Август - Xakep Online

взломporoseNok/ P0R0SEN0K@yANDEX.RU /24!Диплом за 24 часаБлестящая защита по-хакерскиДолгожданное лето, конечно, не может не радовать. Но вместе с наступлением лета подошелк концу и учебный год. У одних студентов в полном разгаре сессия, а у других настал тяжелыйпериод в жизни под названием «ДИПЛОМ». Вот и моему товарищу также предстояла защитадиплома. Все бы ничего, но до защиты оставалось всего лишь несколько дней :(. Видя, что он ужепрактически впал в отчаяние и смирился с мыслью о том, что придется защищать диплом в следующемгоду, я решил ему помочь.ема его диплома была следующая: «Разработка автоматизированнойсистемы удаленной диагностики компью-Tтера». Если в нескольких словах, то система должна иметьклиент-серверную технологию, задачей клиентов которойявляется сбор и отправка значений датчиков (температура процессора,скорость вращения кулера и т. д.) на сервер.Поиск решенияПервоначально для получения данных от датчиков предполагалосьиспользовать WMI-технологию, но после нескольких часов, проведенныхза работой, нам так и не удалось достичь желаемых результатов. Крометого, в интернете была найдена статья, в которой упоминалось о безуспешнойпопытке получения скорости вращения кулера с использованиемWMI-технологии. Тогда возник вопрос: каким же образом программыаналогичной тематики получают интересующие нас значения? Для исследованиябыла выбрана программа Everest.В папке с программой находится около двух десятков файлов. Сразу и несообразить, где располагается код, отвечающий за получение данных отдатчиков. Поэтому, чтобы избавиться от лишнего, я стал последовательнопереименовывать файлы и запускать программу, проверяя, отображаютсяили нет нужные нам данные. В итоге осталось всего лишь четыре файла:everest.exe, everest.bin, kerneld.wnt и everest.key, назначение которых нампредстоит выяснить.Судя по размеру файла everest.exe, который составляет всего 65 Кб,напрашивается вывод, что он не отвечает за получение информации осистеме, а выполняет какие-то другие действия. Для того чтобы выяснить,какие именно, откроем его в отладчике OllyDbg. Но для начала проверим,запакован он или нет. PEiD показал, что программа запакована UPX’ом,поэтому для распаковки выполним команду upx.exe -d everest.exe. Преждечем приступить к отладке, посмотрим, вызовы каких функций используютсяв программе: для этого откроем окно Found intermodular calls («ПК Search for All intermodular calls»). Сразу же привлекает внимание вызовCreateProcess. Жмем на нем для установки брейкпоинта, а затеми для запуска программы. Через несколько мгновений срабатываетбряк и выполнение программы прекращается. В качестве имени выполняемогофайла функции передается строка, содержащая everest.bin.Предположение оказалось верным — выходит, что основная работа выполняетсяв everest.bin. Поэтому делаем следующее: переименовываем070xàêåð 08 / 104 / 07