_____ "Medicina naturista", de iRQ9

INTRO Aceasta e o completare la tutorialul lui SfYnX.

Este scrisa de iRQ9, pentru cei ce nu stiu asemblerul. Eu vreau sa aduag aici metoda #3. Pe care o denumesc "medicina naturista", pentru ca ea este accesibila chiar si unui profan in ale Assembler-ului. De la ce pornim: - Avem un program cu un termen de evaluare care dupa ce termenul de evaluare a trecut nu mai lucreaza sau lucreaza limitat. Sa presupunem ca termenul de evaluare a trecut si programul nu ne lasa sa-l folosim linistiti. Ce trebuie sa incercam?

B O D Y

A.Sa schimbam data de sistem inapoi astfel ca ea sa cada in termenul de evaluare. Daca programul merge sa automatizam acest proces. Daca nu, trecem la punctul B. Puteti folosi utilitarul scris de mine denumit Smart Launch. Folositi un shortcut cu urmatoarea linie de comanda pentru a lansa programul: SLAUNCH.EXE /d23.2.99 /r c:\progs\mailbomb.exe /t5 /d /d23.2.99 -schimba data de sistem la o data la care programul merege, si salvaeza data reala. /r /r c:\progs\mailbomb.exe -lanseaza programul nostru /t5 -asteapta vreo 5 secunde ca programul sa se incarce. /d - (fara nici un parametru) restabileste data reala.

Daca programul la start afiseaza un nag screen, pentru a scapa de el, puteti folosi comanda /k , care simuleaza apasarea unor taste. Detalii in documentatie. Puteti face rost de SLAUNCH pe pagina MOLDHACK. B.Daca programul nu se lasa prostit cu schimbarea datei, incercati sa reinstalati soft-ul. Daca nici aceasta metoda nu merge, sau reinstalare periodica a soft-ului nu va convine treceti la punctul C

C.Aceasta si este metoda proprie zisa "medicina naturista" penru Registry. Ceva asemantor a folosit SfYnX la crackuirea lui Vpage, vezi tutorial-ul de pe Moldhack. Dar metoda de acolo nu este sistematizata, si eu pot doar sa spun ca intuitia lui SfYnX a fost geniala:). Iata si metoda sistematizata, care lasa putine sanse programului de a scapa. Sa ne gindim..... Cind instalam pentru prima data programul pe calculatorul nostru, el merge normal. De ce n-ar vrea sa mearga acum, dupa ce a expirat termenul de evaluare si chiar dupa ce noi am dezinstalat si instalat din nou programul ? Raspunsul e simplu ... chiar si dupa dezinstalare el lasa anumite urme pe hard-ul vostru, adica fie in Registry, fie intr-un fisier. Cel mai des in Registry. Scopul nostru este sa gasim aceste urme si sa le inlaturam. Inlaturarea se poate face automat prin scrierea unui program in orice limbaj de programare, sau manual. Iata o metoda de detectare a acestor urme. Pentru a monitoriza schimbarile facute in Registry aveti nevoie de un program de backup a registry-ului(zis si snapshot)/ si de comparare a acestor snapshot-uri. Puteti folosi orice. Cred ca mai la indemana va fi Registry Tracker din pachetul Norton Utilities. Sau puteti folosi programul Install Watch, sau orice alt program cu functii asemanatoare.

Daca sitemul vostru este deja infectat cu aceste urme, va va fi greu sa le detectati. Mergeti la un prieten (puteti apela la membrii grupului Moldhack, asa cum am apelat eu la SfYnX in cazul Vpage ) pe calculatorul caruia acest program n-a fost instalat niciodata. Deci iata cum facem: 1.Luati un snapshot(A) la registry inainte de instalare. 2.Instalati programul/ Lansati programul/ Iesiti din program. 3.Schimbati data inainte astfel ca sa treceti de data de evaluare /Lansati programul /Iesti din program. 4.Dezinstalati soft-ul. 5.Luati un nou snapshot(B). 6.Comparati snapshot-ul(A) cu (B). Diferenta va fi acele urme pe care programul le lasa pentru a vedea ca soft-ul a fost pe calculatorul dumneavoastra. Ele pot consta in adaugarea sau modificarea unor chei din registry. 7.Inlaturati urmele suspecte manual. Testati daca programul merge. Scrieti un soft de inlaturare automata.

CLOSE

Atit. iRQ9