Сейчас на форуме: subword, rtsgreg1989, zds, _MBK_ (+6 невидимых)

 eXeL@B —› Основной форум —› SecureBook II Professional
. 1 . 2 . 3 . >>
Посл.ответ Сообщение

Ранг: 24.5 (новичок)
Активность: 0.010
Статус: Участник

Создано: 01 ноября 2007 16:33
· Личное сообщение · #1

В общем есть демонстрационная книжка запакованная SecureBook II Pro.
В отличие от прошлых версий - тут есть драйвер.

ID я смог подменить. а вот выдрать распакованный exe не получилось. Вроде как, там распаковывается exe упакованный Aspack'ом и dll. В обход драйвера скопировал эти файлы и сдампил их PETools. Но файлы не рабочие =( . Такое ощущение, что драйвер нужен не только для скрытия процесса, хотя х.з.

Люди, помогите выдрать рабочий exe.


7a96_01.11.2007_CRACKLAB.rU.tgz - SecureBookIIPro.rar



Ранг: 284.8 (наставник), 6thx
Активность: 0.150
Статус: Участник

Создано: 01 ноября 2007 17:37
· Личное сообщение · #2

Electrod
Ну и нафиг тебе рабочий экзе??? там тока файл ( без длл ). Дравер юзается для сокрытия процесса, хуков клавы и защита от скриншотеров. Чтобы файл был рабочий надо убрать антидамп...

Кури дальше...

P.S. Откуда этот пример у тебя???

To all: Вот этот пример который я ковырял пол-года назад, но теперь это уже не секрет...




Ранг: 1288.1 (!!!!), 273thx
Активность: 1.290
Статус: Участник

Создано: 01 ноября 2007 17:43
· Личное сообщение · #3

Дался вам этот секур бук Автора совсем извели уже, он же волнуется.



Ранг: 24.5 (новичок)
Активность: 0.010
Статус: Участник

Создано: 01 ноября 2007 18:01
· Личное сообщение · #4

RSI
Насчет антидампа буду думать. я так и догадывался, что распаковывается из книги exe , да еще и dll потом.
Это пример мне дал KingSise .
так а что этот пример - приватный какой-то?
у тебя получалось выдирать рабочий exe ?

Ara
просто интересно =) хочется вырвать exe .



Ранг: 284.8 (наставник), 6thx
Активность: 0.150
Статус: Участник

Создано: 01 ноября 2007 18:10
· Личное сообщение · #5

Electrod пишет:
хочется вырвать exe


Счас не дома! Вечером вышлю распакованный....




Ранг: 105.9 (ветеран)
Активность: 0.060
Статус: Участник

Создано: 01 ноября 2007 18:13
· Личное сообщение · #6

да, автор действительно защиту улучшил - BSOD, после которого дальнейшее желание смотреть это творение отпадает.




Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

Создано: 01 ноября 2007 18:16
· Личное сообщение · #7

RSI пишет:
Вот этот пример который я ковырял пол-года назад, но теперь это уже не секрет...


Ну это вроде как новенький пример...

RSI пишет:
надо убрать антидамп...


неполучаеццо... Ты отключить его смог?

-----
-=истина где-то рядом=-




Ранг: 284.8 (наставник), 6thx
Активность: 0.150
Статус: Участник

Создано: 01 ноября 2007 18:19
· Личное сообщение · #8

KingSise
Я писал библу которая его исправляла ( ни кто ведь приватные статические анпакеры для SB не запрещал )



Ранг: 117.1 (ветеран)
Активность: 0.050
Статус: Участник

Создано: 01 ноября 2007 18:28
· Личное сообщение · #9

Аффтар защиты перехватил NtOpenProcess / NtQueryDirectoryFile в SSDT и поставил перехват в IDT на Int 03h, это все можно убрать антируткитом.

-----
Security through obscurity is just an illusion




Ранг: 284.8 (наставник), 6thx
Активность: 0.150
Статус: Участник

Создано: 01 ноября 2007 18:35
· Личное сообщение · #10

pushick
Если уже идти на чистоту - то проще занопить функцию загрузки драйвера, это ОГРОМНЫЙ минус - причем никаких проверок на то что драйвер стартовал нету, и все будет прекрасно дальше работать. можно идти как по накатанной с обычным старым SB , ну тока потом антидамп убрать.




Ранг: 450.3 (мудрец), 13thx
Активность: 0.20
Статус: Участник

Создано: 01 ноября 2007 18:42
· Личное сообщение · #11

Ara пишет:
Автора совсем извели уже, он же волнуется.


Уже наверное пишет второй драйвер который будет следить за тем, что бы не обманули первый...




Ранг: 392.8 (мудрец), 108thx
Активность: 0.260.01
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 01 ноября 2007 19:05
· Личное сообщение · #12

ToBad пишет:
Уже наверное пишет второй драйвер который будет следить за тем, что бы не обманули первый...


Ога, придеццо нопить уже 2 места, бугого

-----
StarForce и Themida ацтой!




Ранг: 369.8 (мудрец), 400thx
Активность: 0.390
Статус: Участник

Создано: 01 ноября 2007 19:11
· Личное сообщение · #13

Предлагаю аффтару написать 10 разных драйверов которые будут хукать все что нужно и что ненужно самыми разными способами. Тогда будет еще больше бсодов, а сталобыть еще круче защита
А вобще, драйвер этот есть чистый руткит. Афтара пора судить за создание и распостранение вредоносных программ, ибо все призднаки вредоносности на лицо.

-----
PGP key <0x1B6A24550F33E44A>





Ранг: 450.3 (мудрец), 13thx
Активность: 0.20
Статус: Участник

Создано: 01 ноября 2007 20:51
· Личное сообщение · #14

Ничего, мы тут смеемся, а когда нибудь версия SecureBookXIPro будет содержать движок дизассемблера, учтёт все места которые можно занопить и будет сканировать собственный код на предмет нопов ! Только вставишь ноп - получишь дополнительный незапланированный bsod.




Ранг: 105.9 (ветеран)
Активность: 0.060
Статус: Участник

Создано: 01 ноября 2007 22:30
· Личное сообщение · #15

ToBad пишет:
Ничего, мы тут смеемся, а когда нибудь версия SecureBookXIPro будет содержать движок дизассемблера

она уже содержит движок дизассемблера



Ранг: 260.2 (наставник)
Активность: 0.190
Статус: Участник

Создано: 01 ноября 2007 22:59
· Личное сообщение · #16

аффтар секиры мудаг, приклеел бсодогенератор, который практически не мешаед отладке...
п.с. а ольго тормозит по жести...+)



Ранг: 284.8 (наставник), 6thx
Активность: 0.150
Статус: Участник

Создано: 02 ноября 2007 00:48 · Поправил: RSI
· Личное сообщение · #17

Да уж, давно я смотрел на пример SB II Pro, кое-что изменилось за пол-года, так что не стоит так радоваться.

Итак, новшевства:

1) Если снести функцию загрузки драйвера, то книга не запустится ( хотя будет висеть в памяти ).
2) Теперь юзается дизасмовский движок для создания переходников на важные функции ( такие как MessageBoxA, CreateProcessA, WriteProcessMemory, и т.д. )
3) Спертое OEP теперь не лежит в открытом виде и пишется сразу блоком ( 50 байт ), а не в цикле по байту.

Антидамп (был раньше в SB II и не изменился) + остальное вроде бы тоже осталось по старому...

Можно сказать, что защита на порядок улучшилась и автор молодец, что продолжает хоть как-то вносить перемены в нашу жизнь

Если обойти все ЭТО, то получим распакованный вариант книги

rapidshare.com/files/66809857/unpacked_.rar.html




Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 02 ноября 2007 06:09
· Личное сообщение · #18

Electrod пишет:
В общем есть демонстрационная книжка запакованная SecureBook II Pro.


Досадно, что Автор совершенно не заботится о совместимости приложений. Заставлять пользователя отключать фаервол (и, наверняка, проактивку - проверить не могу из-за отсуствия таковой) - не есть гуд.
Драйвер улыбнул

pushick пишет:
это все можно убрать антируткитом.


Видимо - версией старше четвёрки? Третья перехват в IDT на Int 03h не снимает.



Ранг: 117.1 (ветеран)
Активность: 0.050
Статус: Участник

Создано: 02 ноября 2007 06:21
· Личное сообщение · #19

Gideon Vi

Ну значит не все
Действительно проще отрубить загрузку драйвера, да и с драйвером ничего в принципе не мешает дампу. В любом случае автор написал самую настоящую вредоносную программу

-----
Security through obscurity is just an illusion




Ранг: 214.1 (наставник)
Активность: 0.130
Статус: Участник

Создано: 02 ноября 2007 08:00
· Личное сообщение · #20

этот пример мне тож дали. особо понравилось nop драйвера. ну чего мылим антивирусникам о рутките



Ранг: 24.5 (новичок)
Активность: 0.010
Статус: Участник

Создано: 02 ноября 2007 10:31 · Поправил: Electrod
· Личное сообщение · #21

Спасибо всем кто откликнулся. я вообще убирал хуки RkUnhooker. или просто в касперыче при проактивке запрещал загрузку драйвера. тогда книга просто весит в памяти и не грузится. Можно запустить еще книгу с диска, тогда загрузятся оба варианта.

RSI
Пасибо за пример ,пошел курить.

п.с. В файле который я выдрал 127 отличий от твоего ...



Ранг: 24.5 (новичок)
Активность: 0.010
Статус: Участник

Создано: 02 ноября 2007 11:07
· Личное сообщение · #22

чего то аттач не присоединяется.

ca7d_02.11.2007_CRACKLAB.rU.tgz - byte.txt



Ранг: 284.8 (наставник), 6thx
Активность: 0.150
Статус: Участник

Создано: 02 ноября 2007 11:23
· Личное сообщение · #23

Ну че писать статью по распаковке нового SecureBook




Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

Создано: 02 ноября 2007 11:47
· Личное сообщение · #24

RSI обязательно писать!

-----
-=истина где-то рядом=-




Ранг: 24.5 (новичок)
Активность: 0.010
Статус: Участник

Создано: 02 ноября 2007 12:08
· Личное сообщение · #25

RSI
Да, очень нужная вещь будет!




Ранг: 450.3 (мудрец), 13thx
Активность: 0.20
Статус: Участник

Создано: 02 ноября 2007 12:33
· Личное сообщение · #26

Да, автора жаль... Вот скоро и статья появится... По соотношению времени написания новой версии и её взлома крякеры опять впереди... Ломать не строить...



Ранг: 159.1 (ветеран), 7thx
Активность: 0.130
Статус: Участник

Создано: 02 ноября 2007 14:20
· Личное сообщение · #27

А чего жалеть автора, ему придется улучшать защиту, и если он это будет делать хорошо, то все меньше и меньше крякеров смогут взламывать защиту... Ну а конечные лицензионные пользователи от этого только выиграют.



Ранг: 284.8 (наставник), 6thx
Активность: 0.150
Статус: Участник

Создано: 02 ноября 2007 14:24
· Личное сообщение · #28

tempread пишет:
то все меньше и меньше крякеров смогут взламывать защиту...


и все больше и больще будут постить запросы на распаковку




Ранг: 105.9 (ветеран)
Активность: 0.060
Статус: Участник

Создано: 02 ноября 2007 14:51
· Личное сообщение · #29

RSI
Писать еще один мусор на тему где поставить бряк? Зачем? Защита там какая была, такая и осталась, ничего кардинального в ней не поменялось. Если знать правильную пару, все можно спокойно подменить. Если же под статьей подразумевается обзор используемых SecureBook техник: "Блокировка клавиатуры", "запрет копирования в буфер", снятие скриншотов, антидамп и т.д. то это уже интересней.



Ранг: 284.8 (наставник), 6thx
Активность: 0.150
Статус: Участник

Создано: 02 ноября 2007 15:33
· Личное сообщение · #30

seeq
Ну наверное ты прав.


. 1 . 2 . 3 . >>
 eXeL@B —› Основной форум —› SecureBook II Professional
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати