Реверсинг. Задай вопрос - получи ответ

Discussion in 'Реверсинг' started by 0x0c0de, 2 Sep 2007.

  1. comstream

    comstream Member

    Joined:
    11 Aug 2015
    Messages:
    35
    Likes Received:
    8
    Reputations:
    0
    Всем привет! Подскажите как преобразовать шестнадцатиричный пайлоад в бинарник для последующего анализа (дезассемблирования), Python приветствуется ))). Или можно его сразу загрузить в Ida pro? Как его можно подать в olydbg?

    Вот код
    \x31\xC0\x50\x68\x73\x78\x76\x79\x68\x78\x24\x22\x76\x68\x73\x24\x27\x24\x68\x23\x72\x75\x73\x68\x77\x77\x22\x73\x68\x22\x27\x73\x70\x68\x75\x76\x79\x73\x68\x77\x72\x73\x22\x68\x73\x22\x72\x24\x68\x79\x76\x24\x75\x68\x22\x23\x24\x79\x68\x78\x25\x20\x22\x68\x76\x75\x74\x76\x68\x71\x20\x22\x77\x68\x77\x25\x72\x25\x68\x77\x25\x75\x79\x68\x71\x25\x24\x78\x68\x20\x79\x71\x75\x68\x72\x73\x75\x20\x68\x79\x22\x72\x71\x68\x76\x20\x72\x76\x68\x20\x79\x20\x74\x68\x76\x23\x70\x70\x68\x75\x73\x77\x23\x68\x78\x76\x20\x76\x68\x71\x23\x75\x74\x68\x22\x23\x22\x73\x68\x79\x20\x71\x24\x68\x72\x23\x22\x23\x68\x70\x76\x79\x22\x68\x70\x20\x27\x74\x68\x73\x25\x79\x20\x54\x5E\x8B\xFE\x8B\xD7\xFC\xB9\x80\x00\x00\x00\xBB\x41\x00\x00\x00\x31\xC0\x50\xAC\x33\xC3\xAA\xE2\xFA\x54\x5E\xCC
     
  2. comstream

    comstream Member

    Joined:
    11 Aug 2015
    Messages:
    35
    Likes Received:
    8
    Reputations:
    0
    В общем сделал следующим образом:
    Code:
    #include <sys/mman.h>
    #include <string.h>
    #include <stdio.h>
    
    char sc[]= "\x31\xC0\x50\x68\x73\x78\x76\x79\x68\x78\x24\x22\x76\x68\x73\x24\x27\x24\x68\x23\x72\x75\x73\x68\x77\x77\x22\x73\x68\x22\x27\x73\x70\x68\x75\x76\x79\x73\x68\x77\x72\x73\x22\x68\x73\x22\x72\x24";
    
    int main(){
            void * a = mmap(0, 4096, PROT_EXEC |PROT_READ | PROT_WRITE, MAP_ANONYMOUS | MAP_SHARED, -1, 0);
            printf("allocated executable memory at: %p\n", a);
            ((void (*)(void)) memcpy(a, sc, sizeof(sc)))();
    }
    
    затем gcc -o hex2 hex2bin.c

    И все нормально дебажится edb --run hex2
     
    #1202 comstream, 29 Jan 2019
    Last edited: 4 Feb 2019
    BillyBons likes this.
  3. Bafteam

    Bafteam Member

    Joined:
    31 Dec 2015
    Messages:
    96
    Likes Received:
    36
    Reputations:
    0
    Знает кто как победить ошибку got SIGPWR signal (Power fail/restart)?
    Отлаживаю приложение на Юнити на своем телефоне по кабелю через GDB сервер, 3 приложения из 4 нормально отлаживаются, а это не хочет.
     
  4. vivat777

    vivat777 New Member

    Joined:
    6 May 2019
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Подскажите пожалкйста, чем можно вытянуть ключи авторизации (api id:api hash) из десктопных билдов телеграма?
    Я пробовал Pe-tools на приложении igram (собраный на основании билда telegram desktop), снял дамп памяти, но там я даже не могу найти номер телефона на который регистрировался(Хотя ключи возможно и есть но их в 54 МБ дампа незнаю как искать. Сам ключ/хеш имеет стабильную длину и выглядит так
    api id:444041 api hash:758797a9e06ab51a82b4e93d5d4de557
    Может я не так дамп смотрю)?
     
    #1204 vivat777, 29 Jun 2019
    Last edited: 29 Jun 2019
  5. #colorblind

    #colorblind Elder - Старейшина

    Joined:
    31 Jan 2014
    Messages:
    574
    Likes Received:
    201
    Reputations:
    36
    С огромной долей вероятности, подобные данные пошифрованы и расшифровываются на кратковременный период, в который ты естественно не снимешь дамп. Смотреть нужно не в статике, а в динамике, под отладчиком. Чтобы убедиться, посмотри через сниффер и увидишь, что хэш не передается в открытом виде
     
  6. DartPhoenix

    DartPhoenix Well-Known Member

    Joined:
    15 Sep 2013
    Messages:
    281
    Likes Received:
    4,210
    Reputations:
    5
    Можно попробовать поискать стандартные АПИ шифрования. На них ставить бряку и тогда уже делать дамп.
     
    vivat777 and binarymaster like this.
  7. vivat777

    vivat777 New Member

    Joined:
    6 May 2019
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Благодарю за ответ. А кто можетпомочь с этим? Я в долгу не останусь) Исходник телеги имеятся, вот тут даные эти передаются https://github.com/telegramdesktop/...elegram/SourceFiles/intro/introphone.cpp#L119
    + они при сборке прописываются отсюда https://github.com/telegramdesktop/...65c657c1b2942c79/Telegram/gyp/generate.py#L34
    Я поставил OllyDbg но изза малогоопыта работы в ней немогу найти простые константы которые есть в коде(через Ctrl+b), например вот отсюда тектсовые константы не ищутся, хотя в бинарнике через totalcmd нахожу)) https://github.com/telegramdesktop/...8f20b657cb87c71/Telegram/SourceFiles/config.h
    сам собраный бинарь последней версии https://telegram.org/dl/desktop/win_portable
     
  8. Damper

    Damper Member

    Joined:
    6 Jul 2015
    Messages:
    23
    Likes Received:
    6
    Reputations:
    0
    Я лучше в ольке чем в исходниках на различных там языках понимаю.))))Так же попробуй юзать HIEW или IDA Pro...
     
  9. vivat777

    vivat777 New Member

    Joined:
    6 May 2019
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Можешь подскажешь как в ollydbg это сделать? Я тебе написало в личку, отпиши пожалуйста.
    Благодарю
     
  10. vivat777

    vivat777 New Member

    Joined:
    6 May 2019
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Народ. кто может помочь вытащить некоторые текстовые строки из telegram - клиентов под андроид или виндовс?
    В долгу не останусь)
     
Loading...