Было много разговоров по поводу борьбы с radmin 3 серии. И вроде была изобретена волшебная dll, отучающая его от жадности, ан нет - работала она не всегда. Лично у меня на трёх компьютерах из десяти не работала изначально. Были и различные программы сброса триала. И снова из них большая часть не работала (даже пресловутый TrialReset ни разу не помог). Так как программа архинужная, пришлось потратить несколько дней на изучение механизма триала radmin и создания тулзы с человеческим лицом. Кто заинтересуется, прошу потестить у себя.

point-company.narod.ru/downloads/r3inject.exe

| Сообщение посчитали полезным:

Прошу прощения - первый раз на форуме. Прикрепил ссылку на тулзу.

не аттачьте такой софт на форум, на обменники лейте

| Сообщение посчитали полезным:

Kalmar какой принцип ? хук на обращения к реестру ?

| Сообщение посчитали полезным:

Kalmar, дык где поделка то, хотелось бы глянуть чоли?

| Сообщение посчитали полезным:

Valemox
dump.ru/file/1936185

| Сообщение посчитали полезным:

SergX. Да, хук на NtQueryValueKey и NtSetValueKey. Я выяснил, что существующие ломалки не все ключи блокируют в реестре. Я даже поставил эксперимент. Запретил радмину запись и чтение во всей ветке HKLM, так он всё равно попытался установить триал где-то в HKCU\Software в ключе Service13. ИМХО, так было в 2.2 версии.
Konstantin Спасибо за перезаливку!

| Сообщение посчитали полезным:

На XP x64 не работает, пишет что внедрено но при этом кнопка освободить неактивна. Вобщем сервер так и отвечает что триал истек.

| Сообщение посчитали полезным:

на x64 радми ставится в C:\WINDOWS\SysWOW64\rserver30
твоя длл r3in.dll скопировалась как раз туда, а вот ключ реестра appinit прописал путь к c:\windows\system32\rserver30\r3in.dll, если руками поменять путь твоя прога сразу пишет что не внедрена.

| Сообщение посчитали полезным:

Makroz. Исправил GetSystemDirectory на SHGetFOlderPath. Пробуй (см. ссылку в шапке)

| Сообщение посчитали полезным:

Кнопка освободить так и не активна, ну и всеравно триал так и не сбрасывает.

Прикол вобщем такой, если стоит сервер версии 3.1, 3.2, 3.3 то NewTrialStop на х64 работает вообще довольно интересно. Радмин месяц например работает потом перестает говоря что триал истек и ничем его не реанимировать в течении следующего месяца, через месяц далее пока он не работает он снова становится рабочим. Запуски ra3reset и чистка реестра не помогает, забавный такой либо глюк самого радмина либо хитро#оп@я зашита.

| Сообщение посчитали полезным:

Makroz пишет:
Кнопка освободить так и не активна, ну и всеравно триал так и не сбрасывает.
Кнопка "Освободить" активна только когда радмин остановлен. И вообще, после внедрения лучше перезапускать сервер радмина.

| Сообщение посчитали полезным:

Даже комп перезапускал, r3in.dll цепляется к процессу радмина но триал так и не сбрасывает.

| Сообщение посчитали полезным:

Makroz пишет:
r3in.dll цепляется к процессу радмина но триал так и не сбрасывает
Попробуй при остановленном радмине: освободить > запустить > внедрить. У меня тоже не всегда с первого раза схватывает. Ещё, newtstop.dll может мешаться

| Сообщение посчитали полезным:

newtstop.dll удален начесто, дал другу лоадер и у него тоже не получилось ничего. У него ось сервер 2к3 x86, радмин версии 3,2 триал истек. Что-то мне подсказывает что радмин когда истекает триал гдето прописывает какую-то блокировку самого себя помимо обращения к ключу триала в реестре, но отслеживание всех его обращений не помогает.

| Сообщение посчитали полезным:

Makroz пишет:
Что-то мне подсказывает что радмин когда истекает триал гдето прописывает какую-то блокировку самого себя помимо обращения к ключу триала в реестре, но отслеживание всех его обращений не помогает.
Нет, ничего он не устанавливает - проверено.
У него ось сервер 2к3 x86
В серверной (да и не только) оси надо запускать r3inject с админскими правами. Кстати, может и в твоём случае поможет

Сегодня возьму домой серверную 2k3 поставить в виртуальной машине. Завтра отпишусь. 64-битную винду проверить не могу, буду думать.

| Сообщение посчитали полезным:

сервер 3,1 на 2k3 проработал пол года с newtstop.dll
сервер 3,1 на XP x64 проработал 3 месяца с newtstop.dll

ну и как бы логично что все делалось под полными правами

| Сообщение посчитали полезным:

Есть какой-то из виртуальников толи виртуал бокс толи еще какой-то уже не помню на него ставется спокойно 64 битная винда даже если у тебя самого 32 битка

| Сообщение посчитали полезным:

А не затрагивает ли тулза обращение прги к ветке реестра с её настройками HKEY_LOCAL_MACHINE\SOFTWARE\Radmin ?

| Сообщение посчитали полезным:

Makroz пишет:
Есть какой-то из виртуальников толи виртуал бокс толи еще какой-то уже не помню на него ставется спокойно 64 битная винда даже если у тебя самого 32 битка

да все нормальные это позволяют, только вот процессор тоже поддерживать должен

| Сообщение посчитали полезным:

---

| Сообщение посчитали полезным:

Так позволяют делать те, кто полностью эмулит проц. ВиртуалКоробка не эмулит полностью, вроде. По идее должны так уметь Бошс и КуЭмо.

| Сообщение посчитали полезным:

Avira AntiVir ругается на Hijacker.Gen - Trojan: Описание http://www.avira.com/en/threats/section/fulldetails/id_vir/3649/tr_hijacker.gen.html , Отчет http://www.virustotal.com/ru/analisis/1234225e21c5b1d68f795f6ad3402d75

General
Side effects:
• Third party control

| Сообщение посчитали полезным:

Kalmar

Сделай чтоб длл рядом ложила текстовый файл с выводом того что перехватила, посмотрим видит ли она вобще чтонить.

| Сообщение посчитали полезным:

YO-everybody пишет:
А не затрагивает ли тулза обращение прги к ветке реестра с её настройками HKEY_LOCAL_MACHINE\SOFTWARE\Radmin ?
Нет, в настройки радмина тулза не лезет.

Kiev78 пишет:
На самом деле один из эмуляторов (то ли Виртуалбокс, то ли Кьюэму то ли какой-то другой) позволяет эмулировать на 32битном проце 64битный (то есть даже если проц не поддерживает). Правда на скорость работы сами понимаете как это будет влиять.
Убедился, что VMware Workstation отлично эмулирует 64-битную ХР в 32-х битной (процессор 64-х битный). Правда не успел потестить. В Windows Server 2003 Enterprise (Russian) триал прекрасно пресекается.

Makroz пишет:
Сделай чтоб длл рядом ложила текстовый файл с выводом того что перехватила, посмотрим видит ли она вобще чтонить.
Вот здесь: point-company.narod.ru/downloads/r3inject.debug.zip лежит версия тулзы, ведущая лог перехвата. Внутри процессов радмина создаются консоли, в которых пишется всё происходящее. С консоли сервера дополнительно пишется лог в c:\r3in.log

YO-everybody пишет:
Avira AntiVir ругается на Hijacker.Gen - Trojan
Ничего удивительного, что ругается. Тулза внедряется в чужой процесс, изменяет чужой код, устанавливается в автозапуск... Чем не generic троян?

| Сообщение посчитали полезным:

Server 2003 до версии 3,3 триал сбрасывался без проблем, а вот обновил до 3,3 и он заблокировался.

В атаче лог.

Дамп ra3reset ваще говорит что ключа нету, чета как-то непонятною


cfa2_04.03.2009_CRACKLAB.rU.tgz - r3in_log.rar

| Сообщение посчитали полезным:

[deleted]

| Сообщение посчитали полезным:

Makroz пишет:
Есть какой-то из виртуальников толи виртуал бокс толи еще какой-то уже не помню на него ставется спокойно 64 битная винда даже если у тебя самого 32 битка
нет, только если проц суппортит intel VT

| Сообщение посчитали полезным:

Kalmar пишет:
в одном из ключей сохраняет информацию о триале таким макаром, что тулзой это пока не ловится
Здесь подробная инфа насчет триала

| Сообщение посчитали полезным:

troya пишет:
Здесь подробная инфа насчет триала
Я читал это. Но информацию о записи данных за нулевым символом не подтверждаю (для сервера 3.2). Ни ручной просмотр изменённых данных, ни сканирование реестра с помощью RootkitRevealer от SysInternals ничего подозрительного не выявили. А мусорный ключ блокировался с самого начала существования тулзы: ни прочитать, ни записать rserver его не может.

Makroz
А в версии сервера 3.2 тулза работает?

| Сообщение посчитали полезным:

После 3,3 какую версию назад не ставь триал не сбрасывается.

| Сообщение посчитали полезным: