eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Medsft, forever_ (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› SMS Activator
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: 1.0 (гость)
Статус: Участник

Создано: 16 июня 2008 20:03 New!
Цитата · Личное сообщение · #1

Братцы, кто-нибудь сталкивался с такой вещицей. Производители пишут самая лучшая защита. Есть какие-либо мысли....


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 16 июня 2008 20:12 New!
Цитата · Личное сообщение · #2

смсактиватор - если это о чем я думаю, то это самопальный враппер на манер невософта

Ранг: 33.7 (посетитель)
Статус: Участник

Создано: 16 июня 2008 21:27 New!
Цитата · Личное сообщение · #3

не бывает ничего неломаемого,наши братья ломают все что не что попадается под руку.а смс активатор полная хрень-отправь смс,а то я не включусь...


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 16 июня 2008 22:18 · Поправил: KingSise New!
Цитата · Личное сообщение · #4

Хе, разобрался. Вывод: говнософт... Какой то новый говнопротектор, с хитрожопой активацыей. Скорее всего все сведется к тому, что понадобится всего одна пара/один код и софт будет заломан...



--> Описание <-- http://smsactivator.com/descripton

Ранг: 441.1 (мудрец)
Статус: Участник

Создано: 16 июня 2008 22:30 · Поправил: tihiy_grom New!
Цитата · Личное сообщение · #5

del


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 17 июня 2008 01:16 · Поправил: KingSise New!
Цитата · Личное сообщение · #6

Зарегестрировал порогу и активировал... При запуске отсылаются данные компа:

HardwareID 4C48BA440129B

s_language russian
TheApp 1027
FS CMKvEMKsDJPXDZG
ModeID 83290654983876501



и вот сюда еще конфа уходит: www.google-analytics.com/


Сам протект это запихивание покоцаного файла в оверлэй, который вроде как шифруется...

Ранг: 441.1 (мудрец)
Статус: Участник

Создано: 17 июня 2008 03:44 · Поправил: tihiy_grom New!
Цитата · Личное сообщение · #7

del


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 17 июня 2008 03:46 New!
Цитата · Личное сообщение · #8

*********
Снятие этой хрени: тут все просто вроде, защищенный файл создает чистый процесс через CreateProcess (Activator.exe:client.exe), который можно сдампить.... только пот как остановиться на ОЕП в нем - хз... Как подобное вообще делают то?

Ранг: 441.1 (мудрец)
Статус: Участник

Создано: 17 июня 2008 03:48 New!
Цитата · Личное сообщение · #9

кинь сюда один файлик запротекченый


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 17 июня 2008 04:15 New!
Цитата · Личное сообщение · #10

в архиве оригенал и запротекченный.... Порогу протектил ту, что первая подруку попалась, так что без отжигов

Вес 1.5 Метра --> Power.rar <-- http://rapidshare.com/files/122970191/Power.rar

Ключег для активации вроде как такой: zQzZTQzZGU3MTYzM


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 17 июня 2008 08:28 New!
Цитата · Личное сообщение · #11

KingSise пишет:
Снятие этой хрени: тут все просто вроде, защищенный файл создает чистый процесс через CreateProcess (Activator.exe:client.exe), который можно сдампить.... только пот как остановиться на ОЕП в нем - хз... Как подобное вообще делают то?


Прогу не смотрел, но если как в говнокрипторах сделано, то я делаю так, смотрю когда создается чистый процесс, потом должна идти запись в память чистого процесса, вот тут останавливаешься и смотришь откуда и куда идет запись, ищешь MZ, потом PE заголовок, прибавляешь вроде 28h, видим dword=EP, прибавляем адрес по которому должны записаться данные в процесс, получаем OEP. Пускаем прогу до ResumeThread и на нем останавливаемся. Запускаем прогу PUPE 2002 Suite, выбираем наш дочерний процесс, жмем patch, N? bytes оставляем равным одному, так как будем патчить один байт, в Direction: вписываем полученый OEP, жмем search, запоминаем первый байт OEP, To change by ставим CCh и патчим. Ставим ольку отладчиком по умолчанию, в родительском процессе проходим ResumeThread и т.к. в дочернем записали int 3, получаем исключение, всплывает отладчик по умолчанию, прямо на OEP, меняем первый байт на место, дальше по накатанной, дамп и восстановление импорта. Вроде все.

Ранг: 617.3 (!)
Статус: Участник

Создано: 17 июня 2008 11:16 · Поправил: Vovan666 New!
Цитата · Личное сообщение · #12

гы, а я тупо поставил бряк на
00429826 CALL <JMP.&kernel32.CreateProcessA>
и переправил его на
push C:\123.exe
push eax
Call CopyFileA


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 17 июня 2008 11:47 New!
Цитата · Личное сообщение · #13

Vovan666
Че то я тебя не понял
Я говорил про создание приостановленного процесса, запись в него, потом возобновление процесса и наконец его дамп.

А ты про что?!

Vovan666 пишет:
поставил бряк на
00429826 CALL <JMP.&kernel32.CreateProcessA>
и переправил его на
push C:\123.exe
push eax
Call CopyFileA


Какой в этом всем смысл, если у тебя на входе уже готовый файл (распакованый), можно просто посмотреть где он находится и скопировать его из проводника Можно даже в отладчик не заходить.

Ранг: 617.3 (!)
Статус: Участник

Создано: 17 июня 2008 12:31 New!
Цитата · Личное сообщение · #14

Flint пишет:
Прогу не смотрел

Flint пишет:
Какой в этом всем смысл, если у тебя на входе уже готовый файл (распакованый)


он запускается как-то по идиотски createprocess запускает С:\4-protected2.exe:ext-dll.com.bat.exe и в проводнике его не видно.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 17 июня 2008 12:37 New!
Цитата · Личное сообщение · #15

почему по-идиотски, просто юзаются NTFS потоки

Ранг: 38.0 (посетитель)
Статус: Участник

Создано: 17 июня 2008 12:45 · Поправил: ne0n New!
Цитата · Личное сообщение · #16

Vovan666 ну дык потомучто это файловый поток) заюзать можно NTFS Stream Explorer для всяких манипуляций с ними, но твой способ имхо лучше
Hellspawn опередил)


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 17 июня 2008 12:46 New!
Цитата · Личное сообщение · #17

Vovan666 беру слова обратно
Все, глянул точна NTFS потоки.
Тогда вопрос: где-то я читал что файл, внутри которого NTFS поток (х.з. правильно выразился или нет) нельзя
просто скопировать с компа на комп. Необходимо сжать архиватором типа rar, с опцией "Ñоîõðàíÿòü ôàéëîâûå ïîòîêè". Как в таком случае работает эта программа?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 17 июня 2008 12:49 New!
Цитата · Личное сообщение · #18

Hellspawn пишет:
просто юзаются NTFS потоки

Хм .. если к примеру у меня ХР на фат ?

Ранг: 441.1 (мудрец)
Статус: Участник

Создано: 17 июня 2008 13:05 New!
Цитата · Личное сообщение · #19

pavka
Она не запускается, если Fat стоит


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 17 июня 2008 13:09 New!
Цитата · Личное сообщение · #20

Есть у меня прога False Bottom. Кому нужно кинул сюда dump.ru/file_catalog/665243

Из описания:
Файловая система NTFS поддерживает возможность существования нескольких потоков информации внутри одного файла. Такая возможность была задумана разработчиками для добавления дополнительных данных к существующему файлу без реструктуризации файловой системы, однако эта возможность остается слабо документированной и редко используемой. Чаще всего скрытые файловые потоки используются для различного рода хакерских атак, поскольку позволяют незаметно размещать на атакуемой машине различную информацию, в том числе и инструменты для взлома системы. Незаметность скрытой информации объясняется тем, что даже в самой операционной системе Windows нет штатных средств для обнаружения, просмотра и манипулирования дополнительными потоками информации в файлах (хотя некоторые утилиты командной строки все-таки позволяют в ограниченном виде получать к ней доступ). Скрытые в дополнительном потоке данные не влияют даже на отображаемый размер файла, и в небольшом по размеру файле может быть спрятана информация, многократно превышающая его по объему.
Описанные свойства файловой системы NTFS дают прекрасную возможность достаточно наждежно скрыть от посторонних глаз секретную информацию. Конечно, речь не идет об абсолютной секретности, но использование дополнительных потоков для сокрытия данных на порядок надежнее, чем установка атрибута "скрытый" (к тому же, скрывать можно и зашифрованные данные). Неудобным моментом является невозможность копирования дополнительных потоков на диски с файловой системой, отличной от NTFS. Например, при переносе файла со скрытой информацией на флэш-накопитель (файловая система FAT) дополнительный поток будет утерян. Второй сложностью является то, что программ для работы с дополнительными файловыми потоками NTFS существует очень мало. При этом большинство из них позволяют лишь обнаруживать наличие дополнительных потоков и удалять их из файла. Данное обстоятельство и послужило причиной написания программы "False Bottom".

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 17 июня 2008 13:26 New!
Цитата · Личное сообщение · #21

Flint пишет:
Например, при переносе файла со скрытой информацией на флэш-накопитель (файловая система FAT) дополнительный поток будет утерян

Архивируй раром ни че не потеряешь tihiy_grom пишет:
Она не запускается, если Fat стоит

ну понятно что не запустится стрнно мож разрабы не в курсе что фат еще юзается


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 17 июня 2008 13:30 New!
Цитата · Личное сообщение · #22

Все добил эту защиту вконец
Другая прога: FileAlyzer, позволяет показывать и извлекать все файловые потоки
В защищенном файле их два:
1) Пароль в открытом виде
2) Чистый защищаемый файл


Ранг: 95.2 (постоянный)
Статус: Участник

Создано: 17 июня 2008 16:24 New!
Цитата · Личное сообщение · #23

И какой был смысл авторам писать "что наш протектор" круче чем йаицо?
раз все так просто


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 17 июня 2008 17:43 · Поправил: KingSise New!
Цитата · Личное сообщение · #24

FileAlyzer

Описание: FileAlyzer - это инструмент анализа файлов. FileAlyzer помогает провести простой анализ файлов (выводя их содержимое в виде 16-ричного дампа) и интерпретировать общее содержимое файлов вроде ресурсов (текст, графика, HTML, мультимедия и PE). Пользоваться FileAlyzer-ом не сложнее чем обычным окном "Свойства файла": щелкните правой кнопкой по нужному файлу и выберите пункт Open in FileAlyzer (открыть в FileAlyzer). Какую бы вкладку FileAlyzer-а Вы не просматривали, всегда есть кнопка Jump (Перейти), открывающая Проводник с тем файлом, который выбран в данный момент. FileAlyzer не нуждается в конфигурировании (всё, что вы можете, это инсталлировать и деинсталлировать его), и не должен конфликтовать с другими программами. www.softholm.com/link/modules.php?name=Downloads&d_op=getit&lid=7956

************

Vovan666 пишет:
push C:\123.exe
push eax
Call CopyFileA


так вроде в защищенном файле не было вызовов CopyFileA...



KingSise пишет:
1) Пароль в открытом виде


ну оно понятно, я ж программу активировал А ты попробуй без пароля rapidshare.com/files/123097977/4-protected2.rar

Ранг: 617.3 (!)
Статус: Участник

Создано: 17 июня 2008 17:52 New!
Цитата · Личное сообщение · #25

KingSise пишет:
так вроде в защищенном файле не было вызовов CopyFileA


Зато были вызовы LoadLibraryA и GetProcAddress.
Хотя наверное можно было и напрямую сделать Call 7C8286D6


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 17 июня 2008 18:06 · Поправил: KingSise New!
Цитата · Личное сообщение · #26

Vovan666 пишет:
можно было и напрямую сделать


ну с фтим я разобрался, только у меня всеравно файл не создается что то...


стек:
0012FE84 009E1650 |ExistingFileName = "C:\!WZLOM\PowerWMZ\4-protected.exe:ext-dll.com.bat.exe"
0012FE88 009E1710 |NewFileName = "C:\123.exe"
0012FE8C 00000000 \FailIfExists = FALSE



Ранг: 617.3 (!)
Статус: Участник

Создано: 17 июня 2008 19:53 New!
Цитата · Личное сообщение · #27

Да, что-то там мудрёно, только что попробовал, получилось только с 3-го раза, и то оригинал запускал на диске Е: (НТФС), а копию сделал на С: (ФАТ), если с Е на Е, то почему-то не получается.


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 18 июня 2008 02:15 New!
Цитата · Личное сообщение · #28

Vovan666, хе-хе, с FAT такая шутука проканала, тестил на фат16... На NTFS - нифега, порога запускается в режиме регистрации...

З.Ы. В принцепе тему мужно считать закрытой... Без ключика ничего не сделать, криптостойко однако... С ключегом - анпачиццо... В общем можно писать универсальный расспаковщик


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 18 июня 2008 03:10 New!
Цитата · Личное сообщение · #29

pavka пишет:
ну понятно что не запустится стрнно мож разрабы не в курсе что фат еще юзается


Ну так они и предупреждают сразу:



Только нах нужно ради какой-то программы диски форматить? Да и вообще если подобным образом софт протектить, то вряд ли его кто будет покупать, фактически это кот в мешке. Мошенники быстро просекут тему и начнут "крякеры интернета" продавать... Но об эффективности этого метода рассуждать не стоит, это уже отдельная тема...

support.microsoft.com/kb/314097/ru


Ранг: 467.7 (мудрец)
Статус: Участник
Иной :)

Создано: 18 июня 2008 09:49 New!
Цитата · Личное сообщение · #30

KingSise
Зачем винты форматировать? На флеху скинул и там уже выдирай. Флешки то у всех наверное в фате?
Ну или в конце концов Утилю с НТФС потоками набросать или вон из перечисленого в этом топике взять можно что то.
. 1 . 2 . >>
 eXeL@B —› Основной форум —› SMS Activator

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS