Есть работа за пыво :-)

[ХуDеющий]

Нужно сделать так, чтобы в диспетчере задач skype.exe по всем параметрам виделся как, к примеру, Paint.

Кто возьмётся? В личку плз.

С уважением.

[S10]

Конкретнее. Все параметры — это какие?

[ХуDеющий]

Чтобы в описании стояло не Скупе, а Paint.

Ну и соответственно если открыть свойства екзешника, там не должно быть упоминания о скупе

С уважением.

[S10]

Можно и не пытаться. Поковырял из интереса ResHacker'ом, финал немного предсказуем: генерация неведомого ё... необработанного исключения на старте. А все почему?

 

Исполняемый файл Skype-клиента представляет собой настоящий шедевр хакерского искусства, вобравший в себя множество интересных и достаточно могучих защитных механизмов. Для противодействия им требуются не только мощные инструментальные средства (отладчики, дизассемблеры, дамперы и т.д.) и знания/навыки, но еще и куча свободного времени.

 

Двоичный файл полностью зашифрован и динамически расшифровывается по мере загрузки в память. Причем сброс дампа невозможен, точнее, затруднен тем обстоятельством, что стартовый код после выполнения очищается, в результате чего мы получаем exe, который не запускается. Оригинальная таблица импорта не содержит ничего интересного, и API-функции подключаются уже в процессе распаковки. Проверка целостности кода выполняется из разных мест в случайном порядке (преимущественно при входящих звонках), поэтому поиск защитных процедур представляет собой весьма нетривиальную задачу. Тем более что они основаны на криптографических RSA-сигнатурах и снабжены полиморфными генераторами, которые в случайном порядке переставляют инструкции ADD, XOR, SUB и др., перемешивая их с левыми машинными командами.

 

Статический вызов функций (по жестко прописанному адресу) практически не встречается, и все важные процедуры вызываются по динамически вычисляемому указателю, пропущенному через обфускатор. Следовательно, дизассемблер нам тут уже не поможет, и приходится браться за отладчик.

 

А вот про отладчик следует сказать отдельно. Skype распознает SoftICE даже при наличии установленного IceExt, наотрез отказываясь запускаться. Это забавно, поскольку для взлома самого Skype отладчик SoftICE не очень-то и нужен, ведь существуют и другие инструменты подобного рода, среди которых в первую очередь хотелось бы отметить The Rasta Ring 0 Debugger, или сокращенно [RR0D], не обнаруживаемый Skype-клиентом и, как и следует из его названия, работающий на уровне ядра. В принципе можно воспользоваться и отладчиком прикладного уровня (например, стремительно набирающим популярность OllyDbg). Только при этом важно помнить, что Skype легко обнаруживает программные точки останова, представляющие собой однобайтовую машинную инструкцию с опкодом CCh, записывающуюся поверх отлаживаемого кода. А для предотвращения пошаговой трассировки Skype осуществляет замеры времени выполнения определенных участков кода, для прохождения через которые приходится использовать полноценные эмуляторы PC с интегрированным отладчиком, например знаменитый BOCHS.

 

Наконец, когда исполняемый файл распакован и все проверки пройдены, защита вычисляет контрольную сумму и преобразует ее в указатель, по которому передается управление, пробуждающее Skype.

 

Проблема в том, что Skype очень следит за своей целостью, поэтому попытка исправления jnz на jmp short работает только до первого входящего звонка, после которого Skype падает и обратно уже не поднимается. Специально для таких хитроумных защит еще во времена MS-DOS была разработана техника онлайн-патча, при которой исправление программы осуществляется непосредственно в оперативной памяти, а после успешного прохождения проверки на наличие SoftICE, совершается откат, чтобы не волновать процедуру проверки целости.

http://www.xakep.ru/magazine/xa/100/064/1.asp

[ХуDеющий]

Спасибо.

Пыво отменяется!

[niftiak]

ам... а можно я свои пять копеек вставлю? )

Устанавливаешь скайп в папку C:\Windows\system32. Но так, чтобы файлы скайпа валялись именно в самой папке system32, a не в system32\skype\

переименовываешь skype.exe в mspaint.exe, a mspaint.exe как-нить по-другому обзываешь. Если особо не докапываться до процесса, то может прокатить =)

[S10]

Переименовать можно в любом случае, от этого ничего не страдает и контрольная сумма файла не меняется. Так же можно совершенно безболезненно перенести единственный экзешник скайпа в другую папку.

А вот после ковыряния в ресурсах начинаются проблемы.

[ХуDеющий]

to niftiak Такой вариант не нужен, S10 понял меня, что я пытаюсь получить.

С уважением.

[Crebor]

ам... а можно я свои пять копеек вставлю? )

Устанавливаешь скайп в папку C:\Windows\system32. Но так, чтобы файлы скайпа валялись именно в самой папке system32, a не в system32\skype\

переименовываешь skype.exe в mspaint.exe, a mspaint.exe как-нить по-другому обзываешь. Если особо не докапываться до процесса, то может прокатить =)

Не прокатит. В Xp в system 32 защита от замены файлов на "левые файлы". Даже если переименуешь skype.exe в mspaint.exe (предварительно удалив/переименовав оригинальный mspaint.exe) XP просто удалит его и запишет оригинальный mspaint.exe