Non so se vi e' mai capitato di dover aggiornare dopo un bel po' di tempo le definizioni dei virus di quel fetente antivirus di nome NAV, e dopo aver scaricato circa 3.6 mega con il vostro 33.6 con l'ernia allo spinotto RJ, scoprire che "la vostra sottoscrizione al servizio di aggiornamento dell'antivirus e' scaduta, quindi il software non sara' aggiornato"... No??? A me si'!!! (GRRRR!)

Come ti strapazzo il "SARC: INTELLIGENT UPDATER" updater della Symantec

(tecnica usata: Sacra scuola di Okuto, tecnica del jmp dirompente)
Written by phobos

Introduzione... c'era una volta, un simpatico programmino, chiamato Intelligent Updater... che faceva il cattivone e non voleva aggiornare le definizioni dei virus sul computer di phobos... cosi' venne il principe azzurro... bacio' biancaneve... aspe'... questa e' un'altra fiaba... vabbe'... dicevo?... non ricordo... ah si'! Ansel lasciava le mollichine di pane per la strada mentre con Gretel si inoltravano nel bosco... argh!! Non era questa... bah!! Quequerooooooo!!! Quell'erba che m'hai passato non e' per caso che era cicoria???? Guarda che non compro piu' da te!!! Mi rivolgo ad AndreaGeddon, tanto almeno li' posso anche pagare in natura... vabbe'... cerchiamo di andare avanti...

Win32Dasm (te lo cerchi con google!!!)

UltraEdit32 (vedi sopra)

Il mio preziosissimo, nonche' l33t, cervello (quello o ce l'hai, o ti attacchi ;))
 

Sito della symantec, sezione "download virus definitions" (il meccanismo e' lo stesso per tutti gli updater intelligenti (HAHAHA INTELLIGENTI... ROTFL)... anche se, quando leggeranno questo doc, credo proprio che lo cambieranno :P)

Notizie sul programma.... Mhhhhh... Ok... Questo programma puo' essere visto da un pubblico adulto, e da bambini accompagnati, i sottotitoli sono alla pagina 189123098234490823549082340980923540923850984590890285903129487401890123859085091250945 del televideo, alla fine, le notizie sul traffico... buona serata... (ROTFL)

 

Ok... Ok... cerco di fare il serio per 3 minuti (il tempo che ci vuole per rimuovere questa stupidissima protezione)

 

Avviamo il programma doppiocliccandoci sopra (o come meglio vi pare, basta che lo avviamo)

Dovrebbe apparire un box come questa:

 

 

Ovviamente clicchiamo su "Si'", perche' vogliamo aggiornare le nostre definizioni... il programma si avvia e sul piu' bello, ci appare questa box:

 

 

Toh!... La sottoscrizione scaduta??? Ecchecca** l'avevo scaricato da quel sito warez proprio ier... ahem... proprio ieri ho regolarmente pagato la licenza... non e' mica corretto questo comportamento!!! PERDINCIBACCO!!!

Cliccando su OK, ovviamente l'updater si chiude e voi rimanete come dei salamini Negroni davanti al monitor...

Sono sufficienti queste notizie per iniziare un approccio al programma?

Boh!?!?... vediamo... carichiamo l'exe in windasm...

Appena caricato il programma in windasm, andiamo ad aprire la finestrella delle "String References" e spulciamola un po'... arriviamo a qualcosa di interessante...

Toh! Mammaaaa guardaaaa!!! Un paperooooooooo!!! (o era un pollo???) Boh!!?... pero' cazzo... 'sta cicoria e' la fine del mondo!!!

Comunque... abbiamo la reference alla cosiddetta "Beggar-off" quindi non dobbiamo fare altro che farci doppio click sopra e andare a vedere in quale punto del programma arriviamo...

Una belllissima reference utilizzata dalla function DisplaySubscptionInvalidMsgBox (se mi mettevate "Put Your Crack Here" facevate piu' bella figura)... a sua volta referenziata da una call all'indirizzo 401DFF...

Andiamo a vedere a questo indirizzo cosa c'e'...

Come possiamo vedere, la call alla nostra "beggar-off" e' preceduta da una call che dovrebbe (immagino... non ho indagato... non ne vale la pena...) controllare la data di scadenza del periodo di sottoscrizione, poi a seconda dei parametri in uscita decidere quale dei due jmp condizionali eseguire (quelli in 401DF4 e 401DFD, per intenderci)

Proviamo a questo punto a seguire il secondo dei due (jne 401E04), arriviamo all'istruzione di mov, xor e quindi un jmp assoluto che ci spedisce qui':

Come possiamo vedere, siamo nella zona del programma che (basandoci sulla string reference in alto) mostra la prima box al suo avvio. Vengono poppati i valori dallo stack e si ha una istruzione di return, quindi il programma si chiude senza fare nulla (Home Work: provate a forzare il jne 401E04 e vedete cosa succede... ;))

Deduciamo quindi, che dobbiamo intervenire sul primo dei due jmp condizionali (jne 401E12) e farlo diventare assoluto...

Cio' e' confermato da questo:

Questa parte di codice, e' il punto in cui arriviamo dopo aver seguito il jne 401E12 e la seguente Call 406552 situata all'indirizzo 401E12...

Come possiamo vedere (mhhh... sono diventato troppo serio... vado a rollarmi un altro po' di cicoria...) il programma continua la sua esecuzione andando a richiamare le API del Kernel per la gestione delle directory (effettuera' una ricerca per trovare il NAV, o prodotto equivalente ed aggiornarlo)...

Quindi cosa dobbiamo fare?

Non ve lo dico!!! Cosi' imparate a non pagare per il software!!! Tie'!!!

AHAHAHAHAHAHAHAHA!!!

QUEEEEEEEEEE TROPPO BUONA LA CICORIA!!! MI SENTO LEGGERO LEGGERO...

                                                                                                                                                                                                        phobos

Comunque... cavolate e delirium tremens a parte... questo tipo di protezione e' letteralmente ridicola... alla Symantec, farebbero una figura piu' elegante se evitassero di limitare a 365 giorni il periodo in cui e' possibile aggiornarsi l'antivirus... ok pagare per il software... ma poi gli aggiornamenti, almeno a mio avviso, dovrebbero essere gratuiti... per il resto... come dicono ad Oxford: "Sti cazzi!!!" io uso Vexira e me ne infischio...

Bacioni a tutti...

Ringraziamenti particolari a:

Quequero per la cicoria (e perche' e' l'uomo.. vabbe'... uomo e' troppo grossa come parola... diciamo bonzo... piu' bello del mondo)....   AndreaGeddon perche' non lo so'... sono fatti miei...  MrCode perche' e' un lamerone e gli voglio tanto bene... Tutti i ragazzi di #Crack-it perche' sono quanto di peggio si possa... ahem... i migliori amici virtuali che si possano incontrare sul net... gli amici dei forum di IsNET, perche'... perche' si'!... Tutti quelli che mi conoscono (CIAO MAMMA!!! SONO IN TV!!!)... E basta... chi non e' stato nominato si offenda tranquillamente... non l'ho ringraziato perche' mi sta' sulle palle... (ROTFL)

Il doveroso disclaimer: Vorrei ricordare al lettore che tutto quanto scritto in questo documento e' frutto di una mente bacata in preda a delirio di onnipotenza dovuto ad una giornata di superlavoro stressante e a una fumata di cicoria spacciata dal gestore di questo sito, che in realta' non e' un ritrovo di programmatori, ma un noto night club per soli gay... Ricordo inoltre che se non volete fare la stessa fine del sottoscritto, la cicoria invece di fumarvela, fatela ad insalata o soffritta con un po' di cipolla... e' pesante, ma al massimo vi scappano un paio di rutti... ricordo inoltre che il software va comprato e non rubato (se poi rubano le software house, e' un altro discorso) e che tutto quello che ho scritto qui' dentro, non vi permettera' mai di trovare la pietra filosofale e di diventare come Re Mida, quindi rassegnatevi, per fare i soldi, o vi iniziate a scopare qualche parente del nostro caro presidente del coniglio, oppure vi rimboccate le maniche e vi mettete sotto a lavorare... Ricordo infine che tutto quello che ho scritto in questo disclaimer non va preso in considerazione perche' vista l'ora, sto dicendo solo un sacco di cazzate... se mai questo tutorial in versione integrale dovesse essere pubblicato, allora vi consiglio di trovarvi un hobby piu' costruttivo, perche' vorra' dire che alla UIC siamo proprio alla frutta!!!! :D

Un bacione al mio diletto bonzo...

-=Home=- --==UIC==-- Anonimato Assembly ContactMe CrackMe Forum Iscrizione Lezioni Links Linux NewBies News Playstation Search Tools Tutorial UIC Faq UIC Form XXX Page