Все привет, я новичок на этом форуме, поэтому расскажу немного о себе:
Я кодер и исследователь.
Я занимаюсь программированием на платформе .NET Framework, а также провожу разные эксперименты.
Также я умею реверсить, ну и основы хакинга знаю.
-----------------------------------------------------------------------------
Ну в первом своем посте я расскажу, про деградацию младшей части населения.
Для этого я месяца 3 тому назад провел эксперимент. Он заключался в "атаке" на стимоманов и состоял из 2 стадий.

1 стадия: Забив в гугл - "форумы читеров", я наткнулся на пару интересных.
На тех форумах процент нубов over 9999%. Далее я собрал стилер,
ничем не криптовал и т.д. Выложил его на форум и написал - "Программа для бесплатных игр Steam. Для успешной работы - отключите антивирус".
Было уже 3 часа утра, я валился с ног, и поэтому пошел спать.
Утром, я решил проверить свой сервер.
И чуть не схватил сердечный приступ - мне пришло 75 отчетов.

Пруф

IMAGE http://i46.fastpic.ru/big/2013/0616/f8/4f462e7150876bf82b304e53396955f8.jpg

IMAGE http://i46.fastpic.ru/big/2013/0616/f6/4135871ff3bd8656cc5b5be3f86e5ef6.jpg

2 стадия: Я сделал стим фейк, который подменял собой оригинальный стим и клиент, и выложил его на форум в "качестве" обновления Steam.
Ночь просидел у компа, пил кофе и читал новостную ленту.
Через 4 часа в ФайлЗилле появился текстовый документ, размером несколько десятков КБ.
В нем было куча левой инфы:
Login:djdjdfj
Pass: jsdjsjd
Но были и стим аки, много аков.
Кол-во запусков стилера было 75 (напомню, что стилер был "хаком для стим", а фейк "апдейтом"), а кол-во запусков фейка - 25.
Вывод: Хак намного интереснее для школоты, чем обновление. А теперь представьте, что это "школота" вырастет и останется такой-же тупой.
Многие сейчас говорят, что нация деградирует, но никто не хочет искать причину.
А причину вот она (заметка для родителей ->):
У школьников сейчас мощные игровые компы, но покупались они для учебы.
Например реклама: "Купите вашему ребенку Intel Core i7 и NVIDIA Titan для учебы".
Отличная, блин, учеба - изучаем DirectX 11.
Конечно, если школьник занимается моделированием (что очень вряд ли), то мощный комп нужен.
Теперь вопрос сообществу:
"Если бы в мире не было бы игр, то что делала бы школота?"
Спасибо за внимание!

Вот интересная мысль (не моя)

А родители считают, что сыну купили ПК, дали образование и миссия выполнена.
А в голове у него что - никто не копает.
Он им чешет одно, живёт по-другому, я уверен.
Когда уже поймут, что воспитание - это не материальное обеспечение?
Чёрт знает.
Всё идёт так криво, что будущее должно будет просто совершить нечто радикальное, чтобы выровнять ситуацию.
Технологий - больше, смысла - меньше.

Хочу выразить благодарность пользователю samarobrino за гостеприимство и поддержку.
Если было интересно, то продолжу писать про свои эксперименты.
Hide:
Чтобы просмотреть данный текст, авторизуйтесь на форуме.

Цитата:


У школьников сейчас мощные игровые компы, но покупались они для учебы.
Например реклама: "Купите вашему ребенку Intel Core i7 и NVIDIA Titan для учебы".



Да уж, я удивляюсь, неужели родители такие глупые, что совсем не понимают, почему их чадо так настойчиво просит их купить ему личный компьютер "для учебы"? Ведь сейчас, по большому счету, в школе не то что без компьютера, без учебников можно обойтись, имея одну общую тетрадь на все предметы, и закончить школу.
В универе да, без компьютера не обойтись. Хотя даже и в этом случае обходной вариант есть (писать работы и отчеты в библиотеке например, потом распечатывать за бабки).

В общем, интересно пишешь, продолжай=)

Цитата:

Сообщение от Nick Hander

Да уж, я удивляюсь, неужели родители такие глупые, что совсем не понимают, почему их чадо так настойчиво просит их купить ему личный компьютер "для учебы"? Ведь сейчас, по большому счету, в школе не то что без компьютера, без учебников можно обойтись, имея одну общую тетрадь на все предметы, и закончить школу.
В универе да, без компьютера не обойтись. Хотя даже и в этом случае обходной вариант есть (писать работы и отчеты в библиотеке например, потом распечатывать за бабки).

В общем, интересно пишешь, продолжай=)

Спасибо, ну без компа в школе будет довольно туго, т.к надо всякие рефераты печатать, и.тд

Всем привет! Вторую запись я хочу начать словами известного писателя М.Е. Салтыкова-Щедрина:
"Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в России, я отвечу,- ПЬЮТ И ВОРУЮТ".
И ничего не изменилось.
По крайней мере среди младшей части нашего населения.
Пьют - ягуар, пиво и т.д.
Воруют - жвачки в магазинах, ну и пароли у собратьев.
Именно и про пароли я хочу вам рассказать. Как я уже говорил в своем прошлом сообщение:
игроманов больше всего интересуют читы, и чуть меньше программы для взлома.
Запомни два ключевых слова "hack" и "cheat".
Сегодня, я расскажу как эти "хаки" и "читы" использовать против них.
Нет, я не буду писать вам инфу про СИ, Фейки и т.д.
Я расскажу вам - как обернуть оружие обезьян со стилерами против них.
Для начала немного теории:
Что такое стилер?
Это прога, которая собирает данные о паролях в браузерах, а также инфу о системе и передает ее нам на почту, фтп или еще куда.
Но как стилер узнает данные для отправки логов?
Их вводит "хакер" в билдере, и они хранятся в самом стилере.
Я расскажу вам, как их достать.
Нет, мы не будем использовать сниффер. Мы расковыряем стилер.
В качестве эксперимента будет билд UFR Stealer (да простит меня Vazonez).
Приступим. Нам понадобиться отладчик и виртуальная машина. Я юзаю OllyDebug и VirtualBox.
1)Идем на rghost.ru и вбиваем в поиск "hack" или "cheat":
IMAGE http://i48.fastpic.ru/big/2013/0616/ad/698aadd1a850e52af7cc438558aad7ad.jpg
Почти 10000 "хаков", и почти все трояны, фейки или сборки РМС.
Выбирайте файлы размером поменьше ( до 1 МБ), это с гарантией окажутся чистыми троями, а не сборками.
Я выбрал данный экземпляр:
IMAGE http://i48.fastpic.ru/big/2013/0616/ce/a167957affd4968f21cac9b33adab4ce.jpg
Жмем скачать, и открываем в отладчике.
2)Проведем визуальный анализ.
IMAGE http://i48.fastpic.ru/big/2013/0616/c8/b62aa18fd34c3dc936ba310c1c71c2c8.jpg
Это UPX (подробнее в гугле).
Для его распаковки нам надо сделать следующее:
-Крутим до такого фрагмента кода и ставим брейкпоинт на безусловный переход (JMP):
IMAGE http://i48.fastpic.ru/big/2013/0616/d2/037e83001a3a23dec55cc348d44935d2.jpg
- Запускаем прогу в отладчике (F9).
Когда безусловный переход станет серым, жмем F8.
И попадаем в такое место:
IMAGE http://i46.fastpic.ru/big/2013/0616/56/c58da83c852a6b67c7595f08ec46c056.jpg
Это антиотладочный код, мы крутнем чуть ниже, то увидим переход JE:
IMAGE http://i48.fastpic.ru/big/2013/0616/c7/0816e0bf36536bfe8f80918f831685c7.jpg
Ставим на него брейпоинт (F2) и жмем запуск (F9).
Когда переход станет серым, жмем F8.
Попадаем на оригинальный код стилера:
IMAGE http://i46.fastpic.ru/big/2013/0616/72/0a127b5934607defd2452790beb19772.jpg
Теперь нам надо найти процедуру, которая загружает данные "хакера" (они хранятся в ресурсах) в стек.
Не волнуйтесь, я уже нашел ее за вас, она находится по адресу 401083 (у меня).
У вас может быть другой адрес, но в любом случае вот она (подсвечена серым):
IMAGE http://i46.fastpic.ru/big/2013/0616/cf/b9f9c2d712a5d68edac6c70f4d8ce9cf.jpg
Теперь делаем по аналогии. Ставим на нее брейпоинт, F9, но теперь жмем F7, и попадаем в ее код:
IMAGE http://i47.fastpic.ru/big/2013/0616/d1/7afe39ac0a1ee79fd38dedc9348d28d1.jpg
В коде идет загрузка данный из ресурсов (именно там хранятся данные), а затем расшифровка.
Она (расшифровка) на и интересует.
Ставим брейкпоинт на последний CALL, потом F9, потом F7. Попадаем в ее код:
IMAGE http://i48.fastpic.ru/big/2013/0616/3b/572348a94313bcdd06ee9dc17d158d3b.jpg
Цикл расшифровки организован при помощи условных переходов (JNZ).
Нас интересует конструкция LODS BYTE PTR DS:[ESI].
Она загружает данные по адресу из ESI в EAX.
Ставим брейкпоинт на эту строчку и жмем F9.
Когда она станет серой, жмем на ESI в онке регистров правой кнопкой и выбираемFollow in Dump
Увидим непонятную хрень в окне дампа:
IMAGE http://i47.fastpic.ru/big/2013/0616/7a/0634958fd2024f19da4aafea4a145b7a.jpg
Это шифрованные данные "хакера".
Теперь надо заставить прогу их расшифровать. Ставим брейкпоинт на команду LEAVE, жмем F9, и непонятная хрень стала понятной:
IMAGE http://i47.fastpic.ru/big/2013/0616/3e/e62c4b646ed7755093cdea5b65c62c3e.jpg
Мы можем наблюдать следующее: почта отправителя и почта получателя совпадают. Это значит, что стилер отправляет отчеты на почту недохакера, с почты недохакера.
Теперь, нам надо зайти в почту и поставить пересылку на нашу почту.
Зайдя в почту, я понял, что угадал насчет отправки самому себе:
IMAGE http://i47.fastpic.ru/big/2013/0616/79/a32b520a4e52ed7d36f2b6b40479c579.jpg
Идем в Настройки-Фильтры и пересылка и вбиваем такие настройки:
IMAGE http://i48.fastpic.ru/big/2013/0616/...eaac8c6f51.jpg

После этого жмем Сохранить, а затем Подтвердить и выполняем инструкции почтового сервера (там все просто).
Теперь можете запустить стилер на виртуалке и проверить вашу почту.
Лог должен прийти.
Спасибо за внимание! Понравилось?
Если у вас есть ко мне вопросы, предложение и т.д. - прошу в ICQ: 608983234.

Молодец конечно, но можно гораздо проще. Заходим сюда загружаем файл, ждем, нам выдается полный отчет. Так же данные FTP/Почты и др.

Прождал полчаса пока этот сервис проанализирует файл. Вот что он мне выдал:
IMAGE http://i48.fastpic.ru/big/2013/0616/55/5d5cec9a669b2253124bcb2e134aef55.jpg

И где тут данные?

Download Files: • traffic.pcap

В wireshark открой.

Цитата:

Сообщение от lolca

Download Files: • traffic.pcap

В wireshark открой.

Открыл, там тоже самое. Запрос на smtp.mail.ru, а данных нет.
Да и вообще:
IMAGE http://i46.fastpic.ru/big/2013/0616/a5/7493c2bef00641508d0a0460c35628a5.jpg

Ура! Есть первый заказ на кейлоггер.

Почитала, загуглила. Сгуглился бложек, а там..

программирую на Visual Basic .NET, так что большинство статей будет именно по кодингу на этом языке.

Даже расстроилась(

Ты продолжай писать, про реверсинг интересно.

Irenica, это старый блог. Я теперь тут буду писать. Будет и про реверсинг.

Всем доброго времени суток!
По просьбе пользователя Irenica пишу статью про реверсинг.
Сегодня предлагаю отвлечься от темы экспериментов, да и вообще от хакинга.
Сегодня мы будем играть в крекеров. Не волнуйтесь - игра простая.
Мы будем снимать защиту у одной программы, заоодно и хорошо посмеемся, т.к для вас я подобрал программу, с "супермегакрутой защитой".
Итак, наша цель - Akala EXE Lock.
Эта программа позиционирует себя как элитный защитник EXE файлов.
Не протектор, а именно защитник, т.е на exe ставиться пароль.
Защита действительно хорошая, мне хакнуть пока не удалось.
А вот защита самой программы (регистрация), очень убогая.
Ну, приступим!
Давайте сначала скачаем программу:Ссылко
Разработчик хочет 30$ за лицензию.
А хрен ему (прости бро, но защита реально лажовая)!
Устанавливаем программу.
Теперь на надо сделать анализ EXE.
Используем PEiD или Detect It Easy:
IMAGE http://i48.fastpic.ru/big/2013/0617/1a/3995b7cc86b6778d788e67420425571a.jpg

Ага, Aspack. Это такой "защитник кода от взлома".
Есть два способа его распаковки:
Ручной и Автоматический.
Для ускорения процесса будем использовать Автоматический.
Если кому-то интересно, то могу написать про ручную распаковку.
Для автораспаковки нам понадобится прога: Aspack DIE
Открываем Aspack Die и выбираем нашу программу:
IMAGE http://i48.fastpic.ru/big/2013/0617/ba/0aeabea0992c092227b2e5ef578409ba.jpg

Если все прошло удачно, то через 3-4 секунды увидим сообщение:
IMAGE http://i47.fastpic.ru/big/2013/0617/5f/d70cf5e93a3dcec74c60e28ffb24fc5f.jpg

Ок! Файл распаковали.
Если хотите, то можете открыть распакованный файл и увидеть, что прога написанна на дельфи.
Теперь открываем в отладчике:
IMAGE http://i47.fastpic.ru/big/2013/0617/f1/78227ad58d28f13751b255f51b74fcf1.jpg

Ну да, чистый дельфи.
Теперь запустим прогу в отладчике (F9).
Появится форма, в которую надо ввести имя и ключ:
IMAGE http://i48.fastpic.ru/big/2013/0617/2d/fc303423cce316288d137a1fd2697e2d.jpg

Вводим от балды и запоминаем текст сообщения с ошибкой.
Теперь пройдемся по строкам и поищем текст ошибки.
Для этого:
1) Жмем правой кнопкой на пустое пространство слева от кода
2) Выбираем Search For-> Search for all strings
Когда загрузится строки, ловим такой момент:
IMAGE http://i46.fastpic.ru/big/2013/0617/a7/8e03a2d7865498e23bc236b964c01da7.jpg

Вот мы и нашли текст ошибки.
Теперь жмем на него 2 раза и попадаем на эту строчку в коде.
Идем вверх до такого момента:
IMAGE http://i48.fastpic.ru/big/2013/0617/c0/1fca44b7eaf46603e12e3235ad6398c0.jpg

Процедура, которая стоит чуть ниже строки Akala Exe Lock - процедура генерации кода.
Жмем на нее мышкой, а потом F2.
Мы поставили на нее брейкпоинт.
Теперь смело жмем Ctrl+F2, и программа перезагрузится.
Жмем F9.
Снова вводим в форму наше имя и пароль.
Теперь программа остановится на процедуре с генерацией ключа (кто хочет - может нажать F7 и посмотреть алгоритм генерации, а потом сделать кейген).
Жмем F8. И смотрим окно стека:
IMAGE http://i48.fastpic.ru/big/2013/0617/8a/5f20bcee59d7886eeb164e65a8ced98a.jpg

Правильный пароль записан в первой строчке (кто бы мог подумать ).
Вводим его в программу и она зарегистрируется.
Но, я уже обещал вам поржать над разрабами.
Спорим никто не приметил этот кусок:
IMAGE http://i46.fastpic.ru/big/2013/0617/86/714a52a90d28a6404c0eefbb19eddd86.jpg

В реестр пишется имя, на которое зарегана программа.
Идем в реестр.
Раздел HKEY_CURRENT_USER\Software\Microsoft\Secret\BFM
И наблюдаем там такое:
IMAGE http://i46.fastpic.ru/big/2013/0617/a7/3fe3d9c5ab785eb9eacddb7e2de864a7.jpg

Путем исследования я установил, что:
FirsDate - дата начала триала, т.е можно сбросить триал.
RegName - имя, на кого зарегистрирована прога.
Попробуйте поменять имя, на любое другое и посмотрите на кого регнута программа:
IMAGE http://i48.fastpic.ru/big/2013/0617/72/90280e83071450779b1788476acd3572.jpg

Дальше - больше. Ключ вообще не нужен.
Просто ставим программу, идем в реестр, создаем параметр RegName (путь указан выше), и пишем там свое имя.
Огромный PROFIT!!!11
Вывод: "На Деда Мороза надейся, но и сам не плошай".
Разрабы понадеялись на AsPack, а сами допустили огромный Fail.
Спасибо за внимание.

Не удивительно,сейчас все зависли над Варфейсе.

Цитата:

Сообщение от XaviS

Зашел на Маил.ру ответы, а там:
IMAGE http://i46.fastpic.ru/big/2013/0624/fc/f075c771b802ec08bb8e36cfbcc31bfc.jpg

Серьезный малый

У меня как у Craker'a Зачем распаковывать Индюка когда есть распаковшики)

Всем привет!
В этой небольшой статейке,я хочу рассказать вам о способах взлома таких защит, как:
1) Проверка ключа
2) Проверка по имени и паролю
Для взлома программ нам будет нужен любой отладчик.
1) Как взломать проверку серийника:
Есть два способа - поиск ключа в коде или патч.
Открываем программу, которая требует ключ в отладчике.
Запустим ее и посмотрим, какие сообщения появляются при вводе неправильного ключа:
IMAGE http://i48.fastpic.ru/big/2013/0623/a4/56fee96513e501bfb79999b713f195a4.jpg

Теперь поищем эту строчку в коде. Для этого:
1 Жмем на пустое пространство рядом с кодом правой кнопкой и выбираем поиск строк:
IMAGE http://i47.fastpic.ru/big/2013/0623/76/ef8a8ee2280186dfe6c80658e7904b76.jpg

2 Находим нашу строчку:
IMAGE http://i47.fastpic.ru/big/2013/0623/a7/26f15d84579e9de342f14e374cf526a7.jpg

Делаем по ней двойной клик:
IMAGE http://i47.fastpic.ru/big/2013/0623/83/3929aba5079f595325d3f909868faf83.jpg

Теперь давайте разбираться.
Начинается все с функции GetDlgItemA.
Она получает введенный серийник из текст бокса и помещает его в адрес, который указан в буфере (передается, как параметр фунцкии).
Далее, функция strcmpa сверяет наш серийник с правильным, и в зависимости от результата выдает нам сообщение Wrong password или You got it.
Давайте посмотрим на параметры функции strcmpa.
Первый - введенный серийник

Второй - правильный серийник.
Вот мы и разобрались, я надесюь, как проходит процедура проверки.
Теперь, просто копируем правильный серийник и вводим его в прогу.
Этот метод называется Keyfish или поиск ключа.
Теперь сделаем патч. Что такое патч?
Говоря официальным языком - это программа, коротая выпускается авторами софта после официального релиза. Как правило, это исправление багов, уязвимостей и т.д.
На языке "крекеров" патч - прога, которая изменяет код регистрации таким образом, что можно вводить любой ключ и прога зарегается.
Давайте сделаем его! Опять посмотрим в функцию strcmpa.
Как я уже говорил, ей передаются два параметра - правильный ключ и введенный ключ.
Сделаем так, чтобы она сверяла введенным ключ с ним же.
Чтобы это сделать, надо:
1 Скопировать адрес введенного ключа:
IMAGE http://i47.fastpic.ru/big/2013/0623/bf/0b4664f29c4dd89f7764f797c06ad5bf.jpg

2 Два раза нажать на строчку с правильным ключем:
IMAGE http://i46.fastpic.ru/big/2013/0623/02/338bfd950ceb26f073f3234fd212cb02.jpg

3 Поменять адрес на тот, который мы скопировали (предварительно обработанный в блокноте):
IMAGE http://i48.fastpic.ru/big/2013/0623/e9/21f5b6814d9acfe703f3c69d0ea33ae9.jpg

Теперь прога будет регаться при любом ключе.
Теперь сохраняем наши изменения:
IMAGE http://i46.fastpic.ru/big/2013/0623/cc/daeaa1f6d0482c0f3ddc9e273472bfcc.jpg

IMAGE http://i46.fastpic.ru/big/2013/0623/ee/fd3f4fb3a17601d817d5f16e179264ee.jpg

IMAGE http://i46.fastpic.ru/big/2013/0623/d1/553419281ab7553aada05a7e97c829d1.jpg

НУ и выбираем путь для сохранения:
IMAGE http://i47.fastpic.ru/big/2013/0623/2c/f5f5d761b9f5f6ab1c41a10653a6422c.jpg

Все! Поздравляю! Вы сделали свой первый кряк.
Можете запустить и проверить:
IMAGE http://i47.fastpic.ru/big/2013/0623/bf/56932e53706760ede37f83fec59eccbf.jpg

В этом пункте я взломал крякми от фантома #1.
Пока вы радовались, я успел открыть вторую бутылку колы, и мы продолжаем.
2) Имя+серийник. Пишем кейген.
Первую часть я начал с практики специально, чтобы вам было не скучно.
Теперь нудная теория.
Сущетсует много типов программ, которые пишутся крекерами для юзеров, и помогают им "хакать" программы.
Такие проги называют - лекарство (А почему Ы? Чтобы никто не догадался )
Их бывает несколько видов:
Кряк - измененный EXE файл, который нужно скопировать с заменой в папку с программой. Т.е то, что мы сделали в первой части
Патч - программа, которая сразу после запуска внедряется в код программы и изменяет его на лету.
Кейген - генератор правильный серийников для программы
И еще много других....
Итак, ломаем еще один крякмис: http://rghost.ru/46970705
Каждый взлом начинается с анализа.
1) Надо определить на каком языке написана программа.
Для этого используем программу PEiD (можно найти на exelab.ru):
IMAGE http://i47.fastpic.ru/big/2013/0623/01/4fbc93695a1cde77c4bb3fb455ca2101.jpg

2) Запускаем прогу и исследуем ее:
IMAGE http://i46.fastpic.ru/big/2013/0624/d5/3564e9137cb78f777e088fcacbefb0d5.jpg

Окей. Небольшое исследование есть. Переходи к отладчику/
Теперь поступим по хацекрски.
Текст сообщения о неправильном вводе ключа в реальных программа, скорее всего, скрыт.
Поэтому будем ловить функцию GetDlgItemTextA.
Для этого жмем на поле рядом с кодом правой кнопкой мыши:
IMAGE http://i46.fastpic.ru/big/2013/0624/70/558d6ce3c32eb241856474c5ef2b5e70.jpg

Появится список функций.
Ищем в нем функцию GetDlgItemTextA и жмем на нее два раза:
IMAGE http://i47.fastpic.ru/big/2013/0624/21/155cb83369cc04eabdf6f37e9699ad21.jpg

Попадаем в такой участок кода:
IMAGE http://i47.fastpic.ru/big/2013/0624/56/9f576b79ab033047ddd56eaac268cc56.jpg

Давайте разбираться!
Функция GetDlgItemTextA получает введенное имя и размещает его в адрес, укзанный в параметре Buffer.
В EAX кладется длина имени.
Далее идет проверка, что имя в пределе 24 символов.
А вот теперь - алгоритм генерации серийника.
MOV EDI,hackereh.004062A0 - кладем наше имя в EDI
MOV EDX,DEADC0DE - кладем в EDX DEADC0DEh
MOVSX EAX,BYTE PTR DS:[ECX+EDI] - кладем один символ нашего имени в EAX (ECX - позиция символа)
ADD EAX,EDX - Добавляем к нашему символу DEADC0DEh.
Результат кладем в EAX.
IMUL EAX,EAX,666 - умножаем EAX на 666h, и результат - в EAX
ADD EDX,EAX - добавляем к DEADC0DE все ту хрень, которая лежит в EAX
SUB EAX,777 - вычитаем из EAX 777h
INC ECX - увеличиваем позицию символа
CMP ECX,EBX - Есть ли еще символы в имени?
JNZ SHORT hackereh.0040122C - Если есть, то прыгаем назад, а если нет, то идем вперед.
Отлично.
Теперь можем написать кейген:

source:


Вот и все. Мы разобрали 2 основных типа защит, на основе простых крякми.
P.S Статья написана по просьбе Irenica
P.S.S Тем, кого заинтересовало - рекомендую почитать сей файл: ТЫК
Пароль: exelab.ru

Напомнило книжку Криса Касперски "Техника и философия хак атак". Только там в 2 предложениях описан 1 способ. Как всегда тебя интересно читать.

В реверс запости как статьи.А то их там совсем нема.

В целом не плохо.Сколько реверсом (~) занимаешься?

Цитата:

Сообщение от BlackH

В реверс запости как статьи.А то их там совсем нема.

В целом не плохо.Сколько реверсом (~) занимаешься?

Окей, следующее буду писать в Реверсинг.
Реверсом занимаюсь года 3.

Зашел на Маил.ру ответы, а там:
IMAGE http://i46.fastpic.ru/big/2013/0624/fc/f075c771b802ec08bb8e36cfbcc31bfc.jpg

Цитата:

Сообщение от Mishar

У меня как у Craker'a Зачем распаковывать Индюка когда есть распаковшики)

Где я что распаковываю?

Цитата:

Сообщение от XaviS

Все привет! Вторую запись я хочу начать словами известного писателя М.Е. Салтыкова-Щедрина:
"Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в России, я отвечу,- ПЬЮТ И ВОРУЮТ".
И ничего не изменилось.
По крайней мере среди младшей части нашего населения.
Пьют - ягуар, пиво и т.д.
Воруют - жвачки в магазинах, ну и пароли у собратьев.
Именно и про пароли я хочу вам рассказать. Как я уже говорил в своем прошлом сообщение:
игроманов больше всего интересуют читы, и чуть меньше программы для взлома.
Запомни два ключевых слова "hack" и "cheat".
Сегодня, я расскажу как эти "хаки" и "читы" использовать против них.
Нет, я не буду писать вам инфу про СИ, Фейки и т.д.
Я расскажу вам - как обернуть оружие обезьян со стилерами против них.
Для начала немного теории:
Что такое стилер?
Это прога, которая собирает данные о паролях в браузерах, а также инфу о системе и передает ее нам на почту, фтп или еще куда.
Но как стилер узнает данные для отправки логов?
Их вводит "хакер" в билдере, и они хранятся в самом стилере.
Я расскажу вам, как их достать.
Нет, мы не будем использовать сниффер. Мы расковыряем стилер.
В качестве эксперимента будет билд UFR Stealer (да простит меня Vazonez).
Приступим. Нам понадобиться отладчик и виртуальная машина. Я юзаю OllyDebug и VirtualBox.
1)Идем на rghost.ru и вбиваем в поиск "hack" или "cheat":
IMAGE http://i48.fastpic.ru/big/2013/0616/ad/698aadd1a850e52af7cc438558aad7ad.jpg
Почти 10000 "хаков", и почти все трояны, фейки или сборки РМС.
Выбирайте файлы размером поменьше ( до 1 МБ), это с гарантией окажутся чистыми троями, а не сборками.
Я выбрал данный экземпляр:
IMAGE http://i48.fastpic.ru/big/2013/0616/ce/a167957affd4968f21cac9b33adab4ce.jpg
Жмем скачать, и открываем в отладчике.
2)Проведем визуальный анализ.
IMAGE http://i48.fastpic.ru/big/2013/0616/c8/b62aa18fd34c3dc936ba310c1c71c2c8.jpg
Это UPX (подробнее в гугле).
Для его распаковки нам надо сделать следующее:
-Крутим до такого фрагмента кода и ставим брейкпоинт на безусловный переход (JMP):
IMAGE http://i48.fastpic.ru/big/2013/0616/d2/037e83001a3a23dec55cc348d44935d2.jpg
- Запускаем прогу в отладчике (F9).
Когда безусловный переход станет серым, жмем F8.
И попадаем в такое место:
IMAGE http://i46.fastpic.ru/big/2013/0616/56/c58da83c852a6b67c7595f08ec46c056.jpg
Это антиотладочный код, мы крутнем чуть ниже, то увидим переход JE:
IMAGE http://i48.fastpic.ru/big/2013/0616/c7/0816e0bf36536bfe8f80918f831685c7.jpg
Ставим на него брейпоинт (F2) и жмем запуск (F9).
Когда переход станет серым, жмем F8.
Попадаем на оригинальный код стилера:
IMAGE http://i46.fastpic.ru/big/2013/0616/72/0a127b5934607defd2452790beb19772.jpg
Теперь нам надо найти процедуру, которая загружает данные "хакера" (они хранятся в ресурсах) в стек.
Не волнуйтесь, я уже нашел ее за вас, она находится по адресу 401083 (у меня).
У вас может быть другой адрес, но в любом случае вот она (подсвечена серым):
IMAGE http://i46.fastpic.ru/big/2013/0616/cf/b9f9c2d712a5d68edac6c70f4d8ce9cf.jpg
Теперь делаем по аналогии. Ставим на нее брейпоинт, F9, но теперь жмем F7, и попадаем в ее код:
IMAGE http://i47.fastpic.ru/big/2013/0616/d1/7afe39ac0a1ee79fd38dedc9348d28d1.jpg
В коде идет загрузка данный из ресурсов (именно там хранятся данные), а затем расшифровка.
Она (расшифровка) на и интересует.
Ставим брейкпоинт на последний CALL, потом F9, потом F7. Попадаем в ее код:
IMAGE http://i48.fastpic.ru/big/2013/0616/3b/572348a94313bcdd06ee9dc17d158d3b.jpg
Цикл расшифровки организован при помощи условных переходов (JNZ).
Нас интересует конструкция LODS BYTE PTR DS:[ESI].
Она загружает данные по адресу из ESI в EAX.
Ставим брейкпоинт на эту строчку и жмем F9.
Когда она станет серой, жмем на ESI в онке регистров правой кнопкой и выбираемFollow in Dump
Увидим непонятную хрень в окне дампа:
IMAGE http://i47.fastpic.ru/big/2013/0616/7a/0634958fd2024f19da4aafea4a145b7a.jpg
Это шифрованные данные "хакера".
Теперь надо заставить прогу их расшифровать. Ставим брейкпоинт на команду LEAVE, жмем F9, и непонятная хрень стала понятной:
IMAGE http://i47.fastpic.ru/big/2013/0616/3e/e62c4b646ed7755093cdea5b65c62c3e.jpg
Мы можем наблюдать следующее: почта отправителя и почта получателя совпадают. Это значит, что стилер отправляет отчеты на почту недохакера, с почты недохакера.
Теперь, нам надо зайти в почту и поставить пересылку на нашу почту.
Зайдя в почту, я понял, что угадал насчет отправки самому себе:
IMAGE http://i47.fastpic.ru/big/2013/0616/79/a32b520a4e52ed7d36f2b6b40479c579.jpg
Идем в Настройки-Фильтры и пересылка и вбиваем такие настройки:
IMAGE http://i48.fastpic.ru/big/2013/0616/...eaac8c6f51.jpg

После этого жмем Сохранить, а затем Подтвердить и выполняем инструкции почтового сервера (там все просто).
Теперь можете запустить стилер на виртуалке и проверить вашу почту.
Лог должен прийти.
Спасибо за внимание! Понравилось?
Если у вас есть ко мне вопросы, предложение и т.д. - прошу в ICQ: 608983234.

Вот тут UPX

Всем здорово! Пишу из Москвы с умирающего лапотопа. Возможно, это последняя статья, которую я отправил с него=(. Сижу на НТТМ (техн. творчество молодежи) и залипаю в реверсинг, иногда отвечаю на вопросы (иногда дебильные) касательно своего проекта. Кстати, есть две хорошие новости:
1) Что круче: Посмотреть на Москву или на живую девушка-линуксоида?
Думаю второе, так как их (девушек-линуксоидов) довольно мало.
Встретился с Иреникой, побродили по ВДНХ и поболтали на ИТ темы (пруф)
2) Я открываю свой блог, который будет посвящен реверсингу и разным интересным фишкам. Домен уже есть.
Как только приеду домой, то регну хост
В общем все круто, если не считать жары в 40 градусов и отсутствие кондиционера.

Цитата:

Сообщение от XaviS

Всем здорово! Пишу из Москвы с умирающего лапотопа. Возможно, это последняя статья, которую я отправил с него=(. Сижу на НТТМ (техн. творчество молодежи) и залипаю в реверсинг, иногда отвечаю на вопросы (иногда дебильные) касательно своего проекта. Кстати, есть две хорошие новости:
1) Что круче: Посмотреть на Москву или на живую девушка-линуксоида?
Думаю второе, так как их (девушек-линуксоидов) довольно мало.
Встретился с Иреникой, побродили по ВДНХ и поболтали на ИТ темы (пруф)
2) Я открываю свой блог, который будет посвящен реверсингу и разным интересным фишкам. Домен уже есть.
Как только приеду домой, то регну хост
В общем все круто, если не считать жары в 40 градусов и отсутствие кондиционера.

И тебе привет)думаю он еще чучуть поживет))

Цитата:


Что круче: Посмотреть на Москву или на живую девушка-линуксоида?



Конечно на девушку-линуксоида))таких как она действительно мало)
--------------------------------------------------

Цитата:


Я открываю свой блог, который будет посвящен реверсингу и разным интересным фишкам. Домен уже есть.
Как только приеду домой, то регну хост



Будем ждать, тебя интересно читать)

Цитата:

Сообщение от bufferrr

И тебе привет)думаю он еще чучуть поживет))

Поживет, но надо менять. Охлаждение подыхает =(
Да и вообще это не мой ноут, я бы не за что в жизни на свой ноут не поставил Хрюшу.

Mishar, можно конечно и распаковщиком, но поставить бряк на одну строчку кода и нажать F9 быстрее, ИМХО.

Всем ку! Сразу после Москвы я уехал на отдых, поэтому с блогом немного затянулось). Сейчас работа идет полным ходом=)

Цитата:

Сообщение от XaviS

1) Что круче: Посмотреть на Москву или на живую девушка-линуксоида?

Ну живую девицу Линкщицу,так Ты сказал как их мало.

Цитата:

Сообщение от bufferrr

Встретился с Иреникой, побродили по ВДНХ и поболтали на ИТ темы (пруф)

Вскоре всего тут пахнет романтикой;)
Иреника ты сногсшибательна!!!Классная фотка поучиась.
Вообщем желаю удачи!

Ммм...Какая красотка))
С такой красатулей на IT темы(да и вообще) можно разговаривать веками)

Девушка линуксойд это не редкость.
ТС а ты че такой набычиный?

Цитата:

Сообщение от kipishnoy

Девушка линуксойд это не редкость.
ТС а ты че такой набычиный?

Для чувака, который 23 часа в сутки проводит у компа - редкость
Я всегда такой, набыченный)) Не фотогеничный =)

Блог открылся! К вечеру заполню его разными статьями:http://www.xavis64.p.ht (домен временный)

Цитата:

Сообщение от XaviS

Для чувака, который 23 часа в сутки проводит у компа - редкость
Я всегда такой, набыченный)) Не фотогеничный =)

Ну это твой выбор) В тренажорку то ходишь?
Больше нужно общаться в живую.

Цитата:

Сообщение от kipishnoy

Ну это твой выбор) В тренажорку то ходишь?
Больше нужно общаться в живую.

Нет, по мере возможности занимаюсь дома.
С ИТшниками в живую редко общаюсь=(

Цитата:

Сообщение от XaviS

Нет, по мере возможности занимаюсь дома.
С ИТшниками в живую редко общаюсь=(

Что ты зацыклился на IT. На улице много простых ребят.
Зря в зал не ходишь, здоровье нужно беречь.

Цитата:

Сообщение от kipishnoy

Что ты зацыклился на IT. На улице много простых ребят.
Зря в зал не ходишь, здоровье нужно беречь.

А кто тебе сказал, что я порчу здоровье?
С простыми ребятами не получается общаться =(

Цитата:


Зря в зал не ходишь, здоровье нужно беречь.



В зал иногда ходят, чтобы губить здоровье химией и нагрузкой на сердце. Так что - зал, не показатель.
Улица ---> Турники = тоже неплохо. Да и в понятие "Здоровье", я ещё вкладываю мыслительное развитие, трезвость взглядов, работа над своими слабостями и недостатками. Ибо здоровое тело, без здоровой головы - это вреднее, чем кажется.

Цитата:

Сообщение от XaviS

А кто тебе сказал, что я порчу здоровье?
С простыми ребятами не получается общаться =(

23 часа портят здоровье!
почему не получается?

"23 часа" - образное выражение, означающие, что я очень много сижу за компом =))
Хз, такой я есть=(

Цитата:


В зал иногда ходят, чтобы губить здоровье химией и нагрузкой на сердце. Так что - зал, не показатель.



Скажу больше - большинство туда ходит, чтобы накачать мышцы любыми способами и стать более привлекательными в лице женщин. А в итоге получается, что только лишь физическими тренировками объем мышц не увеличишь, и приходится покупать различные хим препараты, чтобы временно искусственным образом одновременно увеличить объем мышц и затравить здоровье. Так чаще всего и выходит.
Лучше всего вести здоровый образ жизни, а если хочешь нарастить мышцы, лучше вместе с физическими тренировками вести правильное питание, т.е. больше естественной белковой пищи (например, творога, яиц, молока и т.д.) и поменьше так называемой "спорт. еды".