| Сейчас на форуме: subword, rtsgreg1989 (+9 невидимых) |
 |
eXeL@B —› Основной форум —› SMS Activator |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 16 июня 2008 20:03 · Личное сообщение · #1 Братцы, кто-нибудь сталкивался с такой вещицей. Производители пишут самая лучшая защита. Есть какие-либо мысли....  |
|
|
Создано: 16 июня 2008 20:12 · Личное сообщение · #2 смсактиватор - если это о чем я думаю, то это самопальный враппер на манер невософта 
----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 16 июня 2008 21:27 · Личное сообщение · #3 не бывает ничего неломаемого,наши братья ломают все что не что попадается под руку.а смс активатор полная хрень-отправь смс,а то я не включусь... |
|
|
Создано: 16 июня 2008 22:18 · Поправил: KingSise · Личное сообщение · #4 Хе, разобрался. Вывод: говнософт... Какой то новый говнопротектор, с хитрожопой активацыей. Скорее всего все сведется к тому, что понадобится всего одна пара/один код и софт будет заломан... 
--> Описание <-- http://smsactivator.com/descripton ----- -=истина где-то рядом=- |
|
|
Создано: 16 июня 2008 22:30 · Поправил: tihiy_grom · Личное сообщение · #5 del |
|
|
Создано: 17 июня 2008 01:16 · Поправил: KingSise · Личное сообщение · #6 Зарегестрировал порогу и активировал... При запуске отсылаются данные компа: HardwareID 4C48BA440129B
и вот сюда еще конфа уходит: www.google-analytics.com/ Сам протект это запихивание покоцаного файла в оверлэй, который вроде как шифруется... ----- -=истина где-то рядом=- |
|
|
Создано: 17 июня 2008 03:44 · Поправил: tihiy_grom · Личное сообщение · #7 del |
|
|
Создано: 17 июня 2008 03:46 · Личное сообщение · #8 ********* Снятие этой хрени: тут все просто вроде, защищенный файл создает чистый процесс через CreateProcess (Activator.exe:client.exe), который можно сдампить.... только пот как остановиться на ОЕП в нем - хз... Как подобное вообще делают то? ----- -=истина где-то рядом=- |
|
|
Создано: 17 июня 2008 03:48 · Личное сообщение · #9 кинь сюда один файлик запротекченый |
|
|
Создано: 17 июня 2008 04:15 · Личное сообщение · #10 в архиве оригенал и запротекченный.... Порогу протектил ту, что первая подруку попалась, так что без отжигов 
Вес 1.5 Метра --> Power.rar <-- http://rapidshare.com/files/122970191/Power.rar Ключег для активации вроде как такой: zQzZTQzZGU3MTYzM ----- -=истина где-то рядом=- |
|
|
Создано: 17 июня 2008 08:28 · Личное сообщение · #11 KingSise пишет: Снятие этой хрени: тут все просто вроде, защищенный файл создает чистый процесс через CreateProcess (Activator.exe:client.exe), который можно сдампить.... только пот как остановиться на ОЕП в нем - хз... Как подобное вообще делают то? Прогу не смотрел, но если как в говнокрипторах сделано, то я делаю так, смотрю когда создается чистый процесс, потом должна идти запись в память чистого процесса, вот тут останавливаешься и смотришь откуда и куда идет запись, ищешь MZ, потом PE заголовок, прибавляешь вроде 28h, видим dword=EP, прибавляем адрес по которому должны записаться данные в процесс, получаем OEP. Пускаем прогу до ResumeThread и на нем останавливаемся. Запускаем прогу PUPE 2002 Suite, выбираем наш дочерний процесс, жмем patch, N? bytes оставляем равным одному, так как будем патчить один байт, в Direction: вписываем полученый OEP, жмем search, запоминаем первый байт OEP, To change by ставим CCh и патчим. Ставим ольку отладчиком по умолчанию, в родительском процессе проходим ResumeThread и т.к. в дочернем записали int 3, получаем исключение, всплывает отладчик по умолчанию, прямо на OEP, меняем первый байт на место, дальше по накатанной, дамп и восстановление импорта. Вроде все. ----- Nulla aetas ad discendum sera |
|
|
Создано: 17 июня 2008 11:16 · Поправил: Vovan666 · Личное сообщение · #12 гы, а я тупо поставил бряк на 00429826 CALL <JMP.&kernel32.CreateProcessA> и переправил его на push C:\123.exe push eax Call CopyFileA |
|
|
Создано: 17 июня 2008 11:47 · Личное сообщение · #13 Vovan666 Че то я тебя не понял
Я говорил про создание приостановленного процесса, запись в него, потом возобновление процесса и наконец его дамп. А ты про что?! Vovan666 пишет: поставил бряк на 00429826 CALL <JMP.&kernel32.CreateProcessA> и переправил его на push C:\123.exe push eax Call CopyFileA Какой в этом всем смысл, если у тебя на входе уже готовый файл (распакованый), можно просто посмотреть где он находится и скопировать его из проводника Можно даже в отладчик не заходить.
----- Nulla aetas ad discendum sera |
|
|
Создано: 17 июня 2008 12:31 · Личное сообщение · #14 Flint пишет: Прогу не смотрел Flint пишет: Какой в этом всем смысл, если у тебя на входе уже готовый файл (распакованый) он запускается как-то по идиотски createprocess запускает С:\4-protected2.exe:ext-dll.com.bat.exe и в проводнике его не видно. |
|
|
Создано: 17 июня 2008 12:37 · Личное сообщение · #15 почему по-идиотски, просто юзаются NTFS потоки
----- [nice coder and reverser] |
|
|
Создано: 17 июня 2008 12:45 · Поправил: ne0n · Личное сообщение · #16 Vovan666 ну дык потомучто это файловый поток) заюзать можно NTFS Stream Explorer для всяких манипуляций с ними, но твой способ имхо лучше
Hellspawn опередил) |
|
|
Создано: 17 июня 2008 12:46 · Личное сообщение · #17 Vovan666 беру слова обратно
Все, глянул точна NTFS потоки. Тогда вопрос: где-то я читал что файл, внутри которого NTFS поток (х.з. правильно выразился или нет) нельзя просто скопировать с компа на комп. Необходимо сжать архиватором типа rar, с опцией "Ñоîõðàíÿòü ôàéëîâûå ïîòîêè". Как в таком случае работает эта программа? ----- Nulla aetas ad discendum sera |
|
|
Создано: 17 июня 2008 12:49 · Личное сообщение · #18 Hellspawn пишет: просто юзаются NTFS потоки Хм .. если к примеру у меня ХР на фат ? |
|
|
Создано: 17 июня 2008 13:05 · Личное сообщение · #19 pavka Она не запускается, если Fat стоит |
|
|
Создано: 17 июня 2008 13:09 · Личное сообщение · #20 Есть у меня прога False Bottom. Кому нужно кинул сюда dump.ru/file_catalog/665243 Из описания: Файловая система NTFS поддерживает возможность существования нескольких потоков информации внутри одного файла. Такая возможность была задумана разработчиками для добавления дополнительных данных к существующему файлу без реструктуризации файловой системы, однако эта возможность остается слабо документированной и редко используемой. Чаще всего скрытые файловые потоки используются для различного рода хакерских атак, поскольку позволяют незаметно размещать на атакуемой машине различную информацию, в том числе и инструменты для взлома системы. Незаметность скрытой информации объясняется тем, что даже в самой операционной системе Windows нет штатных средств для обнаружения, просмотра и манипулирования дополнительными потоками информации в файлах (хотя некоторые утилиты командной строки все-таки позволяют в ограниченном виде получать к ней доступ). Скрытые в дополнительном потоке данные не влияют даже на отображаемый размер файла, и в небольшом по размеру файле может быть спрятана информация, многократно превышающая его по объему. Описанные свойства файловой системы NTFS дают прекрасную возможность достаточно наждежно скрыть от посторонних глаз секретную информацию. Конечно, речь не идет об абсолютной секретности, но использование дополнительных потоков для сокрытия данных на порядок надежнее, чем установка атрибута "скрытый" (к тому же, скрывать можно и зашифрованные данные). Неудобным моментом является невозможность копирования дополнительных потоков на диски с файловой системой, отличной от NTFS. Например, при переносе файла со скрытой информацией на флэш-накопитель (файловая система FAT) дополнительный поток будет утерян. Второй сложностью является то, что программ для работы с дополнительными файловыми потоками NTFS существует очень мало. При этом большинство из них позволяют лишь обнаруживать наличие дополнительных потоков и удалять их из файла. Данное обстоятельство и послужило причиной написания программы "False Bottom". ----- Nulla aetas ad discendum sera |
|
|
Создано: 17 июня 2008 13:26 · Личное сообщение · #21 Flint пишет: Например, при переносе файла со скрытой информацией на флэш-накопитель (файловая система FAT) дополнительный поток будет утерян Архивируй раром ни че не потеряешь tihiy_grom пишет:
Она не запускается, если Fat стоит ну понятно что не запустится стрнно мож разрабы не в курсе что фат еще юзается
|
|
|
Создано: 17 июня 2008 13:30 · Личное сообщение · #22 Все добил эту защиту вконец
Другая прога: FileAlyzer, позволяет показывать и извлекать все файловые потоки
В защищенном файле их два: 1) Пароль в открытом виде 2) Чистый защищаемый файл ----- Nulla aetas ad discendum sera |
|
|
Создано: 17 июня 2008 16:24 · Личное сообщение · #23 И какой был смысл авторам писать "что наш протектор" круче чем йаицо? раз все так просто 
|
|
|
Создано: 17 июня 2008 17:43 · Поправил: KingSise · Личное сообщение · #24 FileAlyzer Описание: FileAlyzer - это инструмент анализа файлов. FileAlyzer помогает провести простой анализ файлов (выводя их содержимое в виде 16-ричного дампа) и интерпретировать общее содержимое файлов вроде ресурсов (текст, графика, HTML, мультимедия и PE). Пользоваться FileAlyzer-ом не сложнее чем обычным окном "Свойства файла": щелкните правой кнопкой по нужному файлу и выберите пункт Open in FileAlyzer (открыть в FileAlyzer). Какую бы вкладку FileAlyzer-а Вы не просматривали, всегда есть кнопка Jump (Перейти), открывающая Проводник с тем файлом, который выбран в данный момент. FileAlyzer не нуждается в конфигурировании (всё, что вы можете, это инсталлировать и деинсталлировать его), и не должен конфликтовать с другими программами. www.softholm.com/link/modules.php?name=Downloads&d_op=getit&lid=7956 ************ Vovan666 пишет: push C:\123.exe push eax Call CopyFileA так вроде в защищенном файле не было вызовов CopyFileA... KingSise пишет: 1) Пароль в открытом виде ну оно понятно, я ж программу активировал А ты попробуй без пароля rapidshare.com/files/123097977/4-protected2.rar
----- -=истина где-то рядом=- |
|
|
Создано: 17 июня 2008 17:52 · Личное сообщение · #25 KingSise пишет: так вроде в защищенном файле не было вызовов CopyFileA Зато были вызовы LoadLibraryA и GetProcAddress.
Хотя наверное можно было и напрямую сделать Call 7C8286D6 |
|
|
Создано: 17 июня 2008 18:06 · Поправил: KingSise · Личное сообщение · #26 Vovan666 пишет: можно было и напрямую сделать ну с фтим я разобрался, только у меня всеравно файл не создается что то... стек: 0012FE84 009E1650 |ExistingFileName = "C:\!WZLOM\PowerWMZ\4-protected.exe:ext-dll.com.bat.exe"
----- -=истина где-то рядом=- |
|
|
Создано: 17 июня 2008 19:53 · Личное сообщение · #27 Да, что-то там мудрёно, только что попробовал, получилось только с 3-го раза, и то оригинал запускал на диске Е: (НТФС), а копию сделал на С: (ФАТ), если с Е на Е, то почему-то не получается. |
|
|
Создано: 18 июня 2008 02:15 · Личное сообщение · #28 Vovan666, хе-хе, с FAT такая шутука проканала, тестил на фат16... На NTFS - нифега, порога запускается в режиме регистрации... З.Ы. В принцепе тему мужно считать закрытой... Без ключика ничего не сделать, криптостойко однако... С ключегом - анпачиццо... В общем можно писать универсальный расспаковщик
----- -=истина где-то рядом=- |
|
|
Создано: 18 июня 2008 03:10 · Личное сообщение · #29 pavka пишет: ну понятно что не запустится стрнно мож разрабы не в курсе что фат еще юзается Ну так они и предупреждают сразу: 
Только нах нужно ради какой-то программы диски форматить? Да и вообще если подобным образом софт протектить, то вряд ли его кто будет покупать, фактически это кот в мешке. Мошенники быстро просекут тему и начнут "крякеры интернета" продавать... Но об эффективности этого метода рассуждать не стоит, это уже отдельная тема... support.microsoft.com/kb/314097/ru ----- -=истина где-то рядом=- |
|
|
Создано: 18 июня 2008 09:49 · Личное сообщение · #30 KingSise Зачем винты форматировать? На флеху скинул и там уже выдирай. Флешки то у всех наверное в фате? Ну или в конце концов Утилю с НТФС потоками набросать или вон из перечисленого в этом топике взять можно что то. ----- Computer Security Laboratory |
| . 1 . 2 . >> |
|
eXeL@B —› Основной форум —› SMS Activator |
Для печати