Forum CDRinfo.pl - Podgląd pojedynczego posta

Deus · 22.06.2005, 16:17

Witam.
Proponowałbym zakończenie tej jałowej dyskusji...
Star Force nie jest zwykłym zabezpieczeniem - to finezyjne dzieło sztuki tworzone przez kilka lat przez najlepszych specjalistów. Jedyna metoda aby sobie z tym poradzić to przerobić sterowniki aby:
-ignorowały strukturę płyty,
-ignorowały typ napędu - obsługa virtuali bez odpinania IDE,
inne rozwiązanie to wyrippować algorytm ekstrakcji klucza na podstawie fizycznych parametrów płyty - dane wyjściowe byłyby przekodowywane na CD-KEY.
Ale problemem są mocne strony SF:
-szyfrowanie\kompresja kodu programu,
-przekierowanie importów najbardziej zaawansowanym algorytmeme jaki widziałem,
-wszelakie metody anty-debug\anty-dump,
-sterowniki,
-szyfrowanie sterowników,
-oddzielene zabezpieczenia pod r3 i r0,
-własny system obsługi napędów... i tak można wymieniać i wymieniać...
Ale co Wam będę pisał - to zabezpieczenie to potęga, co z tego, że wiem jak jest zbudowane, jak działa i jakie ma mocne strony, tak samo jak wszyscy nie jestem w stanie na dzień dziesiejszy rozpracować go... moze gdyby powstała większa grupa specjalistów od tzw. 'problematyki zabezpieczeń' i pracowała wspólnie - dałoby się coś dokonać. Ale gdybaniem nic nie zdzałamy - ostateczny wniosek:
'na dzień dziesiejszy SF jest nie do załamania\skopiowania' - koniec dyskusji.

Jako, że w tym temacie znalazło się trochę 'herezji', więc:
-każdy program odwołuje się do procesora - w końcu jest wykonywany przez procesor /wyjątkiem są programy oparte o framework'i takie jak .net - ale SF działa 'normalnie'/
-procesory /x86 i pochodne/ mają 4 poziomy uprzywilejowania /DPL/ od Ring0 do Ring3; r0 jest poziomem jądra systemu i sterowników, a r3 zwykłego programu ze wszystkimi ograniczeniami /pozostałe 2 tryby nie są stosowane w windows'ie/.
-da się śledzic sterowniki SF - trzeba tylko mieć kernel-mode debugger'a /działającego w r0/ np. SoftICE. Utrudnieniem jest to, iż sterownik prodrv0x.sys /w różnych wersjach ma różny numer/ nie ładuje sie w obecności sterownika o ID równym 0x202 - identyfikator sterowników SI /da się obejść poprzez edyję SI/.

SF to temat-rzeka, były nawet plany współpracy większej liczby polskich crackerów w celu dogłębnej analizy SF /a może nawet złamania/ ale wątpię czy coś z tego wypali...

pozdrawiam
Deus

22.06.2005, 16:17	#122
Deus cracker Data rejestracji: 22.06.2005 Posty: 71	Witam. Proponowałbym zakończenie tej jałowej dyskusji... Star Force nie jest zwykłym zabezpieczeniem - to finezyjne dzieło sztuki tworzone przez kilka lat przez najlepszych specjalistów. Jedyna metoda aby sobie z tym poradzić to przerobić sterowniki aby: -ignorowały strukturę płyty, -ignorowały typ napędu - obsługa virtuali bez odpinania IDE, inne rozwiązanie to wyrippować algorytm ekstrakcji klucza na podstawie fizycznych parametrów płyty - dane wyjściowe byłyby przekodowywane na CD-KEY. Ale problemem są mocne strony SF: -szyfrowanie\kompresja kodu programu, -przekierowanie importów najbardziej zaawansowanym algorytmeme jaki widziałem, -wszelakie metody anty-debug\anty-dump, -sterowniki, -szyfrowanie sterowników, -oddzielene zabezpieczenia pod r3 i r0, -własny system obsługi napędów... i tak można wymieniać i wymieniać... Ale co Wam będę pisał - to zabezpieczenie to potęga, co z tego, że wiem jak jest zbudowane, jak działa i jakie ma mocne strony, tak samo jak wszyscy nie jestem w stanie na dzień dziesiejszy rozpracować go... moze gdyby powstała większa grupa specjalistów od tzw. 'problematyki zabezpieczeń' i pracowała wspólnie - dałoby się coś dokonać. Ale gdybaniem nic nie zdzałamy - ostateczny wniosek: 'na dzień dziesiejszy SF jest nie do załamania\skopiowania' - koniec dyskusji. Jako, że w tym temacie znalazło się trochę 'herezji', więc: -każdy program odwołuje się do procesora - w końcu jest wykonywany przez procesor /wyjątkiem są programy oparte o framework'i takie jak .net - ale SF działa 'normalnie'/ -procesory /x86 i pochodne/ mają 4 poziomy uprzywilejowania /DPL/ od Ring0 do Ring3; r0 jest poziomem jądra systemu i sterowników, a r3 zwykłego programu ze wszystkimi ograniczeniami /pozostałe 2 tryby nie są stosowane w windows'ie/. -da się śledzic sterowniki SF - trzeba tylko mieć kernel-mode debugger'a /działającego w r0/ np. SoftICE. Utrudnieniem jest to, iż sterownik prodrv0x.sys /w różnych wersjach ma różny numer/ nie ładuje sie w obecności sterownika o ID równym 0x202 - identyfikator sterowników SI /da się obejść poprzez edyję SI/. SF to temat-rzeka, były nawet plany współpracy większej liczby polskich crackerów w celu dogłębnej analizy SF /a może nawet złamania/ ale wątpię czy coś z tego wypali... pozdrawiam Deus Ostatnio zmieniany przez Deus : 22.06.2005 o godz. 16:23