Hola este post es para analizar algunas opciones de el softwareDrive Secure 2






Drive Secure asocia una contraseña a cada unidad de disco duro de tal manera que sólo se puede acceder a su contenido aportando esta clave.

Se trata de un programa muy sencillo cuya interfaz sólo muestra las unidades y la contraseña que les corresponde.

Tiene algunas opciones extra como evitar el acceso también desde la consola de comandos y elegir a qué usuarios debe extenderse esta restricción.


El programa esta packeado




el unpacked es con el upx1_90w esa version

en la consola upx1_90 -d Drive.exe

le pasamos nuevamente el peid




Una de las opciones de seguridad para no accedar a una unidad de disco es minimizarlas,no verlas,en MI PC



ocultaremos C y D clickeando en save y despues reiniciaremos sesion con logoff


Despues ir al inicio - mi pc - no se deberian ver esas unidades

Ahora la seguridad donde esta? esta que cuando clickeamos  Save modifica el registro de windows ,en el ollydbg podemos ver ya con el software unpacked en cadenas de referencias la ruta




HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer




al clickear Save



Valores DWORD

DisallowRun Valor 0 False para arrancar las unidades

NoDrives Decimal 12

A: 1; B: 2; C: 4; D: 8; E: 16; F: 32; G: 64; H: 128; I: 256; J: 512


C y D recuerdan? 4 y 8 = 12

osea para volverlas a ver a las unidades escondidas se deben eliminar esos valores

para reestringir las unidades

lo mismo las unidades C y D pero se veran en MI PC pero estaran reestringidas




Cuando querramos a entrar ya sea a la unidad C o D saldra este cartel



en el registro se agregaran dos valores nuevos que eliminandolos y reiniciando la sesion ya estara habilitada las unidades

DisallowRun

NoViewOnDrive


ahora si le ponemos contraseña al drive secure 2 para administrarlas:

para saber la contraseña que han puesto al driver secure 2 para administrar las unidades



con el ollydbg podemos sacar esa clave para administrar nosotros las unidades

como esta en VB usare el VB decompiler



El formulario del login es el Form2 nos interesa el boton Ok vamos a la direccion 40C140

click Derecho - Go To - expression - 40C140




iremos justo al PUSH el inicio

iremos mas abajo y veremos una funcion vbstrcmp que se encuentra en las aplicaciones en visual basic para comprar cadenas

ponemos un breakpoint con F2 sobre esa "CALL" llamada a la funcion




damos F9 para corre el programa

ponemos una clave cualquiera por ejemplo 12345 ,damos en ok y se detendra en el breakpoint




en los registros del ollydbg se puede ver las dos cadenas la clave que no es y la clave que si es 1212121212


Espero que se haya entendido el concepto,faltan mas opciones del programa claro,no las probe las otras,pero la idea esta  


psic0plus