Хотел написать тему "Плохие защиты", но дрогнула рука, а тему тут нельзя редактировать, так что извиняйте.
Давайте тут обсудим реально злые софтины. Например я сегодня лишился mbr, пробуя подломать некую mpcprog - снимаешь с нее враппер, раскриптовываешь 56 полиморфных блоков, прибиваешь проверку на отладчик, запускаешь и оооппа... досвиданья диск с:\ и d:\ И ведь сам подумал, зачем она открывает PhysicalDrive0, отпустил отладчик, и пару секунд, пока не прибил процесс, смотрел как горит лампочка винчестера =)
Результат - у системного диска убито: mbr и собсно ntfs таблица, так что полное переформатирование.
Зато понял что не зря бэкапился, и научился за 40 минут поднимать всю систему из бэкапа. Тепере все такие эксперименты только под виртуалыми машинами

| Сообщение посчитали полезным:

Блин, кал какой-то вообще! Видимо, у некоторых разработчиков совсем все туго, если идут на такие методы..... Все порой впадают в крайность.... И еще не факт, что того или иного признают не виновным... Мдя, а на такие ловушки, типа серийника в стрингах, можно реально купиться... Или так его ненавязчиво засунуть на открытое место.... Дожились, теперь даже ломать надо в виртуалке..... Фильтр нужен....

-----
The blood swap....

| Сообщение посчитали полезным:

Главное чтоб такие методы не получили распостранения

| Сообщение посчитали полезным:

Paxan пишет:
Главное чтоб такие методы не получили распостранения
угу эт точна

| Сообщение посчитали полезным:

stahh пишет:
Я потом в инете искал прогу, что - то вроде резидента-файервола между ринг0 и ринг3. Типа как в аутпосте - разрешил некоторым процессам доступ в ринг0, а остальных - нафик.

Вы не поверите, но он уже так или иначе реализован во всех современных ОС . Во многих случаях достаточно просто запускать подозрительные программы под аккаунтом с ограниченными, а не администраторскими правами. Либо стандартными средствами, либо так: psexec -l прога.

| Сообщение посчитали полезным:

STiX0r пишет:
либо так: psexec -l прога
Не догнал, поясни, откуда это? В линуксе так что ли? Я в винде только runas знаю для этих целей...

| Сообщение посчитали полезным:

bash
http://www.sysinternals.com/Utilities/PsTools.html http://www.sysinternals.com/Utilities/PsTools.html
интересно если ида запущена как юзер, через runas, например. и выполняешь в дебагере исследуемую программу - по идее должно происходить наследование привелегий, так ли это?

| Сообщение посчитали полезным:

Nitrogen

Если дебугер запускает прогу то по дефолту, ей назначаются такие же права.

-----
have a nice day

| Сообщение посчитали полезным:

одна прога(точнее пр-апп комплекс) при нахождении эмулятора донгла начинала портить материал (делать кривые зубы )

| Сообщение посчитали полезным:

Поверхностное вскрытие показало, что прога детектила отладчик и вызывала ExitProcess(), параллельно запуская трэд со Sleep(500) / kill_system_drive() - типа занопил ExitProcess() или протупил пол секунды в отладчике - кирдык диску. Вирье вешающееся на ExitProcess(), это классика, и то что оно отработает за пол секунды далеко не факт. Шансы такого совпадения конечно ничтожны, но тем не менее....

| Сообщение посчитали полезным:

Ara пишет:
Где-то был случай, что хозяин добавил в водку йад и оставил ее на даче, специально. Бомжи есс-но выпили йаду и сдохли, а хозяин сел.

Нет. Случай был другой. Реально. Печатали в Аргументах и фактах.
У типа была хата под охраной ментов (ОВО).
А менты как известно имеют ключ для входа в квартиру.
Хозяин уехал в отпуск кажется и на всякий случай оставил на столе на кухне бутылку отравленного коньяка.

Вернулся - три ментовских трупа Бу-га-га

Теперь по теме.
Прога Stamp не помню какой версии стирает все файлы после снятия с нее упикса
Точнее делает им нулевой размер.
Давно это было, но печально.

| Сообщение посчитали полезным:

Мда...Тема получилась антирекламой KAL-а, из нее мы можем узнать, что сотрудники лаборатории Касперского взламывают программы и неугодный им, по той или иной причине, soft объявляют трояном.
Или у KAV уже нет конкурентов.
Писать лучше более нейтрально.
Примерно так.
"На днях при исследовании одной программы обнаружен код при получении управления которым выполняются деструктивные действия , а именно ...
В процессе изучения работы программы одному из сотрудников Лаборатории Касперского нанесен материальный и моральный ущерб.
Данное ПО классифицировано как MegaDestructivoTroyanito.
Таким образом в результате бдительности производителей лучшего в мире антивируса обезврежен еще один троян. Антивирусные базы пополнены. Общественность может спать спокойно."

PS. backup- хорошее дело.

| Сообщение посчитали полезным:

как то попалась утиль UnknownDeviceIdentifier
если снять upx ребутит комп через ExitWindowsEx
первый раз попалась такая дрянь - противно было
еще всегда шлепает ярлык с рекламой на рабочий стол
ломается легко
вроде больше ничего такого не делает

| Сообщение посчитали полезным:

Я тоже могу поделиться опытом "злых прог". Как-то ковырял прогу WinTools.net Professional 5, там введенный ключ разделяется на две части, каждая из которых проходит преобразования, 2 части должны совпасть. Но вторая часть преобразованного серийника еще сравнивается с сигнатурой, при нажатии определенных кнопочек в проге, если не совпало - пишет в win.ini файл строку [RAM] data3=1 и после перезапуска - нагскрин, я чтобы не заморачиваться взял эту сигнатурку и пропатчил, чтобы совпадало с моим серийником после преобразования. Прога заработала, но там есть функция - "чистая деинсталляция", кот. ищет все изменения на диске и в реестре после установки софта, тык вот пропатченная прога нашла у меня в реестре 65 435 изменений... Короче можно невзначай выкосить весь реестр нах . Это только СТИМУЛИРОВАЛО продолжение исследований, и я уже с азартом и полностью разобрал алго, а алго начиная с 5 и по 7 версию особо не поменяли и он не сложный.
Насчет прог, которые содержать в себе "мину" - думаю, что это ОЧЕНЬ нехорошо, так как существует определенная вероятность, что произойдет глюк и управление попадет на этот участок кода, да и можно виря написать, который сделает гадость "чужими руками", пользователи в восторге от этого не будут. Фтопку такой софт, ИМХО авторы сами себе запару только делают, меня такие препятствия не только не остановят, но и азарта добавят .
P.S. сайт проги: www.wintools.net

-----
Research is my purpose

| Сообщение посчитали полезным:

интересная тема..
ни у кого нет примера как в хр снести раздел под админом?

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom пишет:
ни у кого нет примера как в хр снести раздел под админом?
hFile = CreateFile('"\\\\.\\c:"...
while (1) WriteFile(hFile, ....

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

пример читает файл MBR.bin из текущего каталога и перезаписывает
им MBR

3a1e_08.05.2006_CRACKLAB.rU.tgz - WriteMBRw.bat

| Сообщение посчитали полезным:

Ms-Rem
Asterix
ща чувствую опять пойдут новые неломаемые крякми ))

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

U menya byl sluchai, kogda proga CryptCD Pro 4.0 pri udalenii nachala udalyat faily na diske C:. Neznay byl eto bug v uninstallere ili v zashite(ya ee raskovyral ne do konca), no progu etu ya bolshe ne postavly (. Sait programmy: timesavesoftware.com

| Сообщение посчитали полезным:

Советую использовать вместо виртуальных машин утилиту ShadowUser 2.5. Все изменения в системе исчезают после выхода из защищенного режима. Результаты можно сохранить в папке, которую сам назначиш. Сам только под ней и ломаю.

| Сообщение посчитали полезным:

pin201 а ты уверен, что ShadowUser нельзя обойти? Я например уверен в обратном

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

С трудом в это верится.А что ж никто ссылку не даст на "вредную" прогу? Так все поглядим...
Причём "ломают" ваши компы именно программы,которые с помощью драйверов имеют доступ
к винту или BIOS.
ВАМ НЕ КАЖЕТСЯ ЭТО мягко говоря СТРАННЫМ?
А может быть виноваты вы сами? Изменили джамп не тот и всё.
В целом,одобряю авторов. Я б на их месте ещё и BIOS стирал весь подчистую.Только надо в
ReadMe об этом предупреждать.WELL пишет:
Где-то был случай, что хозяин добавил в водку йад и оставил ее на даче, специально. Бомжи есс-но выпили йаду и сдохли, а хозяин сел.
Да было такое.В Инете этот случай обсасывали всем миром. Бомжи сейчас хитрые пошли,если бутылку
оставишь,они пить боятся. Лучше всего сарай заминировать. Испытано,работает 100%

| Сообщение посчитали полезным:

Paxan пишет:
Главное чтоб такие методы не получили распостранения
Из 200 программ только 1 будет иметь столь извращённую защиту.

| Сообщение посчитали полезным:

NullSession пишет:
За такое руки надо отрывать. Я бы назвал это противоправными действиями в области ЭВМ. Взлом Вашей программы не оправдывает деструктивные меры.
Интересно,как вы пришли к такому выводу?

| Сообщение посчитали полезным:

Chernobyle пишет:
А что ж никто ссылку не даст на "вредную" прогу? Так все поглядим

Возьми к примеру Runpad Shell 4.60, распакуй, запусти, и поглядишь...

| Сообщение посчитали полезным:

WELL пишет:
Нет. Случай был другой. Реально. Печатали в Аргументах и фактах.
У типа была хата под охраной ментов (ОВО).
А менты как известно имеют ключ для входа в квартиру.
Хозяин уехал в отпуск кажется и на всякий случай оставил на столе на кухне бутылку отравленного коньяка.

Вернулся - три ментовских трупа Бу-га-га

Бред. Сам работал с вневедомственной. Если группа после вскрытия квартиры не выйдет на связь - через 15 минут будет тревога.

| Сообщение посчитали полезным:

DanilinS пишет:
Бред. Сам работал с вневедомственной. Если группа после вскрытия квартиры не выйдет на связь - через 15 минут будет тревога.
Да там не так было.Не менты отравились,а грабители. Вообще не известно,правда это или
чья то выдумка.Но с бабой и бомжами 100 пудов правда.

| Сообщение посчитали полезным:

Аналогия кстати очень точно приведена. Но там всё равно доказать сложно.
С бомжами то как было: баба сама ментам сказала,мол она яд умышленно в бутылку налила,
да ещё и этикетку прилепила от водки. А если сказать,что типа я эту бутылку первый раз вижу
и вор её с собой принёс,но никто ничего не докажет. Если глушь, до деревни 3-4 километра,так
трупы можно закопать в земле и хрен кто найдёт потом. Почему? Да потому что кто ваших бомжей
искать будет,кому они нужны. А если даже 1 живой останется,так он в ментовку не пойдёт по любому,
т.к. самого посадят за воровство.
То же самое с вредоносным ПО. Во-первых,вы не докажете что комп сдох именно из-за данной
проги. Потому как в исходном (неломанном) состоянии она ничего плохого не делает.
Судья допустим спросит: зачем вы начали ковырять код, вирус туда хотели записать что ли?
А вы скажете: мне влом платить было и я решил нахаляву отломать...
AsProtect тоже там какие то ключи в реестре стирает.Да и тот же Norton System Doctor.
Кто ж знает,что он там творит с HKEY_LOCAL_MACHINE
Главный вопрос: охота же программистам сидеть,писать это псевдовирус,тратить уйму времени.
Проще сделать так,чтобы у крекера сразу отпало желание ломать программу.
А сделать это не сложно. Надо просто иметь богатую фантазию

| Сообщение посчитали полезным:

Chernobyle пишет:
С трудом в это верится.А что ж никто ссылку не даст на "вредную" прогу?

Специально для особо неверующих, тех кто по утрам молиться на ShadowUser, и страшно уверен в своей безопасности, привожу пример обхода его в юзермоде, без применения дров.
Пример затирает файл winhelp.exe в папке винды нецензурными матами. За 100% стабильность примера не ручаюсь, т.к. писалось за 5 минут и как попало (лиш бы работало), так что если у кого полетит винт, то меня не пинать.

ms-rem.dot-link.net/shadowfake.rar

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

З.Ы. изменения в фале могут стать видны не сразу, а только после перезагрузки.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Chernobyle пишет:
Я б на их месте ещё и BIOS стирал весь подчистую.

А я бы тебе зубы за это выбил подчистую. И в суд бы не звал

| Сообщение посчитали полезным: