Jump to content
Araştır
  • Diğer seçenekler ...
Sonuçları bul ...
Sonuçları bul ...
infiltrate

TBL Şifrelemesi hakkında.

Oluşturan: infiltrate, , 1307, 8 Forum Genel Yardım

Önerilen Mesajlar

infiltrate    42

infiltrate
Oluşturuldu:

Forumda paylaşılan(@ EveryBodyFool teşekkürler.) unpacked exeyi static olarak inceleyip.TBL'lerin nasıl açıldığını öğrenmek istedim.IDA Freeware 5.0 ile string olarak DATA\\skill_magic_main değerini arattım.3 tane call reference çıktı.
1XWU9F.png

Bunlara gidip baktığımda şunu gördüm ;
sqlpI4.png

TBL'nin adını ve edx'i push edip bir function call ediyor.O function'a gittiğimde ise;
iYluZu.png

Bu function'da ise değerleri xor'luyor.Acaba şifreyi çözme yeri burası mı?
Yoksa çok yanlış yollar da mıyım?:)
Static analiz ile bunları bulamaz mıyım?

Ayrıca bana bu konularda(RCE) yardımcı olabilecek olan var ise bende ona bildiğim bütün konularda yardımcı olmaya hazırım.(Golang,Docker,Java/Kotlin/Android,.NET Core)

İletiyi paylaş

Link to post
Sitelerde Paylaş

OzkanOzdemir    1.531

OzkanOzdemir
Admin
tarihinde gönderildi

Yanlış yere bakıyorsun orası kontrol olması gerekiyor eğer ki böyle bir dosya var mı gibisinden tam emin değilim o fonksiyon için ama senin araman gereken yer Load fonksiyonu olacaktır.

CreateFile ile dosyayı açacak ondan sonra ReadFile ile tek tek değerleri çekmeye başlayacak çektiği değerlere göre şifreleme yöntemiyle çözecek.

Orayı nasıl bulurum diyorsan bu senin verdiğin değerin alt kısımlarında bir CALL adresi daha olması lazım o işte Load fonksiyonuna ait onu bulacaksın onun içerisinde aşağıdaki vereceğim string değerlerini görmen lazım orasının olduğunu anlarsın zaten.

Ayrıca Load fonksiyonu içerisinde şifreleme için gerekli olan KEY numaralarını görürsün.
Aşağıdaki 2153 KO.exe için bir örnek mesela böyle değerleri tek tek aratarak bulabilirsin.


009841C1   68 04180000      PUSH 1804
009841C6   68 41800000      PUSH 8041
009841CB   68 18040000      PUSH 418


"N3TableBase - Can't open file(read) File Handle error (%s)"
".tmp"
"N3TableBase - incorrect table (%s)"
  • Teşekkür 1

İletiyi paylaş

Link to post
Sitelerde Paylaş

infiltrate    42

infiltrate
Konu Sahibi tarihinde gönderildi
Alıntı
Yanlış yere bakıyorsun orası kontrol olması gerekiyor eğer ki böyle bir dosya var mı gibisinden tam emin değilim o fonksiyon için ama senin araman gereken yer Load fonksiyonu olacaktır.

CreateFile ile dosyayı açacak ondan sonra ReadFile ile tek tek değerleri çekmeye başlayacak çektiği değerlere göre şifreleme yöntemiyle çözecek.

Orayı nasıl bulurum diyorsan bu senin verdiğin değerin alt kısımlarında bir CALL adresi daha olması lazım o işte Load fonksiyonuna ait onu bulacaksın onun içerisinde aşağıdaki vereceğim string değerlerini görmen lazım orasının olduğunu anlarsın zaten.

Ayrıca Load fonksiyonu içerisinde şifreleme için gerekli olan KEY numaralarını görürsün.
Aşağıdaki 2153 KO.exe için bir örnek mesela böyle değerleri tek tek aratarak bulabilirsin. 


009841C1   68 04180000      PUSH 1804

009841C6   68 41800000      PUSH 8041

009841CB   68 18040000      PUSH 418


"N3TableBase - Can't open file(read) File Handle error (%s)"
".tmp"
"N3TableBase - incorrect table (%s)"


Çok teşekkür ederim.Dediklerini kahvaltıdan sonra uygulayacağım.
-- mesaja ek olarak --
@ OzkanOzdemir

vC19KE.png

Bu bulduğum yer herhalde.Çok teşekkür ederim.Acaba size anlık soru sorabileceğim skype veya başka bir adresininiz var mıdır?

İletiyi paylaş

Link to post
Sitelerde Paylaş

infiltrate    42

infiltrate
Konu Sahibi tarihinde gönderildi
0wgrhe.png

Bu kodu yazdım fakat sonuç olumsuz.Muhtemelen şifrelemeyi anlamadım.Static analizde register değerlerini takip etmem çok zor.Debug da edemediğim için sonuca ulaşamıyorum.Yardımcı olabilecek var mı?Yoksa 2xxx server kurup korumasız bir exe'de debug ederek ben mi ulaşayım?Yardımlarınız için teşekkürler..
@ OzkanOzdemir
@ EveryBodyFool
@ PENTAGRAM

İletiyi paylaş

Link to post
Sitelerde Paylaş

OzkanOzdemir    1.531

OzkanOzdemir
Admin
tarihinde gönderildi

Bu kadar ile bitmiyor ki bu sistem daha tonla şifreleme yapıyor en başta sadece o keyleri kullanıyor daha devamı var sistemin anlayacağın.

Şifreleme bittikten sonra ilk önce sütun tiplerini çıkartıyorsun, daha sonra satır satır çıkartma işlemi yapıyorsun.

Ayrıca neden bununla uğraşıyorsun ki ortalıkta editörler mevcut PENTAGRAM'ın yaptığı zaten o keyleri değiştirmene imkan sağlıyor.

  • Teşekkür 1

İletiyi paylaş

Link to post
Sitelerde Paylaş

infiltrate    42

infiltrate
Konu Sahibi tarihinde gönderildi
Alıntı
Bu kadar ile bitmiyor ki bu sistem daha tonla şifreleme yapıyor en başta sadece o keyleri kullanıyor daha devamı var sistemin anlayacağın.

Şifreleme bittikten sonra ilk önce sütun tiplerini çıkartıyorsun, daha sonra satır satır çıkartma işlemi yapıyorsun.

Ayrıca neden bununla uğraşıyorsun ki ortalıkta editörler mevcut PENTAGRAM'ın yaptığı zaten o keyleri değiştirmene imkan sağlıyor.


Maksat kendimi bu konularda geliştirmek.Uğraşa uğraşa çözeceğim:) Teşekkürler.Peki bana 2xxx oyuna girebileceğim kadar çalışan bir server dosyası ve client önerir misin?Forumda mevcut mudur?

İletiyi paylaş

Link to post
Sitelerde Paylaş

OzkanOzdemir    1.531

OzkanOzdemir
Admin
tarihinde gönderildi

Ortalıktaki dosyaların arasında hiç bir fark yok ve hepsinde aynı sorunlar mevcut.
Önemli olan baştan tek tek her şeyi silip kendin yazman.
Ben forumdaki 1975 dosyalarını şu amaçla paylaştım; hem ortalıktaki saçma salak bilgisiz insanların yazdım dediği sistemler yok, hem de doğrudan oyuna girilebilecek durumda.

İlk önce onlarla biraz mantığı kavrayın daha sonra üst sürümlere geçersiniz.
Biz paket paylaşımlarını da yapıyoruz zaman buldukça sorduğunuz sorulara da cevap veriyoruz yani üst sürüm geçmekte bazıları sıkıntı yaşıyor yok paketler kayacak yok sistem bozulacak biz anlatırız paket sırasını veririz nerede ne yapmanız gerekiyor söyleriz siz uygularsınız. Sadece en başta sistemleri kavrayın.

  • Teşekkür 1

İletiyi paylaş

Link to post
Sitelerde Paylaş

infiltrate    42

infiltrate
Konu Sahibi tarihinde gönderildi
Alıntı
Ortalıktaki dosyaların arasında hiç bir fark yok ve hepsinde aynı sorunlar mevcut.
Önemli olan baştan tek tek her şeyi silip kendin yazman.
Ben forumdaki 1975 dosyalarını şu amaçla paylaştım; hem ortalıktaki saçma salak bilgisiz insanların yazdım dediği sistemler yok, hem de doğrudan oyuna girilebilecek durumda.

İlk önce onlarla biraz mantığı kavrayın daha sonra üst sürümlere geçersiniz.
Biz paket paylaşımlarını da yapıyoruz zaman buldukça sorduğunuz sorulara da cevap veriyoruz yani üst sürüm geçmekte bazıları sıkıntı yaşıyor yok paketler kayacak yok sistem bozulacak biz anlatırız paket sırasını veririz nerede ne yapmanız gerekiyor söyleriz siz uygularsınız. Sadece en başta sistemleri kavrayın.


Amacım server dosyası geliştirmek değil.RCE konularını öğrenmek.Yardımlarınız/Paylaşımlarınız sayesinde bir şeyler öğreniyorum.Versiyon farketmez 1975 olarak paylaştığınız dosyalar nerede?Bulamadımda.Tekrar teşekkürler.(bir server kurup korumasız exe'yi debug ederek daha iyi öğreneceğimi düşünüyorum.)

İletiyi paylaş

Link to post
Sitelerde Paylaş

EveryBodyFool    198

EveryBodyFool
tarihinde gönderildi

Şimdi şöyle söyleyeyim şifreleme yerlerine .tmp stringini arat oradan ulaşırsın tüm tbldeki şifre yerlerine orada CreateFile diyerek yedek alıp tbl nin onun üzerinden işlem yapıyor. Hafızada array tutmak yerine dosya olarak tutmuş özkanın gösterdiği PUSH değerlerini orada göreceksin ama ondan önce 1 şifreleme daha var o fonksiyondan dönen datayı birde eski şifrelemeye sokuyor 2 şifreleme var şuan tbllerde.

  • Teşekkür 1

İletiyi paylaş

Link to post
Sitelerde Paylaş
Konu listesine dön
×
×
  • Yeni Oluştur...