| Сейчас на форуме: Magister Yoda, subword (+9 невидимых) |
 |
eXeL@B —› Основной форум —› Klient 2.2.1 |
| Посл.ответ | Сообщение |
|
|
Создано: 09 мая 2008 07:49 · Личное сообщение · #1 Есть такой ирц-клиент Klient  При патче хоть байта начинает выключать комп или завершать сеанс пользователя. Это всё обходится легко. Потом иногда (бывает часво через 6 после запуска) кидает в канал мессагу типа I use cracked software. Type "/msg test_klient !assclown <msg>" to make me disconnect from IRC with the message of your choice and shut off my computer. Причем юзер софтины ЭТО не видит Выключение компа тоже победить легко, но вот саму мессагу как убрать - ума не дам. Очень уж долго ждать мессаги  Строки нужные пошифрованы, в самой софтине параноидально много крипто. Раньше на проге был аспр, сейчас непакована, на дельфе написана.
Слить можно ТУТ http://www.klient.com/downloads/Klient2.2.1.exe Если надо кому - выложу последний пропатченый вариант, который комп не вырубает, только мессагу шлет.  |
|
|
Создано: 09 мая 2008 10:05 · Поправил: tempread · Личное сообщение · #2 Я такие "редкие" срабатывания, в свое время, форсировал переводом времени вперед во время работы программы. Программа "думает", что она давно ничего плохого не делала, и вероятность возникновения вредительства значительно возрастала. |
|
|
Создано: 09 мая 2008 10:45 · Личное сообщение · #3 именно в этой проге? Я пробывал на год часы переводить, ей пофик. |
|
|
Создано: 09 мая 2008 10:52 · Личное сообщение · #4 Нет,не в этой проге,в другой. Попробуй не год переводить, а часы. Переведи часов на 5 вперед, и подожди минут10-15. Я именно так победил свою прогу. |
|
|
Создано: 09 мая 2008 18:05 · Личное сообщение · #5 Если таймер врубает при запуске, то хоть запереводись. Лови вызов SetTimer и Sleep (SleepEx) с очень большим диапазоном. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 09 мая 2008 18:30 · Личное сообщение · #6 да ловил Их куча целая. Может кто глянет софтину, потом советы будет давать? =)
|
|
|
Создано: 09 мая 2008 19:26 · Личное сообщение · #7 Ara Напиши тогда уж сразу где рубить перезагруз/завершение сеанса чтобы лишние время не тратить
----- Computer Security Laboratory |
|
|
Создано: 09 мая 2008 20:02 · Личное сообщение · #8 rapidshare.com/files/113716913/Klient5.exe.html вот пропатченая версия, она не вырубает ничего. Остается убрать мессагу тупую |
|
|
Создано: 10 мая 2008 12:10 · Поправил: [HEX] · Личное сообщение · #9 Ara Строчки пошифрованы с помощью BlowFish или даже скорей всего TwoFish. Юзается ключик B3A5256A389CAC3B для декриптовки. Вот функа CALL Klient5.0087F948 на которую попробуй поставить бряк. И если строчка отсылаемая в канал пошифрована, то бряк 100% сработает! ----- Computer Security Laboratory |
|
|
Создано: 12 мая 2008 07:58 · Личное сообщение · #10 [HEX] Строчка 100% пошифрована, клиент полтора суток пролопатил он-лайн, не брякнулся. Тока я не отследил, была вообще мессага в канал или нет =( |
|
|
Создано: 12 мая 2008 08:54 · Поправил: [HEX] · Личное сообщение · #11 Ara Так может месаги и небыло и соответственно и бряка небыло? =\ Сниферок бы заодно оставил чтоб писал все общение клиента с ирц серваком. Уже сам пару часов со снифером сижу... нихрена строчку не шлет! Подстава? Блин... поспешил и не увидел что там оказывается куча аналогичных функций с вызовом Twofish, но с разными ключами. Проверка ключа везде общая, так что можо ставить сюда бряк 005F1100, но срабатывать сцуко будет при любой пошифрованой строчке, а их там до жопы
----- Computer Security Laboratory |
|
|
Создано: 13 мая 2008 07:40 · Личное сообщение · #12 Э... 2.2.1 целиком отломана была, черт знает сколько времени назад. Ща поищу патчег. Делалось на основе раскрутки 2.2.0 от Paxan'a. Со строчками / криптом даже возни не было, там глобально снимается, патч минимальный. Ara, ты ж помнишь что я сам на этом клиенте сижу уже несколько лет. Изменения 2.2.1 от 2.2.0 вообще ничтожны и резона в них нет. Вся общественность ждет 3.0 (точканет релиз). |
|
|
Создано: 13 мая 2008 08:47 · Личное сообщение · #13 Да вот тоже хотел пересесть на него полностью. Я думал, автор забил на проект, а поглядел - обновы даже есть Патчи вроде на руборде были, народ писал, что с троянами...лучше самим отломать.
|
|
|
Создано: 13 мая 2008 09:18 · Личное сообщение · #14 RUNaum Так если в 2.2.0 не пошифровано, то может стоит глянуть где приблизительно эта строчка (которая шелтся в канал) лежит и поискать в новой версии на том же месте? Если конечно она раньше была 
А так впринципе расшифровщик строчек написать не проблема (проверял работает). Все портит какой то самопал аля base64 (возможно он и есть, но с измененым алфавитом). CALL Klient5.005F0F5C ; base64 ??? ----- Computer Security Laboratory |
|
|
Создано: 13 мая 2008 17:53 · Поправил: [HEX] · Личное сообщение · #15 Эмм... что то на коленке сворганил для расшифровки строчек, но где то малость ошибся и в конце мусор еще вываливается =\ Но всеже строчки прочесть можно hexcsl.com/klient/ ----- Computer Security Laboratory |
|
|
Создано: 13 мая 2008 19:26 · Поправил: [HEX] · Личное сообщение · #16 009BB457 |. B9 B0B69B00 |MOV ECX,Klient5.009BB6B0 ; ASCII "HTlrX-GkqIOxpMy7v+i9ILIONJSyfZ4+6PLOvi9HzKTi4Z5FiHuHqNqejDKg+92eCGvr- awvTLpyTTeuhR312ny2-YqdK1gFT4yjA+tnpoaFJOyZ43gca1L7FH4fZlUW" 009BB45C |. BA 3CB79B00 |MOV EDX,Klient5.009BB73C ; ASCII "B4D526E138C15" 009BB461 |. A1 A0375F00 |MOV EAX,DWORD PTR DS:[5F37A0] 009BB466 |. E8 2984C3FF |CALL Klient5.005F3894 Что в переводе: NOTICE %s : VERSION I am a jackass and I really need to stop using cracked software 009BB4D7 |. B9 54B79B00 |MOV ECX,Klient5.009BB754 ; ASCII "DBJk7sEFyApM-XG2L2EuGQeK0YIkLQZ5BflVVU3bdJHR3QiROUsw3FafFofwDgpVii8EJ ++cO7H-Qok6O4-MgmFOFbijvYj2jxu8CiKtSyA" 009BB4DC |. BA C8B79B00 |MOV EDX,Klient5.009BB7C8 ; ASCII "3DE4CDF78037B1" 009BB4E1 |. A1 A0375F00 |MOV EAX,DWORD PTR DS:[5F37A0] 009BB4E6 |. E8 A983C3FF |CALL Klient5.005F3894 Перевод: NOTICE %s : VERSION I am an ass munch and I like using cracked software 009BB5A0 |. B9 54B89B00 |MOV ECX,Klient5.009BB854 ; ASCII "Q62xgmgTQFtpm4DfAYlt0lnKsPl-sRUNJ0CyWMEWqz6jvoI40MWn7CO-oH6-4mMrCD-1S k1ojmL2IZ6JlwlD8Vx4n-kPDpTGqCgnbrrOaj9H83p-bZoqJYrSRF9-Vb1viE-2firxt7f FkeqiHRFsxgR5jM6fyinCLUh4AqpkIl+R2Vl8NgyssQ9GdFsPIY6iv3tiK2RIp4W+6j+C7 pOUjxnkPCedgAfLQjO+PUYbP6QW6"... 009BB5A5 |. BA B4B99B00 |MOV EDX,Klient5.009BB9B4 ; ASCII "2AC3BF6D381ECCEC" 009BB5AA |. A1 A0375F00 |MOV EAX,DWORD PTR DS:[5F37A0] 009BB5AF |. E8 E082C3FF |CALL Klient5.005F3894 Перевод: is an ass clown who uses cracked software. I also enjoy responding to remote commands. Please feel free to use any of the following commands (just type them into this channel 009BBA1A |. B9 D0BA9B00 |MOV ECX,Klient5.009BBAD0 ; ASCII "ZXElJzIxixvETJdJiTbKPUjSstfNrMGXoZbhaKphrR6Fn1tpzGssYEhzE8lK47eCXN+2h UVidhXHAByBEzXV0Rv22XMhQdAi56HFV6gBnZC3CE2OKmkNIotHgOMocX1X38ecs9k-RAF kapwrSRj4qh+GjYOwrFW4t7LujmDvQLTOy+VBICYlMQqiwRKCUShItBFJRhG5bkT1uduv0 rlDE5LUvBprMtkccRijnn-MOomvq"... 009BBA1F |. BA 5CBC9B00 |MOV EDX,Klient5.009BBC5C ; ASCII "BC3CFED9E3B82" 009BBA24 |. A1 A0375F00 |MOV EAX,DWORD PTR DS:[5F37A0] 009BBA29 |. E8 667EC3FF |CALL Klient5.005F3894 Перевод: PRIVMSG %s :ACTION is an ass clown who uses cracked software. I also enjoy responding to remote commands. Please feel free to use any of the following comman 009BBD15 |. B9 28BE9B00 |MOV ECX,Klient5.009BBE28 ; ASCII "Q62xgmgTQFtpm4DfAYlt0lnKsPl-sRUNJ0CyWMEWqz6jvoI40MWn7CO-oH6-4mMrCD-1S k1ojmL2IZ6JlwlD8Vx4n-kPDpTGqCgnbrrOaj9H83p-bZoqJYrSRF9-Vb1viE-2firxt7f FkeqiHRFsxgR5jM6fyinCLUh4AqpkIl+R2Vl8NgyssQ9GdFsPIY6iv3tiK2RIp4W+6j+C7 pOUjxnkPCedgAfLQjO+PUYbP6QW6"... 009BBD1A |. BA 88BF9B00 |MOV EDX,Klient5.009BBF88 ; ASCII "2AC3BF6D381ECCEC" 009BBD1F |. A1 A0375F00 |MOV EAX,DWORD PTR DS:[5F37A0] 009BBD24 |. E8 6B7BC3FF |CALL Klient5.005F3894 Перевод: is an ass clown who uses cracked software. I also enjoy responding to remote commands. Please feel free to use any of the following commands (just type them into this channel Думаю теперь попроще будет отловить/пропатчить. ----- Computer Security Laboratory |
|
|
Создано: 17 мая 2008 17:22 · Личное сообщение · #17 ага, спс Только добрался до топика. Мессаги нотисы тоже как-то рандомно выдаются. Пропатчим
|
|
|
Создано: 17 мая 2008 17:51 · Личное сообщение · #18 Ara Как доломаешь не забудь выложить)) ----- xchg dword [eax], eax |
|
|
Создано: 17 мая 2008 22:56 · Личное сообщение · #19 Ara Я ждал 1.5 суток и у меня так и не улетало сообщение (снифал и писал в файл все общение) что я пользуюсь ломаной версий = Может конечно триальный срок пока еще действует, поэтому и не срабатывает пока механизм. ----- Computer Security Laboratory |
|
|
Создано: 17 мая 2008 23:06 · Личное сообщение · #20 не-не, она начинает гадить, когда ее ломают Я тоже жду уже часов 7 - нету ничего
|
|
|
Создано: 17 мая 2008 23:10 · Личное сообщение · #21 Ara Если твой патченый файл считать ломаным, то тогда замучаешся ждать =\ ----- Computer Security Laboratory |
|
|
Создано: 24 мая 2008 18:08 · Личное сообщение · #22 Дождался, по вышеуказанным адреса не брякается, а мессагу всё равно выдает. |
|
|
Создано: 24 мая 2008 23:39 · Личное сообщение · #23 9CC85A - вот где выводила мессагу про жопу клоуна. |
|
|
Создано: 25 мая 2008 11:42 · Личное сообщение · #24 Ara А оно там не рандомно случайно месаги выдает? Разобрался откуда ноги ростут? ----- Computer Security Laboratory |
|
|
Создано: 25 мая 2008 11:56 · Поправил: Ara · Личное сообщение · #25 не особо разобрался
Но мессага выдается только одна всегда - про жопу клоуна. Остальные похоже тока для проформы. Да, еще поломаная версия глючит - то пропускает некоторые мессаги в канале, то в списке юзеров косяк. Кароче фтопку его =) |
|
eXeL@B —› Основной форум —› Klient 2.2.1 |
Для печати