Bulldozer

Обход Защиты Баз Данных Гибдд Или Выход На Кидалово =)

В теме 15 сообщений

Автор: Bulldozer
Сайт: www.bit-team.com
Cтатья подготовлена: 19 май 2012г.




По просьбе DiW'a, несмотря на то, что давно не притрагивался к дебагеру, я таки решился попробывать обойти защиту клиента БД ГИБДД. Интерфейс программы довольно прост. При нажатии на кнопку "искать" вываливается окошко запроса пароля и приглашения на сайт, на онном Вас попросят ввести номер телефона для регистрации (?), что должно было произойти далее я не знаю, по причине сильнейшей паранойи.

Введя неправильный пароль произошло то, что везде не рекомендую делать, программа выкинула окошко с сообщение о неправильном пароле. Искать решил по трем направлениям - отследить момент нажатия кнопки, момент чтения текста из окна ввода пароля и собственно показ окна об ошибке.

Тупо отыскать что то типо MessageBox сходу не получилось, я и так в этом не слишком силен, а тут еще и программа написана на VB всвязи с чем внутри сплошной мусор. Закидываю прогу в Olly, запускаю ее из под дебагера, жму паузу, нажимаю Ctrl+N и вместо экспортируемых функций системных библиотек вижу экспорт процедур VB, что для меня китайская грамота.

Значит будем перехватывать нажатие кнопки.
Пере запускаем прогу, нажимаем искать, появляется окно ввода пароля, вбиваем пароль (потом будет крайне
неудобно это делать =)) переходим в дебагер и жмем паузу, вызываем в дебагере список окон "W", тут некоторая загвоздка так как все будет на "китайском" а названия окна и кнопки на русском.

Ищем два идентичных китайских слова (окно и кнопка имеют одинаковый текст), смотрим класс
- "ThunderRT6CommandButton" как раз то что нам нужно.

Изображение

Далее через контекстное меню вызываем "Message Breakpoin on ClassProc" поставим точку остановки на сообщения нажатия кнопки. В появившемся окне выставляем бряк поинт на сообщение WM_LBUTTONUP, то есть момент отжатия
левой кнопки мышки.

Изображение

Сообщение мы будем перехватывать во всех окнах. Жмем "Ок".

Изображение

Далее что бы не блуждать в холостую по дебрям кода откроем в дебагере окно карты адресного пространства "М" и установим обработку брякпоинтов в адресном пространстве нашего процесса (00401000)

Изображение

Запускаем на выполнение и прога тут же тормозится, далее ловкость рук и никакого мошенничества =) отодвинем в сторонку дебагер и жмем "F9", пока наше окно не проявиться, после того как мы начали лицезреть кнопку "Вход"жмякаем по ней переходим в дебагер и начинаем потихоньку через "F9" прокручивать выполнение программы, очень схоже с трассировкой программы. Несколько шагов спустя мы видим такую картину:

Изображение

В принципе его можно занопить и тогда любой указанный пароль будет приниматься, но после проверки пароля на валидность, я побрел искать куда программа прописалась на моем компе. В реестре она натолкала штук пять мертвых ключей не представляющих ценности, а вот слежка за обращением к файлам дала плоды. Помимо кучи различных библиотек
и хep пойми каких еще файлов выделяется файл qmwin32.dat в каталоге windows. Удаляем его и регистрация идет по новой.

В файле содержится некий ключ, отсюда вывод что просто удалить проверку пароля нам уже не интересно, теперь, весь интерес сосредоточен на этом файле. Логично предположить, что при запуске программа проверяет наличие этого файла, если его нет, то прога будет выкидывать на ввод пароля, если есть, то считывает от туда ключ для сверки
(а она считывает, я проверил, если изменить значение то прога либо вылетает с ошибкой либо просит пароль). А так окно с просьбой ввода пароля вываливается именно после нажатия "Поиск", то вот там мы это самое и будем производить.
Повторяем все то же что делали ранее, только бряк ставить в главном окне программы. Жмем "Поиск" и начинаем потихоньку прокручивать выполнение, некоторое время спустя нам представится такая картина

Изображение

Выделяем строку перехода, жмем пробел и нопим.

Изображение


Изображение

Далее продолжаем через F9 пошаговое выполнение и наблюдаем что несмотря на отсутствие файла с ключём, программа отлично работает и больше не просит у нас пароль. Сохраняем изменения и радуемся рабочей программе отученной от жадности =).

Изображение


Изображение




Ну и напоследок остается только написать простенький патч который будет лечить программу от жадности автоматически, патч я буду делать на Delphi как истинный его патриот =). Интерфейс я думаю нам тут нафиг не нужен.

Создаем текстовый документ, переименовываем его в PatchBD.dpr

Далее идем в дебагер кликаем по первому нопу и через контекстное меню переходим непосредственно в исполняемый файл.

http://fat.bit-team.com/gibbd/11.jpg

http://fat.bit-team.com/gibbd/12.jpg

В левой колонке идут адреса, нам нужен адрес первого нопа, запоминаем его и пишем сам патч:

program Patch;

function MessageBox(hWnd: Cardinal; lpText, lpCaption: PChar; uType: Cardinal): Integer; stdcall; external 'user32.dll' name 'MessageBoxA';
var
PatchFile:File;
Buf: array[1..6] of Byte;
z:Integer;
begin
AssignFile(PatchFile, 'База данных ГИБДД.exe');
Reset(PatchFile, 1);
Seek(PatchFile, $000153E7);
buf[1]:= $90;
buf[2]:= $90;
buf[3]:= $90;
buf[4]:= $90;
buf[5]:= $90;
buf[6]:= $90;
BlockWrite(PatchFile, Buf, 6, z);
CloseFile(PatchFile);
MessageBox(0,'Специально для http://www.bit-team.com/','Патч БД ГИБДД =)',0);
end.



Компилируем патч, запускаем и радуемся. Есть правда у данного патча проблема, это жесткая привязка к имени файла. И так, обойдя эту ламерскую защиту, мы решили поюзать эту «базу данных ГИБДД», буквально сразу выяснилось что это фейк, при каждом запросе в это базу ГИБДД информация генерируется на лету, то есть, за сеанс работы но одно имя вполне возможно будет выдаваться одна и та же информация, но вот если открыть несколько экземпляров программы и в каждом забить одно и то же тут и выяснится что у меня много разных машин )
Короче эта база данных ГИБДД чистой воды кидалово, адрес где все это добро втюхивают http://bazagibdd2012.com/ пример сломанной версии прилагается (как написано на сайте это облегченная версия как выяснилось все файлы набросанные рядом просто для отвода глаз), или можете скачать отсюда патч а саму базу с их сайта и проверить, только не забудьте переименовать имя базы в BD.EXE

Благодарю DiW-а за разминку мозга, и CampeR-а за содействие. С уважением Bulldozer.


скачать патч можно отсюда


Взломанная версия фейкового БД



© 2005-2012 BiT-Team.com
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
И вот снова я тут, в добавление ко всему описанному еще один сайтег с кидалами http://phone-inform.info
Тут мне потребовалась телефонная БД, пошуршал по интернету нашел сайт где предлагали для скачки бд по Жигулевску.
Скачал значит я эту бд, при запуске давали сделать пробный запрос на типо "случайный вывод" телефонов, что то вывело,
даже улицы совпали по названию, для нормального запроса как и в вышеописанной БД требовалась регистрация с
указанием номера телефона, в окне программы нужно было перейти на адрес http://phone-inform.info/register.php?reg=512
там вежливо просили ввести номер телефона скромно упоминая что регистрация стоит 90 рублей. 90 рублей у миня нет,
решено было ломать.

Как всегда такая база данных пугает размером - 11мб
Интерфейс отличается от предыдущий программы, изменили и поведение. Теперь программа проверяет наличие
лежащего рядом мусора, причем по крайней мере в одном файле проверяет и содержимое, есть подозрение что
от содержимого этого файла генерируется пароль. Так же теперь один пароль работает только на одном компе,
явный прогрес. В процессе работы программа создает четыре файла в каталоге
C:\Program Files\Common Files

infocash.sys - кеш, туда прога будет засовывать результат запроса, что бы за одну сессию не выводить одно и тоже
infokey.sys - содержит циферку видимо так же участвующую в генерации пароля
inforeg.sys - содержит верный пароль если регистрация удалась )
infotest.sys - содержит пусть к самому себе???

Ломается так же как как предыдущая. Есть прогресс в поведении программы но вот на регистрацию явно решили
не тратить время )
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Щас это слишком стало модно.Я вот снова видел фирменный фейк мейл агента, причем хочеться порой старую версию, что нет на самом мейле, ну например 5.9 .и Вот все как по настоящему при установке и тд, но в конце требует ввести свой моб.телефон, для получения номера и тд, бесплатно и тд ради безопасноти(привязка номера к акку).Само собой там списываеца деньги, а в итоге -это был обычный архив, распаковавший настоящий инстал агента. В общем везде пытаюца наипать -))Так что без дебагера в наше время или проверенных ресурсов, не куда-)
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Прошло четыре года, как время то летит! (

 

А пага http://bazagibdd2012.com/ как работала так и работает, теперь она предлагает БД 2016-2015 годов  :rofl:

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Прошло четыре года, как время то летит! (

 

А пага http://bazagibdd2012.com/ как работала так и работает, теперь она предлагает БД 2016-2015 годов  :rofl:

Видимо не настучали на пагу)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, что-то цитаты не работают.

А пага может работать по одной причине. Прекрасный человек написал ее, и это размещено на классном сайте, куда никто не ходит))

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, что-то цитаты не работают.

А пага может работать по одной причине. Прекрасный человек написал ее, и это размещено на классном сайте, куда никто не ходит))

нормально вродь цитаты работают) можно ошибку увидеть?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нормально работают.. видимо, в каком-то разделе не сработал.. не важно)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нормально работают.. видимо, в каком-то разделе не сработал.. не важно)

Очень важно) надо следить за функционалом ;-)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Обязательно) но вот здесь и не работает . У меня по крайней мере)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты