983

SoftIce again;)

Облом SoftIce, или какие приколы ожидают крэкера.by Kurdt[LHM]Disclaimer:Этнот док написан под большим влиянием алкоголя, и всё чтоздесь написана большая ярунда, дальше можете не читать;)Артикл написан только в образовательных целях, то естьпосле того как его прочтётё идите грохайте серваки в школе!:-)(кстати большой привет школе где я учился, а особенноучителям, благодаря им я сейчас могу заниматся без проблем кодированием :PЛёня как у тебя там сервак ешё дышит, прости что тогдаего нечайно форматнул;)Да и ешё одно, простите за все мои миспелсы, русский не мойродной язык;)Greeettz:Перед как писать эту статейку начитался забугорных журнальчиков,а там по всюду гритзы, ну решил и здесь поставить, если когонибудьзабыл -- простите;)bfg - my teacher-;) daca nu tu, continuam sa codez sub DOS toata viata;)novenichii aka bubbler - my teacher number 2, dar tare isi tii tu secretele;), cum acolo KGB inca nu te-a prins;-)))))))))))))))glx - cum cu pluginurile sub trojan, eu astept formatul lor, am eu citeva idei;)Катя - kewl programmer;)Ramzes - всё хакаем, батенька? :)ЯRegulus - ну что замутим крякер инернета?;)))))))))bosss - totul e inca inainte!;)cell - linux rulezz forever!!!!!!!!!!!!!;-))))))))))))))))))))))))))Зювс - да где ты там, мне не хватает твоего совета;)спешал гритз всем из LHM!ну и гритз всем остальным хакерам, кракерам, фрикерам, кардерам,админам, ламмерам, спаммерам, анархистам, поцифистам, пофигистам,vx-ерам, ну и другим которые посещают www.forum.md/ ---------Hack, Crack------------ухти кажется никого не забыл;)Let''s begin: (то есть с багом) Ладно "признаюсь сразу"(novenichii), здесь нефига моего нету, этопросто констатирование фактов, то есть пред этим я вычиталдофига разных зайнов, ну и тут решил объяснить что я там понял;) SoftIce - это отладчик который работает из ring0, то есть мы можемс ним отлаживать даже ядро OS(это кому не понятно), команды я описывать не буду(кому надо найдёт), только добавлю что этнот debugger основное оружие кракера, хотя не предназначался для этого( и это большая фора анти-кракера), из этого выходит первый метод.1 Обнаруживаем SoftIce.Как можно обнаружить Айс, спросите вы, отвечу очень просто,хотя например: a) проверяем registry на предмет SoftIce,скажем у меня такой-то path:HKEY_LOCAL_MACHINE\Software\NuMega\SoftIce,но тут одно но, patchик, может быть и другой(работает только под win)b) Дальше есть ешё один прикол, но он работает тольков ring0:(, есть одна апишка с помощю которой можем узнать еслиесть отладчик, код будет такой:VMMCall Test_Debug_Installedjz not_debuggerc) Ешё один прокол:) прикол проверяем сигнатуру у BoundsChecker-a в Айсе.mov ax,4mov ebp,''BCHK''int 3;любимая 0CChcmp al,4jnz SoftIce_detectedd)Смех да только:cmp byte ptr [kernel32!UnhandledExceptionFilter], 0CCh ;int 3e) это работает только под Win9x, в принципе это бакдор.push 0000004fhpush 002a002ahcall Kernel32!ORD_001cmp ax,0f386hjz SoftIce_detectedf) Очень интересная конструкция;) (hi Super;)mov eax,00000202h VxDCall VMM_Get_DDB xchg eax,ecx jecxz NotSoftICE jmp DetectedSoftICE, ;( только в ring0, после VxDCall должен быть востановлен!(как-то в следующии раз я расскажу про ring0, толькоразберусь сначала сам;) кстати здесь можно ешё поработать;)g) Ну это вобше метод!!!! Самый кульный из всех что я видял,и самый простой(Billy Belcebu - g0d). "Всё гениальное просто"(кто-то сказал;)Основан метод на очень простой апишке, CreateFile, с помошьюеё мы пытаемся открыть в enviroment-е Win-а, что-товроде:\\.\SICE- под 9x\\.\NTICE- под NT,если после этого в eax -1 то SoftIce нашёлся;) push 00000000h ; Check for the presence of push 00000080h ; SoftICE for Win9x envirome- push 00000003h ; nts... push 00000000h push 00000001h push 0C0000000h push offset SICE9X ; "\\.\SICE",0 call CreateFileA inc eax jz NoSICE9X2 Вешаем за что попало, дарим верёвку и мыло;)стоппппп! ладно это уже оставлю на завтрак;)спешу понимаетель;)С бестовыми регардами Kurdt[LHM]"Polly wants a crackerMaybe she would like some foodShe asked me to untie herA chase would be nice for a few"(Nirvana)
0