Tersine Kod Mühendisliği

[blackwidow]

optimusbrayn derken ? Bu arada işlem öncesi zaten psuedo yu yanlış yazmışım ++i şeklinde.

optimus prime ' dır o

[Reverser]

Basitinden bende bir tane crackme ekleyim sayın hocalarım.
Çok kolay bir crackme oldu ama  en azından boş kalmasın burası.
http://s4.dosya.tc/server/3ZScm3/crackme_test.zip.html

Kod Seç Genişlet


//Reversed source code -Reverser

#include <stdio.h>
#include <stdlib.h>

int main(int argc, char *argv[])
{
char string[10];
int value;

printf("Dogru cevap nedir: ");
scanf("%s",&string);
if(strcmp(string, "deneme") == 0) // ret val if=0 ise string1 = string2
{
printf("Supersin");
}
else
{
printf("Cok kotusun, daha iyi olabilirdin.\n");
}
return 0;
}


Fazla basit olmuş

[h454n]

gdb'ye yükleyebildiniz mi? hocam.
Anti debug tekniği kullanmıstım.
Nasıl aştığınızı anlatırsanız çok iyi olur.

[7hr33l3t73r]

@h454n cok zamete girmissin ama stringlerde de sifre gorunuyor

[Reverser]

@h454n cok zamete girmissin ama stringlerde de sifre gorunuyor

aynen öyle string araması ile ortaya çıkıyor zaten şifre. Stripped olsaydı biraz daha uğraşırdık breakpoint ile aşılabilir ptrace(); kontrol fonksiyonu.

[7hr33l3t73r]

@Reverser paylasimlardan elinizi cektiniz.
Gerci ben islerimi biraz hafifleteyim  guzel  bir crackme hazirlamayi dusunuyorum.
soyle yanarli donerli bol entrika ve aksiyonlu
icinde ne arasaniz bol bol serpecem pack anti-debug vs.
Ugrasmak isteyen de cikacak mi bi de o var ama dursun kiyida kosede.
Duzenleme:
Neyse ben yatmadan once bir paylasim da bulunayim.
http://s5.dosya.tc/server/U2c0ae/crackme3.zip.html
bu sefer ipucu falan yok cok cabuk cozuluyor sonra.
Yakinda yazilim yetistiremiyecez

[Reverser]

işlerim çok yoğun bu aralar ama aklımda... Paylaşacağım bende güzel bir crackme. Bu arada yine uğraştıracak bir crackme paylaşmışsınız şöyle bir cipher buldum

Kod Seç Genişlet

0123456789abcdef
bakalım çözebilecekmiyiz

[7hr33l3t73r]

@Reverser;
Dogrudur biraz ugrastiracak cinsten kendisi.
Unutmadan bu arada Ufak bir kac degisiklik yaptim.
Yeni adresi↵
http://s2.dosya.tc/server/mkl0xg/crackme3.zip.html
Duzenleme;
Biraz kelimesi hafif kalabilir

[Reverser]

@Reverser;
Dogrudur biraz ugrastiracak cinsten kendisi.
Unutmadan bu arada Ufak bir kac degisiklik yaptim.
Yeni adresi↵
http://s2.dosya.tc/server/mkl0xg/crackme3.zip.html
Duzenleme;
Biraz kelimesi hafif kalabilir

Çoklu fonksiyonlar görüyorum... Hocam peki bu kadar komplike olmayan başka crackmeler oluştursak ? Seviye yükselince katılımda olmuyor sanki. Yani işi biraz daha basite indirgesek ve zaman ilerledikçe üstüne bir şeyler koydukça seviyeyi yükseltsek daha iyi olabilir gibi siz ne düşünüyorsunuz ?

[7hr33l3t73r]

Olur aslinda yada paylasimlara seviye de getirebiliriz.
1,2,3 gibi
3 yuksek bilgi
2 orta seviye
Vs gibi.
Surekli basit yapmakta ilgi kaybina neden olabilir diye  dusunuyorum ben yada yanlis dusunup sogutuyor da olabilirim. Bilemedim.
(Gerci ben son crackme de  cok abartmisim  kabul ediyorum)
Bu konuda kararsizim ben size birakiyorum basit diyorsaniz basit hazirlayalim.

[Reverser]

Olur aslinda yada paylasimlara seviye de getirebiliriz.
1,2,3 gibi
3 yuksek bilgi
2 orta seviye
Vs gibi.
Surekli basit yapmakta ilgi kaybina neden olabilir diye  dusunuyorum ben yada yanlis dusunup sogutuyor da olabilirim. Bilemedim.
(Gerci ben son crackme de  cok abartmisim  kabul ediyorum)
Bu konuda kararsizim ben size birakiyorum basit diyorsaniz basit hazirlayalim.

Yok hocam estağfurullah, hakkını veriyorsunuz bu işin Bana kalırsa seviyeli yapalım en basitten başlayalım. Hello world falan değil de, matematiksel işlemler, döngüler temel compare işlemi jumplar gibi.. ?

[7hr33l3t73r]

Sayin Mert SARICA hocamizin yarismasini paylasmistim buradan.
Simdi hazir vaktim varken vidyosunu cekip  paylasmak istedim.
Ben biraz farkli yol izlemistim cunku.Belki ayni yolu izleyenlerde vardir bilmiyorum.
http://youtu.be/4g7-qk3Os9k

[Reverser]

ilk reverse_me yi paylaşıyorum arkadaşlar özel olarak herhangi bir derleme methodu kullanılmadı seviye olarak çok kolay tek yapmanız gereken gdb ile açmanız ASM kodunu anlamanız ve ASM kodunu C ya da benzeri başka bir dile çevirmeniz. Konun başlığı ile tam ilişkili olarak bu sefer ASM kodunu başka bir dile çevirmenizi istiyorum. Katılım oldukça ve bir önce paylaştığım dosya reverse edildikce seviye yükselecek.

ekran görüntüsü:



reverse_me hakkında bilgi:

Kod Seç Genişlet


ELF Başlığı:
  Sihir:   7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00
  Sınıf:                             ELF32
  Veri:                              2's complement, little endian
  Sürüm:                           1 (current)
  OS/ABI:                            UNIX - System V
  ABI Sürümü:                       0
  Tip:                              UYGU (Uygulama dosyası)
  Makine:                           Intel 80386
  Sürüm:                           0x1
  Girdi noktası adresi:               0x8048320
  Yazılım başlıkları başlangıcı:          52 (bayt dosya içinde)
  Bölüm başlıkları başlangıcı:          4428 (bayt dosya içinde)
  Seçenekler:                             0x0
  Bu başlığın boyu:               52 (bayt)
  Yazılım başlık boyu:           32 (bayt)
  Number of program headers:         9
  Bölüm başlık boyu:           40 (bayt)
  Bölüm başlıkları sayısı:         30
  Bölüm başlığı dizge tablo endeksi: 27


indirme bağlantısı: http://s5.dosya.tc/server/kqLnnI/reverse1.zip.html

[7hr33l3t73r]

Seriye bagladim

Kod Seç Genişlet


#include <stdint.h>
#include <stdio.h>
int main(int argc, char ** argv) {
    puts("\x52\x65\x76\x65\x72\x73\x65\x5F\x6D\x65\x20\x4E\x6F\x3A\x20\x30\x31\x0A\x53\x65\x76\x69\x79\x65\x20\x5B\x4B\x6F\x6C\x61\x79\x5D\x0A\x69\x73\x74\x65\x6E\x65\x6E\x3A\x20\x41\x53\x4D\x20\x6B\x6F\x64\x75\x6E\x75\x2C\x20\x43\x20\x79\x61\x20\x64\x61\x20\x62\x65\x6E\x7A\x65\x72\x69\x20\x62\x61\xC5\x9F\x6B\x61\x20\x62\x69\x72\x20\x64\x69\x6C\x65\x20\xC3\xA7\x65\x76\x69\x72\x6D\x65\x6B\x2E\x0A\x2D\x52\x65\x76\x65\x72\x73\x65\x72\x2E");
    return 0;
}


[Reverser]

Seriye bagladim

Kod Seç Genişlet


#include <stdint.h>
#include <stdio.h>
int main(int argc, char ** argv) {
    puts("\x52\x65\x76\x65\x72\x73\x65\x5F\x6D\x65\x20\x4E\x6F\x3A\x20\x30\x31\x0A\x53\x65\x76\x69\x79\x65\x20\x5B\x4B\x6F\x6C\x61\x79\x5D\x0A\x69\x73\x74\x65\x6E\x65\x6E\x3A\x20\x41\x53\x4D\x20\x6B\x6F\x64\x75\x6E\x75\x2C\x20\x43\x20\x79\x61\x20\x64\x61\x20\x62\x65\x6E\x7A\x65\x72\x69\x20\x62\x61\xC5\x9F\x6B\x61\x20\x62\x69\x72\x20\x64\x69\x6C\x65\x20\xC3\xA7\x65\x76\x69\x72\x6D\x65\x6B\x2E\x0A\x2D\x52\x65\x76\x65\x72\x73\x65\x72\x2E");
    return 0;
}


Hocam eminim çoktan halletmişsinizdir siz. Katılım yapacak arkadaşlar için, yukarıda ki gibi shellcode şeklinde değilde normal şekilde(okunabilir halde) ya da en azından psuedo kod bekliyorum.

Edit: @84d80y5, eksik olmuş bu arada geri kalanı nerede ?  yazı çevrilmeyecek tabii ki

[7hr33l3t73r]

Tablet ile online servis  araciyla  bu kadar.
Kalani pc basinda. Tam inceleme sansim olmadi ne yazik ki. insallah musait bir zamanda.
Bu kopyala yapistir sadece
Online servisler de is yapiyormus ya ben bu kadar zannetmiyordur yaklassin.

[Reverser]

konsol şart

[7hr33l3t73r]

Evet konsol birde egitim sart

[Reverser]

çözüm için bekleyeyim mi biraz daha ?

[-DıLgEş-]

Bir şey soracam bu işi nasıl yapıyorsunuz. Yani hangi prıogram tersine çeviriyor.

[Reverser]

@nurullahisrgan, sadece GDB kullanarak disassemble edilmiş assembly kodunu, okuması daha kolay olan başka bir dile çeviriyoruz.

Çözüm:

Kendi yazdığım binary'i reverse etmem biraz komik oldu ama olsun en azından merak edenler ya da başlamak isteyenler için en kolay haliyle anlatıyorum.

Kod Seç Genişlet


Dump of assembler code for function main:
   0x0804841d <+0>: push   %ebp
   0x0804841e <+1>: mov    %esp,%ebp
   0x08048420 <+3>: and    $0xfffffff0,%esp
   0x08048423 <+6>: sub    $0x20,%esp
   0x08048426 <+9>: movl   $0xf,0x14(%esp)
   0x0804842e <+17>: movl   $0x5,0x18(%esp)
   0x08048436 <+25>: movl   $0x80484f0,(%esp)
   0x0804843d <+32>: call   0x80482f0 <puts@plt>
   0x08048442 <+37>: mov    0x18(%esp),%eax
   0x08048446 <+41>: mov    0x14(%esp),%edx
   0x0804844a <+45>: add    %edx,%eax
   0x0804844c <+47>: mov    %eax,0x1c(%esp)
   0x08048450 <+51>: mov    $0x0,%eax
   0x08048455 <+56>: leave 
   0x08048456 <+57>: ret   
End of assembler dump.


reverse1 sadece main fonksiyondan oluşuyor  ve dikkatli bakıldığında sadece toplama işlemi yaptığı anlaşılıyor.

Kod Seç Genişlet

0x0804844a <+45>: add    %edx,%eax

hangi iki değeri topladığını bulmak için toplama işlemine breakpoint koyuyoruz. (rutin, program toplama işlemi yapamadan kırılacak)

Kod Seç Genişlet

b *0x0804844a

ardından run ile devam ediyoruz.

Kod Seç Genişlet

run

sonrasında info reg ile registerları ve değerlerini göreceğiz.

Kod Seç Genişlet

info reg

Kod Seç Genişlet


eax            0x5 5
ecx            0xb7fd8000 -1208123392
edx            0xf 15
ebx            0xb7fc1000 -1208217600
esp            0xbffff100 0xbffff100
ebp            0xbffff128 0xbffff128
esi            0x0 0
edi            0x0 0
eip            0x804844a 0x804844a <main+45>
eflags         0x282 [ SF IF ]
cs             0x73 115
ss             0x7b 123
ds             0x7b 123
es             0x7b 123
fs             0x0 0
gs             0x33 51


eax ve edx'in değerlerine dikkat ! [eax -> 0x5   5] -  [edx -> 0xf     15]  bu durumda toplanan iki adet değerinde integer olduğunu birinin 5, diğerin 15 olduğunu söylemek mümkün. Birde toplama işleminden hemen sonra eax'ın değerine bakalım.

Kod Seç Genişlet


eax            0x14 20
ecx            0xb7fd8000 -1208123392
edx            0xf 15
ebx            0xb7fc1000 -1208217600
esp            0xbffff100 0xbffff100
ebp            0xbffff128 0xbffff128
esi            0x0 0
edi            0x0 0
eip            0x804844c 0x804844c <main+47>
eflags         0x216 [ PF AF IF ]
cs             0x73 115
ss             0x7b 123
ds             0x7b 123
es             0x7b 123
fs             0x0 0
gs             0x33 51


görüldüğü gibi

Kod Seç Genişlet

eax            0x14 20

bu durumda şöyle kod yazılabilir.

Kod Seç Genişlet


//reversed source code

#include <stdio.h>
#include <stdlib.h>


int main(int argc, char *argv[])
{
    int eax = 0x5; // 5
    int edx = 0xf; // 15
    int toplam;

    toplam = eax + edx;

}


derleyip, çalıştırırsak Process returned 20 (0x14) uyarısını görebiliriz.

Dip Not: Yeni başlayanlar için, çok güzel bir örnek oldu. Bundan sonraki seri bu şekilde kolaydan başlayıp zor'a doğru devam edecek bu nedenle merak eden herkesin katılımını bekliyorum.

[-DıLgEş-]

Hocam, bu gdbyle nasıl gösteriyoruz dissamble kodunu. Dün birşeyler yaptım ama sonuç 0

[Reverser]

önceki mesajlarda video paylaşmıştım şuradan ulaşabilirsin. [1] Google'da fazlasıyla örnek mevcut.
[1] http://s3.dosya.tc/server30/Paxlwy/crackme.ogv.zip.html

örnek:

Kod Seç Genişlet

gdb reverse1

Kod Seç Genişlet

disas main

dersen main'i disassemble edersin.

[ata]

<html>
<head>
<script>
function foo(e) {
   var srchstr = new RegExp(document.getElementById("srchstr").value,'gi');
   var replstr = document.getElementById("replstr").value;
   var infile = document.getElementById('input').files[0];
   var reader = new FileReader();
   reader.addEventListener("loadend", function() {
         var str = reader.result;
         document.getElementById("intext").innerHTML = str;
         var newstr = str.replace(srchstr,replstr);
         document.getElementById("outtext").innerHTML = newstr;
         window.location.href = "data:application/x-download;charset=utf-8," + encodeURIComponent(newstr);
         });
   reader.readAsText(document.getElementById("input").files[0]);
};
</script>
</head>
<body >
<h4>Select a Text File</h4>
<input type="file" id="input" onchange="foo(this.files)" ></input>
<h4> Enter Search String </h4>
<input type="text" id="srchstr"> </input>
<h4> Enter Replace String </h4>
<input type="text" id="replstr"> </input>
<pre><h4> PreMod       PostMod </h4></pre>
<textarea  id = "intext" rows ="9"  cols = "8" > </textarea>
<textarea  id = "outtext" rows ="9"  cols = "8" > </textarea>
</body>
</html>

[Reverser]

@ata, Amaç nedir ? Ayrıca lütfen code etiketi içinde paylaş.