)

← →
Rouse__ (2014-03-25 21:58) [128]

Приходило конечно, 200 тыщ пользователей это подтверждают что софт не нужный :)

← →
Германн © (2014-03-25 22:25) [129]

> 200 тыщ пользователей это подтверждают

И эти 200 тыщ совместно заплатили хакерам чтобы те не ломали программу. Иначе все 200 тыщ окажутся в дураках, если 200,001-й получит её даром. )

← →
Дмитрий СС (2014-03-25 22:31) [130]

Ура перехватил я свой ShowWindow, а также и текст с лейбла окна:) Код, если хотите, могу выложить)

Простите, что тут пишу, но тему заводить не хочется, а Розыч, к сожалению, вряд ли тут уже кого-то найдет.

← →
antonn © (2014-03-25 22:43) [131]

> Ура перехватил я свой ShowWindow, а также и текст с лейбла
> окна:)

ну если лейбл не окно - то ты крут :)

← →
Дмитрий СС (2014-03-26 00:41) [132]

Не окно. Но у меня преемущество есть. Я точно знаю компилятор в котором собрали прогу, этим и воспользовался.

← →
Пит (2014-03-26 12:50) [133]

> Приходило конечно, 200 тыщ пользователей это подтверждают
> что софт не нужный :)
>

ты передергиваешь. Я не говорил, что софт не нужный. Я говорил о том, что никто не собирается всерьез ломать твою защиту. Пять лет без взломов в принципе это подтверждают, защита оверскильная.

То есть, если даже криптостойкость снизится раза в два, возможно все равно её в течении пары лет никто и не взломает, чего будет достаточно.

← →
Юрий Зотов © (2014-03-26 13:33) [134]

> Пит (26.03.14 12:50) [133]
> Пять лет без взломов

Ломали ее. Несколько лет назад сам видел на рынке взломанную.

← →
Василий Иванов (2014-03-26 14:43) [135]

> Юрий Зотов © (26.03.14 13:33) [134]
>
> > Пит (26.03.14 12:50) [133]
> > Пять лет без взломов
>
> Ломали ее. Несколько лет назад сам видел на рынке взломанную.
>

Rouse как-то говорил, что сам помогал ее ломать))

← →
Inovet © (2014-03-26 15:13) [136]

> [134] Юрий Зотов © (26.03.14 13:33)
> Ломали ее.

Это был хитрый ход. Появилась в сети и на рынках якобы взломанная, а на самом деле передавала информацию о факте своей установки, чтобы узнать количество потенциальных покупателей. Потом через пару месяцев вдруг переставала работать.

← →
jack128_ (2014-03-26 15:49) [137]

> Ломали ее. Несколько лет назад сам видел на рынке взломанную.

ну дык несколько лет назад её последний раз и ломали. К слову, некоторые товарищи разводят "кроликов" простым способом. Берут ломаную столетней давности прогу, меняют в ней метку версии программы на актуальную и впаривают как супер-пупер современную.

> То есть, если даже криптостойкость снизится раза в два,
> возможно все равно её в течении пары лет никто и не взломает,
> чего будет достаточно.

Я логики не понимаю, ты предлагаешь снижать качество уже существующей защиты? Или что?

← →
Rouse_ © (2014-03-26 16:20) [138]

> Пит (26.03.14 12:50) [133]
> То есть, если даже криптостойкость снизится раза в два,
> возможно все равно её в течении пары лет никто и не взломает,
> чего будет достаточно.

Этого делать нельзя, и тот момент из-за которого не могут взломать должен остаться нетронутым в 64 битной версии. Там целиковое ядро - шаг в сторону и дырень размером в паровоз, куда каждый при соответствующей квалификации влезть сможет.

← →
Rouse_ © (2014-03-26 23:05) [139]

> > Пит (26.03.14 12:50) [133]

А впрочем, я тут с Жекой сегодня посовещался.
Пока болею и дома сижу накатаю статейку по взлому одного реципиента.
Причем со всеми причиндалами, тут и защита от загрузки в отлачик, и мусорный полиморф и виртуальная машина с мусорными инструкциями и хитрым деобфусцирующим подходом логики выполнения инструкций.
Чисто с целью показать как вообще может строится защита (причем этот вариант мне понравился) и как она анализируется и обходится.

← →
Пит (2014-03-27 19:11) [140]

Короче нафиг эти защиты, все равно розыч все поломает )

← →
Компромисс1 © (2014-03-27 19:16) [141]

Я не понял, зачем статья, которая учит ломать защиту. Статьи в УК нет за это еще?

← →
Rouse_ © (2014-03-27 19:25) [142]

> Пит (27.03.14 19:11) [140]
> Короче нафиг эти защиты, все равно розыч все поломает )

В 90 проценов случаем конечно взломаю - работа такая.

> Компромисс1 © (27.03.14 19:16) [141]
> Я не понял, зачем статья, которая учит ломать защиту. Статьи
> в УК нет за это еще?

Это специально подготовленное ПО для взлома, УК на это дело не распространяется.
Смысл статьи дать представление человеку, защищаему ПО, как нужно делать защиту и как не допустить ошибок в ее проектировании...

← →
ТНЕ картман (2014-03-27 19:27) [143]

> как нужно делать защиту и как не допустить ошибок в ее проектировании.
> ..

а ты сам свою защиту взломаешь?

← →
Rouse_ © (2014-03-27 19:28) [144]

> ТНЕ картман (27.03.14 19:27) [143]
> а ты сам свою защиту взломаешь?

К сожалению - нет...

← →
Rouse_ © (2014-03-27 19:30) [145]

ЗЫ: но хотелось бы :))

← →
Inovet © (2014-03-27 19:36) [146]

Ты ссылку обещал про ГСЧ в новых Intel Ivy Bridge когда уже? Что-то про аппаратную закладку, что уже известно, как её активировать, чтобы последовательность из ИСЧ становилась предсказуемой.

← →
Rouse__ (2014-03-27 19:43) [147]

Здрасссь давал же

← →
Pavia © (2014-03-27 19:51) [148]

> Здрасссь давал же

Не было.

> [147] Rouse__ (27.03.14 19:43)
> Здрасссь давал же

Ты давал на какие-то общие рассуждения типа - технически можно сделать закладку, ну вот если они там сделали закладку, то тогда ей можно пользоваться (им). А потом обещал на конкретно расковырянную такую возможность по хитрой инициализации регистров.
http://delphimaster.net/view/1-1391451971/

А, понял - обещал, было дело :)

← →
имя (2014-03-28 03:18) [151]

Удалено модератором

← →
Герменн (2014-03-28 03:20) [152]

"статейку по взлому одного реципиента" почитаю с удовольствием.
P.S. Случайно нажал Enter не вовремя. :(

> Rouse__ (25.03.14 19:45) [121]
>
> Ну я ж не студента ищу, которого учить нужно...

точняк! Сама судьба зовет тебя в преподы - о твоих зачетах(экзаменов не будет - ВУЗ не концлагерь, все ж) будут легенды складывать))

← →
Пит (2014-03-31 15:48) [154]

кстати, да, мне кажется из Розыча получится прикольный преподаватель ) Немного вспыльчивый, конечно, но знания донести, я думаю, сумеет )

Мож в ВУЗ на пол ставки?

> из Розыча получится прикольный преподаватель

у него разговор будет короткий. За отладчик, и пока кракмикс со сбитой точкой входа не запустит, зачета не будет

← →
имя (2014-04-01 08:42) [156]

Удалено модератором

> картман © (30.03.14 23:15) [153]
> точняк! Сама судьба зовет тебя в преподы - о твоих зачетах(экзаменов
> не будет - ВУЗ не концлагерь, все ж) будут легенды складывать))

Не, я не из тех "кто не умеет - тот учит" :)

> Пит (31.03.14 15:48) [154]
> кстати, да, мне кажется из Розыча получится прикольный преподаватель
> ) Немного вспыльчивый, конечно, но знания донести, я думаю,
> сумеет )

Плохой получится, плавали - знаем ;)

> clickmaker © (31.03.14 15:55) [155]
> у него разговор будет короткий. За отладчик, и пока кракмикс
> со сбитой точкой входа не запустит, зачета не будет

А почему бы и нет? Это не совсем просто как кажется, воть небольшой препринт готовящейся статьи, где можно поиметь кучу головной боли только до выхода на VM, я уж не говорю что это все просто семечки по сравнению с ее разбором :)
https://rouse-debug.blogspot.com/b/post-preview?token=4kSeJEUBAAA.ePqoTvorHU2apBfaKfOS_g.F0KMCrnQixhZg8z0OPvm4w&postId=4 686784597048675067&type=POST

А, не так не пустит, тогда вот так: http://rouse-debug.blogspot.ru/2014/04/blog-post.html

← →
ТНЕ картман (2014-04-02 19:32) [159]

> ТНЕ картман (02.04.14 19:32) [159]

Не понял вопроса.

Вакансия: разработчик систем защиты ПО Найти похожие ветки