.netshrink to kompresor (tzw. exe-packer) aplikacji .NET-owych, wykorzystujący kompresję LZMA, DLL binder pozwalający scalić aplikację oraz jej dodatkowe moduły DLL do jednego pliku EXE, .netshrink pozwala także na ochronę aplikacji na hasło przed uruchomieniem.

W zaktualizowanej wersji poprawione zostało uruchamianie skompresowanych aplikacji ze ścieżek UNC (zasoby sieciowe) z linii komend i zachowywanie oryginalnej architektury CPU dla skompresowanych plików.

Strona domowa:
http://www.pelock.com/products/netshrink

Wersje demonstracyjną można ściągnąć z:

Setup:
http://www.pelock.com/download.php?f=netshrink.exe (701 kB)

Archiwum zip:
http://www.pelock.com/download.php?f=netshrink.exe (415 kB)

HASP pozwala na szyfrowanie pojedynczych plików jak i całych katalogów z danymi aplikacji poprzez dodatkowe narzędzie:

W samym envelope określa się rodzaj plików, które zostały zaszyfrowane:

Zaszyfrowane pliki aplikacji może odczytać jedynie zabezpieczona aplikacja, realizowane jest to poprzez system hooków na funkcje systemu plików na poziomie usera.

Jeśli aplikacja zostanie rozpakowana, dostęp do oryginalnej treści zaszyfrowanych plików będzie niemożliwy (brakuje tych hooków, które w locie deszyfrują dane).

Jak uzyskać zatem dostęp do oryginalnej treści zaszyfrowanych plików?

Należy do działającej i zabezpieczonej aplikacji wstrzyknąć kod, który wykorzysta jej funkcje systemu plików (na które nałożone są hooki HASPa) i po prostu zaemulować czytanie wybranych plików.

Najprościej można to zrealizować poprzez skrypt ODBScript:

; wolna przestrzen po sekcji kodu
	mov	dump_hasp,008864D5
 
	mov	eip,dump_hasp
	asmtxt	eip,"dumper.asm"
 
; alokuj 2 bufory na nazwe pliku wyjsciowego i wejsciowego
	alloc	512
	mov	input_file,$RESULT
	alloc	512
	mov	output_file,$RESULT
 
; zrzuc 1 plik
	mov	x, "C:\PATH\APP\DATA.DAT"
	call	dump_file
 
; zrzuc 2 plik
	mov	x, "C:\PATH\APP\CONFIG.DAT"
	call	dump_file
 
	ret
 
; funkcja do zrzucania zaszyfrowanych plikow
dump_file:
 
	fill	input_file, 512, 0
	mov	[input_file], x
 
; plik wyjsciowy bedzie posiadal rozszerzenie .x
	add	x, ".X"
	fill	output_file, 512, 0
	mov	[output_file],x
 
; ESI -> sciezka pliku wejsciowego
; EDI -> sciezka pliku wyjsciowego
	mov	esi,input_file
	mov	edi,output_file
 
; ustaw EIP na adres procedury dumpujacej
	mov	eip,dump_hasp
 
; exec ... ende za chiny nie dziala u mnie... inaczej bym tu dal call dump_hasp?
; uruchom kod z biezacego EIP do napotkania instrukcji RET
	rtr ;run to return
 
	mov	x, ""
 
	ret

Pomocniczy kod w assemblerze dla skryptu:

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;
; odczytaj plik wejsciowy
;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
 
; zapamietaj na stosie nazwe pliku wyjsciowego
	push	edi
 
; otworz plik wejsciowy
	push	0				; hTemplate
	push	0				; attribs
	push	3 ;OPEN_EXISTING		; creation
	push	0				; security
	push	1				; share mode
	push	80000000 ;GENERIC_READ
	push	esi				; lpFileName
	call	[0800004] ;CreateFileA
	mov	ebx,eax
 
	push	0
	push	ebx				; hFile
	call	[0800008] ;GetFileSize
	mov	edi,eax
 
; zaalokuj pamiec do odczytania danych pliku wejsciowego
	push	4 ;PAGE_READWRITE
	push	3000 ;MEM_RESERVE or MEM_COMMIT
	push	edi				; size
	push	0
	call	VirtualAlloc
	mov	esi,eax
 
; czytaj plik wejsciowy korzystajac z hookowanych API
	push	0
	mov	eax,esp
 
	push	0				; dwOverlapped
	push	eax				; &dwRead
	push	edi				; dwSize
	push	esi				; lpBuffer
	push	ebx				; hFile
	call	[0800024] ;adres funkcji ReadFile w zabezpieczonym pliku
 
	pop	edx
 
; zamknij plik wejsciowy
	push	ebx
	call	[0800088] ;CloseHandle
 
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;
; zapisz plik wyjsciowy
;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
 
; zdejmij ze stosu nazwe pliku wyjsciowego (odszyfrowany)
	pop	eax
 
	push	0				; hTemplate
	push	0				; attribs
	push	2 ;CREATE_ALWAYS		; creation
	push	0				; security
	push	0				; share mode
	push	40000000 ;GENERIC_WRITE
	push	eax				; lpFileName
	call	CreateFileA
	mov	ebx,eax
 
; zapisz odczytana tresc pliku wejsciowego
	push	0
	mov	eax,esp
 
	push	0				; overlapped
	push	eax				; &dwWritten
	push	edi				; size
	push	esi				; buffer
	push	ebx
	call	WriteFile
 
	pop	edx
 
; zamknij plik wyjsciowy
	push	ebx
	call	CloseHandle
 
; zwolnij pamiec
	push	8000 ;MEM_RELEASE
	push	0
	push	esi
	call	VirtualFree
 
	ret

Przedstawiona technika pozwala z łatwością odczytać wszystkie zaszyfrowane pliki.

Miałem tego nie pisać, bo już dawno o nich pisałem, ale ci idioci tak mnie denerwują, że piszę ten tekst na ich własne życzenie.

Software Press

Hakin9 wydawany jest przez Software Press, dawniej Software Wydawnictwo, które prawdopodobnie zmieniło nazwę po fali negatywnych komentarzy od autorów artykułów, których regularnie robili w bambuko zwlekając po pół roku z wypłatami.

Nowy model biznesowy

Jakiś genialny mózg w tym wydawnictwie wpadł na pomysł, że zamiast wydawać pismo na papierze i tracić setki tysięcy złotych na drukarnie, łatwiej będzie wydawać magazyn w formie PDF, oszczędzając na kosztach przy czym zarabiać pieniądze na reklamach.

Zapewne ten sam geniusz marketingowy po jakimś polskim harvardzie biznesowym ala sieć studiów WSB, które sam miałem nieprzyjemność kończyć wpadł na pomysł, żeby jeszcze zaoszczędzić i NIC NIE PŁACIĆ AUTOROM.

Spam, spam, spam

W związku z taką polityką, większość autorów odwróciła się od tego wydawnictwa, bo skoro oni zarabiają, a autor dostaje jedynie “możliwość autopromocji”  to każdy szanujący się człowiek wystawi na takie coś środkowy palec.

W związku z wypięciem się większość autorów, kolejni redaktorzy tegoż szacownego brukowca zaczęli masowo spamować wszystkie grupy informaytczne na GoldenLine oraz innych portalach informatycznych w poszukiwaniu jeleni, którzy za możliwość autopromocji mogą łaskawie napisać dla nich artykuł. Trwa to regularnie i kolejni redaktorzy są regularnie banowani z tych portali, ot taka masówka

Dostałem maila parę dni temu, w którym po angielsku, kolejna edytorka (mimo, że pisałem do nich, żeby mojego maila wykreślili ze swoich list!!!) zaoferowała mi (i kilku moim znajomym) napisanie artykułu, cytuję:

Dear Editor,

I work for Hakin9 magazine and I’ve decided to make You an offer. I would
like to propose You to write an article for our magazine. Our issue is
entitled: Mobile Platforms Security. I think that you can contribute
relevant materials for our magazine.

Hakin9 is a weekly magazine completly focused to IT security. It has 4
different editions every month.

Here are some details concern our cooperation: for your article composed of
3500 with graphics, pictures we offer You:

- An advertisement in our magazine

- Free access to the edition containing your article

- Possibility of self-promotion through Hakin9

- An opportunity to reach out 100 000 IT security professionals,
who are our readers

- Plus if you write more than 1 article we give You an annual
magazine subscription

We cooperate with many important partners , specialists from all over the
world, who are advertising on our website. We can offer You the same
interesting options for Your own promotion, like large banners, posts on
our website or full page advertisement.

We are a famous magazine with 60 000avg.impressions per month. For more
details please visit our website: www.hakin9.org and let me know if You are
interested in contributing. We will discuss more details.

We need Your article to be written within 2 weeks.

Best regards,

Ewa Sladkowska

Ewa.sladkowska@software.com.pl

Ile zarabia Hakin9 na twoim artykule

Same opportunity i zero zysków , czyż można się temu oprzeć! Jednak zaciekawiło mnie coś innego, otóż fakt, że oferują darmową reklamę, mmm pomyślałem sobie, że taka reklama na całą stronę byłaby fajną formą zapłaty, w związku z czym odpisałem pani Ewie, czy w zamian za artykuł otrzymam reklamę na całą stronę, oto co mi odpisała:

I teraz mam wątpliwości, czy mówiąc, że oferują reklamę, chodziło o reklamę samego siebie (ta autopromocja) czy też chodziło, że dostanę całą stronę reklamową dla siebie (gdzie normalnie reklama kosztuje 1600 USD)? W każdym razie możecie zobaczyć jakie są ceny reklam w tym magazynie.

Gratulacje dla Hakin9

Wow! Gratuluję pomysłów i polityki, dzięki którym zraziliście do siebie większość polskich utalentowanych autorów, którzy stanowili  o jakości tego typu magazynów, a którzy dla was nie napiszą już nawet słowa, chyba że kondolencji po waszym upadku, czego ja sam nie mogę się doczekać.

PS. Nie piszcie do mnie więcej o artykuł!

Właśnie ukazała się nowa wersja mojego małego narzędzia do kompresji aplikacji .NET.

.netshrink to kompresor (tzw. exe-packer)  aplikacji .NET-owych, wykorzystujący kompresję LZMA.

DLL Binder

W nowej wersji została dodana opcja dołączania bibliotek dynamicznych DLL do aplikacji, dzięki czemu można swoją aplikację i jej pomocnicze biblioteki skompresować do pojedynczego pliku wykonywalnego.

Wykrywanie narzędzi do łamania aplikacji

Zaktualizowana wersja pozwala również skompresowanym aplikacjom na wykrywanie popularnych narzędzi do łamania i rozpakowywania oprogramowania poprzez stałe monitorowanie systemu na ich obecność, w razie ich wykrycia, skompresowana aplikacja zostanie zamknięta.

Ochrona na hasło

.netshrink pozwala także na zaszyfrowanie aplikacji hasłem, bez poprawnego hasła nie można uruchomić skompresowanej aplikacji. Zabezpieczenie na hasło wykorzystuje weryfikację bazującą na funkcji skrótu SHA256 i szyfrowanie danych algorytmem AES / Rijndael z kluczem 256 bitowym bazującym na wartości hash z hasła.

Nowości obejmują także:

• tworzenie kopii zapasowej kompresowanych aplikacji
• tworzenie skryptu wsadowego .BAT pozwalającego na szybkie przywrócenie oryginalnego pliku z kopii zapasowej
• zachowywanie oryginalnych atrybutów kompresowanego assembly (nazwa aplikacji, dane firmy etc.)

Strona domowa:
http://www.pelock.com/products/netshrink

Wersje demonstracyjną można ściągnąć z:

Setup:
http://www.pelock.com/download.php?f=netshrink.exe (692 kB)

Archiwum zip:
http://www.pelock.com/download.php?f=netshrink.exe (405 kB)

Kocham Pocztę Polską, naprawdę. Gdyby nie Poczta Polska nigdy nie miałbym możliwości na własnej skórze doświadczyć styku z PRL-em i światem wprost z Misia.

Francuska przesyłka

Właśnie wracam z poczty, chciałem wysłać dwie paczki, jedną ozdobiłem w zwykly szary papier pakowy, a druga to po prostu jakaś paczka, którą dostałem z zagranicy, z której obdarłem wszystkie nalepki, poza jakimś ostrzeżeniem po francusku albo angielsku, nie pamiętam.

Daję to babce za okienkiem, a ta do mnie z pyskiem, że paczka nie powinna mieć innych nalepek, bo to wbrew regulaminowi, mówię jej, że ma mi darować takie teksty, bo napis jest po francusku, nie dotyczy adresata i że chyba do Francji nie wyślą (zresztą czy tam jacyś idioci pracują, że zobaczą jakąs byle jaką nalepkę i nie wiem co z tym zrobią?), ta dalej jedzie z regularminem, ja swoje, że to nie ma znaczenia w ogóle, to mi się doczepiła, że widzi na paczce dwa rodzaje taśmy i co, że to wbrew regulaminowi! Mówię tej tępej babie, że mnie to nie obchodzi i z wielkim oburzeniem przyjęła ją w końcu. Brak mi słów, bić laciem tylko!

Brakująca złotówka

Raz wysyłając paczkę, okazało się, że ta za dużo waży i musiałem dopłacić złotówkę, a że akurat w gotówce nie miałem ani grosza więcej, chciałem zapłacić kartą, bo Poczta Polska szczyci się na plakatach, że akceptują karty płatnicze i że można u nich wypłacać pieniądze jak w bankomacie.

I co? Okazało się, że akceptują, ale w jednym na dzisięć okienek i akurat w tym, gdzie była największa kolejka i zmuszony byłem spędzić pół godziny w celu wypłacenia dosłownie 1 złotówki! I co jeszcze, podchodze do okienka i mówię, że chcę wypłacić 1zł z karty, babka tak się dziwnie patrzy i się pyta czy potwierdzam i czy wiem, że prowizja wyniesie 5zł, już mnie to zlewało totalnie i mówię, że TAK TYLKO 1 ZŁ POPROSZĘ, a ta, że mam jej dowód pokazać! Pierwszy raz spotkałem się przy płatności kartą, że trzeba dowód pokazać, mimo wstukania kodu PIN. Mówiąc krótko, kupa straconego czasu, straconej prowizji i nerwów.

Kolejki

Poczta Polska bez kolejek to jak Drużyna A bez Mr T, jak kanapka z serem bez sera, jak polskie skoki narciarskie bez Małysza – po prostu nie istnieje. Za każdym razem jak idę na Pocztę Polską, niezależnie od pory dnia, zawszę trafiam na kolejkę, obecnie jest trochę prościej, bo na 5 okienek, otwarte jest tylko 1 (2 okienko otwarte jest dla Banku Pocztowego, kolejna kpina) i jedna kolejka prowadzi do 1 okienka, a nie jak zwykle, że 1 kolejka prowadzi do 2 okienek.

Wskutek tak zaplanowanej pracy, średni czas stania na poczcie w celu załatwienia czegokolwiek to według moich doświadczeń conajmniej 15 minut.

Na Poczcie Polskiej muszą pracować istni geniusze planujący taki system, że okienko Banku Pocztowego obsługuje jedynie klientów Banku Pocztowego i pracownik w tymże okienku nie może pomóc swoim kolegom, czy też koleżankom jak widzi, że kolejka przy sąsiednim okienku ciągnie się w nieskończoność.

Raz byłem świadkiem, jak na 5 okienek zwykłej obsługi i okienko wydawania przesyłek poleconych, otwarte było oczywiście tylko 1 okienko, które obsługiwało WSZYSTKO, po 15 minutach poczta zaludniła się błyskawicznie, wszyscy mówiąc delikatnie zdenerwowani, klienci krzyczący na obsługę, aż chyba same urzędniczki zorientowały się, że zrobił się istny Armageddon, rzuciły na pomoc swojej koleżance posiłki, żeby nie doszło do rozruchów!

Czasami wydaje mi się, że dyrektorzy zarządzający pocztą i ustalający schematy obsługi klientów powinni najpierw przejść grę Theme Post Office albo jakiś inny Theme XXX żeby nauczyć się jak poprawnie i optymalnie zorganizować pracę w takiej jednostce, bo mam wrażenie, że na Poczcie nie brakuje pracowników, a jedynie dobrej organizacji.

Poczto zgiń!

Nie wiem czy tak zawsze musi być, że po wizycie na Poczcie Polskiej pozostaje jakiś niesmak i uczucie, że to oni mi robią przysługę, a nie ja im, że wybieram ich placówkę?

Nie mogę się doczekać, aż otworzą w mojej okolicy placówkę InPostu, która nie dość, że świadczy usługi taniej to jeszcze szybciej i mam nadzieję, że wtedy Poczta Polska zrozumie, że klientów należy odpowiednio traktować, bo to już nie PRL…

Ukazała się nowa wersja hexedytora HIEW, doszło parę fixów w obsłudze uszkodzonych plików PE oraz poprawki w disassemblingu, jednak warte odnotowania jest dodanie przeglądania zasobów plików PE, co dostępne jest poprzez F8 -> F12

Wersja demonstracyjna dostępna na:

Wszystkich zainteresowanych tematami związanymi z zagadnieniami reverse engineeringu polecamy kanał na IRCu:

#crackscene

Jak to zrobić? Wystarczy:

• ściągnąć klienta IRC-a, np. mIRC ze strony www.mirc.com
• połączyć się z serwerem polska.irc.pl
• wpisać komendę /join #crackscene

Prosimy o:

• przedstawienie się
• nie zadawanie pytań “gdzie znajdę cracka do xxx” (autoban)
• kulturalne zachowanie (w przeciwnym wypadku leci ban)

Zapewniamy:

• konsultacje z zakresu reverse engineeringu (w miarę możliwości)
• informacje o narzędziach do RE:
• dyskusje o nowościach anime
• porady sercowe

W razie trybu invite only, należy poprosić o zaproszenie na kanał, wydając komendę /query i poprosić wybranego operatora kanału o zaproszenie, uprzednio przedstawiając się:

• /query ReWolf
• /query krzywy_
• /query ved
• /query cauchy
• Przybywajcie

• opserwator w koszęcinie – język polski trudny być
• agh praca doktorska reverse engineering – któż to się pokusił?
• badanie w wojsku na waleta – sama radośc
• dawson crying – ależ proszę bardzo
• gole babki filmy obejzec teras zadarmo – dzizaz, co za łoś
• jak nauczyc sie brac kase od znajomych za naprawe pc – tego nie można się nauczyć, trzeba być wrednym sk…
• jak zainstalowac cracka do eseta instrukcja – na pewno szkoła hakerów już to omawiała
• kapcie szydelkowe wzory i opisy – nasza specjalizacja!
• po jakich studiach naprawia sie komputery – po Stanfordzie i Yale
• chuj dupa keyboard – ?
• jak odczytać słowo przez kompilator windowsa – hmm debug.com-em!
• czy po zlozeniu kompa moge juz wgrac windows – nie, musisz wgrać najpierw Androida
• komputer nagle przestał wolno działać – no fuckin shit men!
• czy uszkodzony procesor w komputerze można naprawić – no proste, że tak, lutownica w dłoń i jazda
• nie piszesz nie dzwonisz kończę – proszę nie, daj mi jeszcze jedną szansę!
• print screen na francuskiej klawiaturze – le print screen?
• czy morzna naprawić spalono karte grafiki – najlepiej palnikiem
• czy pan od naprawy komputera mógł mi ukraść karte graficzną – haha
• jak oszukac hasp – włożyć senselocka do usb
• pas odchudzajacy z elektrodami – vibro action?
• jak legalnie zajebac sasiada – polecam książkę “How to murder your neighbour for Dummies”
• jebana praca programisty – jakis desperat piszący w Visual Basic 5.0?
• po czym poznac hakera – szkorbut, brele jak denka od jabola i miłość do filozofii GNU
• www.moj komputer po naprawie chpdzi jak mul co robic.pl – założyć mu chomąto i zaorać nim pole na kartofle
• zlozylem zamowienie a nie zapłaciłem – a ja je przyjąłem, ale Ci nic nie wysłałem
• profesjonalny debugger – i lamer…
• dekompiluje dll c# i mam 3 takie same stringi – olaboga! koniec świata panie!
• gole babcie zdjencia – daj maila, wyśle Ci fotke swojej zmarłej babci na autopsji
• jebanie na kombajnie – a zboże to samo się skosi?
• mateusz jurczyk j00ru miejsce zamieszkania – watch out!
• na czym polega trial reset – polega na tym, żeby taki idiota jak ty mógł w nieskończoność używać trialowego WinZip-a
• co nowego u konrada rafalskiego czy ma jeszcze zaklad pogrzebowy – nie mogę, nie, teraz swój pomysł na nekrofilskie zakłady sprzedaje na zasadach franchajsingu
• komputer działa tylko w pozycji lezącej – bo zmęczony jest, wrzuć mu KitKeta do stacji DVD
• wkładki doktora lewina – ja Ci polecam opaski na kolana doktora Levina, telemango nie może się mylić!
• podziekoowanie za after party – after the party is the hotel lobby (R Kelly poleca)
• zabepieczenie tasp – pozdrowienia dla panów z TeleVox
• ile to jest 500g margaryny – to jak pół kilograma kartofli
• konkurs w kajdankach – “Diler Roku”?
• praca dla osoby znajacej assembler – bad luck
• skutki rozkręcania komputera – syf w pokoju i kurz w powietrzu
• perski dywan – tylko u nas za 99.99 EURO!
• czuczon – taki lamer jeden
• jebani hipnotyzerzy – kolejna ofiara jebanych hipnotyzerów?
• nie moge zainstalowac tego jebanego engineera – boś lamer
• panda security czmeu nie podswietla sie opcja chronienia pena – bo masz pirata
• powiedział że naprawia komputery – a po 9 miesiącach…
• programista na dzewie – guru assemblera i medytacji
• twoja mama musiała byc piekarzem – a twój stary napisał książkę o win16asm

Głupota ludzka chyba osiągnęła apogeum (nigdy bym takich skomplikowanych słów nie używał, ale ręce mi opadają)…

Nie byłbym sobą jakbym tego nie sprawdził — zainstalował sobie menu kontekstowe dla shella, no dobra ale nie żyjemy w czasach Windows 3.11 i takie operacje nie wymagają restartu,  przypomnij sobie kiedy restartowałeś komputer po instalacji np. WinRara, który również wrzuca menu kontekstowe — nigdy!