Print This Post Simple PE Dumper

Среда, 1. Сентябрь 2010
Раздел: C/C++, Windows, автор:

Simple PE Dumper 1.0.

Программа, позволяющая вытянуть немного информации из исполняемых PE-файлов, а также PE .NET-файлов.

Дампит:

[+] Some DOS & NT-headers info
[+] DATA_DIRECTORY
[+] Section table
[+] Security directory
(все сертификаты, содержащиеся в файле)
[+] Debug directory
(+COFF / частично CodeView / Misc)
[+] Import directory
[+] Bound import directory
[+] Delay import directory
[+] Relocation directory
[+] Export directory
[+] TLS directory (incl. callbacks)
[+] Config directory (incl. SE Handlers)
[+] Resource directory (full STRINGTABLE and MESSAGETABLE dump)
[+] COM descriptor (full dotnet headers, streams and tables dump)

Способен корректно показать инфо о файлах, запакованных upack'ом, в отличие от многих других программ редактирования PE, а также лишен багов CFF explorer в плане просмотра информации о .NET-таблицах.

Для создания дампа просто перетащите PE-файл на форму открытого Simple PE Dumper'а.

Скачать: Simple PE Dumper

Print This Post Прибыльный DLL Hijacking

Воскресенье, 29. Август 2010
Раздел: $$$, Assembler, C/C++, Социальные сети, автор:

Ни для кого не секрет, что за последнее время уязвимость типа DLL Hijacking была найдена в довольно большом количестве популярных приложений (например, Winamp, uTorrent, FireFox, Opera и др.). Суть уязвимости сводится к возможности подгрузки сторонней DLL при открытии некоторых типов файлов этими приложениями.
Решил провести оценку потенциальных возможностей от данного наплыва. Так как специфика уязвимости состоит в том, что зачастую требуется, чтобы инстанс приложения не был запущен до попытки открытия файла, то наиболее актуальными показались следующие уязвимости: уязвимость в Winamp и уязвимость в Daemon tools lite.
Идея использования состоит в следующем: берутся свежие релизы с зарубежных музыкальных и игровых трекеров (например, sceneaccess, waffles, what.cd, blackcats-games), комплектуются dll'кой и перезаливаются на популярные российские трекеры (rutracker, торренты на ВКонтакте и т.д.). Подбирая актуальные новинки, можно получить приличное количество скачиваний в короткие сроки или можно выкладывать фейки альбомов/игр/фильмов.
С помощью фейков удается привлечь большее количество скачиваний в сутки, особенно если следить за раздачами и пересоздавать их в случае разоблачения, реальные раздачи обладают большей стабильностью.
Читать дальше »

Print This Post .NET Reactor Header Fixer

Пятница, 27. Август 2010
Раздел: C/C++, C#, автор:

При работе с .net-файлами, обработанными .NET Reactor'ом (данный протектор используется, например в Vkontakte Inviter Pro v2), возникает проблема с заголовками, из-за которых невозможно открытие файла декомпилятором (по крайней мере, в .net reflector, dis#, xenocode fox).
В сети существует мануал (за авторством CodeRipper и SND), следуя которому, данную проблему можно исправить, однако, процесс довольно зануден, и существует вероятность ошибки, так как все делается руками.
Чтобы не заморачиваться с ручной правкой, была написана программа, которая осуществляет все необходимые исправления в файле. Перечень ошибок, которые исправляются:
1. Invalid number of data directories in NT header
(Недопустимое число элементов в DATA_DIRECTORY)
2. Module '...' contains zero or multiple module definitions
(Таблица Module содержит более одного ряда)
3. ... multiple assembly definitions
(Таблица Assembly содержит более одного ряда)
4. Module contains multiple #GUID heaps
(В программе более одного #GUID-стрима)

Для обработки файла - просто перетащите нужный exe на иконку фиксера. После обработки появится подобное окно:

Скачать фиксер: fix

Print This Post Кряк для Vkontakte Inviter Pro v2

Воскресенье, 22. Август 2010
Раздел: C/C++, Социальные сети, автор:

По просьбам трудящихся долгожданный улучшенный кряк для Vkontakte Inviter Pro v2.8.5.0.
Как пользоваться:
1. Качаем этот архив.
2. Качаем дистрибутив VIP v2 (перезалил к себе, вдруг автор изменит что-то).
3. Добавляем в hosts-файл строку

127.0.0.1 serv.fevsoft.com

4. Запускаем serv.exe, ждем появления в окне строки "Server started". Окно будет выглядеть примерно так:

5. Запускаем инвайтер, вводим произвольный ник, авторизуемся.
6. Пользуемся инвайтером бесплатно.

Если serv.exe выдаст ошибку, связанную с bind, значит, у вас на компьютере 80 порт занят каким-то другим процессом.
Если serv.exe при запуске выдаст ошибку с кодом 0xc0150002 - попробуйте установить это.

Послание автору от заказчиков взлома:

Print This Post Делаем собственный инжектор

Суббота, 14. Август 2010
Раздел: Assembler, C/C++, Windows, автор:

Давным-давно, во времена мифов и легенд, когда древние Боги были мстительны и жестоки и обрушивали на программистов все новые и новые проклятия... На хабре была опубликована статья про сплайсинг.

В качестве примера в статье был приведен довольно масштабный код, который воспринимался не особо легко. Захотелось разобраться в процессе инжекта, а также написать более простой и менее громоздкий код.
Вкратце, инжектинг - это подгрузка нашей библиотеки в сторонний процесс, а сплайсинг - перехват какой-либо функции (мы перехватывали WinAPI) и модификация её работы средствами этой самой библиотеки.
Пример будет состоять из двух частей: 1 - библиотека, 2 - инжектор, который будет внедрять библиотеку в целевой процесс. Библиотеку будем писать на masm, что позволит в разы сократить объемы кода, а инжектор - на Си.
Читать дальше »

Print This Post Vkontakte Inviter Pro injector

Воскресенье, 1. Август 2010
Раздел: Assembler, C/C++, Социальные сети, автор:

Инжектор для VIP v2.
Как использовать:
1. Запускаем инвайтер, ждем появления окна авторизации
2. Запускаем инжектор, нажимает кнопку Inject! - должно появиться сообщение Successfully injected
3. Вводим произвольный логин в окне авторизации и нажимаем Вход
4. Пользуемся инвайтером бесплатно

На некоторых системах инжект может не сработать, с чем это связано - не знаю, видимо какие-то хитрости с инжектом .net-приложений (по-крайней мере при разработке обнаружились отличия в методике под win xp и под win 7).
Возможно, позже сделаю вариант с использованием LSP, и совместимость улучшится.

Скачать: vip injector

P.S. В версии 2.7.0.1 изменен алгоритм генерации ответа, поэтому для неё данный инжект неактуален.

Print This Post VkBot injector

Суббота, 24. Июль 2010
Раздел: Assembler, C/C++, Социальные сети, автор:

Наверное, многие знают программу VkBot. С недавнего времени автор сделал функции спама в программе доступными только в pro-версии и ввел необходимость ежемесячной платы за пользование в размере аж 400р.
Захотелось как-то исправить данную несправедливость. В результате, благодаря огромной помощи dx'а в области программирования, а также дистрибутиву pro-версии и дампу пакетов из Wireshark'a, (спасибо товарищу C*****) была написана программа, которая позволяет пользоваться всеми функциями pro-версии без необходимости приобретения ключа.

Инструкция по использованию:
1. Качаем архив
2. Распаковываем
3. Запускаем injector.exe, запускаем вкбота
4. Нажимаем кнопку Inject! - в программе должно появиться сообщение Successfully injected
5. Пользуемся всеми функциями бесплатно

И напоследок небольшая программа для шифровки/дешифровки пароля, который хранится в vkbot.ini. Интерфейс элементарен, надеюсь, кому-нибудь пригодится.

Скачать: vkbot injector (пароль на архив: kaimi-ru)

Update: исходные коды бота

Print This Post KWM bruteforce

Среда, 2. Июнь 2010
Раздел: C/C++, автор:

Консольный брутфорс для .kwm файлов (файл ключей webmoney keeper classic) по словарю. Использование аналогично предыдущему брутфорсу для .pfx сертификатов.
Скорость перебора составляет ~100-200 тысяч паролей в секунду.

kwm bruteforce

kwm брутфорс

Скачать: kwm bruteforce

Update 03.04.11: Исправлена проблема совместимости с текущей версией kwm-файлов WebMoney.

Update 09.07.12: Немного измененная версия брутфорса, если предыдущий вариант на Intel Core i5 выдавал скорость ~190000 паролей/сек, то этот ~250000 паролей/сек. Скачать.

Update (07.02.14):
kwm bruteforce source
GitHub: kwm-bruteforce

Print This Post PFX bruteforce

Вторник, 11. Май 2010
Раздел: C/C++, автор:

Как-то раз случилось забыть пароль от сертификата Webmoney. Для того, чтобы ускорить процесс вспоминания, был написан простой консольный брутфорс (на Си + Win32 API) для pfx файлов (PKCS #12 Certificate File) по словарю.
Скорость работы на компьютере с процессором CoreDuo 2Ghz под Windows XP SP3 составляет примерно 30000 паролей/сек.

pfx bruteforce

pfx брутфорс

В комплекте с брутфорсом идет Crypt32.dll из WinXP, ибо с ней почему-то достигается наибольшая скорость работы (по сравнению с библиотеками из Windows Vista и Windows 7).

Скачать: pfx bruteforce (пароль на архив: kaimi-ru)
Update (07.02.14):
Скачать: pfx bruteforce source
GitHub: pfx-bruteforce