Сейчас на форуме: rtsgreg1989, zds, _MBK_ (+5 невидимых)

 eXeL@B —› Основной форум —› ICQSnif
Посл.ответ Сообщение


Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

Создано: 12 сентября 2007 16:13
· Личное сообщение · #1

1. ICQSnif 4.2 (Это из пакета Wireless Snif от Ufasoft)
2. Перехватывает пакеты в локальной сети, анализирует, и выдаёт результаты.
3. www.ufasoft.com/files/ufasoft_sniffer_4.2.120.exe

4. 57 КБ - сама программа ICQSinf.exe, архив с установкой 1,38 МБ! Функции проверки регистрации находятся в packet.dll - 192КБ


6. Сама шароварная. Без регистрации программой можно пользоваться неограниченное время, но при этом недоступна полноценная функциональность. Например записываются только первые десятки сообщений. Дальше всё обрезается и выводится строка, что типа вырезано и всё доступно в зарегистрированной версии! (TRUNCATED! It is trial version limitation, please REGISTER!)

Вобщем packet.dll это регистрация программы, процедура регистрации начинается тут:

11C171FF /$ B8 6A1AC211 MOV EAX, packet.11C21A6A

Введенный ключ вероятнее всего проверяется не только программой но и непосредственно на сервере автора, как ее зарегить, я обсалютно без понятия. введенный ключ записывается в файл regcode.txt

Так как ограничение заключается в том, что после определенноко количества перехватов (в данной версии кажется 187, в прошлой 93), сообщение обрезаются.... Козалось бы все просто, сосчитал количество, нашол константу и поменял переход... А констант то и нету ни в одном файле пороги с данными значениями, а если и есть, то не имеют никакого отношение к нашей проблеме....


Попытки найти сам счетчик тоже ни к чему не привели, вот решил собственно обратиться за помощью найти этот злосчастный счетчик...

Пожалуйста, в ответах не пешите только что-то типа "00хххххх - счетчик, меняй это - будет работать", а хатя бы небольшое пояснение как искали, на чем бряки ставили, что привлекло внимание...

-----
-=истина где-то рядом=-





Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

Создано: 12 сентября 2007 19:05
· Личное сообщение · #2

Продвигаемся к разгадке:

121040E7 . /75 18 JNZ SHORT MsgAn.12104101
если переход занопить, то сообщения через раз обрезаются....

-----
-=истина где-то рядом=-




Ранг: 4.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 13 сентября 2007 14:29
· Личное сообщение · #3

Сам давно хотел ещё предидущую версию ломануть. Но не удалось, т.к. уж слишком много там проверок. Или может я не имею достаточных знаний. Потом я ключик раздобыл кое-каким макаром. Потом все начали ломаться ко мне в аську! с прозьбами ключа. У меня уже на тот момент три штуки было. Ну я дал пару человекам с крэклаба. Ну теперь в новых версиях ключи все эти заблокированы




Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

Создано: 13 сентября 2007 15:26 · Поправил: KingSise
· Личное сообщение · #4

lord0202 пишет:
Ну теперь в новых версиях ключи все эти заблокированы


Проверка идет на сайте программы... Ключик забанить можно в любой момент...

Имхо, лучше счетчик искать....

P.S. После перезапуска программы он сбивается...

-----
-=истина где-то рядом=-




Ранг: 4.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 14 сентября 2007 10:20
· Личное сообщение · #5

2 kingSise

а почему тогда если настроить файрволл на отключение всех соединений, или устанавливать лишь в локалькой сети (без выхода в инет) - всёравно говорить, что ключ блокирован ?




Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

Создано: 14 сентября 2007 19:37 · Поправил: KingSise
· Личное сообщение · #6

lord0202, не знаю, не интересовался... регестрация там очень мутная... Я об этом уже писал...

Если прочитаешь первый пост, то суть вопроса, которай мне интересен - поймешь...

А именно: как найти счетчик, который выводит сообщение о триальности....

P.S. отвечайте пожалуйста по теме...

-----
-=истина где-то рядом=-




Ранг: 4.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 21 сентября 2007 16:08
· Личное сообщение · #7

ну как? есть результат?




Ранг: 1288.1 (!!!!), 273thx
Активность: 1.290
Статус: Участник

Создано: 21 сентября 2007 16:16
· Личное сообщение · #8

На руборде официально зареганая была хз какая версия, я так и не смог ее заюзать в собственной локалке из 3 машин.




Ранг: 467.7 (мудрец), 5thx
Активность: 0.270
Статус: Участник
Иной :)

Создано: 21 сентября 2007 18:16 · Поправил: [HEX]
· Личное сообщение · #9

Ara
А чем не устраивает Cain?
Даже помоему есть бесплатный сниффер аси www.immonitor.com/icq-monitor-sniffer.htm

-----
Computer Security Laboratory




Ранг: 6.7 (гость)
Активность: 0=0
Статус: Участник

Создано: 22 сентября 2007 09:42
· Личное сообщение · #10

бесплатным я бы не стал сильно доверять т к один раз спалился на таком




Ранг: 467.7 (мудрец), 5thx
Активность: 0.270
Статус: Участник
Иной :)

Создано: 22 сентября 2007 13:19
· Личное сообщение · #11

Cyberdemon666
Естественно если на варезнике каком то или самопал от Васи Пупкина возьмешь, то ничего хорошого не жди. Меня например больше смущает продукт ICQsniff нежели icq-monitor-sniffer. Да чего стоит посмотреть шлет куда он данные или нет. Реверсы тут сидят или кто? В конце концов проверенный продукт и зарекомендовавший себя Cain уж точно не подставит.

-----
Computer Security Laboratory





Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

Создано: 23 сентября 2007 10:41
· Личное сообщение · #12

[HEX] пишет:
А чем не устраивает Cain?

Ну я как бы пользоваться никакой версией не собирался... Мы тут вроде бы защиту исследуем...


У меня вот еще какая мысль возникла... О том, что программа считает количество сообщения и после определенного числа выводит надпись, сомнений у меня больше нет...

Кроме того, предпологаю что счетчик увеличивается не на единицу, а, скажем, на 12... И сравнение идет не с 93, а с чем либо еще... Такое как то отловить можно?

-----
-=истина где-то рядом=-




Ранг: 4.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 24 сентября 2007 18:14
· Личное сообщение · #13

сорри за оффтоп, но меня больше интересует возможность читать сообщения, а не пароли от асек . Так что Cain этого не сделает, да и громоздкий он


 eXeL@B —› Основной форум —› ICQSnif
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати