Misc

Ни для кого не секрет, что за последнее время уязвимость типа DLL Hijacking была найдена в довольно большом количестве популярных приложений (например, Winamp, uTorrent, FireFox, Opera и др.). Суть уязвимости сводится к возможности подгрузки сторонней DLL при открытии некоторых типов файлов этими приложениями.
Решил провести оценку потенциальных возможностей от данного наплыва. Так как специфика уязвимости состоит в том, что зачастую требуется, чтобы инстанс приложения не был запущен до попытки открытия файла, то наиболее актуальными показались следующие уязвимости: уязвимость в Winamp и уязвимость в Daemon tools lite.
Идея использования состоит в следующем: берутся свежие релизы с зарубежных музыкальных и игровых трекеров (например, sceneaccess, waffles, what.cd, blackcats-games), комплектуются dll'кой и перезаливаются на популярные российские трекеры (rutracker, торренты на ВКонтакте и т.д.). Подбирая актуальные новинки, можно получить приличное количество скачиваний в короткие сроки или можно выкладывать фейки альбомов/игр/фильмов.
С помощью фейков удается привлечь большее количество скачиваний в сутки, особенно если следить за раздачами и пересоздавать их в случае разоблачения, реальные раздачи обладают большей стабильностью.
Читать дальше »

При работе с .net-файлами, обработанными .NET Reactor'ом (данный протектор используется, например в Vkontakte Inviter Pro v2), возникает проблема с заголовками, из-за которых невозможно открытие файла декомпилятором (по крайней мере, в .net reflector, dis#, xenocode fox).
В сети существует мануал (за авторством CodeRipper и SND), следуя которому, данную проблему можно исправить, однако, процесс довольно зануден, и существует вероятность ошибки, так как все делается руками.
Чтобы не заморачиваться с ручной правкой, была написана программа, которая осуществляет все необходимые исправления в файле. Перечень ошибок, которые исправляются:
1. Invalid number of data directories in NT header
(Недопустимое число элементов в DATA_DIRECTORY)
2. Module '...' contains zero or multiple module definitions
(Таблица Module содержит более одного ряда)
3. ... multiple assembly definitions
(Таблица Assembly содержит более одного ряда)
4. Module contains multiple #GUID heaps
(В программе более одного #GUID-стрима)

Для обработки файла - просто перетащите нужный exe на иконку фиксера. После обработки появится подобное окно:

Скачать фиксер: fix

По просьбам трудящихся долгожданный улучшенный кряк для Vkontakte Inviter Pro v2.8.5.0.
Как пользоваться:
1. Качаем этот архив.
2. Качаем дистрибутив VIP v2 (перезалил к себе, вдруг автор изменит что-то).
3. Добавляем в hosts-файл строку

127.0.0.1 serv.fevsoft.com

4. Запускаем serv.exe, ждем появления в окне строки "Server started". Окно будет выглядеть примерно так:

5. Запускаем инвайтер, вводим произвольный ник, авторизуемся.
6. Пользуемся инвайтером бесплатно.

Если serv.exe выдаст ошибку, связанную с bind, значит, у вас на компьютере 80 порт занят каким-то другим процессом.
Если serv.exe при запуске выдаст ошибку с кодом 0xc0150002 - попробуйте установить это.

Послание автору от заказчиков взлома:

Эта статья идет прямиком в дополнение к предыдущей. Я не рассказал про самые основы ассемблера. Хотя в интернете полно материала на эту тему, я все равно решил ее немного затронуть. Что же нужно знать для начала, чтобы понимать и писать несложные программы или ассемблерные вставки?
Читать дальше »

Решил начать цикл статей по ассемблеру, и, в частности, по MASM32. Пригодятся эти мануалы с примерами тем, кто хочет поднять свои навыки программирования и развить умение программировать на ассемблере. Пакет MASM32 - это не просто голый ассемблер. В нём есть огромное множество облегчающих разработку софта вещей - пользовательские макросы, встроенные функции и макросы, дебаггер и прочее, и обо всём этом я буду рассказывать. Конечно, читать такие статьи будет гораздо легче тем, кто уже умеет программировать на каком-нибудь языке. Если вы программируете на каком-нибудь говне вроде Visual Basic, или фанатеете от перетаскивания компонентов и кнопочек на формы в дельфи или Borland C++ - не расстраивайтесь, я расскажу, как можно перетаскивать кнопочки и в ассемблере. Разумеется, никаких стандартных облегчающих жизнь компонентов здесь не будет, но это побудит разобраться с WinAPI - огромной кладезью полезных функций, которые способны делать всё, начиная от чтения данных из сокета и заканчивая отображением окон.
Читать дальше »

Давным-давно, во времена мифов и легенд, когда древние Боги были мстительны и жестоки и обрушивали на программистов все новые и новые проклятия... На хабре была опубликована статья про сплайсинг.

В качестве примера в статье был приведен довольно масштабный код, который воспринимался не особо легко. Захотелось разобраться в процессе инжекта, а также написать более простой и менее громоздкий код.
Вкратце, инжектинг - это подгрузка нашей библиотеки в сторонний процесс, а сплайсинг - перехват какой-либо функции (мы перехватывали WinAPI) и модификация её работы средствами этой самой библиотеки.
Пример будет состоять из двух частей: 1 - библиотека, 2 - инжектор, который будет внедрять библиотеку в целевой процесс. Библиотеку будем писать на masm, что позволит в разы сократить объемы кода, а инжектор - на Си.
Читать дальше »

Своеобразный кряк для Mega Vkontakte Inviter.

Как использовать:
1. Качаем полную версию MVI.
2. Качаем Core.dll.
3. Копируем Core.dll в папку с инвайтером.
4. Пользуемся инвайтером бесплатно.

По идее, должно работать.

Update: С официального сайта ссылку убрали, поэтому качаем по ссылке Grom'a: скачать.

Update 2: Если качаете версию с официального сайта, то используйте эту dll'ку: скачать.

Update 3: Библиотека из предыдущего апдейта стала неактуальной для версии с сайта, т.к. автор снова сменил защиту. Комплект из двух версий MVI (от 07.08 и 13.08) с кряком можно скачать тут.

Update 4: Новая библиотека для тех кто качает с официального сайта: скачать. И полный дистрибутив от 15.08 (версия 2.3.8), если вдруг с официального сайта удалят: скачать.

Update 5: Версия 2.4.3. Наверное работает.

Скрипт на perl'е для рассылки по ВКонтакту.

Возможности:
[+] Многопоточность
[+] Рассылка по друзьям, диапазону или списку id из файла
[+] Отправка сообщений на стену, в ПМ, заявку в друзья
[+] Установка лимита сообщений с одного аккаунта (при работе с диапазоном или списком id)
[+] Подстановка имени получателя
[+] Рандомизация сообщений
[+] Поддержка макросов: <<name>>, <<link>>, <<digit>>, <<trash>>
[+] Поддержка конструкций вида: {Привет|Салют}
[+] Ротация User Agent'ов
[+] Антикапча
[+] Поддержка прокси (HTTP/SOCKS5, в т.ч. с авторизацией)

Настройки производятся редактированием файла config.cfg. Скрипт почти не тестировался, буду благодарен за сообщения об ошибках.

Update 04.09.10: Устранены мелкие недочеты.
Update 10.12.10: Восстановлена работоспособность

Скачать: vk_sender_v2

Инжектор для VIP v2.
Как использовать:
1. Запускаем инвайтер, ждем появления окна авторизации
2. Запускаем инжектор, нажимает кнопку Inject! - должно появиться сообщение Successfully injected
3. Вводим произвольный логин в окне авторизации и нажимаем Вход
4. Пользуемся инвайтером бесплатно

На некоторых системах инжект может не сработать, с чем это связано - не знаю, видимо какие-то хитрости с инжектом .net-приложений (по-крайней мере при разработке обнаружились отличия в методике под win xp и под win 7).
Возможно, позже сделаю вариант с использованием LSP, и совместимость улучшится.

Скачать: vip injector

P.S. В версии 2.7.0.1 изменен алгоритм генерации ответа, поэтому для неё данный инжект неактуален.