Título: Tutorial Software Drive Secure 2 no tan Secure como suele decir Publicado por: psic0plus en 21 Marzo 2011, 07:13 am Hola este post es para analizar algunas opciones de el softwareDrive Secure 2
(http://imagenes.sftcdn.net/es/scrn/93000/93196/drive-secure-01-319x457.jpg) Drive Secure asocia una contraseña a cada unidad de disco duro de tal manera que sólo se puede acceder a su contenido aportando esta clave. Se trata de un programa muy sencillo cuya interfaz sólo muestra las unidades y la contraseña que les corresponde. Tiene algunas opciones extra como evitar el acceso también desde la consola de comandos y elegir a qué usuarios debe extenderse esta restricción. El programa esta packeado (http://i52.tinypic.com/2mfbr84.jpg) el unpacked es con el upx1_90w esa version en la consola upx1_90 -d Drive.exe le pasamos nuevamente el peid (http://i55.tinypic.com/t0nfvr.jpg) Una de las opciones de seguridad para no accedar a una unidad de disco es minimizarlas,no verlas,en MI PC (http://i52.tinypic.com/10qwfvo.jpg) ocultaremos C y D clickeando en save y despues reiniciaremos sesion con logoff Despues ir al inicio - mi pc - no se deberian ver esas unidades Ahora la seguridad donde esta? esta que cuando clickeamos Save modifica el registro de windows ,en el ollydbg podemos ver ya con el software unpacked en cadenas de referencias la ruta (http://i56.tinypic.com/1z706fm.jpg) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer (http://i52.tinypic.com/dphj12.jpg) al clickear Save (http://i52.tinypic.com/13ym2is.jpg) Valores DWORD DisallowRun Valor 0 False para arrancar las unidades NoDrives Decimal 12 A: 1; B: 2; C: 4; D: 8; E: 16; F: 32; G: 64; H: 128; I: 256; J: 512 C y D recuerdan? 4 y 8 = 12 osea para volverlas a ver a las unidades escondidas se deben eliminar esos valores para reestringir las unidades lo mismo las unidades C y D pero se veran en MI PC pero estaran reestringidas (http://i54.tinypic.com/33xbgcg.jpg) Cuando querramos a entrar ya sea a la unidad C o D saldra este cartel (http://i56.tinypic.com/33zdaj4.jpg) en el registro se agregaran dos valores nuevos que eliminandolos y reiniciando la sesion ya estara habilitada las unidades DisallowRun NoViewOnDrive ahora si le ponemos contraseña al drive secure 2 para administrarlas: para saber la contraseña que han puesto al driver secure 2 para administrar las unidades (http://i53.tinypic.com/2gxl02b.jpg) con el ollydbg podemos sacar esa clave para administrar nosotros las unidades como esta en VB usare el VB decompiler (http://i54.tinypic.com/21ca59w.jpg) El formulario del login es el Form2 nos interesa el boton Ok vamos a la direccion 40C140 click Derecho - Go To - expression - 40C140 (http://i53.tinypic.com/2ebzh9w.jpg) iremos justo al PUSH el inicio iremos mas abajo y veremos una funcion vbstrcmp que se encuentra en las aplicaciones en visual basic para comprar cadenas ponemos un breakpoint con F2 sobre esa "CALL" llamada a la funcion (http://i54.tinypic.com/308a3au.jpg) damos F9 para corre el programa ponemos una clave cualquiera por ejemplo 12345 ,damos en ok y se detendra en el breakpoint (http://i51.tinypic.com/2eehe12.jpg) en los registros del ollydbg se puede ver las dos cadenas la clave que no es y la clave que si es 1212121212 Espero que se haya entendido el concepto,faltan mas opciones del programa claro,no las probe las otras,pero la idea esta :) psic0plus |