В общем есть демонстрационная книжка запакованная SecureBook II Pro.
В отличие от прошлых версий - тут есть драйвер.

ID я смог подменить. а вот выдрать распакованный exe не получилось. Вроде как, там распаковывается exe упакованный Aspack'ом и dll. В обход драйвера скопировал эти файлы и сдампил их PETools. Но файлы не рабочие =( . Такое ощущение, что драйвер нужен не только для скрытия процесса, хотя х.з.

Люди, помогите выдрать рабочий exe.


7a96_01.11.2007_CRACKLAB.rU.tgz - SecureBookIIPro.rar

| Сообщение посчитали полезным:

Electrod
Ну и нафиг тебе рабочий экзе??? там тока файл ( без длл ). Дравер юзается для сокрытия процесса, хуков клавы и защита от скриншотеров. Чтобы файл был рабочий надо убрать антидамп...

Кури дальше...

P.S. Откуда этот пример у тебя???

To all: Вот этот пример который я ковырял пол-года назад, но теперь это уже не секрет...

| Сообщение посчитали полезным:

Дался вам этот секур бук Автора совсем извели уже, он же волнуется.

| Сообщение посчитали полезным:

RSI
Насчет антидампа буду думать. я так и догадывался, что распаковывается из книги exe , да еще и dll потом.
Это пример мне дал KingSise .
так а что этот пример - приватный какой-то?
у тебя получалось выдирать рабочий exe ?

Ara
просто интересно =) хочется вырвать exe .

| Сообщение посчитали полезным:

Electrod пишет:
хочется вырвать exe

Счас не дома! Вечером вышлю распакованный....

| Сообщение посчитали полезным:

да, автор действительно защиту улучшил - BSOD, после которого дальнейшее желание смотреть это творение отпадает.

| Сообщение посчитали полезным:

RSI пишет:
Вот этот пример который я ковырял пол-года назад, но теперь это уже не секрет...

Ну это вроде как новенький пример...

RSI пишет:
надо убрать антидамп...

неполучаеццо... Ты отключить его смог?

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise
Я писал библу которая его исправляла ( ни кто ведь приватные статические анпакеры для SB не запрещал )

| Сообщение посчитали полезным:

Аффтар защиты перехватил NtOpenProcess / NtQueryDirectoryFile в SSDT и поставил перехват в IDT на Int 03h, это все можно убрать антируткитом.

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

pushick
Если уже идти на чистоту - то проще занопить функцию загрузки драйвера, это ОГРОМНЫЙ минус - причем никаких проверок на то что драйвер стартовал нету, и все будет прекрасно дальше работать. можно идти как по накатанной с обычным старым SB , ну тока потом антидамп убрать.

| Сообщение посчитали полезным:

Ara пишет:
Автора совсем извели уже, он же волнуется.

Уже наверное пишет второй драйвер который будет следить за тем, что бы не обманули первый...

| Сообщение посчитали полезным:

ToBad пишет:
Уже наверное пишет второй драйвер который будет следить за тем, что бы не обманули первый...

Ога, придеццо нопить уже 2 места, бугого

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Предлагаю аффтару написать 10 разных драйверов которые будут хукать все что нужно и что ненужно самыми разными способами. Тогда будет еще больше бсодов, а сталобыть еще круче защита
А вобще, драйвер этот есть чистый руткит. Афтара пора судить за создание и распостранение вредоносных программ, ибо все призднаки вредоносности на лицо.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Ничего, мы тут смеемся, а когда нибудь версия SecureBookXIPro будет содержать движок дизассемблера, учтёт все места которые можно занопить и будет сканировать собственный код на предмет нопов ! Только вставишь ноп - получишь дополнительный незапланированный bsod.

| Сообщение посчитали полезным:

ToBad пишет:
Ничего, мы тут смеемся, а когда нибудь версия SecureBookXIPro будет содержать движок дизассемблера
она уже содержит движок дизассемблера

| Сообщение посчитали полезным:

аффтар секиры мудаг, приклеел бсодогенератор, который практически не мешаед отладке...
п.с. а ольго тормозит по жести...+)

| Сообщение посчитали полезным:

Да уж, давно я смотрел на пример SB II Pro, кое-что изменилось за пол-года, так что не стоит так радоваться.

Итак, новшевства:

1) Если снести функцию загрузки драйвера, то книга не запустится ( хотя будет висеть в памяти ).
2) Теперь юзается дизасмовский движок для создания переходников на важные функции ( такие как MessageBoxA, CreateProcessA, WriteProcessMemory, и т.д. )
3) Спертое OEP теперь не лежит в открытом виде и пишется сразу блоком ( 50 байт ), а не в цикле по байту.

Антидамп (был раньше в SB II и не изменился) + остальное вроде бы тоже осталось по старому...

Можно сказать, что защита на порядок улучшилась и автор молодец, что продолжает хоть как-то вносить перемены в нашу жизнь

Если обойти все ЭТО, то получим распакованный вариант книги

rapidshare.com/files/66809857/unpacked_.rar.html

| Сообщение посчитали полезным:

Electrod пишет:
В общем есть демонстрационная книжка запакованная SecureBook II Pro.

Досадно, что Автор совершенно не заботится о совместимости приложений. Заставлять пользователя отключать фаервол (и, наверняка, проактивку - проверить не могу из-за отсуствия таковой) - не есть гуд.
Драйвер улыбнул

pushick пишет:
это все можно убрать антируткитом.

Видимо - версией старше четвёрки? Третья перехват в IDT на Int 03h не снимает.

| Сообщение посчитали полезным:

Gideon Vi

Ну значит не все
Действительно проще отрубить загрузку драйвера, да и с драйвером ничего в принципе не мешает дампу. В любом случае автор написал самую настоящую вредоносную программу

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

этот пример мне тож дали. особо понравилось nop драйвера. ну чего мылим антивирусникам о рутките

| Сообщение посчитали полезным:

Спасибо всем кто откликнулся. я вообще убирал хуки RkUnhooker. или просто в касперыче при проактивке запрещал загрузку драйвера. тогда книга просто весит в памяти и не грузится. Можно запустить еще книгу с диска, тогда загрузятся оба варианта.

RSI
Пасибо за пример ,пошел курить.

п.с. В файле который я выдрал 127 отличий от твоего ...

| Сообщение посчитали полезным:

чего то аттач не присоединяется.

ca7d_02.11.2007_CRACKLAB.rU.tgz - byte.txt

| Сообщение посчитали полезным:

Ну че писать статью по распаковке нового SecureBook

| Сообщение посчитали полезным:

RSI обязательно писать!

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

RSI
Да, очень нужная вещь будет!

| Сообщение посчитали полезным:

Да, автора жаль... Вот скоро и статья появится... По соотношению времени написания новой версии и её взлома крякеры опять впереди... Ломать не строить...

| Сообщение посчитали полезным:

А чего жалеть автора, ему придется улучшать защиту, и если он это будет делать хорошо, то все меньше и меньше крякеров смогут взламывать защиту... Ну а конечные лицензионные пользователи от этого только выиграют.

| Сообщение посчитали полезным:

tempread пишет:
то все меньше и меньше крякеров смогут взламывать защиту...

и все больше и больще будут постить запросы на распаковку

| Сообщение посчитали полезным:

RSI
Писать еще один мусор на тему где поставить бряк? Зачем? Защита там какая была, такая и осталась, ничего кардинального в ней не поменялось. Если знать правильную пару, все можно спокойно подменить. Если же под статьей подразумевается обзор используемых SecureBook техник: "Блокировка клавиатуры", "запрет копирования в буфер", снятие скриншотов, антидамп и т.д. то это уже интересней.

| Сообщение посчитали полезным:

seeq
Ну наверное ты прав.

| Сообщение посчитали полезным: