🔥

Тред #2


По результатам опроса по реверсу он вышел на третье место в абсолютном количестве проголосовавших за. Сорри тем, кто за продукт :) Но сегодня про реверс будет)

Первые деньги я как раз заработал на реверсе в студенчестве. Когда какой-то неназываемый нам западный заказчик просил повторить алгоритмы шифрования одного известного другого продукта. Извините, тут имена компаний не всегда будут :)

После успеха проекта (когда заказчики удивлялись как мы https перехватывали) под виндой, нас попросили повторить это на маках. Это был мой первый мак, тогда я не знал, что это, и в России их не было почти. Power G4. Маки нам выдали и проект сразу закрыли :)

В целом мы действовали достаточно топорно, в ход шли подмены kernel32.dll прямо в системе, тогда они не подписывались. Так можно было всё логгировать. Правда иногда винда переставала запускаться после такого.

Потом мы начали заниматься расшифровкой истории всех популярных мессенджеров, как раз для того, чтобы у преступников с компьютера можно было быстро вытащить всю переписку.

Были простые случаи хранения истории: вообще без шифрования, шифрование паролем пользователя и др. Но самое крутое, когда ключ шифрования хранился на сервере и получался при логине. Там было сложнее всего.

В этом кстати кейсе я помню несколько сотен ассемблерного кода. После длительного анализа я выяснил, что он просто ничего не делает. Совсем. Такое знакомство с обфускацией)

Инструменты были простые IDA Pro и какой-нибудь хороший хекс-редактор. Ну и конечно wireshark (tcpdump). За 10-15 лет, думаю, всё поменялось, конечно.

Про хранение ключа шифрования локальной истории на сервере кстати, дам хоть одно название :) Это был QQ. Остался вот такой приятный артефакт: belkasoft.com/download/info/…