Hola este post es para analizar algunas opciones de el softwareDrive Secure 2
Drive Secure asocia una contraseña a cada unidad de disco duro de tal manera que sólo se puede acceder a su contenido aportando esta clave.
Se trata de un programa muy sencillo cuya interfaz sólo muestra las unidades y la contraseña que les corresponde.
Tiene algunas opciones extra como evitar el acceso también desde la consola de comandos y elegir a qué usuarios debe extenderse esta restricción.
El programa esta packeado
el unpacked es con el upx1_90w esa version
en la consola upx1_90 -d Drive.exe
le pasamos nuevamente el peid
Una de las opciones de seguridad para no accedar a una unidad de disco es minimizarlas,no verlas,en MI PC
ocultaremos C y D clickeando en save y despues reiniciaremos sesion con logoff
Despues ir al inicio - mi pc - no se deberian ver esas unidades
Ahora la seguridad donde esta? esta que cuando clickeamos Save modifica el registro de windows ,en el ollydbg podemos ver ya con el software unpacked en cadenas de referencias la ruta
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
al clickear Save
Valores DWORD
DisallowRun Valor 0 False para arrancar las unidades
NoDrives Decimal 12
A: 1; B: 2; C: 4; D: 8; E: 16; F: 32; G: 64; H: 128; I: 256; J: 512
C y D recuerdan? 4 y 8 = 12
osea para volverlas a ver a las unidades escondidas se deben eliminar esos valores
para reestringir las unidades
lo mismo las unidades C y D pero se veran en MI PC pero estaran reestringidas
Cuando querramos a entrar ya sea a la unidad C o D saldra este cartel
en el registro se agregaran dos valores nuevos que eliminandolos y reiniciando la sesion ya estara habilitada las unidades
DisallowRun
NoViewOnDrive
ahora si le ponemos contraseña al drive secure 2 para administrarlas:
para saber la contraseña que han puesto al driver secure 2 para administrar las unidades
con el ollydbg podemos sacar esa clave para administrar nosotros las unidades
como esta en VB usare el VB decompiler
El formulario del login es el Form2 nos interesa el boton Ok vamos a la direccion 40C140
click Derecho - Go To - expression - 40C140
iremos justo al PUSH el inicio
iremos mas abajo y veremos una funcion vbstrcmp que se encuentra en las aplicaciones en visual basic para comprar cadenas
ponemos un breakpoint con F2 sobre esa "CALL" llamada a la funcion
damos F9 para corre el programa
ponemos una clave cualquiera por ejemplo 12345 ,damos en ok y se detendra en el breakpoint
en los registros del ollydbg se puede ver las dos cadenas la clave que no es y la clave que si es 1212121212
Espero que se haya entendido el concepto,faltan mas opciones del programa claro,no las probe las otras,pero la idea esta
psic0plus