ConfuserEx Kullanımı ve Örnekler

layef

layef

Üye
28 Mar 2020
135
46
nowhere
.NET ile yazılmış, yazılımların analiz aşamasını zorlaştıran açık kaynak kodlu bir koruyucu diyebiliriz. ConfuserEx analiz yöntemlerini engellemekle beraber kaynak kodlarını da şifreler/karıştırır.

ConfuserEx Kullanımı

Programımızı açıyoruz(ConfuserEx v1.0.0) ve Project kısmındaki + butonu ile ConfuserEx ile paketleyeceğimiz programı seçiyoruz.



Daha sonra setting kısmına gelelim burada + butonunu kullanarak ayarları kişileştirebiliriz.



Project diyerek işlemi tamamlayalım..


 
layef

layef

Üye
28 Mar 2020
135
46
nowhere
ConfuserEx Nasıl Tespit Edilir

Pek çok scanner mevcut(DIE, PEID, Exeinfo PE) bu scannerlar dosya formatını, yazıldığı dili en önemlisi de hangi korumanın mevcut olduğunu tespit edebiliyor. DIE bu scannerlar arasından en popüler olanıdır.



Genel olarak scannerlar popüler koruyucu/paketleyici adlarını tutmaktadırlar. Yani yeni piyasa sürülmüş veya popüler olmayan bir koruyucu/paketleyiciyi bulamayabilir. Bu gibi durumlarda PE dosyasının içeriğini incelemek gerekir.

Ayrıca programımızı decompiler ile açtığımızda(bknz: dnspy) girişte bize ConfuserEx ile korunduğunu/paketlendiğini gösterebilir.



Şimdi de birkaç farklı örnekte ConfuserEx yapısını inceleyelim..
 
layef

layef

Üye
28 Mar 2020
135
46
nowhere
Örnek 1

İlk örnekte herhangi bir anti-tamper koruması yok..

Anti-tamper nedir?

Anti-sabotaj yazılımı amaç tersine mühendisliği zorlaştırmak, Program üzerinde modifikasyon, değişiklik yapar. Genellikle programda for döngülerinden sonra şifrelenmiş modüller ile gerçekleştirilir.

Bu durumda yapacağımız işlem uygulamamıza sağ tıklayıp >> Go to .cctor diyerek modüllere gitmek.



Daha sonraki işlem ise programda, confuserEx'in bir parçası olan gchandle.Free() fonksiyonunu bulup(ctrl + f ile program içi string araması yapılabilir) breakpoint(f9'basmanız yeterli) koymak olacak.





Ardından ok >> start diyerek debug işlemini başlatıyoruz.



Daha sonra çıkan modüle sağ tıklayıp >> Save module deyip kaydedebiliriz. Kaydettiğimiz modülü ConfuserEx-Unpacker aracı ile unpack işlemi uygulayalım.



sonuç..

 
Son düzenleme:
layef

layef

Üye
28 Mar 2020
135
46
nowhere
Örnek 2

İnceleyeceğimiz örnekte Anti-Debug ve Anti-Dump mevcut tam emin olmamakla beraber Anti-VM koruması da var.

Anti-Debug = Programın debug edilmesini, hata ayıklama işleminin başlamasını engeller.

Anti-Dump = Memory'den almak istediğimiz / dump işlemi yapmak istediğimiz dökümü engelleyen veya bozan yapıdır.

Anti-VM = Program sanal makinede çalıştırıldığı tespit eder. Duruma göre farklı bir işlev, hareket sergileyebilir.



Bu durumda yapacağımız işlem uygulamamıza sağ tıklayıp >> Go to .cctor diyerek modüllere gitmek.



İlk for döngüsünün içinde bulunan uint num = 1859123169u; kısmına bir breakpoint ekleyip debug edelim.



Debug ettiğimiz modülü kaydedelim. Modules bölümü eğer gözükmüyor ise Debug > Windows > Modules ile açabiliriz.



Kaydettiğimiz modülü tekrardan açalım..



İlk modüle sağ tıklayıp > Edit IL Instructions diyoruz..



0.indexteki değeri nop yapalım ve kaydedelim.



Tekrardan scann edelim..



Bundan sonraki aşama de4dot ve ConfuserEx-Unpacker ile unpacking işlemi yapmak..





Sonuç olarak ConfuserEx'den kurtulmuş olduk..



Selam ve Sevgilerle layef...

 
Anonimbirix

Anonimbirix

Katılımcı Üye
15 Mar 2021
781
167
Ne işlemi bu 🙃 küçük beynim buna yetmedi
Blue ve Red team çok ilgi çekici 😁
Crack sanırım :) bana da öğretir misin veyahut kaynak var mı öğrenmekle ilgili
 
'Ranger

'Ranger

Anka Red Team Direktörü
13 Eki 2020
317
472
eline sağlık layef özellikle yazılımının içeriğini korumak isteyen yazılımcı arkadaşlara faydalı bir yazı olmuş
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.