Сейчас на форуме: ==DJ==[ZLO], Magister Yoda, Rio, Dart Raiden, Alf (+4 невидимых)

 eXeL@B —› Основной форум —› Очень Важно!!!
Посл.ответ Сообщение

Ранг: 1.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 04 октября 2004 04:23
· Личное сообщение · #1

Но почему ни у кого нет доков по
исследованию демо прог

В нете демо прог очень много ........................



Ранг: 19.6 (новичок)
Активность: 0.030
Статус: Участник

Создано: 04 октября 2004 04:43
· Личное сообщение · #2

Antiviral Toolkit Pro - как сделать из демо-версии рабочую

В этот раз потребуется внимание и усидчивость, а так же знание некотрых функций Win32 API. Заодно придется использовать дизассемблер.

Вступление
Наверное, всем известен "легендарный" Евгений Касперский и его антивирусный пакет Antiviral Toolkit Pro. Не буду рассматривать его антивирусные свойства - каждый может оценить их сам. Это дело вкуса. В этой статье рассматриваются свойства защиты этого самого AVP. В исследуемой демо-версии отключена возможность лечения зараженных файлов, анализатор кода, проверка архивов и сжатых файлов. Также отсутсвует возможность проверки писем и почтовых баз данных. Скопировать программу можно с сайта www.avp.ru/ .

Инструменты
SoftICE 3.23 for Win95
Любой шестнадцатиричный редактор файлов
IDA Pro версии выше 3.74
Часть 1. Антивирус своими руками
Как я и говорил, для того, чтобы эту программу заставить заработать следует изучить функции Win32 API, связанные с отображением органов управления. Кроме того, сперва всегда следует выяснить, действительно ли перед нами урезанная и бесполезная демо-версия, или это полностью работоспособная программа с отключенными функциями. В данном случае для этого удобно использовать продукт The Customiser фирмы Wanga International.

Для проверки запустим AVP и посмотрим для начала закладку Обьекты. Сразу видно, что программа не проверяет архивы и упакованые исполняемые файлы. Выбрать эти пункты нельзя - они отключены (disabled) . Запустим The Customiser (который, кстати тоже защищен - возможно появится статья и о нем). Выберем Edit Windows... а там пометим Enable и нажмем кнопку ON. Теперь появившимся уродливым курсором щелкнем на затененном пункте Упакованные Файлы. Неожиданно он перестанет быть затененным и станет обычным, нормальным пунктом. То же проделайте со следующим пунктом (архивы). Теперь отключите Customiser и выберите эти возврещенные к жизни опции. Запустите антивирус, и убедитесь, что теперь он проверяет и архивы. Остановите проверку. Посмотрите на закладку Обьекты. Требуемые опции опять отключены. Ничего удивительного, с помощью Customiser'а мы лишь на время изменили их состояние.

Теперь, убедившись в том, что программа имеет требуемую функциональность продолжим исследование программы. Некоторые скажут, что мы проверили не все. Например мы не проверяли закладку Действия. Особенно пункт Лечить без запроса. Скажу сразу, лично я все это проверил. Попробуйте и Вы, поработайте немного самостоятельно.

Когда сомнения Вас покинут и Вы окончательно убедитесь, что программа в порядке, следует приниматься за более серьезные дела. Например запустить IDA Pro и дизассемблировать файл avp32.exe. Пока он дизассемблируется, откройте Win32 API Help и найдите функцию, отвечающую за состояние органов управления. Для тех, кто не знает такой функции, скажу - это EnableWindow. В файле помощи по API-функциям (Microsoft) эта функция описана так:

BOOL EnableWindow(

HWND hWnd, // указатель на окно (орган управления)

BOOL bEnable // флаг возможности ввода

)


В зависимости от значения bEnable компонент может быть в состоянии Включен/Отключен (Enabled/Disabled). В состоянии Отключен орган управления игнорирует сообщения, поступающие от мыши и клавиатуры. Нам требуется обратное. Если дизассемблирование закончилось, поищите, откуда вызывается функция EnableWindow. Таких мест в программе множество. Кстати, обратите внимание на типичные последовательности вызовов - при работе над другими программами с аналогичной защитой Вам это пригодится. Типичная последовательность такова:

Вызывается функция GetDlgItem [в качестве аргументов - указатель на окно диалога и идентификатор органа управления]. Функция возвращает указатель на этот орган управления.
Вызывается функция EnableWindow [в качестве аргументов - указатель на орган управления и флаг bEnable (0 - Отключен, 1 - Включен)]. Функция делает орган управления неактивным (т.к. bEnable = 0).
Теперь у вас есть вся информация, необходимая для взлома. Как именно это сделать - Вы должны решать сами. Тем более, что взлом можно осуществить, минимум, пятью разными способами. Перечислю некоторые из них:

Найти функцию, в которой отключаются требуемые пункты меню, и сделать так, чтобы они включились. Сводится к поиску EnableWindow и замене предшествующей ей команды push 00 на push 01. Подсказка: так как при отключении требуется заносить в стек 0, в этой программе обнуляется регистр ebx и выполняется команда push ebx. Все, что требуется - записать в ebx 1.
Преимущества - быстрота.
Недостатки - недостаточно корректный взлом (об этом позже).
Исследовать алгоритм, проверяющий ключевой файл avp.key, и попытаться на основе этого алгоритма вычислить, какая информация в avp.key должна быть.
Преимущества - в случае успеха вы становитесь "зарегистрированным" пользователем этой, а возможно и будущих версий программы без всяких побочных эффектов.
Недостатки - медленно и сложно.
Есть еще и другие варианты. Вы можете выбрать любой из них.

После того, как Вы все это сделали, осталась небольшая проблемка - при запуске появляется окно с напоминанием о том, что программу необходимо зарегистрировать. Решение: создайте в директории, в которой установлен AVP, файл avp.key с любым содержанием и все проблемы исчезнут.

Часть 2. Монитор, и как с ним бороться
Вторая важная часть системы AVP - это монитор. Он проверяет все файлы, которые открываются во время вашей работы, и если обнаруживается вирус, то имеется возможность предварительно его (вирус) обезвредить и продолжить работу. Лично я монитором не пользовался и не собираюсь - лучше один раз проверить, то что приносишь, чем постоянно сидеть под наблюдением, результатом чего является снижение производительности. Но надо довести начатое дело до конца. Получить рабочую версия AVP из нерабочей демо-версии. Вообще-то, ничего нового здесь нет. Функциональность монитора урезана точно так же, как и антивируса. Я сделал так. С помощью Borland Resource Workshop открыл файл avpm.exe и посмотрел на ресурсы. В данном случае меня интересовали окна диалогов. Например ресурс с номером 113, соответсвующий окну Действия. Дважды щелкнув на нем, попадаем в окно редактировани диалога. Но редактировать ничего не будем. Двойным щелчком на RadioButton с текстом Disinifect Automatically откроем окно Button Style. В этом окне содержится некоторая необходимая информация. А именно Control ID . Для упомянутого элемента это значение равно 406h. Запомните это число - оно пригодится. Откроем IDA Pro и запустим дизассемблирование файла AVPM.EXE(если вы сами этого еще не сделали). Нажмем Alt+T для поиска текста и зададим 406h. После нескольких попыток мы обнаружим такой участок кода:

loc_4023CE: ; CODE XREF: .text:004023C0

; .text:004023C7

xor ebx, ebx

cmp dword_4122EC, ebx

jz short loc_40240E

push ebx

push 405h ; ID Number нашего компонента

push dword ptr [ebp+8]

call esi

push eax

call ds:EnableWindow ; Enable/disable mouse and keyboard input

push ebx

push 406h ; ID Number нашего компонента

push dword ptr [ebp+8]

call esi

push eax

call ds:EnableWindow ; Enable/disable mouse and keyboard input

push ebx

push 407h ; ID Number нашего компонента

push dword ptr [ebp+8]

call esi

push eax

call ds:EnableWindow ; Enable/disable mouse and keyboard input

loc_40240E:
Надеюсь, всем ясно, что делает этот код. В общих чертах - обнуляется регистр EBX, сравнивается с некоторой переменной. В результате сравнение осуществляется переход на ту часть программы, где блокируются соответсвующие визуальные элементы(сторого говоря, не осуществляется переход на ту часть программы, котрая продолжает работу без блокировки). Вариантов взлома - множество. Я вданном случае заменил переход jz short loc_40240E на jmp short loc_40240E. Для этого следует поменять байт 074h(jz) на 0EBh(jmp).

Самостоятельно изучите листинг программы, найдите соответсвующие инструкции. С помощью IDA внесите изменения там, где посчитаете нужным. Запустите модифицированный файл. Посмотрите, работает ли то,что не работало. Если вы все сделали правильно, то вы должны получить возможность выбора лечения зараженных файлов. Остается проделать тот же трюк с закладкой Обьекты и Настройки. Это вы вполне можете сделать сами. Так же, в качестве упражения уберите собщение о том, что отсутсвует ключевой файл(наличие этого собщения наводит на мысли - для антивируса достаточно создать файл AVP.KEY как он сразу перестает выбрасывать это же сообщение, хотя и работать от этого не начинает. Для монитора этот номер не проходит. Может монитор все-таки использует информацию из ключевого файла - проверьте сами). Побочным эффектом данного метода является то, что устанавливаемые опции не сохраняются, и в следующей сессии их приходится устанавливать еще раз. Эта проблема тоже имеет решение. Но мне хватило того, что сделал себе рабочую версию.

Заключение
Перед началом работы, всегда следует проанализировать и попытаться представить, как именно программа защищена. Это может сильно облегчить жизнь.

Для связи с автором пишите ze_tty@yahoo.com . Если вы с помощью этой статьи не смогли сделать для себя работающую версию то пишите, и посмотрю, и скажу в чем ваша проблема. Учтите, что я никогда не буду заниматься взломом программ по заказу. Меня интересует лишь внутренняя работа программы.



Ранг: 19.6 (новичок)
Активность: 0.030
Статус: Участник

Создано: 04 октября 2004 04:47 · Поправил: ilya
· Личное сообщение · #3

а в общем,статей никаких ненужно

если это демо-есть два выхода
1бросать программу
2дописывать её самому

если это псевдо демо-
искать активирование опций программы и.т.д

DesTraKtoR пишет:
В нете демо прог очень много

из них настоящих демо мало...

и почему ты создаёшь 3 одинаковых темы? не сори на форуме



Ранг: 1.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 04 октября 2004 05:14
· Личное сообщение · #4

Если когто обидел своей настойчивостью ........
ну извиняйте

У меня есть прога Internet Access Monitor 2.6 for WinRoute
Demo - хотел только узнать где можно почитать инфо
по демкам. Хотел сделать что-то сам но знаний маловато

Примой линк на прогу:
internetaccessmonitor.ru/pub/iamwr_pro.exe



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 04 октября 2004 05:25
· Личное сообщение · #5

DesTraKtoR
Там с аспром сильная подвязка была, если это та программа, конечно

-----
Подписи - ЗЛО! Нужно убирать!




Ранг: 1.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 04 октября 2004 05:41
· Личное сообщение · #6

nice

Это прога по учету траффика сети. С ней очень удобно
работать.

Если есть время и итерес помоги чем сможешь, а если
не то ни другое то может подскажешь какую инфу
почитать.

Если что-то повторяется то извеняй .... но очень хочется разобраться с прогой, а самое главное как функционирует
защита в этой проге



Ранг: 1.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 04 октября 2004 05:52
· Личное сообщение · #7

nice[b][/b]

Просканировал прогой PeiD 0.92 езешник показивает пакер
ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov [Overlay]

чем его снять ???

Stripper 2.07f - вообще не хочет расспаковывать
stripper v211rc2 - расспаковывает, но много чего определить не
может вследствии чего езешник вообще не запускается.

Как с этим боротся



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 04 октября 2004 06:14
· Личное сообщение · #8

DesTraKtoR
Стрипер 2_07 должен его коррекно снимать, просто сама программа проверяет наличие аспра во многих местах, когда я её копал, то находил около 20, но думаю их там больше.

почитай статью по ручному съему может помогёт:
hice.antosha.ru/AsProtect.rar

-----
Подписи - ЗЛО! Нужно убирать!





Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 04 октября 2004 07:27
· Личное сообщение · #9

DesTraKtoR
Дык у тебя демо аспровая? Тогда забудь про это. Если там используются шифрованные функции аспра, то без валидного ключика ловить нечего.
А статей по аспру http://exelab.ru/art/ тут полно.
P.S. Надо было сразу говорить, что там аспр =)



Ранг: 39.1 (посетитель)
Активность: 0.030
Статус: Участник

Создано: 04 октября 2004 19:10
· Личное сообщение · #10

а разве 2.07 снимет это дело?
2.11 снимает, но вручную бывает надо поправить пару функ импорта и тогда "дамп" запускается
а вот с тем что написал WELL действительно



Ранг: 1.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 05 октября 2004 01:55
· Личное сообщение · #11

WELL [b][/b]

Немного выше было написано чем запакована прога

Чем посоветуешь бороться с аспром ???




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 05 октября 2004 03:20
· Личное сообщение · #12

DesTraKtoR пишет:
Немного выше было написано чем запакована прога

Дык ты уже сколько топиков создал, только потом про аспр написал =)
Читай статью nice'a.
P.S. Завтра качну твою прогу, посмотрю =)



Ранг: 1.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 05 октября 2004 04:12
· Личное сообщение · #13

WELL [b][/b]

Обясню почему - сразу разбирал Internet Access Monitor 2.4 for WinRoute Demo, аспр снялся Stripper 2.07f получений дамп файла работал нормально. Потом пробовал сделать из демо полнофункциональную но ничего не получалось.

Сразу спрашивал за доки по иследованию демо программ. Но увидел одно: что демок много, а статей по исследованию очень мало .....

Пару деней назад наткнулся на новую версию проги и решил посмотреть и столкнулся с новым аспром - не смог расспаковать
и решил написать на форум .......



Ранг: 1.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 11 октября 2004 03:48
· Личное сообщение · #14

WELL

Когда посмотришь ... напишешь




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 11 октября 2004 05:04
· Личное сообщение · #15

Блин я и забыл про неё
Докачать не успел - новая версия кажись вышла, так что буду качать по новой.



Ранг: 1.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 18 октября 2004 07:29
· Личное сообщение · #16

WELL

Немного был занят ... нукак прога



Ранг: 192.3 (ветеран), 18thx
Активность: 0.120
Статус: Участник
stoned machine-gunner

Создано: 18 октября 2004 07:46
· Личное сообщение · #17

DesTraKtoR
http://exelab.ru/f/action=vthread&forum=1&topic=631

-----
once you have tried it, you will never want anything else




Ранг: 0.0 (гость)
Активность: 0.020
Статус: Участник

Создано: 18 октября 2004 11:26
· Личное сообщение · #18

DesTraKtoR пишет:
WELL [b][/b]

Своеобразное использование тегов... =)



Ранг: 1.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 20 октября 2004 01:30
· Личное сообщение · #19

TiTBiT

За написанием текста ... сразу не заметил




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 20 октября 2004 01:38
· Личное сообщение · #20

Напиши в чём там ограничения.
Куда короче тыкать, чтобы их увидеть =)




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 20 октября 2004 01:41
· Личное сообщение · #21

Вот посмотрел тут http://exelab.ru/f/action=vthread&forum=1&topic=631
возможность сохранять и распечатывать отчеты, создаваемые программами
Вечером гляну. Если там точно шифрованый код, то тогда только триал можно убрать



Ранг: 1.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 20 октября 2004 02:38
· Личное сообщение · #22

WELL

1) При запуске проги - сразу вылетает окно и отсчитывает
дни до окончания траил-периода. Есть две кнопки OK и
Зарегистрировать. По OK - продолжает загрузку проги, Зарегить - отсылает в нет по адресу www.internetaccessmonitor.ru/rus/buy/

2) После запуска проги меню Файл - Сохранить. В указаное место файл сохраняет, но в самом файле пишет "Данная функция доступна только после регистрации программы"

3) Файл - Печать. Сразу вылетает окно предупреждения как во втором пункте

Вот пожалуй и все




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 20 октября 2004 02:50
· Личное сообщение · #23

OK. Вечером постараюсь посмотреть



Ранг: 1.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 25 октября 2004 02:37
· Личное сообщение · #24

WELL

Еще не смотрел прогу .....




Ранг: 266.8 (наставник), 5thx
Активность: 0.220.03
Статус: Участник
very WELL :)

Создано: 25 октября 2004 02:44
· Личное сообщение · #25

Смотрел. Ничего у меня не вышло, хотя и сказать, что там шифрованые функции я тоже не могу =) Не дошёл я ещё до туда =)



Ранг: 103.0 (ветеран)
Активность: 0.030
Статус: Участник

Создано: 25 октября 2004 14:05
· Личное сообщение · #26

Закрываю тему за некорректное название. В следующий раз задавайте нормальное название темы а не "Очень важно"


 eXeL@B —› Основной форум —› Очень Важно!!!
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати