Нужна помощь с кряком KIS 2009 - Безопасность, Шифрование

Inspire · 07.10.2008, 00:54

Здравствуйте уважаемые программисты!
Не так давно у меня перестал обновляться КAV 6.0.
Ну что не делается все к лучшему, и я решил утсановить
KIS 2009 ( тот который 8.0.0.454).
А теперь ВНИМАНИЕ,собственно почему я прошу вас помочь.
Для 6 каспера у меня был файл реестра, который при запуске убивал
записи о нем, что давало бесконечную возможность брать пробные версии.
Содержимое данного файла такое:

Windows Registry Editor Version 5.00

'Simple Kaspersky Key Info remover by Теплый Снег

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microso ft\SystemCertificates\SPC\Certific

ates]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Kaspers kyLab\LicStorage]

Есть ли возможность у кого-либо написать подобный файл для KIS 2009?
Вы бы очень помогли, за ранее спасибо!

Ozerich · 13.10.2008, 15:21

Помогите и мне.
Я взял и установил ключ а через день он был занасен каспером в черный список и заблокировал его.Но ключу еще 262 дня служить

Alex21 · 13.10.2008, 16:57

На форуме не обсуждается взлом лицензионного софта, кряки, ключи и прочее.

Взлом для искусства.

Alter · 13.10.2008, 18:51

это даже кряканьем не назвать, т.к оригинальные файлы целые. Даже не лоадер.

JTG · 13.10.2008, 19:34

Ога, реестр - личные данные пользователя "чё хочу, то и ворочу"

По теме - 2009 не нужен =) Щас статейку скопипастю...

Вот, некий Diabolus пишет на ][

Цитата:

Задумывались ли вы, как касперский качает обновления?
Кое-что меня натолкнуло на мысль посмотреть это. Скачал новенький Антивирус Касперского 2009 с kaspersky.ru,
и начал дизассемблировать updаtеr.dll. Из этого получилось следующее...

Чтение сокета при приёме апдейтов.

Код:

6D94EF5D  |. 57             PUSH EDI                                                      ; /Flags
6D94EF5E  |. FF75 0C        PUSH DWORD PTR SS:[EBP+C]                                     ; |BufSize
6D94EF61  |. FF75 08        PUSH DWORD PTR SS:[EBP+8]                                     ; |Buffer
6D94EF64  |. FF36           PUSH DWORD PTR DS:[ESI]                                       ; |Socket
6D94EF66  |. FF15 A8A49A6D  CALL DWORD PTR DS:[<&WS2_32.#16>]                             ; \recv

Запомним: [ebp+8] - поинтер на данные, далее пригодится.

Код:

6D94EF75  |. 397D 0C        CMP DWORD PTR SS:[EBP+C],EDI
6D94EF78  |. 8945 08        MOV DWORD PTR SS:[EBP+8],EAX
6D94EF7B     75 0B          JNZ SHORT updаtеr.6D94EF88
6D94EF7D  |. C703 1D000000  MOV DWORD PTR DS:[EBX],1D
6D94EF83  |. E9 85000000    JMP updаtеr.6D94F00D

Если получили не то число байт, которое запрашивали, идём на 6D94EF88, а иначе - на 6D94F00D.
Интересно, что tcp пакеты настоящих обновлений касперский всегда подгоняет байт-в-байт, левые же - всегда
ровно 96 байт, хотя зачастую с байтами 90 (в хексе) в конце. Подробнее об этом ниже.
Смотрим далее: что происходит, если пакет "неожиданно" оказался не того размера.

Код:

6D94EF88     57             PUSH EDI
6D94EF89     55             PUSH EBP
6D94EF8A     56             PUSH ESI

Все используемые для чтения из сокета регистры сохраняются в стек...

Код:

6D94EF8B     33D2           XOR EDX,EDX
6D94EF8D     8B75 08        MOV ESI,DWORD PTR SS:[EBP+8]
6D94EF90     B9 18000000    MOV ECX,18
6D94EF95     AD             LODS DWORD PTR DS:[ESI]
6D94EF96     8982 A1EF946D  MOV DWORD PTR DS:[EDX+6D94EFA1],EAX
6D94EF9C     83C2 04        ADD EDX,4
6D94EF9F    ^E2 F4          LOOPD SHORT updаtеr.6D94EF95

24 раза (18 hex = 24 dec) загружаем 4 байта из полученного нами от сервера обновлений, и столько же раз
аккуратно расставляем их в теле своей программы начиная с адреса 6D94EFA1. То есть у нас будет заполнено
96 байт.
А что же далее?
Далее - самое интересное. Мы же были на адресе *9F, а за ним идёт как раз *A1.

Код:

6D94EFA1     90             NOP
...
6D94F004     90             NOP

То есть пусто. И так пусто вплоть до адреса 6D94F004. 6D94F004-6D94EFA1 в переводе в десятичную систему - 99.
А ведь после предыдущего цикла у нас здесь уже не пусто, а то, что передал нам сервер апдейтов. И приходит
черёд выполнения именно этих команд.

Ну и далее завершающая часть:

Код:

6D94F005     5E             POP ESI
6D94F006     5D             POP EBP
6D94F007     5F             POP EDI
6D94F008    ^E9 50FFFFFF    JMP updаtеr.6D94EF5D
6D94F00D  |> 33C0           XOR EAX,EAX

Восстанавливаем регистры и прыгаем туда, откуда пришли, читаем "обновления" дальше. Возможно, следущее
окажется реальным. До адреса начала обработки реальных обновлений (6D94F00D) не доходим.

Запустил сниффер, и результат не заставил себя ждать. Уже через пару недель пришло три серии "нестандартных"
обновлений. Отсортировать пакеты длиною 96 байт не составило труда, ну и вкрадце: первая серия пакетов
проверяла, существует ли папка %Program Files%\DrWeb, вторая - я так и не понял что делала, а вот третья,
после которой я и решил написать об этом, искала в файлах, находящихся в папке %AppData%,
последовательности из четырёх байт (помещая указатель на файл в esi и через lods dword в цикле с sub esi,3
в том же цикле) - подстроки "hack", "xake", "secu", "viru". После каждой найденной подстроки - отправка
подстроки и последующих 16 байт на "сервер обновлений". Весело, не находите?

Использовали все три "программы-обновления" WinAPI функции, доступные из updаtеr.dll - удобно, не правда ли?
Апдейтер как раз должен работать с интернетом и файлами, отличное средство для проведения всяческих левых
действий.

Ну в общем-то как в реальной жизни получается зачастую с милицией, так и в киберпространстве - с антивирусами.
Вроде бы должны охранять нас, а делают чёрт знает что.

Написал с утра, хотел запостить на секлаб, но не нашёл, куда отправлять. Отправил на хакер.

Alter · 13.10.2008, 23:28

Что бы это значило:

Цитата:

первая серия пакетов
проверяла, существует ли папка %Program Files%\DrWeb, вторая - я так и не понял что делала, а вот третья,
после которой я и решил написать об этом, искала в файлах, находящихся в папке %AppData%,
последовательности из четырёх байт (помещая указатель на файл в esi и через lods dword в цикле с sub esi,3
в том же цикле) - подстроки "hack", "xake", "secu", "viru". После каждой найденной подстроки - отправка
подстроки и последующих 16 байт на "сервер обновлений". Весело, не находите?

Restarter4 · 14.10.2009, 22:00

Не знаю как другие кряки, но CUCANCHIC реально сбрасывает и продлевает триал на KIS 2009 и 2010. Но их снимают со всех файлообменников, видать лаборатория засуетилась. CUCANCHIC LITE сейчас можно добыть на smsfiles.ru в бесплатном скачивании, а CUCANCHIC ONLINE отовсюду пропал. С letitbit.net кто то (ну наверно лаборатория) раздавал фальшивого Куканчика, сейчас не знаю.

Noor · 15.10.2009, 00:06

Inspire - а Вы попробуйте этот же рег файл на новом каспере.
У меня друг 4 месяца юзает Kis 2009

Код:

Windows Registry Editor Version 5.00
'Simple Kaspersky Key Info remover by Теплый Снег
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\SPC\Certificates]
[-HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\LicStorage]

и все работает, получает свежий ключик

13.10.2008, 15:21	#2
Ozerich Студент 1 курса Форумчанин Подтвердите свой е-майл Регистрация: 27.06.2008 Сообщений: 959	Помогите и мне. Я взял и установил ключ а через день он был занасен каспером в черный список и заблокировал его.Но ключу еще 262 дня служить C++(STL, QT, WinInet) / DHTML(CSS) / JavaScript / PHP Developer

13.10.2008, 16:57	#3
Alex21 With best regards Участник клуба Регистрация: 20.04.2007 Сообщений: 1,448	На форуме не обсуждается взлом лицензионного софта, кряки, ключи и прочее. Взлом для искусства. Life is too short, play more... Как правильно задавать вопросы

13.10.2008, 18:51	#4
Alter Старожил Регистрация: 06.08.2007 Сообщений: 2,183	это даже кряканьем не назвать, т.к оригинальные файлы целые. Даже не лоадер. DelphiWorld 6, АVL 2.0.1.3

15.10.2009, 00:06	#8
Noor Участник клуба Регистрация: 01.11.2006 Сообщений: 1,051	Inspire - а Вы попробуйте этот же рег файл на новом каспере. У меня друг 4 месяца юзает Kis 2009 Код: `Windows Registry Editor Version 5.00 'Simple Kaspersky Key Info remover by Теплый Снег [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\SPC\Certificates] [-HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\LicStorage]` и все работает, получает свежий ключик

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Нужна помощь	KpeHDeJIb	Помощь студентам	4	04.07.2008 11:52
Проблема с обновлением KIS 7	Ronni10	Безопасность, Шифрование	2	07.03.2008 09:40
Нужна помощь!	mEka	Помощь студентам	2	04.03.2007 01:39
Нужна помощь с БД	Marmot	Помощь студентам	1	23.01.2007 16:19

07.10.2008, 00:54	#1
Inspire Новичок Джуниор Регистрация: 07.10.2008 Сообщений: 1	Нужна помощь с кряком KIS 2009 Здравствуйте уважаемые программисты! Не так давно у меня перестал обновляться КAV 6.0. Ну что не делается все к лучшему, и я решил утсановить KIS 2009 ( тот который 8.0.0.454). А теперь ВНИМАНИЕ,собственно почему я прошу вас помочь. Для 6 каспера у меня был файл реестра, который при запуске убивал записи о нем, что давало бесконечную возможность брать пробные версии. Содержимое данного файла такое: Windows Registry Editor Version 5.00 'Simple Kaspersky Key Info remover by Теплый Снег [-HKEY_LOCAL_MACHINE\SOFTWARE\Microso ft\SystemCertificates\SPC\Certific ates] [-HKEY_LOCAL_MACHINE\SOFTWARE\Kaspers kyLab\LicStorage] Есть ли возможность у кого-либо написать подобный файл для KIS 2009? Вы бы очень помогли, за ранее спасибо!

14.10.2009, 22:00	#7
Restarter4 Новичок Джуниор Регистрация: 14.10.2009 Сообщений: 1	Не знаю как другие кряки, но CUCANCHIC реально сбрасывает и продлевает триал на KIS 2009 и 2010. Но их снимают со всех файлообменников, видать лаборатория засуетилась. CUCANCHIC LITE сейчас можно добыть на smsfiles.ru в бесплатном скачивании, а CUCANCHIC ONLINE отовсюду пропал. С letitbit.net кто то (ну наверно лаборатория) раздавал фальшивого Куканчика, сейчас не знаю.