книги хакеры / журнал хакер / 113_Optimized

Hack-day

Проснувшисьисевзакомп,яоткрыласюиобнаружилвСети misterWhite’а,давненьконепоявлявшегосяонлайн.

misterWhite:

Данеисчезаля!Неподдамсянапровокациимирабилисови нестанухранитьконтакт-листнаихсервере!

Утро.Никогонетрогаю,тихо-мирночитаюутреннююRSS. Скука...

Agnitum?Да,этобудетинтересно!

misterBlack:

Уяснивситуацию,онсогласилсяпомочь,ивзломбылпродолженобщимисилами.

МisterWhiteначалсSQL,причемунегоонаработала,ауменя нет.Иянепонимал,вчемдело,поканепрочитал:

ICQ-лог

misterBlack: Так не видать разницы misterWhite: Ну, форум тебе сразу при открытии куку ставит в браузер, и приехали misterWhite: Надо вырезать куки phorum_ cookieauth. Это особенность эксплоита

misterWhite:

Мне уже приходилось ковырять Phorum. В багтраке форумов он стоит в десятке лидеров по дырам. Последняя версия 5й ветки была отполирована до блеска, и знакомые помнят, каких усилий мне стоило выполнить произвольный код.

Но здесь речь шла об устаревшей 3й ветке, к тому же ветхой версии. Полный анализ любого движка стоит огромных усилий, потому перспектива ковырять древний, как мамонты, двиг ради одного случая как-то не грела. Но в этот раз цель оправдывала затраты сил и времени.

Первым делом я перетряхнул свои подборки на Phorum, проверил по поиску багтраки.

Гугл выплюнул меня на секфокус к той же баге с uriauth() от наших эстонских «коллег» (хак-группа waraxe). Внимательно почитав адвизори, я запомнил фразу: «..if there is empty $admin_session and not exists COOKIE variable $phorum_cookieauth, then (and only then) urldecoded $phorum_uriauth will

be exploded..» и match определения ответа: «Before testing user must be logged out» В общем, читайте внимательно!

Сходу зарезав Одиссеем куки, я обратился по адской ссылке, пролистнул страницу вниз и улыбнулся победному «Выйти с форума».

Скуль была налицо, и теперь логичным было бы загрузить шелл.

Однако я точно помнил, что даже 5я ветка форума не поддерживала загрузку аватар, да и аплоад аттачей был по дефолту запрещен. И файло грузилось прямо в БД. Оставалось надеяться, что нововведения 5й ветки были именно нововведениями. Проверить это можно было только после разбора двига по винтикам. Пояснив misterBlack’у фичу с куками и предоставив ему возможность сбрутить хеш админа, я принялся копать двиг на возможность инклуда и исполнения кода...

misterBlack:

Эксплоита к уязвимости не прилагалось. Однако писать его не пришлось. Ссылки на рабочий эксплоит висят в топе гуг-

ла даже выше официального сайта производителя форума. Не составило труда слить сплоит с первого попавшегося «портала по безопасности» и слегка изменить код под наш случай.

Эксплоит шустро выдрал админский хеш, который благополучно был сбручен на www.plain-text.info. Но админка была переименована, и тогда я принялся за брут значений из БД (версия мускула, юзер и т.п.) и поиск админки. А misterWhite начал ковырять двиг форума в поисках других багов и искать способы заливки шелла.

Выяснилось, что на сервере стоит MySQL 4.0. Эта версия не позволяет использовать подзапросы к БД. Вдобавок, что весьма огорчало, File_Priv был установлен для текущего юзера БД в false.

misterWhite:

Теперь у нас был пароль админа. Но вот незадача: в Phorum существует возможность разместить админку в произвольной папке. Ни одна ссылка в нее не ведет и, не зная точного пути, попасть туда невозможно. Это своеобразная защита от взлома.

Я временно сосредоточил свои усилия на поиске раскрытия переменной $PHORUM[admin_url], которая вела к заветной админпанели, а misterBlack тем временем мучил госпожу удачу и брутил путь по словарю.

И вот кодокопание приносит результат! Дело в том, что, ответив единожды в любой теме, можно при постинге указать «получать уведомление об ответах на мыло». Причем, админам и модерам письмо приходило с прямыми линками в админку на модерирование/удаление поста.

Сменив мыло админа на свое, я выбрал произвольную тему и отпостил что-то вроде «да, была такая же проблема». Затем зарегал юзера и ответил в теме.

Однако уведомление на мыло упорно не приходило.

misterBlack:

Наконец, брут путей до админки приносит результат! Она находится по адресу http://aboutphone.info/phorum/control.

Все это занимает около двух часов, к этому моменту misterWhite заканчивает анализ двига. Хорошей новостью от misterWhite’a было и то, что файлы все-таки сохраняются не в БД, а на винт. Значит, их можно будет проинклудить. Увы, багов, которые можно было бы заюзать на этом сервере без админки, не было. Несколько инклудов, конечно, имелось, но версия PHP 4.4.7 не позволяет их применить.

misterWhite:

Найденные инклуды основываются на unset()-баге (PHP <= 4.4.3, 5.1.4):

/phorum3.4.x//phorum/index. php?PHORUM[settings_dir]=[RFI]?&- 1267903400=1&-1079377568=1 /phorum3.4.x/phorum/index. php?PHORUM[f]=[LFI]&-1267903400=1&- 1079377568=1 /phorum3.4.x/download.php?PHORUM[fileid]=[LF I]%00.txt&-1267903400=1&-1079377568=1 /phorum3.4.x/admin/index. php?help=123&lang=[LFI]

misterBlack:

Мывадминпанели!Попавтуда,misterWhiteдобавляеттип «.php»вдоступныерасширенияназаливкуаттачей,иделоза малым—прикрепитьшеллкодномуизсообщенийадмина.Но

info

• phpPgAdmin

— удобный инструмент для управления

PostgreSQL базами данных. Рекомен-

дую: phppgadmin. sourceforge.net.

•Подробнее о разделении прав в PHP читай на www. suphp.org.

•suPHP пред-

ставляет собой сочетание модуля

Apache (mod_suphp)

ивыполняемого файла. За счет их совместной работы можно выполнять PHP-сценарии с правами их владельца. Модуль suPHP не использует модуль

Apache suExec и

поддерживает функцию журнализации. По производительности suphp работает медленнее, чем mod_php в 25 раз, но является хорошей заменой для suexec (тот медленнее в 36 раз).

•Уникальныйонлайн сканер, использующий симбиоз гугла

ибазы поисковых запросов : madnet. name/tools/madss

•Хм, domainsdb.com

не функционирует, а

на www.seologs.com

ввели капчу? Тогда используй этот сер-

вис: http://search. msn.com/results. aspx?first=1&FORM= PERE&q=ip%3A77.8 8.21.11

Авот/etc/passwd

встаетновыйвопрос:«Кудазальетсяшелл?»(ведьпрямоголинкананего небыло).

Былтолькопутьпотипу«www.aboutphone.info/phorum/download.php?1,57/ SS7.jpg».

Смотримисходник.Генерацияурладляаттачапроисходитпоследующему алгоритму:

$info=$HTTP_SERVER_VARS["QUERY_STRING"]; $file=basename($info);

$args=explode(",", basename(dirname($info))); $fileid=(int)$args[1]; $filename="$AttachmentDir/$ForumTableName/$fileid". strtolower(strrchr($file, "."));

С$AttachmentDir мыразобралисьбыстро.Онбылпрописанвадминкеи установлентаким: /attach_from_phorum.

Итак,частьпутиизвестна.Авотс$ForumTableNameнасподжидалновый миниквест.

misterWhite:

Длякаждойновойветкифорумадинамическисоздаетсяотдельнаятаблица вБД.

Какможнодогадаться,$ForumTableNameиестьпеременная,хранящаязагадочноеимятаблицы.Изменениеименитаблицычерез«ALTER TABLE»непредусмотреновредактированиинастроекфорума.Поэтому имятаблицыневыводитсяиузнатьегодажеизадминкиневозможно.

misterBlack:

Яхотелсноваврубитьбрутипараллельнораскапыватькоднапредмет определенияименитаблицы.Нотутпроизошлоследующее:

Вызовphpinfo()

ifconfig

ICQ-log

misterWhite: Я вспомнил

misterWhite: В куках было что-то странное misterWhite: Ага)

misterWhite: http://aboutphone.info/attach_from_ phorum/ph1/

Вкукахдействительнохранитсяназваниетаблицыфорума,вданном случае«ph1».

Путьдопапкисаттачембылнайден.Защитного .htaccessваплодене лежало,имымоглинапрямуюобращатьсякшеллубезвсякихинклудов. Шеллполучен,нотутмынаткнулисьнапроблемуSAFE_MODE=ONижест­ кийзапретнавыходизпапки /home/sites/home/users/skoblov/.

Поползавпокаталогамэтогоюзера,ненашлиничего,чтомоглобыдать большеправ.

Впрочем,послевызоваphpinfo()сталоясно—капачуприкручен mod_include(возможноSSIисполнениекоманд).

Апосмотревсодержимое.htaccessвкорневойпапкеюзера,японял,что модульнетолькоподключен,ноиисправнофункционирует:

AddHandler server-parsed .txt

AddHandler server-parsed .html

Тоесть,текстовыеиhtml-файлыобрабатывалисьчерезExecCGI.Аэто значит,чтомыможемисполнятькомандывобходсейфмода! Загрузивtest.txtссодержимым

<!--#exec cmd="uname -a"-->

иобратившиськнему,яувиделвответзаветное:

Linux s1.agnitum.com 2.6.9-55.ELsmp #1 SMP Fri Apr 20 16:36:54 EDT 2007 x86_64

Теперьнамужедаютгулятьпосервакузапределы/skoblov.

Ноправнапросмотрподавляющегобольшинствапапокифайловвсе равнонехватает.

misterWhite:

Конфигурационныефайлыапачанеудаетсяпрочитать,имнепо-прежне- мунеизвестенраскладправираздачаuid/guid.Пособственномуопытуя замечал,чтоиногдараздачаправзависитотдомена,аиногда—отuid/guid самогоскрипта.Япредположил,что,еслизалитьшеллвпапку,доступную сдругогодомена,тосерверможетстатькнамболеедемократичным.Таки произошло.

misterBlack:

Далеебыланайденапапканазапись,доступнаясAgnitum.com.После обращениякновомушеллунастроениезаметноподнялось—здесь

красовалосьзеленое«SafemodOFF»!Теперьхваталоправ напросмотрмногихжеланныхпапокискриптовсправами agnitum/agnitum.ПолзаяпосерверувпоискахконнектовкБД, выяснили,чтосайтыАгнитумаоснованынаБитриксеиюзают какMySQL,такиPostgreSQL.

PostgreSQL 7.4.17 on x86_64 redhat-linux-gnu, compiled by GCC gcc (GCC) 3.4.6 20060404 (Red Hat 3.4.6-3)

misterWhite:

PostgreSQL—этовамнешутки.Тутсложнееориентироваться вБД,чемвмускуле.

Длянавигациипобазетребуетсяпомнитьназваниякучи таблиц.Однакоихможнопосмотретьвinformation.schema, знакомойнампоmssqlиmysql5.Потому,осознавнерацио-

нальностьr57иcyberlordsSQL,ядоверилделоmisterBlack’y.

misterBlack:

ТогдаязалилphpPgAdmin,имыпошлишаритьсяпоБД.Здесь былиданныенасотрудников,мыла,телефоны,местажительства,паролиотвнутреннихсервисовсайтаиличнаяпереписка. Валялосьнесколькосотенключей,просроченныхс2005/2006 года.Новыхключейнебыло,какипрограммдляихгенерации. Современныеключи,какоказалось,хранятсянасайтахпартнеровпопродажамсофта,напримерSoftkey.ru.

Решив,чтоэтогодостаточно,мысвалилиоттуда,предусмотрительнопотереввсе,что загружали.

misterWhite:

Могуещеотметить,чтонасервере:

•  встречалисьфрагментызакрытыхисходныхкодовпродуктовкампании;

•  символическиелинкив /etc/init.dи /etc/rc.d/

доступныназапись,чтопахнетрутом,хотядлятакогоядравсе решаетсябанальнымядернымэксплоитом;

•  кривыеправанаконфигиproftpdпозволилиполучитьхеши юзеров,впоследствиичастьизнихбылауспешнодешифрована; Думаювсемясно,что,используяэтипароли,можноподменитьапдейтыидистрибутивынапротрояненные.

Такжеянерекомендовалбыsupport’уиспользоватьдырявую джумлуивордпресслюбойверсиивсвоихпроектахво избежаниепоявленияаналогичныхстатей,неговоряужео допотопныхдвижках.Никакойdisplay_error=OFFвасне спасет.

мануалахпокрэкингутехнологиявзломаспомощьюпростей-

в шихлоадеровтипа«FindWindow-SendMessage»,какправило,

упоминаетсятольковскользь.Темнеменее,ееиспользование весьмаэффективно.Главнаяотличительнаяособенность

—необязательностьглубокогознаниякрэкерскогоремесла.Домашнюю крэк-лабораториюможеторганизоватьдажешкольник.Рассмотримэто делоболееподробно.

Лоадер типа «FindWindow-SendMessage»

Начнемссамогопростого—nagscreen,онжеНАГ.Яркийпример—Total Commander.Стоитлишьзапуститьпрограмму,какмывидимраздражающееокностремякнопками.

ЧтобыизбавитьсяотНАГА,нужнонажатьсоответствующуюкнопку—этим сложнымдействиемтоварищиразработчики,видимо,пытаютсяпроверить нашинтеллект.Попытаемсясмоделироватьтучастьмозга,котораябудет решатьэтусложнуюзадачу.Разложимзадачунадействия:

1.Запустим прогу

2.Дождемся появления НАГА

3.Прочтем номер нужной кнопки

4.Нажмем нужную кнопку

Теперьпредстоитпровернутьвсевпрограммномрежиме—переведем прогусрусскогонаСилиASM,самособойсприменениемWin32API.Я будуиспользоватьсвойблестящийVisualStudio,нуатыможешьлюбимый

Delphi-Builder.

Чтобызапуститьпрогу,намнужнафункцияWinExec(использоватьочень красивуюфункциюCreateProcessнебудем,чтобынегрузитьголову заумнымипараметрами).Вотеепрототип:

UINT WinExec(

LPCST lpCmdLine, // имя exe файла, можно с параметрами UINT uCmdShow // состояние окна после запуска программы

);

Совторымпунктомпроблембытьнедолжно(используемциклили Sleep()).Авоттретийпунктинтересен.Дляначаланужнонайтистрокус номеромнужнойкнопки—дляэтогонампригодятсяследующиефункции:

HyperSnapхочет,чтобмыпрочливсе

этонеспеша

LOADER

LOADER

Digalo2000—простохорошаяпрограмма,работающая15дней

Все они возвращают описатель найденного окна. FindWindowмы будем использовать для поиска главного окна, а FindWindowEx— для поиска дочерних окон, то есть контролов (Button, Edit, List, Panelи т.д и т.п.). Чтобынайтистроку,нужнознать,гдеискатьичтоискать.Программа

изVisualStudioTools—Spy++— намвэтомпоможет.ЗапускаемTotal CommanderиSpy++.

Находимнужноеокновсписке,внашемслучаеWindow 000305CB «Total commander»TNASTYNAGSCREEN,где:

000305CB — описатель окна (нас не интересует), «Total commander» — заголовок окна, TNASTYNAGSCREEN — класс окна

Развернемэтуиерархиюиприятноудивимся,увидев,какавторTotal Commanderиликто-тотамещеупростилнамзадачу.Яговорюострочке

Window 00010630 «1» TPanel.

Дляполученияномеранужнойкнопкидостаточнопрочестьзаголовокэтого контрола.ЧитатьбудемфункциейGetWindowText.

Алгоритмразбораиерархииокониполучениястрокисзаголовкомискомой кнопкибудеттаким.ПрипомощиFindWindowполучаемописательокнас классом TNASTYNAGSCREEN;далееспомощьюFindWindowEx полу-

MathMagicPersonal3.6.Вотон,счетчикзапусков

чаемописательокнасзаголовком«TNotebook»,потомсзаголовком «NagPage»;следующимидетописательокнасклассомTPanelи,наконец,хэндлокнасклассомTPanel(являетсядочернимпредыдущемуокну). Нуипоследнийэтап:таккаквсеконтролывокне—тожеокнадочерниеи принадлежатдругомуклассу,то,соответственно,имтакжеможнопослать сообщение,например,BM_CLICKдляокнаклассаButton(означает «программнонажатьнужнуюкнопку»).ПосылатьсообщениебудемфункциейSendMessageссообщениемBM_CLICK.ПередэтимнайдемHANDLE нужнойкнопки.

LRESULT SendMessage(

HWND hWnd,

// описатель окна, которому посылаем сообщение

ОсталосьзакинутьлоадервпапкусTotal’омисоздатьдлянегоярлык.Упо- лучившегосялоадераестьнебольшойнедостаток—еслибыстрозапустить егодвараза,тооднакопияпроцессазависнет.Поэтомуяпоставилвначало кодастроки:

hWnd = ::FindWindow("TTOTAL_CMD", NULL); if(! hWnd)

Сделаноэто,чтобылоадерзапускалсятольковслучаеотсутствияглавного окнаTotal’a(азначит,двекопииTotal’aлоадеромнезапустить).Вобщем, программуестькудаулучшать.Например,можносделатьтак,чтобыкод отрабатывалсятолькопослепоявленияНАГА.Этоможноосуществитьпри помощиHook,нотогдапридетсяписатьDLLиливоспользоватьсяпере- хватомAPI-функций.Другимисловами,всеэтоусложнитлоадериуведет отглавнойцели—крякнутьпрограммувсегоза15-20минут.Согласись,что приятноустанавливатьсебесвежуюверсиюWindows-TotalCommandera сразужепослепоявленияновойверсии,покавсетвоидрузьяусиленождут иищутлекарство.

НемогунеупомянутьохорошейальтернативеSpy++—WindowScannerот InqSoft.Внейестьмножествоудобныхфич,например,подсветкавы- бранногоокна-контрола(позволитнеошибитьсяпривыбореконтрола дляпосылкисообщения).Тутже,невыходяизпрограммы,можнопослать

LOADER

Чтотамутебявнутри?

ReflectorхочетвInternet

Digalo2000иегогоре-

DigaloRegister

LOADER

MathMagicPersonal3.6.Всего«30uses»

Лоадер типа «DelTrialCounter-file»

Но это еще не все, на что способны подобные лоадеры. Поразмыслив, можно предусмотреть такую вещь, как удаление триального счетчика. Рассмотрим пример, когда программа хранит счетчик в файле (тему поиска trial-счетчиков рассматривать не будем, она уже освещалась на страницах журнала). В качестве примера возьмем редактор формул MathMagic Personal 3.6, который отказывается работать после 30 запусков.

Это«математическоеволшебство»создаетфайлMathMagic Personal 3.6.INIвдиректорииWindows,вкоторомисчитаетколичествозапусков, атакжесоздаетдублирующийфайлmsnasec.dllв\System32.

Долгонеразбираясь,решаемпростоприкаждомзапускепрограммы удалятьфайлы-счетчики.

Стратегиянападениятакова:

1.Удаляемсчетчик(файл(ы));

2.Запустимпрогу;

3.ДождемсяпоявленияНАГА;

4.Найдемнужнуюкнопку;

5.Нажмемкнопку.

Пунктномер1заключаетсявудаленииилипереписыванииопределенных файловвWindowsиSystemдиректориях.Дляихнахожденияестьсоот- ветствующиеAPI-функции.

UINT GetSystemDirectory(

Апункт4выполняемпошаблонуTotalCommandera:).

Лоадер типа «DelTrialCounter-reg»

Триальные счетчики редко хранятся в файлах. Хитрые шароварщики ныкают их в системный реестр. Однако это не особо услож-

Функцияоткрываетнужныйключвреестре.Так,hKey—одноизследующих значений:HKEY_CLASSES_ROOT,HKEY_CURRENT_USER,HKEY_LOCAL_ MACHINE,HKEY_USERS.

LONG RegDeleteKey(

HKEY hKey, // то же, что в функции RegOpenKeyEx LPCTSTR lpSubKey // то же, что в функции RegOpenKeyEx

);

Функцияудаляетсоответствующийключ.

Стоитотметить,чтофункцияRegDeleteKeyдовольнонеудобна,таккак неумеетудалятьрекурсивно.Поэтомуимеетсмыслобратитьвниманиена функциюSHDeleteKey,укоторойтежепараметры.

Всем будущим повелителям лоадеров скажу, что удалять и изменять ключи (значения) из реестра на своем рабочем компе нужно крайне осторожно. Иначе можно остаться не только без лоадеров, но и без

Windows :).

ПроверятьработулоадерабудемспомощьютулзыDigalo2000Russian,являющейсядвижкомдляозвучиваниятекстовыхфайловнарусскомязыке. Деловтом,чтоDigaloспроектированкакtrial-проект.Этиммысейчаси воспользуемся.

ПослеустановкиDigaloвсистемнойдиректорииWindowsволшебнымобразомпоявляетсяфайлDigaloRegister.exe,которыйDigaloзагружаетпри каждомзапуске.Этотфайлотвечаетзарегистрациюпрограммыиуправление триальнымсчетчиком.Одновременноонявляетсялучшимкандидатомна заменунашимлоадером,которыйбудетработатьпоследующиминструкциям:

1.Проверяем, есть ли искомый ключ в реестре

2.Если есть — удаляем счетчик (ключ в реестре)

WindowScannerвовсей красе

video

На DVD ищи видеоурок, в котором показаны основные аспекты взлома триальных программ.

Именнотам,вреестре,Digaloхранитсвоитайны.Собственно, перечисленныхпунктовдостаточно.Diglio2000самбудет запускатьнашлодер,самбудетудалятьсвоисчетчики(небез нашейпомощи)—вобщем,будетделатьвсе,чтобыпрограмма продолжалаработать.

Лоадер типа «SetLocalTime»

Этоттиплоадерапозволяетзаменитьлоадерывторогои третьеготипа,тоестьпропуститьавантюрно-захватывающее приключениеподназванием«найди,гдеяспряталtrial-счет- чик». Всего-то нужно вспомнить о замечательной API-функции:

BOOL SetLocalTime(

const SYSTEMTIME* lpSystemTime );

ФункцияустанавливаетзаданноевструктуреSYSTEMTIME время.СтруктураSYSTEMTIMEдовольнобольшая,поэтомуее описаниетынайдешьвисходникекстатье.Смыслиспользованиялоадеравтом,что,какправило,подопытнаяпрограмма призапускеполучаеттекущуюдатуисравниваетеесдатой установки.Этаразницаиестьинтересующийпрограмму срок.Следовательно,нашазадача—скармливатьпрограмме однуитужедату.Примеромбудетзамечательнаяпрограмма декомпилятордля.NETсборок—Reflector,котораяявляется Freeware,но,темнеменее,черезпарумесяцевначинает кидатьфразы«is out of date»или«do you want to update automatically?».Клиентнаш,будемлечить.Лечениебудетзаключатьсявпроцедурах,которыемывоплотим

влоадере:

1.Запомним текущую дату

2.Установим нужное для Reflector’а время

3.Сделаем паузу в пару секунд (чтоб Reflector успел запросить фальшивую дату)

4.Запускаем прогу

5.Возвращаем правильное время, предварительно откорректировав его с учетом паузы

Вкачествефальшивойдатысойдетдатасозданияфайла

Reflector.exe.

DWORD GetTempPath(

DWORD nBufferLength, // размер буфера обычно MAX_PATH

LPTSTR lpBuffer // буфер, в котором запишется путь

);

ФункциядаетнампутьквременнойдиректорииWindows. ЗащитаHyperSnapпополноймусоритнанашемкомпьютере

—придетсязанейубирать.Дабынепортитьсобственные нервы,поручимэтолоадеру,которыйбудетсмесьюлоадера первого,второгоитретьеготипов.Составимпланнападения:

1.Удаляем ключи в реестре

2.Удаляем файл-метку

3.Запускаем программу

4.Дожидаемся НАГА

5.Находим нужную кнопку

6.Активируем кнопку

7.Нажимаем на кнопку

Наскриншотахпоказаныместахраненияtrial-меток(натвоей машинеонимогутоказатьсядругими).Конечно,онистрашно зашифрованы-закриптованы-засекречены.Такаятаинствен- ностьнамникчему...поэтомумыпростоихудалим:).

Всценариинамнезнакомтолькопункт5.Егореализация проста,ведь,чтобыактивироватькнопку,нужнопослатьей сообщениеWM_ACTIVATEспомощьюужеизвестнойфункции SendMessage.Нувот,толькочтомызаставилиработать

dvd

На диске ищи все упомянутые в статье программы для крякерского мастерства.

Totalбезобразничает

LOADER

программу,защищеннуюсерьезнымпротекторомArmadilo,безSoftICE,без OllyDbg,безIDA—практическиголымируками.

Заключение

Подобнымидырамивзащитестрадаютдажесерьезныеиизвестные программы.Например,оченьдавнонаодномзнакомоммнекомпьютере лоадеруспешнозагружал3DMAX,прекрасносправлялсясNero6.xx,пока доблестныенемцынеприкрылилавочкув7xверсиях.

Статьянепретендуетнароль«Библиилоадеров»,оналишьзнакомитс основамилоадеростроения,показывает,откуданачать.Чтобыпродолжить, нужныманускрипты Рихтера,ФеньЮань’я,нуи,конечно,КрисаКасперского.Ихпеснипомогут«улучшитьиуглубить»код.

MSDN,cracklab.ru,wasm.ruнеупоминаю.Этосамособойразумеющиеся ресурсы.

Встатьерассмотреныдалеконевсеспособыборьбысshareware-подоб- нымилоадерами,алишьсамыепростыеираспространенные.Вдействи-

тельностиихстолько,сколькоестьспособовхранитьtrial-счетчики. Применениелоадеровнеограничиваетсясугубодеструктивнымимо- ментами—ихможноиспользоватьивмирныхцелях.Кпримеру,перед запускомкакой-либопрограммы—дляподготовкиданных(отсортировать, отобратьнужные,отредактировать).Или,скажем,тебеприходитсяработатьодновременноснесколькимипрограммами.Можнонаписатьлоадер, которыйбудетихзапускать,меняяпозициюокониразмертак,кактебе удобно.Кстати,можносоздатьэтакий«суперлоадер»,которыйбудетуправлятьвсемилоадераминатвоеймашине,таксказать,менеджерлоадеров. Вобщем,естьочемподуматьигдеразвернуться.

Полныелистингилоадеров скомментариями,конечноже,прилагаются кстатье.Кодлоадеровмаксимальноупрощен,понятьегонесложно,ибо написаныонинаСиAssembler(лоадерымоднописатьнаASM’е,нуамыс тобой,безусловно,модныеперцы).Последнийлоадерспециальнонапи-

саннаVB.NET,чтобыпоказать,чтогрозойшароварщиковможетстатьдаже школьница-старшеклассницасознаниемтакогомирногоязыка.z

Крис Касперски