Запуск сервиса после патча

Jaa

Посетитель
Мудрец
Сообщения
35
Реакции
249
Всех привет. С прошедшими и наступающими праздниками. Попался интересный вариант программы, после патча сервиса (патч любого байта) из сервера он не запускается, прога называется Super Network Tunnel, есть валидный ключ но он привязывается к железу, именно патч хвида (подмена сразу после его создания) и делаю в сервисе и сервере. Может кто то сталкивался?

 

Jaa

Посетитель
Мудрец
Сообщения
35
Реакции
249
При попытке отладить что либо по кнопка Start отладчик зависает(
За меня ничего делать не нужно, просто кто сталкивался с патчем сервисом и где может быть проверка, отладка не дала результатов по проверке. Какие функции на дельфях отвечают за проверку целосности файла?
Неужели Цифровая подпись? Как её можно переподписать?
 
Последнее редактирование:

BfoX

Посетитель
Мудрец
Сообщения
27
Реакции
187
если есть ЦП, то удалить. в сервисах как и в дровах нужно корректировать контрольную сумму после патча. потом снова подписать SNAG-0002.jpg
 
Последнее редактирование:
  • Понравилось
Реакции: Jaa

Jaa

Посетитель
Мудрец
Сообщения
35
Реакции
249
С удалением подписи и корректировки контрольной суммы разобрался :)
Теперь вопрос в подписании ЦП ибо после удаления программа так же не хочет запускаться
 

Jaa

Посетитель
Мудрец
Сообщения
35
Реакции
249
Вообщем после переподписания, ЦП не действительна, как её правильно переподписать???
 

Jaa

Посетитель
Мудрец
Сообщения
35
Реакции
249
Оригинальный файл 1.exe и патченный файл 2.exe с которого подпись полностью удалена и пересчитана контрольная сумма
https://dropmefiles.com/2Wn5l

это то что у меня получилось переподписать
https://dropmefiles.com/LhsJy
 

Jaa

Посетитель
Мудрец
Сообщения
35
Реакции
249
Почему после подписывания файла, сертификат становится недействительным? Такая же фигня и после патча)
 

lindermann

Зарегистрированный
Сообщения
1
Реакции
0
Серт на то и нужен чтобы быть невалидным после изменений в файле. Разве это не столь очевидно?
 

dosprog

Ветеран
Мудрец
Сообщения
110
Реакции
500
What is this?
I've noticed during testing against Anti-Virus over the years that each is different and each prioritize PE signatures differently, whether the signature is valid or not. There are some Anti-Virus vendors that give priority to certain certificate authorities without checking that the signature is actually valid, and there are those that just check to see that the certTable is populated with some value. It's a mess.


Из описания - то примочка, которая просто отрезает "подпись" от одного файла и прилепляет к другому.

Чел же написал, что типа борется с болезненной реакцией каких-то антивирусов
на неподписанные файлы. А чем они там будут "подписаны", выходит, ему неважно

Вырезать оверлей из PE-EXE можно с помощью Hiew-плагина PE_OVL.HEM,
а прикопировать эту отрезанную сигнатуру к другому файлу можно с "CMD /c COPY /b".

В принципе, довольно бесполезная операция.
 
Последнее редактирование:

dosprog

Ветеран
Мудрец
Сообщения
110
Реакции
500
Вообще, как уже говорилось, это новшество доставляет головняк всем, кроме реальных злодеев.
Микрософт в очередной раз пёрнула в лужу.
 

BfoX

Посетитель
Мудрец
Сообщения
27
Реакции
187
@Jaa: пробуй свою 2ку подписанную. серт отозван, но подпись вынь хавает...

Для просмотра содержимого вам необходимо Войти в систему.
 
Последнее редактирование модератором:

Jaa

Посетитель
Мудрец
Сообщения
35
Реакции
249

Jaa

Посетитель
Мудрец
Сообщения
35
Реакции
249
и еще вопрос как поймать сервис на точке входа? запуск то с сервера происходит, не могу отладить чтобы понять что происходит может есть какие то еще проверки
 

mak

Соломенные сандалии
Администратор
Сообщения
497
Реакции
255
и еще вопрос как поймать сервис на точке входа? запуск то с сервера происходит, не могу отладить чтобы понять что происходит может есть какие то еще проверки
На оеп поставить jmp на себя, после запуска сделать аттач и перейти на оеп, продолжить отладку.
 
  • Понравилось
Реакции: Jaa

dosprog

Ветеран
Мудрец
Сообщения
110
Реакции
500
Удалось подписать файл, добавить в подлинные и тогда сертификат стал валидный, но файл не запустился
Это называется - пидара*ы.

А интересно, есть ли патчи винды на предмет реального отключения этого цырка?
Безо всяких там "Test mode"?

 
Верх Низ