Как снять пароль на изменение документов Microsoft Office

Иногда некоторые файлы, созданные в Microsoft Office, защищают от редактирования. Это могут быть какие-нибудь договора, счета и т.п. документы, которые после оформления не должны быть случайно или намеренно изменены. Но, как говорится, если нельзя, но очень нужно, то можно. В домашних условиях можно применить какой-нибудь инструментарий, специально заточенный для подбора или взлома паролей или открыть документ в OpenOffice, который клал с пробором на такие "защиты". А как быть в условиях офиса или на чужом компьютере? Сейчас я расскажу как можно снять пароль на редактирование документа с помощью подручных средств.

Читать статью целиком »

Автоматические распаковщики исполняемых файлов

Автоматические распаковщики исполняемых файлов предназначены для снятия навесных протекторов и упаковщиков с PE-файлов без применения других инструментов. Безусловно, ручная распаковка - это круто, но когда реверсинг поставлен на поток или не хватает навыков для снятия серьезных протекторов, то автоматические распаковщики будут очень кстати. Наиболее мощные распаковщики находятся в привате, но есть много хороших инструментов и в свободном доступе. Часть из них я выложу здесь с небольшими описаниями.


Начнем с универсальных распаковщиков. Лидер в этой категории - Quick Unpack, уникальный продукт, не имеющий аналогов в мире. Позволяет за несколько секунд снимать более сотни известных пакеров и протекторов, а также новые и неизвестные пакеры. Более подробное описание возможностей есть в прилагаемой документации. Над программой в разное время работали разные люди, сейчас разработку Quick Unpack поддерживает команда tPORt.

Читать статью целиком »

Исследование защиты программы eXeScope

eXeScope - одна из моих любимых программ для работы с ресурсами исполняемых файлов. Последняя версия 6.50, давно не обновлялась, но на работоспособность это никак не влияет. eXeScope предоставляет широкий выбор инструментов как для начинающего исследователя, так и для профессиональных реверсеров: вывод информации о заголовке, функциях импорта, просмотр различных ресурсов с возможностью их редактирования, импорта и экспорта. А также eXeScope сам может оказаться неплохим объектом для исследования, потому что программа шароварная с двухнедельным испытательным периодом.

Читать статью целиком »

Пересборка инсталлятора Punto Switcher

Программа Punto Switcher - это автоматический переключатель русской и английской раскладок клавиатуры. Когда вы забываете переключить раскладку с русской на английскую и наоборот, то вместо "Windows" получается "Цштвщцы", а вместо "молоко" - "vjkjrj". Punto Switcher это исправит - раскладка будет переключаться автоматически. Сама программа исключительно полезная, но после покупки ее Яндексом, в дистрибутиве стало слишком много чужеродного. Сам дистрибутив потяжелел почти до 3 мегабайт, в процессе инсталляции навязчиво предлагает сделать Яндекс домашней страницей, установить Яндекс.Трояна и вообще весь стал ходячей рекламой. Это плохо, значит будем исправлять все недоработки авторов.

Читать статью целиком »

Программы для анализа исполняемых файлов

Перед атакой на любую навесную защиту полезно узнать какой упаковщик или протектор был использован. С опытом вы сможете определять на глаз большинство протекторов, но для более точной проверки используются анализаторы исполняемых файлов. Кроме информации об упаковщике или протекторе они также предоставляют много других полезных данных: каким компилятором был создан файл, размеры и названия секций, коэффициент сжатия, точку входа и дизассемблированный фрагмента кода на ней, и др. В разных программах список возможностей может различаться.


PEiD, последняя версия 0.95 от ноября 2008 года. Самый популярный анализатор исполняемых файлов. Анализ производится по внутренней и внешней базе сигнатур, есть несколько уровней сканирования от быстрого до глубокого, можно обрабатывать целые каталоги. Функционал легко расширяется внешними плагинами, сигнатуры хранятся в отдельном текстовом файле, так что вы легко можете добавлять туда свои собственные. Для работы с базой сигнатур написана специальная программа PEiDSO. Разработчикам плагинов в комплекте прилагается SDK с примерами на разных языках программирования и описанием API. Скачать PEiD можно с офсайта, но в этом случае нужный набор плагинов и сигнатур вам придется собирать самим. Поэтому я выкладываю тут свою сборку, которой сам пользуюсь. На глобальность она не претендует, так что и критика тоже не принимается.

Читать статью целиком »