960 bytes of h311...
Evo zavrsio sam i najmanju mogucu verziju jednostavnog MASM programa koji ce sa remote sajta skinuti .exe fajl i polrenuti ga na local masini. Iako je ova metoda vec vidjena (kombinacija UrlDownloadToFile i ShellExecute) i vec detektovana pomocu KAVa (kao TD.Win32.Apher.gen) ja sam je malo unapredio. Kada kazem malo mislim mnogo, a kada mislim mnogo, mislim:
1) KAV ga ne detektuje zbog dodavanja IsDebuggerPresent komande
2) Fajl je sa 1.8 kb smanjen na samo 960 bajta
3) Radi kao sat :)
Kompletan ASM source ovog primera ce biti moguce downloadovati od 10 februara kada cu konacno "osveziti" sajt.
Project: KAV full reversed
Da li ste se ikada zapitali koji je najbolji virus na svetu? Znam da ce mi vecina vas odgovoriti SoBig, MyDoom, NetSky, Beagle, CIH... ili bilo koji od "populatnih" virusa. Ali vas odgovor je pogresan! Najbolji virus je onaj koji prilikom infekcije sistema rusi av-fw sisteme. Naravno recicete da ovo radi svaki "dobar" virus ali moja ideja je drugacija! Zamislite virus koji ne bi rusi av-fw nego bi ih patchovao tako da AV ne detektuje ni jedan jedini virus, a FW da ne blokira ni jedan jedini program ili konekciju. Zainteresovani ste? Sinoc sam bio zaintrigiran ovom idejom, idejom prividne sigurnosti i zakljucio sam da bi ovo mozda i moglo da su uradi. Stoga sam uzeo debugger u ruke i krenuo da reversujem KAV 5.0. Moj cilj je bio:
1) da nadjem sve delove koda koji su zasluzi za prikazivanje poruka o detekciji virusa
2) da pronadjem sve delove koda koji automatski brisu viruse
3) da ubijem onaj pisatavi zvuk klanja svinje kada se detektuje virus :)
4) da ubijem sve zastite koje KAV ima od menjanja samog sebe i njegovih fajlova.
Rezultat je uspesan po pitanju svih paramerata. Uspesno sam reversovao kav.exe i 5-6 .dll fajlova tako da svi ciljevi budu ispunjeni. Ne samo da KAV sada ne detektuje viruse nego je totalno nemocan i kada naidje na njih. Naravno korisnik nije obavesten o detekciji virusa na bilo koji nacin a prilikom skeniranja broj virus bodia je uvek 0. Interesantna ideja za virus koja ce nazalost uvek ostati samo ideja... Ovo znaci da ja nemam namere da pisem maliciozni kod nego samo da izucevam moguce rupe u KAVu. Ceo postupak cu uskoro objaviti kao jedan solo paper na mom sajtu! ... Nece se nastaviti ...
BugFix: fileEncrypter 0.1a -> 0.2a
Ispravljen je kritican bug u programu fileEncrypter koji je rusio program kada se u njega unese hexadecimalni offset. Jednostavno sam zaboravio da konvertujem hexadecimalne brojeve u decimalne :) ... BugFix ce biti okacen na sajt uskoro ...
Sutra prvi ispit :)
O da, da sutra po prvi put izlazim na neki ispit... Ispit je iz programiranja :) tako da nece biti nikakvih problema da se doticni polozi... Btw programski jezik koji se radi je FORTRAN za kojeg moram da kazem da mi se svidja jer do sada nisam naisao na mogucnost da se u nekom programskom jeziku prosto ispise formula P(X) = x*x+2x+1 i da se pozivom na istu sa parametrom dobije rezultat. Mozda ja nisam naisao na ovo u drugim programskim jezicima ili je ovo FORTRANova specificnost? Ko zna... Uostalom sutra ispit :) ... Nastavice se...
Breaking Installer Vise Setups...
Prica ide ovako: Pre par meseci sam bio "prinudjen" da napravim komercijanu aplikaciju za vodjenje auto-mehanicarske radionice (
u .php-u je pa se komercijala i ne racuna :)). Da bih "zastitio" ovu aplikaciju (
zbog zahteva kupca a ne programera) zamoljen sam da postavim seriske brojeve na Setup instalacioni fajl. Ovo sam i ucinio pomocu programa Installer Vise, ali... Da li je ovaj Setup zasticen, ili ne? Proverio sam ovo i zakljucio da Installer Vise koristi lako prostu zastitu za seriske brojeve... Posle malo traceovanja i jednog jako jednostavnog NOPa zakljucio sam da Automated Serials opcija iz Installer Vise-a generise seriske brojeve koje je lako razbiti i napamet!!! Ali ako vise volite patchovanje, izmenom samo 2 bajta u vise32ex.dll fajlu cete jednostavno preskociti dialog za proveru seriskog broja!!! Vise o ovome u tutorijalu koji se moze preuzeti sa mog sajta
http://ap0x.headcoders.net/tutorials.html ... Nastavice se ...
Breaking .apm files...
.apm fajlovi su fajlovi koje AutoPlay Menu Studio 3.0 koristi za cuvanje seriskih brojeva. Posto sam napravio auto-run za The Art Of Cracking CD u njemu, odlucio da proverim koliko je sigurno postaviti password na sam CD. Kao sto je moja analiza koja ce se uskoro naci na mom web sajtu pokazala, apm fajlovi koriste jako lame XOR7 enkripciju. Ovakva enkripcija se moze razbiti neverovatno brzo i cudi da su programeri bili bas toliko lame kada su pravili ovu "enkripciju"... Vise o ovome u pdf tutorijalu... Nastavice se...
Inside a dll...
Ovo je bas ono sto je nedostajalo mojoj knjizi o RCEu. Poglavlje o dll-ovima! Za potrebe same knjige morao sam da sednem pred VC++ i da naucim kako se pravi .dll fajl iz VC++a... Sta sve covek mora da uradi kako bi sirio svoje znanje... Bez obzira na sve imao sam dosta problema da povezem VC++ .dll fajl i Delphi .exe. Problem se naime sastojao u broju parametara koji je Delphi prosledjivao .dll-u. Naime Delphi je prilikom prosledjivanja integer niza .dll fajlu prvo slao niz a onda njegovu maksimalnu velicinu! Zbog ovoga nisam mogao da dobijem lepo poredjenje seriskih brojeva... bilo mi je malo sumljivo zasto se duzina seriskog poredi sa tacnim seriskim brojem :) Ali kao i uvek Olly me je izvukao iz guzve koju je napravio Delphi :) Sve u svemu jedan jako lep .dll crackme vas ocekuje u drugom izdanju knjige The Art Of Cracking... Nastavice se ...
WTF??? Dog waiting for a green light!!!
Stvarno ne mogu da verujem... Bas sada sam video psa kako ceka zeleno svetlo na raskrsnici kako bi presao ulicu!!! Da li su to psi postali pametniji od ljudi???
The Art of Cracking - CD!!!
O da stvari se odvijaju bas u tom smeru. Konacno sam popustio pod e-mail pritiscima i odlucio da reversing pomerim za jednu stepenicu vise! Iako sam vec pisao o ovom CDu i njegovom mogucem sadrzaju, stvari su se sada malo promenile. Naime CD ce sadrzati sve besplatne alate za reversing, sadrzace veliki broj nezavisnih tutorijala na srpskom jeziku, sadrzace sadasnje dve knjige (The Art Of Cracking - drugo izdanje i PE and ASM for Crackers) i trecu i cetvrtu koje ce biti napisane u medju vremenu. A kao sam vrhunac tog CDa su Video tutorijali u trajanju preko dva sata u kojima ce biti totalno obradjena knjiga The Art of Cracking! Iako se ovo mozda cini previse dobro da bi bilo istinito :) nije tako. Naime vec su zapoceti radovi na CDu... uradjen je autorun, knjige i alati su razvrstani i pregledani, zapoceta je ispravka prve knjige The Art Of Cracking i ono sto je najvaznije uradjeno je 35 minuta video tutorija koji pokrivaju prva tri poglavlja knjige The Art Of Cracking. Naravno video tutorijali objasnjavaju bukvalno svaki klik i svako pritisnuto dugme na tastaturi, tako da pocetnici nece imati nikakvih problema da savladaju RCE! Naravno ovakav projekat ima i svoje lose strane:
1) Nece biti besplatan, komplet od 2 CDa ce se placati u iznosu do 10e
2) Nece biti brzo zavrsen, trebace mi 2-3 meseca, mozda vise
3) Nije lose da mi se jave zainteresovani na email, da vas imam u vidu.
4) Broja cetiri nema za sada, ali ne znaci da ga nece biti :)
... To je to sto vas ocekuje u skorijoj buducnosti ... Nastavice se ...
The Book is out...
I kao sto sam najavio u proslom blogu knjiga #2 PE and ASM for Crackers se pojavila i moze se preuzeti sa adrese
http://ap0x.headcoders.net/ebook2.html. Sama knjiga ce vas uvesti u svet RCEa na velika vrata prilicno detaljno objasnjavajuci ASM komande i samu strukturu PE fajla. Naravno svi tekstovi su prilagodjeni pocetnicima ali i onima koji samo zele da se bave reversingom, ne zeleci pri tome da se opterecuju sa nepotrebnim delovima PEa, a ovde mislim na tacne lokacije bajtova u Hex dumpu fajla i njihovo znacenje. Ne ovo knjiga ce objasniti sve stvari koje su potrebne jednom reverseru posmatrane iz samo jednog programa, posmatrano iz LordPEa. Iako knjiga ima samo 37 strana predstavlja neophodno stivo za sve reversere.... Nastavice se...
PE and ASM for Crackers
Kao sto sam vec najavljivao nova knjiga PE and ASM for Crackers je zavrsena i bice postavljena na internet u najkracem mogucem roku. Ova knjiga pokriva osnovne PE pojmove i jako detaljnu analizu ASM koda. Knjiga je namenjena pocetnicima ali i naprednim reverserima koji nisu znali sve detalje u vezi PEa. Obim knjige je 33 strane, format je Pdf, a velicina downloada oko 700kb ... Nastavice se...
My new crackme...
Matematicki crackme je postavljen na adresu link i vec je resen od strane CuteDevila link. Izgleda da ovaj covek zna svoje matrice :) ... Nastavice se...
Project: HexDecChar v.0.2a
Projekat HexDecChar je jedan mali Delphi program koji se koristi za automatsko prevodjenje hexadecimalnih brojeva u decimalne i ASCII karaktere. Ovaj program sam odlucio da napisem jer me je izuzetno iritiralo odlazenje u ASCII tablicu svaki put kada hocu da pisem neki keygen. Program je konstatno on-top, ali ovo je opciono kao i transparencija istog. Pored ovoga program poseduje mogucnost pamcenja konvertovanih Hex vrednosti ali ima i deo jako korisnu opciju za inverciju hexadecimalnih registara... Nastavice se ...
Project: aTp v.0.1a
Kao veoma vredan dodatak koji ce se naci uz drugo izdanje knjige The Art of Cracking je iskodiran poseban program pod imenom ap0x Tutorial Player. Ovaj program ce se koristiti kao neka vrsta walk through-a kroz svako poglavlje knjige. Naime program ce biti stalno on-top t.j. iznad svih prozora i klikom na dugmice Sledeca / Predhodna poruka ce prikazivati najvaznije detalje / slike programa koji se trenutno reversuje. Posmatrajte ovo kao da se radi o vasem licno vodicu kroz reversovanje meta iz knjige... Iako je projekat tek zapocet vec su pokrivena prva dva poglavlja knjige sa slikama i tekstom... Nastavice se...
F*ck am old...
...je recenica koju je izgovorila jedna devojka iz serije Sex and City... Da bi ova recenica imala smisla, zamislite da se Kerry i da punite 35 godina, smatrajuci se pritom u najboljim godinama, dok za susednim stolom devojka puni 25 godina i vice da je matora... E tako sam i ja danas veoma mator,... dobro nemam 25 godina ali sam zasao u trecu deceniju zivota napunivsi 20 godina... Uff sta se sve desilo za ovih proteklih 20 godina, sta ce tek da se desi... e o ovome ne smem ni da razmisljam :) neko meni blizak je rekao: "Moj zivot je spanska serija..." i bila je upravu... Imate samo srece sto ne pisem one bas najzanimljive delove svoje svakodnevice ovde jer ne bi ste mogli da se odvojite od monitora :) Mislim da je ovako bolje po vas, to jest bolje je da vas smaram sa "koderskim" stvarima nego zivotnim, ili je mozda neki mix optimalna kombinacija... Bilo kako bilo stvarno sam "mator" sada... Nastavice se, uskoro...
GJ from Sweden...
"Hi.I am a reverse-enginering student and i came across your homepage andfound your book. The content seems to be up to date and seems hasmuch better quality than the avrage tutorial one can find on the net.Would you consider or are you considering writing your book in english?I think that there would be a lot of people out there that wouldappreciateand english version.If your not considering to translate it. Maybe you could pass it on tosomone else that would like to do it?The automatic translators i found on the net are lousy. =(cheers//iman @ sweden)"
Eto zainteresovanje za knjigu je stvarno veliko ali ja stvano nemam vremena za prevodjenje knjige... Mozda neko drugi ima? ...Nastavice se...
I posle knjige, knjiga...
Kada neko knjigu bas toliko hvale, on se zabrine i pomisli da su mozda cak i upravu, ili da je jos nisu procitali :) Jedno od ova dva je sigurno tacno... Bilo kako bilo uspeh knjige The Art Of Cracking me je naterao da razmislim o pisanju nove knjige koja bi upodpunila prazninu koju je ostavila prosla. Primetio sam da neke stvari nisu bas najjasnije pocetnicima reversinga, pa ce zbog toga sigurno naici na teskoce prilikom citanja moje prve knjige. Zbog ovoga sam odlucio da napisem knjigu pod imenom ASM and PE for crackers koja ce odgovoriti na mnoga pocetnicka pitanja ali i produbiti znanje iskusnijih crackera. Pisanje knjige je vec pocelo i moram da se pohvalim da se trenutno nalazim na 10toj strani a da je planirani obim knjige oko 50 A4 strana... Kada ce biti gotova stvarno neznam ali verujem da ce ovo malo potrajati zbog mojih obaveza nevezanih za RCE... Do tada ostajemi samo da se pitam:
"Ovo je ne zapamceno u svetu racunarstva i informatike. Statistika kaze da se ova knjiga siri brze od bilo kog dosada poznatog virusa, sat vremena po obljavljivanju zarazila je trizilion kompjutera. I tako.... He He. "
da li je ovo tacno? ... Nastavice se ...
Nemam vremena...
...ni da spavam :) Sinoc sam do 3 sata radio statiku a na fax sam morao da krenem u 6 :) Zanimljivo ili ne, ali nastavice se...
I pristizu i "kritike"...
Alo! Imaš jedan lapsus odmah na drugoj str. knjige.. Cure se spellaju sa girls. Uostalom, svaka cast na knjizi. Nadam se da si svjestan da si stvorio svojevrsnu bibliju za rce. Samo nastavi tako!
Hvala svestan sam :) Inace kao sto sam najavio na jezgrima ovo je samo pocetak, jos cu ja mnogo pisati o doticnoj ali i drugim temama... Jedini problem za sada je nedostatak vremena ali nekako cu uglaviti i pisanje u moj veoma prenatrpan raspored ... Nastavice se, uskoro ...
Konacno knjiga...
Proslo je par dana ali bi sada sve trebalo da je popravljeno i namesteno... Par reci o knjizi:
Obim: 165 strana
Velicina: Oko 8 Mb
Format: rar/pdf
Poglavlja: 13
Primeri: Da za sva poglavlja
Vezbe: Da ali samo za neka poglavlja
Jezik: Srpski
Secret: Naravno
URL: http://ap0x.headcoders.net
Evo downloadujte, citajte, ucite.... i da kao i uvek sve ovo je objavljeno na EliteSecurity-u ...Nastavice se...
Error: 404
Kao svaki put kada ja javno objavljujem svoje radove desi se 404 error pa ljudi cekaju koji dan da se ja skontam i pronadjem pravi server za upload.... Isplati se cekati :) ... Nastavice se ...
Izasla knjiga...
Evo posle stvano dosta vremena udostojio sam se da zavrsenu prvu verziju knjige konacno negde i postavim na net... Adresa za download nije moja uobicajna ali je privremena, pa ce se koristiti kao mirror ubuduce, a za sada je glavna download stranica. Par reci o knjizi:
Obim: 165 strana
Velicina: Oko 8 Mb
Format: rar/pdf
Poglavlja: 13
Primeri: Da za sva poglavlja
Vezbe: Da ali samo za neka poglavlja
Jezik: Srpski
Secret: Naravno :)
URL: http://80.74.165.206/~ap0x
sad prvo downloadujte, pa procitajte a tek onda kritikujte.... Mislim da je ovo pravi novogodisnji poklon :) ... Nastavice se...
