首页
社区
课程
招聘
[原创]IDA7.2安装包分析
发表于: 2019-1-16 15:53 59389

[原创]IDA7.2安装包分析

2019-1-16 15:53
59389

直接运行,得知会释放几个文件
image.png
image.png

子进程启动命令行:

image.png

image.png

90FC739C83CD19766ACB562C66A7D0E2
翻查字符串时, 找到一个链接: http://www.innosetup.com/ 一个打包安装器

打包软件:
http://www.jrsoftware.org/isinfo.php
https://github.com/jrsoftware/issrc

输入密码有弹窗, 直接尝试暂停程序栈回溯
image.png
跑起来 调试器附加到tmp文件, 输入错误密码, 然后暂停查看栈回溯
image.png
因为在正常安装时, 会有明显卡顿的感觉, 给人一种验证程序冗长的感觉, 在回溯几层之后, 发现一个 sleep ,怀疑是否与此有关, 函数头下断.
image.png
发现了输入的测试数据, 载入IDA静态查看, 不远处发现一个字符串,
image.png
image.png
当时在这一块纠缠了一段时间, 发现可能是一个脚本引擎,
image.png
image.png
所以直接去Git搜索了这个字符串"CheckPassword"
image.png

翻源码不现实, 有7.0的安装包, 也定位到相应的地方, 进行正确流程对比
image.png

image.png
继续GIT搜索字符串
https://github.com/jrsoftware/issrc/blob/3f52db8a5004d7222277430c3b942eb03004aa7a/Projects/Main.pas#L356

https://github.com/jrsoftware/issrc/blob/bc670b6b6be9e03ce645235a258761ac499348b3/Projects/Compile.pas#L3535

直接暴力跳过SHA1验证,是可以过掉验证,但是在后续解密中, 依然会用到此KEY,进行解密和解压操作
image.png
image.png

内存提取数据:

由于本人密码学相关知识学的并不扎实, 待大佬们弄吧,
个人感觉可能解出来之后 也不那么尽人意, 插件可能不全哦.

经过观察:
key 文件为扫描上传, 仅为授权信息, 此数据源上传文件十几万 应该马来一个分析员开的杀软自动提的VT
EXE 为主动上传, 在关联信息来看,与 KEY 暂无关联
ZIP 上传时间最新, 应该是下载EXE之后, 压缩又重新上传的, 仅一条记录

路径: C:\Users\User\Downloads\Compressed\HexRays.IDA.Pro.7.2\34zvo.HexRays.IDA.Pro.7.2\idapro72a\idapro72\IDAPRO7.2_ESET_KEY.key

 
 
 
 

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 6
支持
分享
最新回复 (77)
雪    币: 573
活跃值: (1009)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
nice try. keep going.
2019-1-16 16:47
2
雪    币: 99
活跃值: (2428)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
innounp -v -m x64_idapronw_hexarm64w_181105_de455c480e11ef1ec91473028f4dd175.exe
可以列出安装包中的所有文件。
2019-1-16 16:50
1
雪    币: 30
活跃值: (755)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
有你的1.exe + IDAPRO7.2_ESET_KEY.key 是不是可以直接用了
2019-1-16 17:13
1
雪    币: 940
活跃值: (1053)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
uvbs 有你的1.exe + IDAPRO7.2_ESET_KEY.key 是不是可以直接用了
那相当于只是跳过验证, 没啥用的
2019-1-16 17:51
1
雪    币: 7
活跃值: (333)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
6
红金龙e晓楼 那相当于只是跳过验证, 没啥用的
最大的价值是里面的库,可以识别最新的一些操作系统宏定义,不用自己导入。如果解出来的话,还希望兄台共享下。
2019-1-16 19:36
1
雪    币: 350
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
密钥是用来解密数据的, 你跳过验证毛用没有
2019-1-16 22:54
1
雪    币: 608
活跃值: (648)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
真的想搞套正版的IDA 7.2的话,你们可以从远控马上入手哦~欧美很多杀软厂商的分析员喜欢把IDA放进VMWare里跑, 你懂的。
2019-1-17 00:04
2
雪    币: 6369
活跃值: (1688)
能力值: ( LV4,RANK:156 )
在线值:
发帖
回帖
粉丝
9
泄漏的这个ida只有arm64反编译器,直白点说,就算解密出来,除了F5苹果的东西基本没任何用途,讲道理,如果真的需要ida,尝试购买一套就可以了,只买对应平台的反编译器的话没那么贵,ida强大之处不仅在于F5,如果不会写插件和脚本与ida交互的话,相当于只掌握了一半
2019-1-17 08:30
1
雪    币: 70
活跃值: (72)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
2步到位,愣是整这么复杂

0. 提temp

1. 断messagebox,看栈,回溯到首次出现解压密码的地方

2. PasswordCheckHash上面那个函数就是sha1 初始化(特征不要再明显了)


顺带解释一下,这段 (PasswordCheckHash  上下) 只是用于效验解压密码的

虽然能绕过解压密码的效验,但是解压密码不对依旧是无法解压的

最后于 2019-1-17 10:40 被FadeTrack编辑 ,原因:
2019-1-17 10:14
1
雪    币: 1790
活跃值: (3786)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
11
之前在INNO打包软件中定制开发实现增量下载安装工具时分析过,密码会参与文件的压缩打包,所以跳过去解压会失败,还原不了原始文件。INNO是开源的可以直接对照者调试分析,方法是找到对应INNO源码直接编译成EXE后,直接加参数指向原始的那个EXE,会利用你编译的带源码的EXE直接读取原始安装EXE进行安装内容的读取和安装过程的执行(可以源码调试的)。之前我们就是这样调试分析INNO的。
2019-1-17 10:32
1
雪    币: 940
活跃值: (1053)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
12
FadeTrack 2步到位,愣是整这么复杂0. 提temp1. 断messagebox,看栈,回溯到首次出现解压密码的地方2. PasswordCheckHash上面那个函数就是sha1 初始化( ...
难者不会, 会者不难,  就是瞎发一贴子而已, 没什么高大上的东西, 轻喷

现在只求@火绒 别告我使用火绒剑就好.
2019-1-17 10:48
1
雪    币: 8
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
hash算法是 sha1($salt.unicode($pass))  密码规则好像是^[a-z|A-Z|0-9]{12}$  看样子是跑不出来的。。。
2019-1-20 16:19
1
雪    币: 940
活跃值: (1053)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
14
daddies hash算法是 sha1($salt.unicode($pass)) 密码规则好像是^[a-z|A-Z|0-9]{12}$ 看样子是跑不出来的。。。
全插件全平台的可能大家还会搞一下, 
就目前来看, 仅一个X64, 都感觉成本太高
2019-1-21 15:11
1
雪    币: 403
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
2019-1-22 15:35
1
雪    币: 1346
活跃值: (2331)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
16
红金龙e晓楼 全插件全平台的可能大家还会搞一下, 就目前来看, 仅一个X64, 都感觉成本太高
我到是有一个主意,论坛高手搞一个跑码程序,把密码分成一千段,或者一万段。论坛上的人来领一段跑,出了密码第一时间在论坛公布,就算一个月能跑出来,也是行的啊,我到是愿意领一段跑一个月。
最后于 2019-1-22 15:44 被tjszlqq编辑 ,原因:
2019-1-22 15:43
2
雪    币: 598
活跃值: (282)
能力值: ( LV13,RANK:330 )
在线值:
发帖
回帖
粉丝
17
62^12=2^71,DES是56位的,不好跑

安装解密分四步
第一步password用sha1生成密钥,一个salt
salt: c4 07 17 7b 00 B8 91 60   这个salt在安装文件中能找到,后面跟的就是待解密数据
sha1生成的密钥长度14 bytes, 160 bits


第二步用上面的密钥初始化rc4(即arcfour),这个算法在dll中,文件很小,它网站上有源码

第三步readproc读源数据,每slice 10000 bytes,读取时用rc4解密

第四步用zlib解压缩,password有问题时这里会raise exception

貌似没有太好的办法
2019-1-23 16:46
1
雪    币: 5855
活跃值: (438)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
18
月落之汀 泄漏的这个ida只有arm64反编译器,直白点说,就算解密出来,除了F5苹果的东西基本没任何用途,讲道理,如果真的需要ida,尝试购买一套就可以了,只买对应平台的反编译器的话没那么贵,ida强大之处不 ...
请问怎么看出来F5只有 arm64 的?
2019-1-23 17:25
1
雪    币: 1346
活跃值: (2331)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
19
问题是这个安装密码是怎么生成的?感觉总有它的生成空间啊?不可能62^12种可能都有可能生成。如果找到规律,要跑的空间就少了。就算要跑62^12。不用GPU,我试了下,垃圾电脑每秒可以达到二百万个。十亿级的用户的话,最多42天可以跑出来,也有可能一小时就出来了。360,QQ,微软的程序员完全有这个能力哇!
最后于 2019-1-24 09:38 被tjszlqq编辑 ,原因:
2019-1-24 09:37
1
雪    币: 6369
活跃值: (1688)
能力值: ( LV4,RANK:156 )
在线值:
发帖
回帖
粉丝
20
NightGuard 请问怎么看出来F5只有 arm64 的?
hexray都是正版投递到你的邮箱的,每个安装包都有不一样的签名,包含的反编译种类在文件名中就有标识,文件名(x64_idapronw_hexarm64w_xxxxx)包含hexarm64w,即拥有可以运行在windows平台的arm64反编译器,完全版不包含ppc应该是hexarm64w_hexarmw_hexx64w_hexx86w,之前老外也算过爆破这个安装包要多久了,以现在的算力要9年左右,超算的租金零头都够买你这辈子都用不完的ida授权了
2019-1-24 09:45
1
雪    币: 5182
活跃值: (9697)
能力值: ( LV9,RANK:181 )
在线值:
发帖
回帖
粉丝
21
7.0到7.2有啥本质优化么,感觉7.0就很好用了。
2019-1-24 10:28
1
雪    币: 6369
活跃值: (1688)
能力值: ( LV4,RANK:156 )
在线值:
发帖
回帖
粉丝
22
nevinhappy 7.0到7.2有啥本质优化么,感觉7.0就很好用了。
pc这块他说C++有增强,实测完全没感觉到,重心全部在ios和苹果上,云sig目前跟废的差不多,基本没用,新增中间码API,估计大多数人都不知道干什么的,我平常都是7.0和7.2双开,7.2分析更慢了,但值还是值的
2019-1-24 11:31
0
雪    币: 1346
活跃值: (2331)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
23
月落之汀 hexray都是正版投递到你的邮箱的,每个安装包都有不一样的签名,包含的反编译种类在文件名中就有标识,文件名(x64_idapronw_hexarm64w_xxxxx)包含hexarm64w,即拥有可 ...
大伙只是出于解题的乐趣,不是真想要这软件,360,谷歌,苹果等公司的技术人员,不用九年,不花一分钱,十天内必出密码
2019-1-24 12:43
0
雪    币: 6369
活跃值: (1688)
能力值: ( LV4,RANK:156 )
在线值:
发帖
回帖
粉丝
24
tjszlqq 大伙只是出于解题的乐趣,不是真想要这软件,360,谷歌,苹果等公司的技术人员,不用九年,不花一分钱,十天内必出密码
真有十天内必出密码这样的技术务必让小弟开开眼,至少是我认知以外的东西
2019-1-24 12:54
0
雪    币: 164
活跃值: (104)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
tjszlqq 大伙只是出于解题的乐趣,不是真想要这软件,360,谷歌,苹果等公司的技术人员,不用九年,不花一分钱,十天内必出密码
那么问题来了  他们是买正版  还是用泄露版
2019-1-28 10:28
0
游客
登录 | 注册 方可回帖
返回
//