Для пользователей IDA, относящих себя к warez scene
Распространение этой записи в любой форме (или ссылок на нее) всячески приветствуется
Ввиду того, что условия легального приобретения IDA в данный момент носят уже ярко выраженный маразматичный характер (разве что при приобретении не предлагают пройти дактилоскопию и оставить био-материал для анализа ДНК), предлагаю поспособствовать развитию reverse engineering и выступить в роли ФАС по отношению к компании Hex Rays. (Так как в данный момент, благодаря естественной монополии, а так же определенным психическим отклонениям у собственника, приобрести данный продукт практически невозможно).
Оглавление:
Если есть какие-то предложения, дополнения, идеи и проч. - пишите сюда, в lj, или по ICQ 38890179, ICQ 667169, или на sp0raw@mail.ru
Ссылка на автоматический перевод на английский язык этой записи. (Если будет надо, переведу условно-нормально).
Пример неадекватных требований
Действие
Очевидно, что в данный момент существует ряд пользователей, которые, пройдя определенный путь издевательств со стороны данной компании, все же смогли стать "счастливыми обладателями" данного продукта.
Предлагаю произвести следующее действие: public-release данного продукта.
Существующие ограничения: в нем есть key-file и watermarks, необходимые для обеспечения противодействия подобным инициативам.
В принципе, чем-то подобным, если не изменяет память, в какой-то период времени мы пытались заниматься еще во время жизни FidoNet, т.е. где-то вначале 2000-х или даже в конце 90-х. (Привет, R.)
Как осуществить задуманное?
Возьмем hexrays.plw из IDA v5.5 в сравнении с копией из IDA v6.1 (к сожалению, происхождение плагина там неизвестно, но будем надеяться, что это другая легальная копия, а не из релиза 5.5, иначе этот раздел сильно теряет свою значимость -- можно посмотреть будет позже)
UPDATE: На самом деле в китайской утечке hexrays.plw (HexRays v1.1) от пиратской v5.5t, поэтому то, что написано ниже про сравнение - не имеет особого смысла. Там просто вписаны timestamp установки и support expiration. См. более новый пост про .wll-файлы и hexrays.plw.
По смещению 00124838h (файловому) начинается информация о лицензии (я описывал эти или подобные данные в одном из предыдущих постов):
dd -- некое число, возможно, s/n (не интересовался)
dd -- ноль
db 10 -- набор байт
db xx -- имя пользователя
Это все можно заменить на что угодно, с сохранением работоспособности.
По смещение 1265C5h (файловому) начинается секретный watermark.
Спрятан он среди других данных. Всего 3 байта.
Вот конкретнее:
IDA v5.5, HexRays v1.1, один источник [92 08 C8]:
.10127DA0: 40 63 6F 6D-6D 65 6E 74-5F 74 40 40-51 41 45 58 @comment_t@@QAEX
.10127DB0: 58 5A 40 00-28 B4 0F 10-67 72 61 70-68 5F 63 74 XZ@ (┤ graph_ct
.10127DC0: 00 00 00 00-54>92-08-C8<1C 21 10 10-00 00 00 00 TТ ╚ !
.10127DD0: 2E 3F 41 56-73 65 71 75-65 6E 63 65-5F 74 40 40 .?AVsequence_t@@
.10127DE0: 00 00 00 00-00 00 00 00-1C 21 10 10-00 00 00 00 !
.10127DF0: 2E 3F 41 55-63 66 6E 65-67 73 5F 70-61 63 6B 5F .?AUcfnegs_pack_
.10127E00: 74 40 3F 31-3F 3F 63 63-6D 70 5F 70-61 63 6B 5F t@?1??ccmp_pack_
IDA v6.1, HexRays v1.1, другой источник [A1 3D 62]:
.10127DA0: 40 63 6F 6D-6D 65 6E 74-5F 74 40 40-51 41 45 58 @comment_t@@QAEX
.10127DB0: 58 5A 40 00-28 B4 0F 10-67 72 61 70-68 5F 63 74 XZ@ (┤ graph_ct
.10127DC0: 00 00 00 00-54>A1-3D-62<1C 21 10 10-00 00 00 00 Tб=b !
.10127DD0: 2E 3F 41 56-73 65 71 75-65 6E 63 65-5F 74 40 40 .?AVsequence_t@@
.10127DE0: 00 00 00 00-00 00 00 00-1C 21 10 10-00 00 00 00 !
.10127DF0: 2E 3F 41 55-63 66 6E 65-67 73 5F 70-61 63 6B 5F .?AUcfnegs_pack_
.10127E00: 74 40 3F 31-3F 3F 63 63-6D 70 5F 70-61 63 6B 5F t@?1??ccmp_pack_
Вот и все отличия по HexRays, например.
И это все можно заменить на что угодно, с сохранением работоспособности. Например, написать туда числа 46 43 4B (FCK), что каг бэ будет намекать на имя автора. Ну и не только.
Поэтому я бы то, что я описывал - осуществил. Бояться нечего. Нужно просто внимательно сравнить все файлы дистрибутивов. А так же все time stamp и case у имен файлов.
Программа-минимум - Hex-Rays v1.5
Давайте хотя бы добьем hexrays v1.5 - это всего один файл. (Если еще с ARM - два файла). Как вы видите, отличий не так много. Они реально проверяемы.
IDA v6.1 сейчас утекла китайская, пусть с кривизной, но уже выправили почти все, что нужно. Остался на текущий момент - HexRays v1.5. То есть, давайте по нижеобозначенной схеме просто обменяемся новым HexRays, а использовать его будем с утекшой IDA v6.1 (ее сейчас подшлифовывают, за неделю все утрясется в плане тестирования и проч.). На первое время этого хватит.
Дополнено: еще бы idaq64.exe достать (причины в разделе чем плох IDA v6.1)
Как обеспечить безопасность неутекания конкретной версии от конкретного supplier?
Необходимо произвести обмен своими пакетами по принципу "круговой поруки", т.е. "каждый с каждым". В итоге, каждый, кто предоставил пакет IDA/HexRays, будет так же обладать такими же пакетами от других поставщиков. Тем самым обеспечивается безопасность от возможного "слития" чужого дистрибутива (это почти как "Ядерный паритет").
Если есть как минимум два официальных пользователя, доверяющих более-менее друг другу, можно начать с малого. Пусть сами обменяются между собой, и проверят. Больше ли отличий в том же HexRays, чем указано в моем посте. Или сравнимо (т.е. можно реализовывать описанную схему).
Дальше можно опубликовать эту часть информации. Просто информацию вида: "Мы сравнили, разницы почти нет, можно делать -- нужны еще люди". Т.е. сделать работу поэтапно.
Важно сделать одну простую вещь -- начать.
[!] Вы можете сравнить самостоятельно!
Кстати, если у кого-то есть сейчас на руках свой купленный релиз IDA v6.1 - сравните с китайской. Вам вообще не потребуется отдавать что-либо кому-либо. Сравните сами, и выложите (можно анонимно) мнение/информацию о том насколько сильно отличаются данные. (Естественно, версия/билд должны быть теми же). Это уже даст понимание текущей ситуации.
Я могу предоставить все нужные файлы, чтобы вам их не искать. Задача простая - сравнить.
Поддержите данную инициативу. Скиньте своим друзьям-знакомым реверсерам. В т.ч. и иностранным (могу перевести суть на английский).
Чем плох утекший IDA v6.1?
В пятницу утек китайский IDA v6.1 (владелец: 9D0DB147h, "Gu Tian Ren, Cai"). Кратко: в нем Hex-Rays v1.1, т.е. уже имеющийся (а не ожидаемый v1.5 от 04/2011). И еще ряд проблем, которые уже решены (частично) -- решения обкатываются пользователями.
Не решена на данный момент (и никак не может быть решена, не делая то, что здесь описано) проблема отсутствия файла idaq64.exe. Это не дает возможности анализировать x64-файлики: "Please use 64-bit IDA to load AMD64 files".
P.S. Кстати, если кому интересно - можно пощелкать по тэгу ida в журнале. Там еще кое-какие моменты будут. И дополнительно: человек борется вовсю с пиратством, с всякими гадами и злодеями, нарушающими законы и т.д. Ну вы поняли, типичный такой борец, да. А на деле в России продавал IDA, складывая деньги в коробку картонную. Никаких чеков (соответственно, никакой защиты потребителя), никаких налогов. В лучших традициях, в общем. Сейчас (последние несколько лет) продажей в России занимается некая контора, никакого отношения к security/reversing не имеющая, видимо, просто бывшие друзья (раньше этим занималась бабушка в коморке в одном из университетов). Платит ли эта контора налоги и как оформляется сделка (особенно с частными лицами) - не знаю, не проверял.
P.P.S. Вот еще на английском хорошо по делу сказано:
"The IDA Pro disassembler and the Hex-Rays decompiler are not only very expensive tools, but they are very difficult to purchase. Due to constant problems with piracy, these days they will only sell their products to three areas;
(1) governments/law enforcement,
(2) very well established corporations (typically well known security research people),
(3) very well established university researchers.
Typically, they refuse to sell to individuals, but there is a fourth class of customers who are individuals; very old customers like me who have a perfect track record of maintaining possession of their copy of the software.
Every copy of the software is custom compiled and watermarked so it is traceable to a particular person. Every database created by the software is also watermarked, so when someone who is not a licensed customer publishes a database (.idb), the software can be traced and the account will be terminated (i.e. no further purchases allowed)"
Распространение этой записи в любой форме (или ссылок на нее) всячески приветствуется
Ввиду того, что условия легального приобретения IDA в данный момент носят уже ярко выраженный маразматичный характер (разве что при приобретении не предлагают пройти дактилоскопию и оставить био-материал для анализа ДНК), предлагаю поспособствовать развитию reverse engineering и выступить в роли ФАС по отношению к компании Hex Rays. (Так как в данный момент, благодаря естественной монополии, а так же определенным психическим отклонениям у собственника, приобрести данный продукт практически невозможно).
Оглавление:
- Пример неадекватных требований
- Действие
- Как осуществить задуманное?
- Почему это будет работать?
- Программа-минимум - Hex-Rays v1.5
- Как обеспечить безопасность неутекания конкретной версии от конкретного supplier?
- Чем плох утекший IDA v6.1?
- Анализ IDA v6.1 на предмет watermarks (New!)
- Анти-витиеватость IDA v6.1 (New!)
- Моя переписка с Ильфаком - после чего я был забанен со словами "пошел на ..." (New!)
Если есть какие-то предложения, дополнения, идеи и проч. - пишите сюда, в lj, или по ICQ 38890179, ICQ 667169, или на sp0raw@mail.ru
Ссылка на автоматический перевод на английский язык этой записи. (Если будет надо, переведу условно-нормально).
Пример неадекватных требований
- Частный пользователь не может приобрести Advanced (Расширенную) версию вообще. (т.е. частный пользователь не имеет возможности анализировать что-либо отличное от x86, никакие другие процессоры, в т.ч. x64)
[есть непроверенная информация, что приобрести Advanced частный пользователь сможет через 3-4 года владения версией Standard; возможно, все же потребуется дополнительно дактилоскопия и еще какие-нибудь анализы] - Российская компания должна приобрести продукт со сроком подписки минимум на 2.5 года (т.е. в 2.5 раза дороже, например, в случае, если поддержка продукта необходима всего лишь на один год или вообще не нужна),
цитата: "В России Hex-Rays могут приобрести организации и частные лица, с непрерывным сроком поддержки лицензии не менее 2,5 лет".
В числах это выглядит так: 33'019р + 69'559р (или 105'600р), * 2.5 = 256'445р (346'548р) vs 102'578р (138'619р). Но даже это неважно. Купить вы все равно, скорее всего, не сможете. Смотрим дальше. - Чужая цитата на английском языке. Ее краткое содержание: Advanced версии не продаются вообще никому, кроме: государственных организаций; коммерческих компаний, существующих на рынке длительное время, + зарекомендовавших себя в этой области; частных исследователей, имеющих весомое имя (и не противных лично Ильфаку -- добавка от меня :)). В основном, продажи частным пользователям Advanced версии не осуществляются. Только по нереальному блату (как и говорилось выше), уже "доверенным" людям. По сути, очень похоже на торговлю наркотиками у знатного барыги (этот комментарий от меня).
- Вот еще реальный пример (вообще, их масса): "Сам обломался с покупкой IDA+HR на контору (не профиль), хотя это основной инструмент в моей работе" © NaumLeNet.
- А вот еще цитата из официального pdf для заказа (во втором то же): "Purchase orders are accepted from governmental organizations and well known businesses for multiple license orders".
Действие
Очевидно, что в данный момент существует ряд пользователей, которые, пройдя определенный путь издевательств со стороны данной компании, все же смогли стать "счастливыми обладателями" данного продукта.
Предлагаю произвести следующее действие: public-release данного продукта.
Существующие ограничения: в нем есть key-file и watermarks, необходимые для обеспечения противодействия подобным инициативам.
В принципе, чем-то подобным, если не изменяет память, в какой-то период времени мы пытались заниматься еще во время жизни FidoNet, т.е. где-то вначале 2000-х или даже в конце 90-х. (Привет, R.)
Как осуществить задуманное?
- Необходимо получить 3 и более (достаточно для сравнения) полных комплекта от разных поставщиков. Желательно, чтобы были не только Российские пакеты (уменьшает возможность выявления утечки хотя бы на уровне страны). Релизы должны быть одной версии (для точного сравнения).
- Провести сравнение и выявить места возможных неочевидных watermarks, указывающих либо на конкретного клиента, либо на поставщика.
- Вычистить watermarks, создав релиз, совершенно непохожий ни на один из представленных пакетов.
- Сделать патч-с-кейгеном.
- Сделать патч, убирающий проверки на базы, сделанные с blacklisted-key.
- Сделать 0day-релиз.
Возьмем hexrays.plw из IDA v5.5 в сравнении с копией из IDA v6.1 (к сожалению, происхождение плагина там неизвестно, но будем надеяться, что это другая легальная копия, а не из релиза 5.5, иначе этот раздел сильно теряет свою значимость -- можно посмотреть будет позже)
UPDATE: На самом деле в китайской утечке hexrays.plw (HexRays v1.1) от пиратской v5.5t, поэтому то, что написано ниже про сравнение - не имеет особого смысла. Там просто вписаны timestamp установки и support expiration. См. более новый пост про .wll-файлы и hexrays.plw.
По смещению 00124838h (файловому) начинается информация о лицензии (я описывал эти или подобные данные в одном из предыдущих постов):
dd -- некое число, возможно, s/n (не интересовался)
dd -- ноль
db 10 -- набор байт
db xx -- имя пользователя
Это все можно заменить на что угодно, с сохранением работоспособности.
По смещение 1265C5h (файловому) начинается секретный watermark.
Спрятан он среди других данных. Всего 3 байта.
Вот конкретнее:
IDA v5.5, HexRays v1.1, один источник [92 08 C8]:
.10127DA0: 40 63 6F 6D-6D 65 6E 74-5F 74 40 40-51 41 45 58 @comment_t@@QAEX
.10127DB0: 58 5A 40 00-28 B4 0F 10-67 72 61 70-68 5F 63 74 XZ@ (┤ graph_ct
.10127DC0: 00 00 00 00-54>92-08-C8<1C 21 10 10-00 00 00 00 TТ ╚ !
.10127DD0: 2E 3F 41 56-73 65 71 75-65 6E 63 65-5F 74 40 40 .?AVsequence_t@@
.10127DE0: 00 00 00 00-00 00 00 00-1C 21 10 10-00 00 00 00 !
.10127DF0: 2E 3F 41 55-63 66 6E 65-67 73 5F 70-61 63 6B 5F .?AUcfnegs_pack_
.10127E00: 74 40 3F 31-3F 3F 63 63-6D 70 5F 70-61 63 6B 5F t@?1??ccmp_pack_
IDA v6.1, HexRays v1.1, другой источник [A1 3D 62]:
.10127DA0: 40 63 6F 6D-6D 65 6E 74-5F 74 40 40-51 41 45 58 @comment_t@@QAEX
.10127DB0: 58 5A 40 00-28 B4 0F 10-67 72 61 70-68 5F 63 74 XZ@ (┤ graph_ct
.10127DC0: 00 00 00 00-54>A1-3D-62<1C 21 10 10-00 00 00 00 Tб=b !
.10127DD0: 2E 3F 41 56-73 65 71 75-65 6E 63 65-5F 74 40 40 .?AVsequence_t@@
.10127DE0: 00 00 00 00-00 00 00 00-1C 21 10 10-00 00 00 00 !
.10127DF0: 2E 3F 41 55-63 66 6E 65-67 73 5F 70-61 63 6B 5F .?AUcfnegs_pack_
.10127E00: 74 40 3F 31-3F 3F 63 63-6D 70 5F 70-61 63 6B 5F t@?1??ccmp_pack_
Вот и все отличия по HexRays, например.
И это все можно заменить на что угодно, с сохранением работоспособности. Например, написать туда числа 46 43 4B (FCK), что каг бэ будет намекать на имя автора. Ну и не только.
Поэтому я бы то, что я описывал - осуществил. Бояться нечего. Нужно просто внимательно сравнить все файлы дистрибутивов. А так же все time stamp и case у имен файлов.
Программа-минимум - Hex-Rays v1.5
Давайте хотя бы добьем hexrays v1.5 - это всего один файл. (Если еще с ARM - два файла). Как вы видите, отличий не так много. Они реально проверяемы.
IDA v6.1 сейчас утекла китайская, пусть с кривизной, но уже выправили почти все, что нужно. Остался на текущий момент - HexRays v1.5. То есть, давайте по нижеобозначенной схеме просто обменяемся новым HexRays, а использовать его будем с утекшой IDA v6.1 (ее сейчас подшлифовывают, за неделю все утрясется в плане тестирования и проч.). На первое время этого хватит.
Дополнено: еще бы idaq64.exe достать (причины в разделе чем плох IDA v6.1)
Как обеспечить безопасность неутекания конкретной версии от конкретного supplier?
Необходимо произвести обмен своими пакетами по принципу "круговой поруки", т.е. "каждый с каждым". В итоге, каждый, кто предоставил пакет IDA/HexRays, будет так же обладать такими же пакетами от других поставщиков. Тем самым обеспечивается безопасность от возможного "слития" чужого дистрибутива (это почти как "Ядерный паритет").
Если есть как минимум два официальных пользователя, доверяющих более-менее друг другу, можно начать с малого. Пусть сами обменяются между собой, и проверят. Больше ли отличий в том же HexRays, чем указано в моем посте. Или сравнимо (т.е. можно реализовывать описанную схему).
Дальше можно опубликовать эту часть информации. Просто информацию вида: "Мы сравнили, разницы почти нет, можно делать -- нужны еще люди". Т.е. сделать работу поэтапно.
Важно сделать одну простую вещь -- начать.
[!] Вы можете сравнить самостоятельно!
Кстати, если у кого-то есть сейчас на руках свой купленный релиз IDA v6.1 - сравните с китайской. Вам вообще не потребуется отдавать что-либо кому-либо. Сравните сами, и выложите (можно анонимно) мнение/информацию о том насколько сильно отличаются данные. (Естественно, версия/билд должны быть теми же). Это уже даст понимание текущей ситуации.
Я могу предоставить все нужные файлы, чтобы вам их не искать. Задача простая - сравнить.
Поддержите данную инициативу. Скиньте своим друзьям-знакомым реверсерам. В т.ч. и иностранным (могу перевести суть на английский).
Чем плох утекший IDA v6.1?
В пятницу утек китайский IDA v6.1 (владелец: 9D0DB147h, "Gu Tian Ren, Cai"). Кратко: в нем Hex-Rays v1.1, т.е. уже имеющийся (а не ожидаемый v1.5 от 04/2011). И еще ряд проблем, которые уже решены (частично) -- решения обкатываются пользователями.
Не решена на данный момент (и никак не может быть решена, не делая то, что здесь описано) проблема отсутствия файла idaq64.exe. Это не дает возможности анализировать x64-файлики: "Please use 64-bit IDA to load AMD64 files".
P.S. Кстати, если кому интересно - можно пощелкать по тэгу ida в журнале. Там еще кое-какие моменты будут. И дополнительно: человек борется вовсю с пиратством, с всякими гадами и злодеями, нарушающими законы и т.д. Ну вы поняли, типичный такой борец, да. А на деле в России продавал IDA, складывая деньги в коробку картонную. Никаких чеков (соответственно, никакой защиты потребителя), никаких налогов. В лучших традициях, в общем. Сейчас (последние несколько лет) продажей в России занимается некая контора, никакого отношения к security/reversing не имеющая, видимо, просто бывшие друзья (раньше этим занималась бабушка в коморке в одном из университетов). Платит ли эта контора налоги и как оформляется сделка (особенно с частными лицами) - не знаю, не проверял.
P.P.S. Вот еще на английском хорошо по делу сказано:
"The IDA Pro disassembler and the Hex-Rays decompiler are not only very expensive tools, but they are very difficult to purchase. Due to constant problems with piracy, these days they will only sell their products to three areas;
(1) governments/law enforcement,
(2) very well established corporations (typically well known security research people),
(3) very well established university researchers.
Typically, they refuse to sell to individuals, but there is a fourth class of customers who are individuals; very old customers like me who have a perfect track record of maintaining possession of their copy of the software.
Every copy of the software is custom compiled and watermarked so it is traceable to a particular person. Every database created by the software is also watermarked, so when someone who is not a licensed customer publishes a database (.idb), the software can be traced and the account will be terminated (i.e. no further purchases allowed)"
Распространение этой записи в любой форме (или ссылок на нее) всячески приветствуется