Хотел написать тему "Плохие защиты", но дрогнула рука, а тему тут нельзя редактировать, так что извиняйте.
Давайте тут обсудим реально злые софтины. Например я сегодня лишился mbr, пробуя подломать некую mpcprog - снимаешь с нее враппер, раскриптовываешь 56 полиморфных блоков, прибиваешь проверку на отладчик, запускаешь и оооппа... досвиданья диск с:\ и d:\ И ведь сам подумал, зачем она открывает PhysicalDrive0, отпустил отладчик, и пару секунд, пока не прибил процесс, смотрел как горит лампочка винчестера =)
Результат - у системного диска убито: mbr и собсно ntfs таблица, так что полное переформатирование.
Зато понял что не зря бэкапился, и научился за 40 минут поднимать всю систему из бэкапа. Тепере все такие эксперименты только под виртуалыми машинами

| Сообщение посчитали полезным:

Надо винду патчить, что бы при попытке доступа к PhysicalDevice , выдавала сообщение и прибивать подозрительный процесс.

| Сообщение посчитали полезным:

Mifodix пишет:
Теперь надо ещё на виртуальной машине тестить ломанные экзешники
Это если афтары читали "Побег из VM Ware" -

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

DrGolova пишет:
Например я сегодня лишился mbr, пробуя подломать некую mpcprog
Искренее сочувствую, тебе, фигово когда так обламывают бешеные кодеры. Но если подумать логически, то в голову приходит аналогичный пример: Вор лезет в чужой гараж, взламывает замок, а там помимо машины натасканная бойцовская собака, искусывающая вора до полусмерти. Тут ведь тоже самое. Потому юридически автор прав, правда если у него есть копирайты на прогу и она официально зарегистрирована. В этом случае у комиссии по патентам есть оригинал проги и после экспертизы автор будет оправдан. Так что тут на юридическом уровне автор прав, потому соглашусь с Ms-Rem'ом.

Что же касается подобных выходок (форматирование винта и прочее), то меня самого они бесят и я не представляю, каким надо быть параноиком чтобы такое делать, потому тема актуальна, пускай будет кладезем инфы по двинутым авторам защит. Скоро уже триал инфу будут в NOP'ы лоадера биоса прописывать ))

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH пишет:
искусывающая вора до полусмерти
А в нашем случае - до смерти. Разница есть?

| Сообщение посчитали полезным:

да.. я даже вирей таких не встречал - а тут прога такое вытворяет.
а можно тело выложить ?

-----
in search of sunrise

| Сообщение посчитали полезным:

GPcH пишет:
Вор лезет в чужой гараж, взламывает замок, а там помимо машины натасканная бойцовская собака, искусывающая вора до полусмерти. Тут ведь тоже самое.

другой пример, вор попадает на наставленный взведенный самострел, срабатывающий на открытие дверей - в этом случае хозяин садится в тюрьму за убийство, хотя и защищал своё имущество

| Сообщение посчитали полезным:

Где-то был случай, что хозяин добавил в водку йад и оставил ее на даче, специально. Бомжи есс-но выпили йаду и сдохли, а хозяин сел.

| Сообщение посчитали полезным:

Asterix пишет:
другой пример, вор попадает на наставленный взведенный самострел, срабатывающий на открытие дверей - в этом случае хозяин садится в тюрьму за убийство, хотя и защищал своё имущество
Или же подведенное электричество к забору: вор - труп, хозяин - зек. И ничего не попишешь... Наши законы.
Если прога определила, что ее хакнули, пусть просто не работает, молчит в дырочку и все. А когда начинает винты форматить, создавать файлы по несколько гигов на винте, засирать оперативку, письма писать авторам и прочая дребедень - это уже перебор. Хотя, исследуя программы для оптимизации винтов, лучше перестраховаться. А то 1 неверно исправленный джамп и труба. Получишь вместо FAT32 что-то типа FAT12... А это уже не смешно будет совсем.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

NullSession пишет:
А в нашем случае - до смерти. Разница есть?
Не сравнивай жизнь человека и винчестер... данные на винте дело наживное, да и бэкапы делать надо. Я вообще на отдельный комп по сети бэкаплюсь для сохранности. И повторюсь - если у автора копираты на прогу, то ее оригинал есть в отделе по патентам, где он ее регал, потому есть что представить в суде. Врядли судьи будут снимать полиморф и дебажить прогу дабы доказать вину автора.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH пишет:
Врядли судьи будут снимать полиморф и дебажить прогу дабы доказать вину автора.
Судьи не будут, они просто прочтут заключение экспертов...

| Сообщение посчитали полезным:

Блин аж страшно стало от таких защит Если у меня винт полетит то и жить ее стоит дальше Напишите как от такого говна уберечься,что там использовать и т.д думаю новичкам интересно будет.

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

di-2 пишет:
как от такого говна уберечься
1. Не работать под админом и отлаживать тоже не под админом. Функциональность не полная, но Olly например работает. (у программы не должны быть драйвера)
2. Выбросить комп нах задолго до установки программы
3. Не закачивать и не устанавливать программу
Если у меня винт полетит
4. Прибить винт гвоздями, чтоб не летал
5. Написать драйвер, запрещающий доступ к жёсткому диску не из ring-0. (у программы не должно быть драйвера)
Наконец, самое действенное:
6. Купить ещё один комп, и проводить исследования на нём.

| Сообщение посчитали полезным:

NullSession пишет:
6. Купить ещё один комп, и проводить исследования на нём.
Ну, на худой конец, иметь еще один винт для экспериментов, полностью настроенный и отгостированный. Все исследовать на нем, а основной отключать (физически). Правда, гемор шлейфы дергать...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

NullSession несет полный бред. Лучше купить травы еще мешок и курить дальше.

| Сообщение посчитали полезным:

В принципе можно к другу ходить и там исследовать у него все Я так наверное и буду делать

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

GPcH Где гарантия, что деструкция не сработает после повреждения этой проги вирусами?
Вообще- вор или не вор устанавливает только суд! и то часто ошибочно.

| Сообщение посчитали полезным:

atoll пишет:
Где гарантия, что деструкция не сработает после повреждения этой проги вирусами?
Для этого ломаемые проги обычно выводят сообщение-типа файл поврежден вирусом и т.п. В SourceFormat так и было. А вот когда уже это сообщение обходишь, начинается веселье Т.е. реально даже вирус не сможет вызвать деструкцию, только крякер.

| Сообщение посчитали полезным:

atoll пишет:
Где гарантия, что деструкция не сработает после повреждения этой проги вирусами?

Ms-Rem пишет:
А вот тут нужно определить в каком именно случае программа начинает форматировать диск. Если после любого изменения, то я полностью с тобой согласен, а если в случае гарантировано целенаправленого взлома (например после снятия полиморфа с процедур), то тут можно поспорить и подраться (в суде).
Согласись, что удаление полиморфа - 100% признак целенаправденого взлома (изменения кода программы с целью изменения алгоритма ее работы). А измененная программа в качестве доказательства в суде приниматься не будет.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

di-2 пишет:
Блин аж страшно стало от таких защит Если у меня винт полетит то и жить ее стоит дальше Напишите как от такого говна уберечься,что там использовать и т.д думаю новичкам интересно будет.
Поступить также как поступил я. Собрать второй комп и каждый день бэкапить все на него.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Нафига второй комп-то? ЛОЛ. Маньяки прям какие-то.

| Сообщение посчитали полезным:

GPcH Представляю себе алгоритм - проверки на удаление полиморфа! Контрольная сумма скорее всего
сравнение и прыжок.

| Сообщение посчитали полезным:

Ara пишет:
Нафига второй комп-то? ЛОЛ. Маньяки прям какие-то.
Когда данные на твоем винте станут стоить дороже твоего компа ты меня поймешь

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH пишет:
Когда данные на твоем винте станут стоить дороже твоего компа ты меня поймешь
А когда станут дороже двух компов-ты купишь третий?? Есть вполне нормальные способы бэкапа и без извращений в виде второго компа... Хотя вас, богатых, не понять...

| Сообщение посчитали полезным:

Ara пишет:
А когда станут дороже двух компов-ты купишь третий??
лол )))
при современных ценах лучше купить устройство для записи DVD за $50 - $60, тогда на оставшиеся деньги можно будет купить столько болванок, что на несколько лет хватит, если каждый день бэкапить на новую болванку )

| Сообщение посчитали полезным:

Диалектика!
GPcH пишет:
Вор лезет в чужой гараж, взламывает замок, а там помимо машины натасканная бойцовская собака, искусывающая вора до полусмерти. Тут ведь тоже самое.
Форум то как назывется? такие мысли тут карамола....

| Сообщение посчитали полезным:

мдаааа, чувствую тут без VMWare не разберёшься... а ведь действительно если там программа проверяет ЦРЦ, а у тебя завёлся какой-нибудь злостный вирус заражающий PE файлы... типа того же Hidrag... и тут... бац и нету разделов жёского диска есть над чем задуматься...

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

Сорри, оффтоп, но не рассказать не могу %)
Заказал мне чел по инэту (в моем городе живет) сделать ему программку. Вроде как для курсовой работы. Обговорили, всё по тому же инэту. Я сказал, что как только демка мной отправленая будет устраивать заказчика, то после рассчета я отсылаю исходники, ессно без демонутости. Урезал до демки так: прога на каждый запуск выполняет только одну сессию своей работы, показывает наги, и требует на каждый запуск ключиг, ибо пожал я всё аспром. АПИ Аспра заюзать не смог, потому что ВБ %) Финальный вариант отправил - заказчик испарился, видимо демка его устроила =( Теперь вот думаю, вшивать в дэмки какую-нибудь дрянь, а в случае исчезновения "отказчика" отправлять письмо с напоминанием - не вариант; Ничего не вшивать, но предупреждать о скрытой угрозе "чтоп ниисчизалинах" - тоже не вариант. Теперь думаю над хитронахзаипатой демкой.. 500 р. слетело =( Хотя я даже не буду вшивать деструкцию в проги, просто заказчик - мудаг %)

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

Винт, кстати, не умер, только данные накрылись.
Защита, конечно, на грани маразма

| Сообщение посчитали полезным:

Да, я с год назад столкнулся с такой же фигней. Я тогда еще о крэке нихрена не знал. Купил на рынке диск "Хакеру". Загнал в отладчик какую-то прогу(не спрашивайте-не помню, но что-то из хак-софта, сканер или снифер). А там в стрингах готовый ключ. Я не долго думая сунул его проге. Она минут пять винтом шуршала, а потом система ушла в ребут. А из ребута в даун. Я с РТК загрузился - и охренел. От трех логических дисков размером в 40г осталось - нихренаська. Ну систему переставить - не проблема. А инфу потом неделю выковыривал. Процентов 60 восстановил, остальное потерял. Такая типа шутка.
Я потом в инете искал прогу, что - то вроде резидента-файервола между ринг0 и ринг3. Типа как в аутпосте - разрешил некоторым процессам доступ в ринг0, а остальных - нафик. Не нашел. Вот, полезная тузла была бы. И не надо никаких вварь.

| Сообщение посчитали полезным:

NullSession пишет:
4. Прибить винт гвоздями, чтоб не летал
5. Написать драйвер, запрещающий доступ к жёсткому диску не из ring-0. (у программы не должно быть драйвера)
6. Написать драйвер прибивающий винт гвоздями и аффтара проги тоже.

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным: