В общем есть демонстрационная книжка запакованная SecureBook II Pro.
В отличие от прошлых версий - тут есть драйвер.
ID я смог подменить. а вот выдрать распакованный exe не получилось. Вроде как, там распаковывается exe упакованный Aspack'ом и dll. В обход драйвера скопировал эти файлы и сдампил их PETools. Но файлы не рабочие =( . Такое ощущение, что драйвер нужен не только для скрытия процесса, хотя х.з.
Electrod Ну и нафиг тебе рабочий экзе??? там тока файл ( без длл ). Дравер юзается для сокрытия процесса, хуков клавы и защита от скриншотеров. Чтобы файл был рабочий надо убрать антидамп...
Кури дальше...
P.S. Откуда этот пример у тебя???
To all: Вот этот пример который я ковырял пол-года назад, но теперь это уже не секрет...
RSI Насчет антидампа буду думать. я так и догадывался, что распаковывается из книги exe , да еще и dll потом.
Это пример мне дал KingSise .
так а что этот пример - приватный какой-то?
у тебя получалось выдирать рабочий exe ?
pushick Если уже идти на чистоту - то проще занопить функцию загрузки драйвера, это ОГРОМНЫЙ минус - причем никаких проверок на то что драйвер стартовал нету, и все будет прекрасно дальше работать. можно идти как по накатанной с обычным старым SB , ну тока потом антидамп убрать.
Предлагаю аффтару написать 10 разных драйверов которые будут хукать все что нужно и что ненужно самыми разными способами. Тогда будет еще больше бсодов, а сталобыть еще круче защита А вобще, драйвер этот есть чистый руткит. Афтара пора судить за создание и распостранение вредоносных программ, ибо все призднаки вредоносности на лицо.
Ничего, мы тут смеемся, а когда нибудь версия SecureBookXIPro будет содержать движок дизассемблера, учтёт все места которые можно занопить и будет сканировать собственный код на предмет нопов ! Только вставишь ноп - получишь дополнительный незапланированный bsod.
Да уж, давно я смотрел на пример SB II Pro, кое-что изменилось за пол-года, так что не стоит так радоваться.
Итак, новшевства:
1) Если снести функцию загрузки драйвера, то книга не запустится ( хотя будет висеть в памяти ).
2) Теперь юзается дизасмовский движок для создания переходников на важные функции ( такие как MessageBoxA, CreateProcessA, WriteProcessMemory, и т.д. )
3) Спертое OEP теперь не лежит в открытом виде и пишется сразу блоком ( 50 байт ), а не в цикле по байту.
Антидамп (был раньше в SB II и не изменился) + остальное вроде бы тоже осталось по старому...
Можно сказать, что защита на порядок улучшилась и автор молодец, что продолжает хоть как-то вносить перемены в нашу жизнь
Если обойти все ЭТО, то получим распакованный вариант книги
Electrod пишет:
В общем есть демонстрационная книжка запакованная SecureBook II Pro.
Досадно, что Автор совершенно не заботится о совместимости приложений. Заставлять пользователя отключать фаервол (и, наверняка, проактивку - проверить не могу из-за отсуствия таковой) - не есть гуд.
Драйвер улыбнул
pushick пишет:
это все можно убрать антируткитом.
Видимо - версией старше четвёрки? Третья перехват в IDT на Int 03h не снимает.
Ну значит не все Действительно проще отрубить загрузку драйвера, да и с драйвером ничего в принципе не мешает дампу. В любом случае автор написал самую настоящую вредоносную программу
----- Security through obscurity is just an illusion
Спасибо всем кто откликнулся. я вообще убирал хуки RkUnhooker. или просто в касперыче при проактивке запрещал загрузку драйвера. тогда книга просто весит в памяти и не грузится. Можно запустить еще книгу с диска, тогда загрузятся оба варианта.
RSI Пасибо за пример ,пошел курить.
п.с. В файле который я выдрал 127 отличий от твоего ...
Да, автора жаль... Вот скоро и статья появится... По соотношению времени написания новой версии и её взлома крякеры опять впереди... Ломать не строить...
А чего жалеть автора, ему придется улучшать защиту, и если он это будет делать хорошо, то все меньше и меньше крякеров смогут взламывать защиту... Ну а конечные лицензионные пользователи от этого только выиграют.
RSI Писать еще один мусор на тему где поставить бряк? Зачем? Защита там какая была, такая и осталась, ничего кардинального в ней не поменялось. Если знать правильную пару, все можно спокойно подменить. Если же под статьей подразумевается обзор используемых SecureBook техник: "Блокировка клавиатуры", "запрет копирования в буфер", снятие скриншотов, антидамп и т.д. то это уже интересней.