ööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööö ################################################################################################### ################################################################################################### #####==######==##||#####jjjjj####!!####=====###########========#####===########!!!!!############### #####==######==##||###jjjjjjjj###!!###=======##########========#####===######!!!!!!!!!############# #####==######==##||###jj####jjj##!!##===###===#########==##########==#==#####!!#####!!############# #####==######==##||##jjj#####j###!!##==#####==#########==##########==#==####!!#######!!############ #####==######==##||##jj##############====##############==##########==#==####!!#######!!############ #####==######==##||##jj###############======###########=======####==###==###!!#######!!############ #####==######==##||##jj#################=====##########=======####==###==###!!#######!!############ #####==######==##||##jj####################===#########==#########=======###!!#######!!############ #####==######==##||##jjj#####j#######==#####==#########==########=========##!!###!!#!!!############ #####===####===##||###jj####jjj######===###===#########==########==#####==###!!###!!!!############# ######========###||###jjjjjjjj########=======##########==########==#####==###!!!!!!!!!############# #######======####||#####jjjjj##########=====###########==#######==#######==####!!!!#!!############# #####################################################################################!!############ ############################ http://www.quequero.org ############################################## ##################### UIC MailingLists: ########################################################### ##################### Reversing: UIC (at) yahoogroups (dot) com ################################### ##################### Hacking: UIC-hacking (at) yahoogroups (dot) com ############################# ##################### Programmazione: UIC-programmazione (at) yahoogroups (dot) com ############### ##################### Hardware: UIC-hw (at) yahoogroups (dot) com ################################# ##################### Psx: UIC-psx (at) yahoogroups (dot) com ##################################### ##################### Management: UIC-Management (at) yahoogroups (dot) com ####################### ################################################################################################### ööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööööö Benvenuti nelle FAQ (Frequently Asked Questions) della UIC (Università Italiana Cracking), prima di postare un qualunque messaggio sulla mailing list DOVETE leggere interamente questo documento. -=Quequero=- !!!!!! IMPORTANTISSIMO !!!!! Inoltra un'email agli owner SOLO se: 1) Dopo aver letto TUTTE le FAQ non trovi risposta alla tua domanda 2) In mailinglist nessuno sa risponderti 3) Non trovi nessuno che sappia risponderti sul forum 4) Sul sito non trovi risposta 5) Google non e' in grado di aiutarti Ricorda che le tue email saranno cestinate se la risposta alla tua domanda e' presente nelle FAQ oppure l'argomento e' gia' stato trattato sul sito/forum/mailinglist. Le FAQ sono suddivise in: LAME FAQ GENERAL FAQ TECHNICAL FAQ -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- ELENCO LAME FAQ 1) Posso chiedere crack sulla mailing list? 2) Posso mandare catene di S. Antonio o simili ai membri della Mailing List? 3) Devo inserire per forza i miei tutorial nel form? 4) Mi dai la password per il sito http://xyz.xyz.xy ? 5) Quequero davvero sei una donna? 6) Anche Mary e' una donna? 7) Come faccio a conversare su IRC con voi? 8) Posso fare pubblicità al mio sito sulla mailinglist? 9) Dove trovo dei virus? 10) Come mi iscrivo o mi cancello dalle Mailing Lists della UIC? 11) Quante mail al giorno posso postare in ML? ELENCO GENERAL FAQ 12) Dove trovo il form per i miei tutorial? A cosa serve? 13) Come posso contattarvi? 14) Posso inoltrare allegati nella ML? 15) Come posso imparare a crackare? 16) Come faccio a partecipare ai corsi? 17) Dove trovo SoftIce o in generale i tools per iniziare a crackare? 18) E se al posto di SoftIce volessi usare OllyDbg dove potrei trovarlo? 19) Dove posso trovare questo o quel programma? 20) Posso prendere dal sito di Quequero dei vostri tutorial e metterli nella mia E-zine/Sito? 21) Quale browser mi consigliate di usare per navigare? 22) Crackare è illegale? 23) Cos'è realmente la UIC? 24) Cosa NON è la UIC? 25) Chi sono i coordinatori della UIC? 26) Come si fa ad inserire un tutorial nel form? 27) Che differenza c'e' tra Cracking e Reverse Engineering? ELENCO TECHNICAL FAQ 28) Se metto un breakpoint su una funzione come GetWindowTextA o GetDlgItemTextA SoftIce mi dice: Symbol Not Defined, se invece metto un breakpoint su GetWindowText o GetDlgItemText il breakpoint va a buon fine, perchè? 29) Ho Win2k/Xp/2003 non trovo il winice.dat dov'e'? 30) Se disassemblo un programma con il W32Dasm dopo un po' quest'ultimo crasha perchè? 31) Come unpacko/decritto un file packato/crittato? 32) In SoftIce i byte che vedo sono completamente differenti differenti da quelli del disassemblato, perchè? 33) Mi viene chiesto di portarmi all'offset 1234h ma non so cosa sia l'offset e come ci si arriva! 34) Come si crea un crack? 35) Come faccio a navigare anonimamente? 36) Come faccio a scrivere alla ML senza usare l'indirizzo di casa? 37) Come faccio a mandare una email totalmente anonima? 38) Ho disassemblato un file con win32dasm, ma il contenuto è completamente illegibile, non si capisce nulla... dove ho sbagliato? 39) Ho un file zip protetto da password, come faccio ad aprirlo? 40) Ho un file di word/excel protetto da password, come faccio ad aprirlo? 41) In SoftIce gli indirizzi non corrispondono a quelli del file come mai? 42) Mi date le vostre chiavi pubbliche per il PGP? 43) Ho windows ME e softice non mi funziona che devo fare? 43bis) Ho windows XP e non riesco ad installare softice, che devo fare? 44) Perchè il QueBus e non il NetBus? 45) Cos'è il QueBus e cosa fa? 46) Come ci si disinfetta dal QueBus? 47) Quali file genera il QueBus? 48) Come si usa il QueBusLoader per configurare il server QueBus? 49) Come trova l'ip della mia vittima? 50) Quali tecniche esistono per infettare qualcuno? 51) Posso rinominare il file come .jpg? 52) Posso unirlo ad un programma? 53) Con quali versioni del NetBus è compatibile QueBus? 54) Non riesco a scaricare i tools, mi serve la password puoi passarmela3 55) Dovrei farti un paio di domande sull'Assenzio, posso? -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- LAME FAQ ------------- 1) D: Posso chiedere crack sulla mailing list? R: Assolutamente no, è tassativamente vietato chiedere crack o serial di qualunque tipo ------------- 2) D: Posso mandare catene di S. Antonio o simili ai membri della Mailing List? R: Se lo fai sarai bandito dalla UIC ------------- 3) D: Devo inserire per forza i miei tutorial nel form? R: Assolutamente si! E devi anche rispettare i font richiesti se vuoi che il tutorial venga pubblicato ------------- 4) D: Mi dai la password per il sito http://xyz.xyz.xy ? R: Assolutamente no, siamo reverser non hacker ------------- 5) D: Quequero davvero sei una donna? R: La sezione about me non ti convince? Si sono una donna e trovo che non ci sia nulla di male. ------------- 6) D: Anche Mary e' una donna? R: Si anche Mary, solo che lei e' stupenda io un po' meno. ------------- 7) D: Come faccio a conversare su IRC con voi? R: Scarica il mIRC da http://www.mirc.co.uk installalo avvialo e sulla barra dei comandi scrivi: /server irc.azzurra.org, appena si collega scrivi: #crack-it, ci troverai li. ------------- 8) D: Posso fare pubblicità al mio sito sulla mailinglist? R: Si...Ma SOLO se il tuo sito e' inerente all'argomento trattato dalla mailinglist, e' comunque buona regola chiedere prima il permesso agli owner ------------- 9) D: Dove trovo dei virus? R: Qualche sorgente di virus lo puoi trovare direttamente sul sito ------------- 10) D: Come mi iscrivo o mi cancello dalle Mailing Lists della UIC? R: Ti puoi iscrivere in due modi, o usando il form che trovi su http://www.quequero.org nella pagina delle iscrizioni o nella pagina delle lezioni, oppure mandi una email vuota a uic-subscribe(at)yahoogroups, se invece vuoi cancellarti devi semplicemente mandare una email vuota a uic-unsubscribe(at)yahoogroups, questo discorso vale per tutte le altre mailinglist, ovviamente per cancellarvi da uic-psx dovrete ad esempio inviare una email vuota a uic-psx-unsubscribe(at)yahoo.... ------------- 11) D: Quante mail al giorno posso postare in ML? R: Quante ne vuoi purche' siano in topic, le altre verranno cestinate dai moderatori -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- GENERAL FAQ ------------- 12) D: Dove trovo il form per i miei tutorial? A cosa serve? R: Puoi reperire il form su: http://quequero.org/store/uicform.htm, serve a dare ai vari tutorial uno stile uniforme al quale l'occhio puo' abituarsi con facilita', in questo modo sara' piu' facile tanto scriverlo, quanto leggerlo. ------------- 13) D: Come posso contattarvi? R: Se e' necessario le email dei coordinatori UIC sono: Quequero: quequero (at) bitchx (dot) it Tin_Man: tinman (at) thepentagon (dot) com _ph0b0s_: phobos333 (at) SoftHome (dot) net AndreaGeddon: andreageddon (at) hotmail (dot) com Mary: marjaisy (at) tin (dot) it Se invece vuoi parlare con uno qualunque degli owner di una mailinglist, non devi far altro che attaccare al nome della mailinglist il suffisso: -owner, ad esempio, per scrivere agli owner di uic-psx(at)yahoogroups.com dovrai inviare una email a: uic-psx-owner(at)yahoogroups.com e cosi per tutte le altre informazioni per contattarci on-line le trovi sul sito di Quequero (http://www.quequero.org) nella sezione "Contact Me" ------------- 14) D: Posso inoltrare allegati nella ML? R: Si ma solo se sono di dimensioni inferiori ai 150Kb e solo dopo l'approvazione di un coordinatore. ------------- 15) D: Come posso imparare a crackare? R: Leggi i primi tutorial che trovi alla UIC oppure segui i corsi. Preparati a studiare molto, dovrai apprendere nozioni di: programmazione, matematica normale esadecimale e binaria, ASM, ZEN, ginnastica oculare (dopo le molte ore passate davanti al monitor), lingua Inglese, Kiromanzia, ecc..... ------------- 16) D: Come faccio a partecipare ai corsi? R: Iscriviti alla UIC tramite il form che trovi sul sito o mandando una mail vuota a UIC-subscribe(at)yahoogroups.com oppure alla mailinglist che ti interessa, una volta iscritto segui le lezioni e poi manda al responsabile di turno la tua soluzione entro il limite prestabilito ------------- 17) D: Dove trovo SoftIce o in generale i tools per iniziare a crackare? R: In questo sito nella sezione "Tools" troverai TUTTO quello che ti serve per iniziare ------------- 18) D: E se al posto di SoftIce volessi usare OllyDbg dove potrei trovarlo? R: Al momento in cui scriviamo la home di OllyDbg risulta essere: http://home.t-online.de/home/Ollydbg/ ------------- 19) D: Dove posso trovare questo o quel programma? R: Se non è nella sezione tools prova ad andare su http://protools.cjb.net altrimenti cerca su: Astalavista.box.sk, Google.com, Altavista.digital.com, HotBot.com, Lycos.it, Virgilio.it, Excite.it, Yahoo.com.....usa dei Listserv, usa Archie, chiedi agli amici o prova su: http://playtools.cjb.net, http://crackstore.com o cerca nella sezione Links della UIC ------------- 20) D: Posso prendere dal sito di Quequero dei vostri tutorial e metterli nella mia E-zine/Sito? R: Certo che puoi, a patto di mantenere il documento integro ed assolutamente senza cambiamenti, se il tutorial ti serve in solo formato testo puoi togliere anche il form a patto di lasciare il nome dell'autore, le sue referenze e il sito dal quale proviene il tutorial. E' comunque buona norma chiederne il permesso all'autore prima di pubblicarlo, l'E-Mail la trovi nel form. ------------- 21) D: Quale browser mi consigliate di usare per navigare? R: Io consiglio sempre Opera (http://www.operasoftware.com) è compatto, stabile e soprattutto molto veloce ------------- 22) D: Crackare è illegale? R. Dipende. Molti softwares ti ammoniscono pena violazione della loro licenza a disassemblare anche solo per guardare il loro programma. Per evitare "grane" in questo senso vengono fatti dei crackme che sono dei programmini semplicissimi senza alcuna funzione che contengono esclusivamente il menu di registrazione. Hanno diversi gradi di difficoltà e regole dettate dall'autore, esercitati con questi per imparare, migliorarti e testare le tue qualità. Quelli della UIC li trovi all'indirizzo http://www.quequero.org nella sezione crackme ------------- 23) D: Cos'è realmente la UIC? R: La UIC è un gruppo nato per spiare tutte le azioni che vengono compiute all'interno del Pentagono, per seguire gli utenti senza che se ne accorgano e rubargli tutto il loro denaro...Mmm scherzo eh? :) La UIC è un'Università che si preoccupa di farti apprendere le arti del cracking e poi quelle del reversing, ti inizia ad un mondo nuovo che darà molte soddisfazioni personali senza per questo farti compiere atti illegali come la creazione di Crack ------------- 24) D: Cosa NON è la UIC? R: La UIC non è cracking contro i programmatori shareware, non facciamo alcun tipo di crack, tutti gli esperimenti semmai li facciamo sul nostro amato PC, i nostri membri non fanno crack, se trovate il crack di una persona che dice di essere membro allora state certi che non lo è, questo infatti è il nostro marchio di riconoscimento, reversiamo per passione non per impoverire i programmatori ------------- 25) D: Chi sono i coordinatori della UIC? R: Quequero, Tin_Man, phobos, Andreageddon, Mary ------------- 26) D: Come si fa ad inserire un tutorial nel form? R: Scarica FrontPage, FreeHTML, Tarantula, Dreamweaver o qualunque altro editor HTML e inseriscici il tuo scritto, se sei paziente puoi anche inserire il tutorial nel form solo con il notepad, ho infatti lasciato dei tag nel codice html che ti comunicano dove sei e cosa devi inserire. ------------- 27) D: Che differenza c'e' tra Cracking e Reverse Engineering? R: " Reverse Engineering, in ogni campo dell'ingegneria, significa semplicemente analizzare una macchina che non hai costruito, per apprendere come e' stata fatta. E' una pratica leggittima e accettata in tutti i campi dell'ingegneria". Richard Stallman Cracking significa precisamente: Con il termine cracking si indende l'insieme di quelle tecniche volte ad aggirare le protezioni dei programmi chiusi. La 'sprotezione' avviene per lo piu' modificando il codice eseguibile del programma (patching) e nella maggior parte dei casi non richiede una fase di studio approfondito del codice. Quando un cracker sprotegge un programma di solito scrive un piccolo eseguibile (crack) per patcharlo automaticamente; questa tecnica, oltre che essere illegale, non spinge allo studio del Reverse Engineering. -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- TECHNICAL FAQ ------------- 28) D: Se metto un breakpoint su una funzione come GetWindowTextA o GetDlgItemTextA SoftIce mi dice: "Symbol Not Defined", se invece metto un breakpoint su GetWindowText o GetDlgItemText il breakpoint va a buon fine, perchè? R: Evidentemente il tuo file winice.dat non è configurato a dovere, prova a scaricare il file winice.dat che trovi linkato in uno dei primi tutorial di Quequero nella sezione UIC, sostituiscilo al tuo e riavvia il computer, ora tutto dovrebbe funzionare a dovere. Questo vale solo per Win9x/ME per Win2K/Xp il problema non si pone ------------- 29) D: Ho Win2k/Xp/2003 non trovo il winice.dat dov'e'? R: Leggi la domanda di sopra... Non lo troverai mai semplicemente perche' non serve. ------------- 30) D: Se disassemblo un programma con il W32Dasm dopo un po' quest'ultimo crasha perchè? R: Probabilmente il file è stato Packato e/o Crittato, prova prima a decrittarlo. Se invece non e' criptato o packato, puo' esserci qualche trucco antidisasm (molto rari) prova a disassemblarlo con IDA che non si blocca in presenza di certi trucchi. ------------- 31) D: Come unpacko/decritto un file packato/crittato? R: Prova ad usare ProcDump oppure leggi i nostri tutorial ------------- 32) D: In SoftIce i byte che vedo sono completamente differenti da quelli del disassemblato, perchè? R: Il file è packato o crittato e quindi una volta mappato in memoria è ovviamente diverso, unpacka/decritta il file per avere gli stessi indirizzi ------------- 33) D: Mi viene chiesto di portarmi all'offset 1234h ma non so cosa sia l'offset e come ci si arriva! R: L'offset e' l'indirizzo reale all'interno del file del byte in oggetto, ovvero la sua distanza dall'inizio del file, il primo byte avra' offset 0h, il secondo 01h, il decimo 09h ecc...... In pratica apri il file con un qualunque editor esadecimale e clicka su "Go to offset..." inserisci il tuo numero e ti ritroverai dove serve. ------------- 34) D: Come si crea un crack? R: È una cosa che non dovresti fare ma che potrebbe comunque tornarti utile, puoi scrivere il patch in ASM, ma allora non saresti qui a leggere queste FAQ, oppure puoi usare uno dei tantissimi patching engine che trovi ovunque, ti viene chiesto solo di selezionare il file crackato e quello originale, il resto lo fa lui. Non rilasciare il crack in giro, al limite scrivi un tutorial, e se proprio lo vuoi rilasciare NON METTERE IL NOME DELLA UIC IN NESSUN POSTO! Neanche nei greetings ne il nick di nessun iscritto o coordinatore se non preventivamente concordato con lui stesso. ------------- 35) D: Come faccio a navigare anonimamente? R: Ti cerchi con il proxy hunter un proxy, se per navigare usi opera vai su: "Preferences|Proxy servers...", inserisci il tuo proxy, se riesci a collegarti allora funziona..ora sei anonimo....Forse! Bisogna pero' essere sicuri che il proxy trovato sia effettivamente un proxy anonimo. Per testarlo vai su una pagina che ti indichi i referrer e controlla Http-forwarder, se trovi il tuo IP allora il proxy non e' completamente anonimo, se trovi l'indirizzo del proxy invece del tuo allora il proxy e' anonimo, per usi particolari e' consigliabile usare i proxy anonimi in cascata inserendoli manualmente nel browser in questa forma: http://www.proxy1.com:8080/www.proxy2.org:1306/www.proxy3.net:80/www.urlmaledetta.com Una pagina che ti dice i referrer e' proprio la home della UIC: http://www.quequero.org al centro della main page. Migliore invece è http://www.privacy.net clicka in alto sul link (c'è scritto: "for a full analysis click here" e cercate il vostro ip). ------------- 36) D: Come faccio a scrivere alla ML senza usare l'indirizzo di casa? R: Puoi farti una casella anonima su www.hotmail.com, www.libero.it, www.lycos.it, www.yahoo.it Oppure puoi usare uno dei tanti servizi di forwarding e farti un forward-account (in pratica la posta viene spedita dall'indirizzo di forward al tuo indirizzo reale) ------------- 37) D: Come faccio a mandare una email totalmente anonima? R: Puoi usare uno o più remailer, troverai per questo un dettagliatissimo tutorial nella sezione anonimato, se non ti va di leggerlo scarica il Private Idaho ------------- 38) D: Ho disassemblato un file con win32dasm, ma il contenuto è completamente illegibile, non si capisce nulla... dove ho sbagliato? R: Se il programma non è packato/crittato vuol dire che stai usando un font non adatto. Settatene uno che ti permetta di visualizzare al meglio tutte le istruzioni, andando su Disassembler->Font.. ->Select Font. Prova per esempio courier new normale. ------------- 39) D: Ho un file zip protetto da password, come faccio ad aprirlo? R. Può essere questione di un secondo come non potresti mai farcela, dipende da quanto è lunga la password che hanno scelto, se hanno usato una parola comune o comunque esistente, se hai lo stesso file zippato con le stesse opzioni ma SENZA password, oppure se il file è tuo, ti sei dimenticato la password esatta, ma hai un'idea più o meno di com'era. Esistono vari software freeware e commerciali che puoi scaricare dalla rete, che ricercano la password per tentativi o mediante vocabolari o altri metodi più raffinati, ma la riuscita dipende dai fattori suddetti, e ripeto, potresti anche non venirne mai a capo... anzi prendi questa come opzione più probabile...Comunque prova a scaricare Advanced Zip Password Recovery ed aspetta...aspetta...aspetta ------------- 40) D: Ho un file di word/excel protetto da password, come faccio ad aprirlo? R: Se il file è stato prodotto da una versione di word/excel precedente ad Office 97 il recupero è istantaneo, diversamente vedi quanto detto per gli zip. un buon sito e' cmq www.elcomsoft.com ------------- 41) D: In SoftIce gli indirizzi non corrispondono a quelli del file come mai? R: Il formato dei file Win9x/ME/2K/Xp si chiama PE (Portable Executable) e non e' un formato lineare, ma contiene un header e delle sezioni, che vengono caricate e riunite a run time, per ottenere l'indirizzo nel file di un istruzione o di un blocco di istruzioni devi convertire l'RVA (Relative Virtual Address) nel suo Offset, la via piu' semplice e' disassemblare il file e farsi dire dal disassemblatore l'offset nel file, in W32Dasm lo puoi leggere in fondo nella barra di stato, in IDA seleziona Patch program/Byte dal menu e scriviti l'offset. ------------- 42) D: Mi date le vostre chiavi pubbliche per il PGP? R: Questa è di Quequero: -----BEGIN PGP PUBLIC KEY BLOCK----- Version: PGP 8.0.2 mQGiBD4Uaf8RBADumWGACMmvTGBsXwfaLWtvV2Ajf95VoAUeVDuJ7VKLL9Ta7P4S 4JhI1b6D7zBjxnKCFT2gpRh6xDGPx2247GQAIaKMLTDVIjIGyAVvDEzwxn7mccm8 bmxoA+aG9GNEwh2m8eHyLtphu3OhULzIFYjHKpyl60xPxpceRgomdeq4LQCg/6iL nLpPcl0kisym1BEjqm+3FdUD/RLn5Wj7VRLWq/fmhmmtJipxsrg+sNjLlz1RjJ30 yZbjqLYdZy8UfoRHnmOBYPYYkLYrW38OncypbnRjFcQ9ZgrRHwuAWOpBbp1TxRv5 kRkSBbAVt0t0Q4Q9oVm4WJAs1fnid3fCSqYF1R+3Zl+NuJxZj4GRb7b5FwgQ6u1D drAJA/9Wmq1Gb/pnygjDt61j5VYprCx3ahj5zpNQDJGHLnTjkPLbXU22MR6A6Dnc 6Getj8LYDfUSHzmWYbFRfvoxl6z9Qu85hPYI4RYW3NWevEBby6E/4nXhQ1RlSV9P Y+GpLNVCelbrQmRjeT5+mH8VytvcCDiaPbLS9IbPZGp5hW1oTbQdUXVlcXVlcm8g PHF1ZXF1ZXJvQGJpdGNoeC5pdD6JAFgEEBECABgFAj4Uaf8ICwkIBwMCAQoCGQEF GwMAAAAACgkQw0z1pfXUd/RuzACguCirP1uGX3/pxE8rTWeAujFjmzkAoKyYi2lu g7Mr61Q+cx93P6lrE6SWuQMNBD4UahsQDAD6tWSk6NkZs6R/dXxRRYoeMI9cNtOo sM+gDaD0Ubmv7zehpoEa7e5dEFjfZ2STWyvXevGnmZEaru22z/2E7kL+YSFk1tB8 ip2ajRVM4FvgDGr8FWeWto36U1eRCSfcDXN8gHEm+Yw7no6sO1TqojnI4vj0N7eP y8Drqute1lP87sGwmKoQKMUES65qNRuWngoZWwTa+dV7aSs1TaGKzUxNXCRaOv0e WCtU6k9/PYMZIrkZTQfmGdWOro6h6NO/WgcIbqK1mf5hHzdllTo0UrwxHbWcdogP MmlRP0aZbGLdkG8y3RFmNJB6o3vcPowOnG0NhsXZT/XAp9cvM38OnYnImoz1lVVV uZKYPtGP6REAsUDib9jzdUpOkjT0xajVXi5/Y5fVhW2u+guJzD+iya7AVbAx9ydq vgPlSjVr8GC/4jwmyPWaZt+g3HOPec29CgcrN8o9SAyzxI9p0bHS0tBA38LSPMzH w5NqCBMrKla5JcTaSn3mupcmr2GaPmTZRiMAAgIL/3SJOOqI2WaffD72YGi2Kq7S YIM3g5JG47x/jG1Ypr9XvBR3o7upV8foNbYpW2zx1hAjas8AcKHgIrrH+fOHHfY0 Ywqs8POZdntCbcq0zPB/59Yndnz53OFGDrz1op88gwjPO5CzPX8tdDGEOo1vC3nD 0yj9K0Wwp1U1ih/Mr2uhE3bRa0hZBbg/+aCMyTj3UyjNFOtCDfV3Mr7Cm4cI+e39 ypavmOmukJnOgku4Xs8QRN/dGZDGBA7WTeTb42pg/7AUf2p2TyDGdKZadZ+9DLz6 9iBJx8v4LMp1ngx6sM68zCt1CnksRxc8xnc5iOLP9LSWzWEjLGWhvMKSA5MehVT9 DTnVCzirocfwlOhAw/JCkQIsi4/ac5rrMRBlCyEYGJXsA9xPrb9aSM8iu/85HWzv 27RShUk0WHuKTy7pyog1wMZS5isFjAuV3KU793JWFRH4oLB6XtTDmJuQn7Spmx4B Ysdp/4Sbs4pzG1vgKxdIMmcdBY7/zGtsFfWZCld5jIkATAQYEQIADAUCPhRqGwUb DAAAAAAKCRDDTPWl9dR39ORrAKD9V9xujuBzpAuHV32mDEP3RjMWqQCgxfulc+rY g+WJm0k6D4rFUvQwpfo= =7Sd1 -----END PGP PUBLIC KEY BLOCK----- Questa e' di phobos: -----BEGIN PGP PUBLIC KEY BLOCK----- Version: PGP Personal Privacy 6.5.2 mQGiBDiMMp0RBADrRl263DG8zNT1MLBuR2aBlsQIbZlJUaokLuVqkKfLWmSMO8ev 8neHl8IHM1vp9q1AA4Vr2aNqEWeXWt4dk0BpMkAtMcra/51zSBgEWBchgD0zbzB4 mL+angJhOnHlwd0teoQx3jaFmqxslH08e90cGN8OVWYWlndmz5uyccKFtwCg/3h6 OOfUBLSnKOPJc7cjg73HDM0D/A1TBwwez5fbwMfSAAxvcpDGCFQhrqOj7yTJiBsX lKIrNjbldFs9JdOOHlHr/kpBwgz7DH6Lt0zPPnYV96YTx8Rkm0rJ0MHYXRKjrhMX KaHUXqEkmZm+7rkOwrHzUQNCGsmyEKHYshCDz9K2YX1TCn6DbSsU7n0zocqLYgdo VukPA/47pWP+UuuoZb1AWmr695x1HjPr+JwXuwnizvCyBr2gq4ZydB0juJkq+HKx 1bL3q/J78UdR7N62iHv/JNUf0OasPSm6g+CvA3bxaZSuJwQ1CRFtVh76yh8306RH lev+ngwPkJ8gzzu7pBXx37SPiGccNgQUlRxnHmn+ybQ9yeSpq7QwcGhvYm9zIChh a2EgRDRyS1NQNHJyMFcpIDxwaG9ib3MzMzNAaG90bWFpbC5jb20+iQBLBBARAgAL BQI4jDKdBAsDAgEACgkQqB8Zq9hH/tV9TQCgnMwQe8jDWgNoQDmQYUI7HC6856cA oJiuEdYysMDwC2Mi+ruOTuvJ2+yFuQIBBDiMMtAQB9DMZ7gDDmb9Y6X4K9jlvC1K 5IvGrcgob51S25R6HlB+0hBgYAlgAj9mRa/AcfOoftPa+WPxGchIHb6VZDiv+o27 U6YsTkKinCxtnJ+ZVjkSO2qMQ9FjdDVu8nD8QpnXoFPeVEiQpVBqAXeTEdah4Dch sNbZGUzXk/9Uf1htY27KNmnN/kGTF8TBvGbuK2AUVx/MccC4k75PZMo47VkSPOux cCPqpZPirOt/2gTyCzxJ5VK+dzYxuTwHPFnR0aOjkcpBS8ydnoCPXb+8m21ZaQD1 S+IwNRkRWmQOh7r0auqU4iq7qzBkPb3js+xwOMLFCcapm2Prbn3BYS1rAAICB8kB lMIxOQpV0w6C+fmM4/Gp02hTO7TgV68mmrV8mWoH9wJzHlMlfpruCejYW28dzB8M p06OCUGqzmybXGWUt+sH6zqS/3LIQrvYB3uBBvm3979M31ZZ9QK5zeLK7LOO7eoS xHpXQHPLkWjOgOA7ojBryxud/r5NKrnIdK7G3jvSvUXK2jT3GtJxcYQrzT9R6MXF s0867I08SzSW9pz32LCYKmI/N4GBeqsOQSMNHWwTHNEE8rdayiSz+yhoE/PfyIYF DwKDsfueb6Zf9Ih01Wke5BAewQkV8VT/kEF5WBZhnIJBkrKSbUaOCnORsh+0Eb+U j4O/WOh+tQKqiQBGBBgRAgAGBQI4jDLQAAoJEKgfGavYR/7VsrkAnRTztNIrrhHU F70zMp5YGhzjNk7ZAJwJTkQ06qPMZSD/fedWzEs8M9r5PA== =0T2n -----END PGP PUBLIC KEY BLOCK----- ------------- 43) D: Ho windows ME e softice non mi funziona che devo fare? R: Ci sono due buoni tutorial alla UIC nella sezione UICStore su come fare l'installazione ------------- 43bis) D: Ho windows XP e non riesco ad installare softice, che devo fare? R:SoftIce su Win XP SP1 Nota: Bisogna installare il Numega Driver Studio. Ci sono alcune opzioni che permettono di installare SoftICE su Windows XP Service Pack 1: Opzione 1 - (SoftICE 2.6 e successive) - Inserire "NTSYMBOLS=ON" nel file di configurazione "winice.dat" e scaricare tradurre ed effettuare il loading dei simboli per il file ntoskrnl.exe Il neo di queta procedura e' che tastiere o mouse USB, non funzioneranno dopo l'avvio del debuger. Opzione 2 - (SoftICE 2.7 e successive) - procuratevi una copia di osinfo_XPSP1.bat dal seguente ftp: ftp://ftp.compuware.com/pub/driverstudio/outgoing/OsInfo/osinfo_XPSP1.dat Rinominate il file da .dat a .bat e copiatelo nella vostra directory \system32\drivers cio' fatto riavviate il PC. Nota: Sovrascrivere il file e' l'unica cosa richiesta. Non dovrete aggiornare il vostro winice.dat con NTSYMBOLS=ON. Non avrete bisogno molto probabilmente dei simboli . (Note Addizionali di Supporto) Nota: Ci sono altri parametri che possono risultare necessari. La procedura seguente e' necessaria se si verifica una "hook failure" nella command window di SoftICE: 1 - Aggiornare osinfo.dat ed avviare SoftICE 2 - Scrivere nella command window 'mod ntoskrnl'. Questo comando fornira' le informazioni sul modulo ntoskrnl. Quello che ci interessa e' la base di ntoskrnl. Prendere nota dell'indirizzo. 3 - Scrivere nella command win di SoftICE Per Kernels a processore singolo - '? (base address of ntoskrnl that we got from the mod command)+0xBDC32 Per Kernels SMP - '? (base address of ntoskrnl that we got from the mod command)+0xDEBF2 Segnare l'indirizzo ottenuto. 4 - Utilizzando regedit aprire la chiave "HKLM\System\CurrentControlSet\Services\Ntice\" 5 - Aggiungere una dword chiamata 'Addr.NtTerminateProcess' 6 - Settarne il valore uguale a quello che abbiamo ottenuto nel passo numero 3, omettendo lo 0x iniziale 7 - Reboot del PC e tutto dovrebbe andare... ;) Per SoftICE 2.6 e/o 2.7 si intendono tutte le loro varianti di installazione. DS 2.6, SIS 2.6, SoftICE 4.2.6 sono tutti equivalenti. Stessa cosa per la 2.7 e varianti. ------------- 44) D: Perchè il QueBus e non il NetBus? R: Perchè con le nuove versioni del NetBus se dai il server alla vittima non infetti proprio nulla... NB: il QueBus funziona solo su win95/98 e su win2k/ME/XP/2003 solo se l'utente che riceve il file e' loggato come amministratore. ------------- 45) D: Cos'è il QueBus e cosa fa? R: Ora spiegherò dettagliatamente il funzionamento del QueBus, QueBus è un server NetBus 2.0/2.01 modificato da me, ha la particolarità di NON lasciare il vostro ip sul pc vittima, è INVISIBILE a TUTTI gli antivirus e genera delle chiavi nel registro completamente differenti da quelle del NetBus "normale". Al momento dell'avvio il file si copia con un nome CASUALE in c:\YourWinDir\system. Addendum: A seguito della sua diffusione QueBus e' diventato visibile da buona parte degli AntiVirus se desiderate usarlo allora accertatevi di configurarlo e poi comprimerlo con utility come ASPack...Ricordate inoltre che se il computer vittima utilizza Windows ME/2k/Xp allora dovete sperare che sia l'amministratore ad eseguirlo, un utente normale non sortirebbe alcun effetto. ------------- 46) D: Come ci si disinfetta dal QueBus? R: La prima cosa da fare se vi siete infettati è cancellare nel registro di windows (Menu Avvio, Esegui: Regedit.exe) la stringa "SVGA Video Driver" che si trova in: HKEY_LOCAL_MACHINE\Software\Mircosoft\Windows\CurrentVersion\RunService ed anche le altre chiavi si trovano in: HKEY_CURRENT_USER\Web e sono: Web\TCP_IP Web\DefBrowser con relative subkey: Downl DNSHost PingTimeRe InternetSp LocationT Referrer Ad ogni modo per rendere il QueBus innocuo basta cancellare soltanto la key in: HKEY_LOCAL_MACHINE\Software\Mircosoft\Windows\CurrentVersion\RunService e ravviare. A questo punto il QueBus sarà ancora presente sul pc ma TOTALMENTE innocuo in quanto NON avviabile. ------------- 47) D: Quali file genera il QueBus? R: Netbus "Originale" genera un file di log che si chiama Log.txt, ora questo file viene creato in C:\YourWinDir\System e si chiama s_s.vxd, solo che è totalmente vuoto, poi esisteva una dll che si chiamava NBHelp.dll, solo che Quebus la rinomina come: mfc40a.dll Questi sono TUTTI i file e le chiavi che QueBus genera, quindi una volta tolti non c'è più pericolo, l'unico problema se vi infettate è quello di trovare il Server visto che si mette in YourWinDir\System con nome casuale, ma basta fare "Visualizza tutti i file", ordinare per data la directory System e cercare tra i primi file quello con nome più assurdo grande 300kb ~ :). ------------- 48) D: Come si usa il QueBusLoader per configurare il server QueBus? R: Avvia il QueBusLoader e inventati dei settaggi, rinomina il file quebus.que come nome_ke_ti_piace.exe e mandalo a qualcuno, ecco l'esempio: Destination: Un_Nome_Ad_Cazzum Host name/IP: L'hostname o l'IP della vittima Run on port: sceglila tu UserName: Administrator Password: sceglila_tu Allora, la porta a la password si possono cambiare, l'username non si deve cambiare. ------------- 49) D: Come trova l'ip della mia vittima? R: Per l'ip spesso è necessario fare un: /whois nick e SE la vittima si trova in IRC, verrà mostrata una cosa tipo questa: [Vittima] is victim@a-ss4-18.tin.it * [Vittima] [Vittima] using irc.flashnet.it Cybernet Italia SpA, Italy [Vittima] End of /WHOIS list. il DNS è a-ss4-18.tin.it, DNS ed IP sono indifferenti, il DNS è in forma di "nome", l'IP è un numero e tutti e due stanno SEMPRE dopo la @: victim@QUI_C'È_L'IP, potete usare ognuno sia l'uno sia l'altro, ma ricordate che su reti DALNet l'ip viene oscurato, quindi per trovare l'ip l'unico metodo è farsi fare una DCC dalla vittima. Su ICQ c'era una apposita opzione e ci sono tanti tools ma se non ci riuscite allora basta aprire outlook express,farsi mandare una mail, clickare col destro su cotal mail, scegliere Proprietà e quindi Dettagli, l'IP in genere sta qua: Return-Path: > Received: from smtp.dio.it (smtp.dio.it [163.0.0.255]) by smvdio-mc.mail.com (8.9.3/8.9.1SMV2) with ESMTP id HAA01225 for > sent by >; Tue, 16 May 2000 07:30:55 -0400 (EDT) Received: from Mittente (151.28.118.154) by smtp.dio.it; 16 May 2000 13:29:59 +0200 Message-ID: <000a01bfbf2a$223b3360$a17f1c97@it> From: "Io sono il mittente" > To: > L'ip in questo caso è: 151.28.118.154 e si trova DOPO il campo "Received". Per messaggi inviati ai NewsGroup invece l'ip si trova dopo il campo: NNTP-Posting-Host: 151.28.118.154 ------------- 50) D: Quali tecniche esistono per infettare qualcuno? R: Per infettare qualcuno si può mandare il file tramite IRC spacciandosi per qualche modella e dicendo di voler far vedere quel set di foto, stanno in .exe perchè hanno loscorrimento automatico, o si possono mandare a qualcuno dicendo che è la patch per NudeRaider o per qualche altra cosa......Insomma, l'unico limite è la fantasia. ------------- 51) D: Posso rinominare il file come .jpg? E poi come lo avvii? L'unica cosa che puoi fare è rinominarlo come file.jpg.exe se la vittima non ha settata l'opzione "Visualizza estensioni" allora vedrà file.jpg altrimenti no. ------------- 52) D: Posso unirlo ad un programma? Si puoi usare SilkRope per unirlo ad un programma e farlo avviare silenziosamente oppure puoi usare l'exejoiner degli Spippolatori ma in entrambi i casi l'invisibilità agli antivirus scompare. ------------- 53) D: Con quali versioni del NetBus è compatibile QueBus? Con la console del Netbus 2.0 e 2.1, ricorda, il QueBus va usato come se fosse il file Nbsvr.exe, anzi, va usato AL POSTO di Nbsvr.exe. ------------- 54) D: Non riesco a scaricare i tools, mi serve la password puoi passarmela? Non serve nessuna password, vuol dire che il nostro FTP attualmente e' pieno, prova in orari strani come la mattina presto o la notte tardi se vuoi collegarti all'ftp con un client ftp allora devi effettuare una connessione anonima normalissima: login: anonymous pass: quello@che.ti.pare ------------- 55) D: Dovrei farti un paio di domande sull'Assenzio, posso? R: Se il tutorial non ha chiarito i tuoi dubbi allora si. -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- FAQ Written by: Quequero Tin_Man [Alt255] phobos Last review: 05/Oct/2003