конецформыначалоформыПредыстория….
Короче сидел я в нашем кабинете информатики (как обычно без дела ).Решил побродить по школьному винту(эх блин давно на информатику не ходил).Ну и обнаружил там PowerQuest Partition Magic 6.0.Всем известно,что РМ зарекомендовал себя как отличный менеджер жёсткого дика.»Зачем было ставить РМ в школе?Ведь такие как я могут что-нибудь брякнуть на любом из дисков!!!»-подумал Штирлиц.Я запустил программу, но наш местный админ Вася оказася не полным ламером и поставил пашворд на прогу.
Так нафиг на винте РМ? На винте стояли две ОС(операционные системы) -Mustdie2000 и Mustdie MEEEEE.Первый раздел отфарматитили как NTFS, а второй FAT32.Оказывается админ поставил РМ для того чтобы скрыть в мастдае2000 раздел винта с мыстдай ме.За сохранность первого раздела админ не боялся,тк из мыстдай ме в 2000 «нормально» не залезешь .А вот в мыстдай 2000 админ решил скрыть раздел мыстдай ме, чтобы я не спёр pwl-ку(у всех бывают проблемы с инетом:) ) или не снёс этот мыстдай нафиг и затем поставил «кровавую шапку»
(Linux RedHat).Итак, РМ скрыл второй раздел винта, и я должен был залезть в РМ, мсиновав пароль.
Ещё на компе стоял Анти вирь Кашпершкого 3.55, который из-за значительной нагрузки сети и слабых наших компов сильно всё тормозил.В трее распологалась иконка антивиря,но при попытке её отглючить вылезало окно с мольбой ввести пашворд.Итак мне предстояло обойти два пароля.
Исследование защиты Partition Magic v6.0
Местный админ Вася разрешал пользоваться флопарями, поэтому у меня была возможность пользоваться посторонними файлами и прогами.Для начала мне нужен был .exe файл для изучения дома, в спокойной обстановке.Но файлик этот весил 3.9, поэтому пришлось сжать его UPX-ом.Отлично теперь он весит всего 1.22 mb.Для исследования защиты понадобитсякакая-либо версия PM.Exe-шник от версии 6 будет работать с файлами от версии 7.
Для исследования защиты нам понадобится :отладчик TWR2000 и hex-редактор HexWorkshop.Ещё я исспользовал сльный альбом Keith Flint-a «Album device1″,Prodigy»Experience»,Maxim, Prodigy золотые хиты 2002.Запускаем прогу затем отладчик.В РМ ставим пароль на запуск и перезапускаем прогу.В отладчике устанавливаем прерывание на стандартные функции считывания данных из полей ввода:
Bpx GetDlgItemText
Bpx GetWIndowText
К сожалению, точки останова(бряки) не сработают.Тогдаставим бряк на копирование памяти:
Bpx hmemcpy
Выйдем к проге, жмём OK, и вылезает отладчик в модуле kernl.Нам этот модуль не нужен, так-что вернёмся к вызову функции, нажав определённое количество раз F12.Как только в отладчике покажетсяимя модуля РМ, остановимся в следующем участке:
:00429A10 8D45FC lea eax, dword ptr [ebp-04]
;курсор в этой строке
:00429A13 8D93E402000 lea eax, dword ptr [ebx+000002E4]
:00429A19 E80A2D1C00 call 005EC728
В этом коде нет ничего полезного , так что идём дальше трассировать прогу по F10.Жмай на пимпу пока не дойдём до:
:00429A32 0F848D000000 je 00429AC5 ; <<ключевой переход
:00429A38 6A00 push 00000000
:00429A3A 6A00 push 00000000
:00429A3C 6A00 push 00000000
:00429A3E 6A60 push 00000060
:00429A40 68E4030000 push 000003E4
:00429A45 A120A06200 mov eax, dword ptr [0062A020]
:00429A4A 50 push eax
:00429A4B 8B10 mov eax, dword ptr [eax]
:00429A4D FF512C call[edx+1c] ;<< вызов окна с сообщением о неправильном пароле
Первый раз мы можем не обратить внимания на спящий переход по адресу 00429A32, и выполнится call по адресу 00429A4D, который покажет окно, сообщающее о неправильном пашворде.После нажатия ОК выскочит отладчик, в котором ставим бряк на адрес 00429A32.Повторив заново процесс подтвержения пашворда, мы окажемся в строке ключеого перехода.Перевод окажется неактивным(спящим), так что придётся разбудить его, поменяв флаг состояния Z на противоположный.теперь переход осуществится, и прога подумает, что пароль верный, а следовательно, загрузится главная часть проги.Отлично!Пароль миновали1Теперь списываем ключевые байты: 0F848D0000006A006A006A006A60.
запускаем HexWrkshop, жмём Найти и вводим последовательность.После того как найдутся нужные байты, меняем 0F84 на 0F85.Сохраняем, запускаем новый(исправленный) файл и вводим любой пашворд.Прога со всем соглашается и запускает Партитион Маджик.
Парольная защита была обезврежена, и теперь нам открылся доступ к винтам компов.Далее надо было замутить патч, который менял бы исполняемый файл, но этот вариант нам не подойдёт.Пошему?Потому что гладиолус!Если испортить прогу, админ может что-нибудь заподозрить или вообше нафиг снести РМ.Но танки админов не боятся,и я замутил прогу-загрузчик, которая пр запуске выполнит оригинальный exe-файл РМ и изменит в памяти нужные байты (файл же остаётся полностью неизменным!).Для создания загрузчика нам понадобится DZAPatcher.
Создание загрузчика не требует ничего кроме компа и ровных рух(хотя можно и с кривыми попробовать!).Сначала выбираем исполняемый файл проги, в которую будут вносить изменения.Далее заполняем пункт "Offset" - здеся мы указываем виртуальный адрес(который будет сформирован в памяти).У нас виртуальный адрес:00429A32.Чуть ниже пишем оригинальный байт (84), который мы будем изменять, а ещё ниже байт на который мы изменим (85).Жмём на пимпу создания загрузчика, и в папке с РМ появляется файл loader.exe . Теперь винт мой!можно издеваться1 ГЫ_ГЫ_ГЫ
Ломаем анти вирь дяди кашпершкого
Защиту РМ мы обошли, но остался антивирь дяди кашпершкого который очень сильно тормозил работу.При попытке вырубить его нафиг он выдаёт сообщение с мольбой о вводе пашворда.
Сначала я скопировал файл avpcc.exe из папки АВП и начал исследования дома.Пришлось отыскать версию 3.5. Запускаем avpcc.exe и ставим пашворд на работу с "чувствительными" настройками антивиря.Далее жмём на выглючение антивиря ; появится окно ввода пашворда.После ввода неправильного пашворда врубаем отладчик и ставим бряк функцию hmemcpy.Теперь жмём ОК, и прога прервётся в модуле Kernl.После этого возвращаемся в модуль avpcc.Отладчик покажет следующий код :
:00420BB4 C20400 ret 0004
В отладчике покажется модуль самой проги(что нам и надо), теперь трассировкой по F10 до следующего кода :
:00420EBB 7426 je OO420EE3 ;<<ключевой переход
:00420EBD 51 push ecx
:00420EBE 8BCC mov ecx< esp
:00420EC0 8965E0 mov dword ptr [ebp-20], esp
:00420EC3 68742E4600 push 00462E74
:00420EC8 E80D310200 Call 00443FDA
:00420ECD 8945C0 mov dword ptr [ebp-20], eeax
:00420ED0 6A25 push 00000025
:00420ED2 8B45DC mov eax, dword ptr [ebp-24]
:00420ED5 8B4820 mov ecx, dword ptr [ebp-24]
:00420ED8 51 push ecx
:00420ED9 E8AB350000 call 00424489 ;<<пашворд неверный
:00420EDE 83C40C add esp, 0000000C
:00420EE1 EB08 jmp oo420EEB
Всё очень просто- по адресу 00420EBB расположен ключевой переход,m который головой отвечает за корректность пароля.Если пашворд правильный, то переход осуществляется если нет , то тебя посылают нафиг!Здесь просто записываем байты перехода по адресу 00420EBB.В hex- редакторе меняем 7426 на EB26, и теперь все пашворды будут правильными.(мы поменяли je на jmp(безусловный переход)).Далее сохраняем изменения и тестим модифицированный файл.Теперь подходял любые пашворды и антивирь будет думать что они правильные как советские пионеры.Теперь мутим крэк(патч- кому как нравится).Но возникает глюк.На школьном компе антивирь загружается при старте мыстдай ме, и процесс подмены оригинального exe-шника затруднён(файл который работает заменить нельзя).Тут надо юзать ProcDUMP в своём нестандартном использовании.я перетащил на нескольких дискетахPD и запустил.Там(на школьном компе) замочил процесс антизверя и пропатчил avpcc.exe.Антивирь убит, и получаем нетормозящий комп.
P.S.Всем админам кто читал эту статью!Запомните:"Всё что создали прогеры-ломается, рано или поздно в любой проге наудут баг".
By XFlint