[HaBo]

CDW

Anzeige

Das hatte schon PCGuard in älteren Versionen. Der Entpackvorgang verzögerte sich um die Zeit, die man brauchte um ein OllyScript zu schreiben :
1.suche nach Calls zu der Entschlüsselungsfunktion
2.rufe den Call auf
3. weiter mit 1, bis Ende.

Je nach dem kann man es auch per Hand machen (wenn es z.B nur 4-5 verschlüsselte Blöcke gibt).

Btw: imho ist zwischen "theoretisch alles knackbar" und Praxis ein großer Unterschied . Wie hoch ist die Wahscheinlichkeit, dass irgendeine Nischensoftware mit paar 100 Zielpersonen überhaupt im Debugger landet? Sogar wenn man alle "ich kann Olly starten und Nags wegnoppen!!!" Leute berücksichtigt? Auserdem gibt es gar nicht so viele, die Themida&Co oder auch nur ASProtect&Armadillo "mit Links" entpacken können. Dass sie die Software also überhaupt zu sehen bekommen und dann auch noch für eine unbekannte 0815 Anwendung ihre Zeit aufwenden (ich spreche speziell von Leuten, die ihre Cracks auch releasen) halte ich doch eher für unwahrscheinlich. Besonders wenn CodeVirtulizer/Execrypter Funktionen geschickt eingesetzt wurden - sprich, wenn der Programmierer nicht nur auf "protect" Button geklickt hat, sondern ein paar Stunden in Dokulesen und Protectorlibs einbinden investiert. Da muss die Software schon einen relativ bekannt sein.

Genauso verhält es sich mit Donlges - TPM und Chips außen vor - nur den Fall vorausgesetzt, dass die Software mehr als nur einen "if dongle verfügbar then start else Msg 'Error' " beim Start hat, sondern auch paar Daten liest: Der Cracker muss dann 1) überhaupt Dongles reversen können, 2) an das Dongle herankommen.
Wie hoch ist also die Wahrscheinlichkeit, dass der böswillige Kunde die "richtigen" Connections hat bzw der "böse" Cracker ein Dongle ergattern kann?

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

Netonator

Hy


Das Script, von dem du sprichst, dass kann ebefalls nicht jeder. Zudem funktioniert das nur, wenn immer die gleiche Funktion aufgerufen wird zum entschlüsseln.

Zweifellos hast du da recht, jedoch muss es sich effektiv um eine Nischensoftware handeln oder die Software ist nicht allg. gebräuchlich. Natürlich gibt es wenige die einen ASProtect&Armadillo entpacken können, aber schliesslich gibt es auch vorprogrammierte Unpacker.

Wenn ein Programmierer gerade mal, wie du schreibst, auf 'Protect' klickt und dannach im glauben lebt, es sei damit getan ist er m.E. einfach ein schlechter Programmierer. Das ist wie Auto fahren mit 3 Fahrstunden, da hast du zwar ahnung von, aber machst garantiert Fehler am laufenden Band.


Lg
Netonator

CDW

Lässt sich schnell ändern, um auch mehrere Cryptfunktionen zu erkennen

Außerdem musst du bedenken:
1) Wieviele unterschiedliche Funktionen zum ent/verschlüsseln willst du überhaupt einsetzen - wieviele Funktionen können überhaupt verschlüsselt werden? Dazu du musst diese Funktionen vor dem Release in der Binary irgendwie verschlüsseln (manuell=viel Aufwand, mit Macros=auch nicht wenig).Eventuell ist der Aufwand zum Entpacken geringer (vor allem, wenn man es automatisieren kann). Denn man kann sich die Referenzcalls zu einer Funktion anzeigen lassen - damit hat man schon die Liste der Funktionen, die Entschlüsselt werden und kann sie gescritpet/manuell abarbeiten.

2)Wie soll die Ent/Verschlüsselung ablaufen? Denn warum soll die verschlüsselte Funktion beim Dumpen stören (vorausgesetzt, man muss überhaupt dumpen) - sofern die Ver/Entschlüsselungscode in der eigentlichen Codesection liegt? Man dumpt einfach alles mit und kann nur bei Bedarf (bei interessanten Funktionen) diese auch mal manuell oder gleich vom Codefluss selber entschlüsseln lassen - das Programm läuft ja munter weiter . D.h um effektiv jemanden zu stören, muss der Cryptcode im dynamischen Speicher liegen - er muss also beim Programmstart hineingeschrieben werden und natürlich müssen auch alle Verweise zu dem Code im Programm korrigiert werden (kann z.B mittels einer Adresstabelle umgesetzt werden). Dabei hast du auch das Problem, dass dein Cryptcode adressunabhängig sein muss.
Das ist gleichzeitig auch der große Angriffspunkt:
a) man kann bei dem Heap/VirtualAlloc/whatever - Speicherreservierung einfach eine passende Adresse zurückgeben und das Programm macht den Rest (schreibt den Code in den passenden Speicherbereich, z.B nach der letzen Programmsection - danach funktionert der Dump problemlos).
b) Adresstabelle/Korrekturfunktion kann man missbrauchen, um Adressen aller verschlüsselter Funktionen herauszufinden - dann entweder skripten oder im Debugger den Code so modifizieren, dass bei der "Korrektur" auch gleich die Funktionen entschlüsselt werden.

IMHO überschätzen viele kleine Firmen/Programmieren die Wichtigkeit ihrer Sofware . Sonst: i.R funktionieren Stripper nur dann gut, wenn der Programmierer wiederum nur auf den Protect-Button geklickt hat.

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

xrayn

Jep

Netonator, fuer kleinere Firmen sollte es reichen den Programmcode ordentlich zu obfuscaten, denn glaub mir nichts ist fuer einen Cracker nerviger als richtig obfuscateten Code nachzuvollziehen (es sei denn, man kennt die Algorithmen, mit denen dies geschah) . Wenn du nicht sowas wie Photoshop, Vmware oder IDA neu erfunden hast, fehlt die Motivation sich durch sowas durchzuquaelen