愉しい仕込み講座〜チェッカ抜け編〜
チェッカを抜ける方法、それは存在します。ここではその手口を学び、対策を考えたいと思います。。。Installshieldを利用するインストーラの使う圧縮された ファイル(展開され、インストーラにインストールされる ファイル)の一つをトロイと入れ替え、インストールさせ、 内部で起動するというまさにトロイ的やり方で、それは為されます。
さて・・恒例、実際やってみてその恐ろしさを確かめる というやつです。悪用したらダメですよ。しかけるのは 自分へ。
まず・・必須のものです。特別に高いものは要りません。 すべてオンラインで落ちてます。(ただし、拾ってはいけない物を 拾ってこないように)
1.「icomp」というソフト。Installshieldで圧縮された ファイルを展開&再圧縮するために使用します。全ての圧縮 ファイルを開けるわけではないようですが・・・
2.Installshieldを利用するインストーラを利用し、なお かつ圧縮ファイル(デフォルトでは「*.z」)が.exeに取り 込まれていないソフト。例えば「Paint 何とか pro 5.01など」
3.潜むソフト
これだけです。さ〜て探しましょう。あなたの割れた倉庫 を引っかき回せばあると思います。
早速やってみよう
*作業の流れ(icompの使用上の注意、詳細な操作手順など は後述)
まず、一連のファイルを全てバックアップのためコピーし てください。
次に、Installshieldを利用するインストーラを利用し、 なおかつ圧縮ファイル(デフォルトでは「*.z」)=以下 zファイルといいます・・を「icomp」を利用して片っ端から 展開し、Uninst.exeを探します。 展開して出てくるファイルはどれを展開して出てきたかをよく 把握しておく必要があります。
Uninst.exeが出てきたらそれに「Uninst.exe」とリネーム されたboなりNetBusなりを上書きします。
当然ですがアイコンはUninst.exeと同じ物にしておきます。
そうして展開されたファイルをもう一度圧縮しなおし、z ファイルを元の場所に上書きして終わりです。
そうするとそのインストーラはソフトをインストールする時 boをインストールしてくれます。コントロールパネルから だろうがスタートメニューからだろうがアンインストール時に トロイがインストールされる仕組みです。 (当然アンインストールは成功しません)
仕込まれたソフトはどう起動せしめらるるか
一旦アンインストールさせなければなりません。 以下のようなファイルが添付される必要があります。
*「serial.txt」または「インストールする前に.txt」
前者がいいでしょう。ただ、尻が不要なソフトの場合は後者 のようなのでも仕方ありません。
*仕込みと入れ替える前の、本物の「Uninst.exe」を含むzファイル。
テキストの中にはこう書きます。
「このソフトは一部クラックされています。通常のインスト ールではレジストリを一部破壊してしまいます。以下のように 操作して下さい。
1.全てのウインドウズプログラムを終了させて下さい。 (ここで「ウイルスチェッカなどを切って下さい」は逆効果でさぁな)
2.setup.exeを起動し、セットアップを完了させます。 その際、デフォルトのフォルダにインストールします。 (これがまたでっかい)
3.再起動せずにコントロールパネルより削除します。 このときインストールは完了されません。
4.例のzファイルを〜(元zファイルがあった場所)に 上書きします。
5.再びインストールします。この際もデフォルトのフォルダ を選択して下さい。
この作業でアンインストールが出来るようになり、レジス トリが保護されます。」
ちょっとやってみます
例を挙げて実践してみましょう・・このようにして仕掛け られます。使うのは「Paint ??? pro5.01J」
あなたが製品版をもっていないなら諦めて下さい。
まず、解凍して・・じゃなくて一連のファイルをCDから コピーしてきます。
その中の「setup.exe」とか「_is?el.exe」とかある中に 「_se?up.lib」があります。それを「icomp.exe」のある ディレクトリにコピーします。
「MS-DOS」を起動。
C:\WINDOWS\デスクトップ\ICOMP
にICOMP.EXEがある状態です。
ちょとまて、「MS-DOS」って何だ?と思った奇特な方は
「スタート」→ 「プログラム」→ 「MS-DOSプロンプト」
もしくは
「スタート」→ 「ファイル名を指定して実行」 で「COMMAND.COM」と入力してください。
したらとりあえずそゆ人向けの書き方ですんで昔から ドスとつきあってる方はすいません。全てのコマンド をかいていきますんでそのつもりで・・。
まずディレクトリを移動します。
CD C:\WINDOWS\デスクトップ\ICOMP と入力します。
C:\WINDOWS\デスクトップ\ICOMP>
となります。
次に
icomp _setup.lib -d
と入力。
C:\WINDOWS\デスクトップ\ICOMP>icomp _setup.lib -d
InstallShield File Compressor
Version 3.00.062 for Microsoft Windows 95
Copyright(c) 1990-1995 Stirling Technologies, Inc. All Rights
Reserved.
Type ICOMP for more information.
DeCompressing : C?L3D32.DLL
DeCompressing : C?L3D32S.DLL
DeCompressing : UNINST.EXE
DeCompressing : _is?es.dll
DeCompressing : ?ITLE.BMP
% ロロロロロロロロロロロロロロロロロロロロロロ
C:\WINDOWS\デスクトップ\downd\ICOMP>
そうするとこんな感じで展開されます。オプション「-d」 は展開させます。デフォルト
ICOMP
はカレントディレクトリのファイルを圧縮します。
展開したら「_se?up.lib」を削除し(重要)、展開後に でてくる「UNINST.EXE」にリネーム&アイコン変更された boを上書きして
icomp _setup.lib
と入力。(再圧縮します)
C:\WINDOWS\デスクトップ\ICOMP>icomp _setup.lib
InstallShield File Compressor
Version 3.00.062 for Microsoft Windows 95
Copyright(c) 1990-1995 Stirling Technologies, Inc. All Rights
Reserved.
Type ICOMP for more information.
Compressing : ICOMP.EXE
Compressing : C?L3D32.DLL
Compressing : C?L3D32S.DLL
Compressing : ?ITLE.BMP
Compressing : _is?es.dll
Compressing : Uninst.exe
% ロロロロロロロロロロロロロロロロロロロロロロ
C:\WINDOWS\デスクトップ\ICOMP>
これでzファイルの作成は完了です。あとは「_se?up.lib」 をもとある場所に戻し、然るべき方法で処分するのみです。 インストーラは仕込まれたソフトをインストールします。
どうやってz形式のファイルを探す?
「スタート」→「検索」→「ファイルやフォルダ」
で「含まれる文字列 z」で洗います。
かかったファイルを片っ端から展開を試みます。
この方法は何が良いのか
インストールが完全な形で完了し、パソコンへ入れるとい う段階で怪しまれることはありません。ソフトも問題なく 動かすことが出来ます。
しかも、Install Shieldのz形式で圧縮された物は、NAV2000で今私がこれを書いている段階では検出されませんでした。Readmeなどでうまくかませば、つまりインストール前にチェッカを切らせることが出来れば、仕込まれているものをチェッカに掛けられたとしても検出されずに仕掛けることが出来るということです。
*なぜ「Uninst.exe」なのか
プログラムファイルでは即座に消滅してしまい、怪しいから です。「Uninst.exe」にすれば表面上インストールは完了し、 インストールしたソフトも動きます。
対策編
対策は、AutlProtect等を常駐させたうえでインストールをさせることです。が、こうするとシステムに負荷を与え、フリーズしてしまうこともあります。なにか良い対策があればYstyanzまで。
繰り返しますが、全ての手口は警告及び対策の研究用として送信しています。見方によっては行為を促すような表現は個人の範囲で、他人の迷惑にならないよう、研究のため、自己責任の元行ってください、と言うニュアンスを含んでいることをご確認下さい。
対策は十分しておいて下さい。
--------------------------------------------------------------------------------
(C) Copy right Ystyanz All Right Reserved