Вот встретил в конце DLL'ки такую подпись, при любом изменении DLL прога при запуске выдает Application load error (0x03). При исследовании выяснилось что на EXE файл наложен протектор который проверяет целостность DLL'ки при запуске, если подпись некорректна или файл был изменен выдается ошибка. При проверке пользуются WINTRUST.DLL и CRYPT32.DLL это которые в Windows есть по умолчанию. Снять протектор легко, но проблема что при запуске других программ в инете смотрится обновление и все измененные файлы выкачиваются по новой и заменяются. Есть 2-а способа решения проблемы, первый сгенерить как-то правильную VeriSign подпись этой DLL'ки и второй поломать WINTRUST.DLL. Подпись сгенерить я не смог, а вот в WINTRUST.DLL нашел что надо изменить чтобы прога потом запускалась, но эту DLL не удается переписать, т.е. Windows ее защищает. Пробовал ее переписать с помощью WININIT.INI не получается. Грузиться с компашки или флэшки не предлагать, надо на 50 компах это сделать.
Есть ли способ сделать правильную подпись этой DLL'ки или как заменить файлик WINTRUST.DLL например при перегрузке компа?
Может кто-то встречал подобную защиту? Поделитесь советом.

| Сообщение посчитали полезным:

а положить поломанную wintrust.dll в папку проги ничего не дает?

| Сообщение посчитали полезным:

HNail, сделать точно такую подпись не получится.

| Сообщение посчитали полезным:

r99r99 пишет:
а положить поломанную wintrust.dll в папку проги ничего не дает?

Нет не дает, попробовал.
Какие есть способы переписать эту DLL на правленную в папке Windows\System32
Я положил ломанную в папку C:\WINDOWS\system32\dllcache
Как заставить Windows сравнить DLL'ки и переписать ее из кэша?

| Сообщение посчитали полезным:

HNail
Деинсталируй оригинальную длл
regsvr32.exe /u <dll>
Потом заинсталь в систему крэкнутую длл
regsvr32.exe /i <dll>

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

HNail, попробуй подсунуть винде установочный диск с твоеё длл. когда она попросит диск для восстановления измененных сис. файлов. может обманется?

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

[HEX] пишет:
Деинсталируй оригинальную длл
regsvr32.exe /u <dll>
Потом заинсталь в систему крэкнутую длл
regsvr32.exe /i <dll>
Не это не срабатывает и вообще при regsvr32 /i выдается сообщение что это вообще не dll или ocx файл.

Talula пишет:
попробуй подсунуть винде установочный диск с твоеё длл. когда она попросит диск для восстановления измененных сис. файлов. может обманется?
На машинах нет CD-ROM так бы я загрузился с чего-либо, да на самом деле это и долго по времени, зайти каждой машине в БИОС, поставить загрузку с флэшки, переписать файл Wintrust.dll, снова зайти в БИОС и сказать грузиться с жесткого диска. Если бы это была одна машина то без проблем.
Просто думаю может кто-нибудь посоветует как подменить в Windows эту dll более легким способом.
А загрузку с другого носителя я сделаю если ничего путнего не придумать.....

| Сообщение посчитали полезным:

а в безопасном режиме никак что ли? и плевать на крики винды. оставить и всё тут...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Как голыми руками отключить защиту я не помню, но обычно меня спасает программа XPLite. Там есть возможность отключать защиту.

| Сообщение посчитали полезным:

RiPPER, дело не только в защите - это библа висит в процессах. юзается, короче. можно попробовать конечно анлокером её оторвать, но не факт что система не улетит в ребут...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Ещё как вариант грузануться с диска WinPE. И поменять DLL.

| Сообщение посчитали полезным:

Talula пишет:
а в безопасном режиме никак что ли? и плевать на крики винды. оставить и всё тут...
Не в безопасном пробовал, тоже никак. Похоже только загрузка с флэшки и спасет......
Хотя дельный совет все таки есть надежда услышать.

| Сообщение посчитали полезным:

Как вариант можно:

1. сделать лоадер, который бы патчил dll'ку, и менять ярлык на программу батником.

2. выяснить где в программе проверяется подпись, пропатчить проверку результата возвращаемого WinTrust/Crypt и рапаковать/исправить саму dll'ку

| Сообщение посчитали полезным:

kioresk пишет:
1. сделать лоадер, который бы патчил dll'ку, и менять ярлык на программу батником.
Да про это я тоже подумал, т.к. правка в памяти с помощью SoftIce прокатывает. Возможно так и сделаю.

kioresk пишет:
2. выяснить где в программе проверяется подпись, пропатчить проверку результата возвращаемого WinTrust/Crypt и рапаковать/исправить саму dll'ку
Это я сделал без проблем, но уже писал выше что при запуске других прог, которые лазят в инет, проверяется обновление для всего пакета и ломанный EXE просто меняется на оригинальный и все.

| Сообщение посчитали полезным:

давайте немного по-подробнее:

HNail пишет:
При исследовании выяснилось что на EXE файл наложен протектор который проверяет целостность DLL'ки при запуске, если подпись некорректна или файл был изменен выдается ошибка

что за протектор на таргете.. с верификацей подписи длл?

HNail пишет:
Снять протектор легко, но проблема что при запуске других программ в инете смотрится обновление и все измененные файлы выкачиваются по новой и заменяются
не совсем понятно - каких программ? или в софте целый набор exe, которые тестят друг друга и вылавливают все изменения?
но и это тоже можно пачить, если кол-во exe - разумное.

в любом случае это значит, место верификации длл известно => никто не мешает loader`ом поправить результат верификации.

впрочем, лучше всего на таргет взглянуть (если, конечно, не очень большей) или как min на код проверки верификации..

ps/ ЭЦП обычно проверяет CryptVerifySignature .. но она в advapi32.dll

pps/
HNail пишет:
Хотя дельный совет все таки есть надежда услышать.
без более полного описания проблемы, она надеждой и останется.. или все будут думать только над тем как подменить исправленную длл...

ppps/ пока писал.. kioresk успел чуть-чуть раньше.. ну да это не важно..

| Сообщение посчитали полезным:

HNail
Как еще один вариант.
В систему положить ломаный файл с именем WINTRUST_CRK.DLL
А в проге которая юзает функции из этой длл поправить импорт чтобы импортировала из крэкнутой версии, а не из оригинальной.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
HNail
Как еще один вариант.
В систему положить ломаный файл с именем WINTRUST_CRK.DLL

и при этом не забыть "убить" проверку верификации чтобы не грохнулось все при обращении к оригинальной wintrust.dll

опять патчинг.. и опять все по кругу..

| Сообщение посчитали полезным:

DMD
Эмм.. каким образом обратиться к оригинальной если в проге везде поправить импорт на ломаную длл?

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Все, решил проблему.
Просто сам и затупил.
Снял протектор с оригинального EXE и у полученного файла поменял имя на другое, вот и все.
Просто при проверке обновлений из инета прога тупо проверяет только те файлы которые у ней в списке, а т.к. Имя нового файла без протектора нет в ее списке она его и не проверяет.
Сделал новый ярлык и все.

А вообще в идеале конечно было бы лучше переподписать DLL'ку.

| Сообщение посчитали полезным:

[HEX] пишет:
Эмм.. каким образом обратиться к оригинальной если в проге везде поправить импорт на ломаную длл?

Mill pardons!
Но лично мне еще не встречалась проверка ЭЦП через импорт...
через LoadLibrary - да, встречал.. , а вот через импрот - что-то не приходилось сталкиваться...
И намеков, что в длл сделана обертка для CryptVerifySignature, тоже не видно

HNail пишет:
Просто сам и затупил

что бы поставить окончательную точку в топике, раскроете секрет:
что за "простой протектор" с верификацией ЭЦП на используемых таргетом длл?

| Сообщение посчитали полезным:

DMD
Абсолютно согласен что может длл подгружаться через LoadLibrary. Никтож не мешает и внутри поправить загрузку. Это все только мои теоретические наброски что мог бы я предпринять в данной ситуации, но не видя конкретную цель сложно что то более точно сказать.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
у меня был случай, когда длл использовалась через импорт, а сама проверка CryptVerifySignature работала через LoadLibrary...
Ок, согласен с тобой, "сложно что то более точно сказать."
да и, похоже, уже и не нужно никому..

но что за "простой протектор" такой - вот это очень интересно..!

| Сообщение посчитали полезным:

Ну если всем так стало интересно что это такое, вот выкладываю:
rapidshare.com/files/100560661/verisign.rar.html

Если запустить testapp.exe то по идее ничего не произойдет, т.к. протектор проверит подпись файла steam.dll и т.к. она правильная полезет в инет, но т.к. не хватает еще много чего то просто выйдет обратно и все.
Если мы заменим steam.dll на ломанную из папки !Cracks то прога сругается на подпись:
Application load error (0x03)
т.е. подпись не совпадает с файлом.
Ну и в папке !OK файл без протектора, steam.dll в этом случае нафиг не нужна.

Данный архив только для изучения, запустить игру не удасться, т.к. тут только EXE от нее.

| Сообщение посчитали полезным:

Ага, ломать системные либы всегда крайний вариант, потому что вот такие вот сложности. Еще можно было попробовать прогам доступ в инет закрыть, еще вариант на файлы поставить галочку "только чтение" (когда-то мне помогло и так).

-----
Всем не угодишь

| Сообщение посчитали полезным:

HNail
между прочим, неплохо было бы указать что архив на 4М.. у кого unlimit - это не принципиально, а для любознательных dialup`щиков - это может имеет значение.

HNail пишет:
Если запустить testapp.exe то по идее ничего не произойдет
это точно! ничего.. поскольку не хватает DINPUT8.dll и, похоже, не ее одной..
при работе с
HNail пишет:
файл без протектора, steam.dll в этом случае нафиг не нужна. - может быть.. но DINPUT8.dll все равно нужна..

HNail
что бы упростить всем жизнь, достаточно будет кратко описать чем и как снимали протектор (PEiD этот протектор не детектит).

| Сообщение посчитали полезным:

DMD пишет:
что бы упростить всем жизнь, достаточно будет кратко описать чем и как снимали протектор (PEiD этот протектор не детектит).
Снимал ручками с помощью SoftIce. Достаточно декодировать секцию text и найти правильный OEP.
Затем с помощью HIEW меняем кодированную секцию в защищенном файле на декодированную, далее выставляем правильный OEP и отрезаем самую последнюю секцию.
Все, файл получается рабочий и без протектора.

| Сообщение посчитали полезным:

HNail
В testapp.exe происходит проверка подписи. Надо просто это отключить.
00571CD1 8D85 ACF6FFFF LEA EAX,DWORD PTR SS:[EBP-954]
00571CD7 50 PUSH EAX
00571CD8 8D85 DCF6FFFF LEA EAX,DWORD PTR SS:[EBP-924]
00571CDE 50 PUSH EAX
00571CDF 6A 00 PUSH 0
00571CE1 FF95 A0F5FFFF CALL DWORD PTR SS:[EBP-A60] ; wintrust.WinVerifyTrust
00571CE7 F7D8 NEG EAX
00571CE9 1BC0 SBB EAX,EAX <- XOR EAX,EAX
00571CEB 40 INC EAX

| Сообщение посчитали полезным:

[Anth] пишет:
В testapp.exe происходит проверка подписи. Надо просто это отключить.
Про это я уже писал, что я не могу править оригинальный файл, т.к. при подключении к инету его просто заново выкачает и перепишет.
Ладно, мое решение все равно лучше, чистый EXE и другое имя. Работает уже, так что думаю можно завязывать с обсуждением. Если только переподписать DLL, это было бы очень интересно. Но говорят это в принципе не возможно.....

| Сообщение посчитали полезным:

HNail
Возможно при условии если ты выкрадешь у разработчиков приватный ключ
И кстати никто не мешал у распакованого файла прибить проверку через инет.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

А переподписать своим сертификатом не судьба ?

| Сообщение посчитали полезным: