dimanche 7 septembre 2008

Bâches, suite (ou comment finir le challenge T2 en 2 minutes)

Et oui, j'ai rattrapé quelques flux RSS de retard pendant ce week-end pluvieux :)


1. Tout d'abord le piratage. Il est responsable de tous les maux, comme d'habitude. Mais de là à déclarer:
(...) selon Henri Dumoulin, responsable de Pathé Nord. « Le piratage nous a joué un petit tour », a-t-il déclaré à l'AFP. « En 1998 (date de sortie de Titanic), il n'y avait pas d'internet à haut débit. »
... il y a un pas.

2. Un cas d'école de fuite d'information.


Je vous fait grâce de mon avis sur les réponses obtenues, par contre j'aime bien ce passage:
I am reminded as a result of reading your note on new Cyber strategies, about a place I used to work that constructed aerospace components for the many companies that offered their goods to the USA military machine. One of these devices were housings machined to contain the electronics which was capable of jamming the navigation signal of the French Exocet missile.

When the target, usually a ship, is acquired from the radar of the jet fighter, the navigation was transferred to the missile's gyro system so that once released from under the wing of the fighter, the missile was on it's own to reach it's designated target. Raytheon, a Canadian designer of anti aircraft and anti missile electronics developed a signal to send to the incoming missile that would instruct the missile to turn around and return to the jet from whence it came. Needless to say the pilot would have a sudden digestive problem once it became known the missile he just launched was coming back for a visit.
3. Et enfin, le challenge T2.

Pour mémoire, il s'agit d'un challenge annuel de reverse enginnering, qui attire chaque année un grand nombre de participants de qualité, même s'il n'y a rien à gagner (à part un aller-retour en Finlande). C'est probablement le manque du challenge Securitech qui se fait sentir :)

Le challenge 2008 a commencé samedi matin à 9h, heure française. L'objectif est un peu différent des années précédentes, puisque cette fois-ci l'objectif est de retrouver une adresse email cachée dans un Tetris 3D.

Par curiosité, je télécharge et je lance l'exécutable sur mon Vista 32-bits. Comme souvent avec ces challenges bourrés d'astuces Windows, rien ne se passe. Il y a probablement des valeurs spécifiques à Windows XP SP2 "en dur" dans le programme.

Toutefois un processus "challenge.exe" est présent en mémoire, Vista va donc me permettre (via le Task Manager) de créer un fichier de vidage au format "minidump applicatif".

A tout hasard, je cherche une adresse email (toujours faire simple avant de chercher compliqué ;) :

C:\> strings -n 8 Challenge.DMP | findstr @ | more
(...)
Please, contact support@oreans.com. Thank you!
(...)

Oreans.com ... Les auteurs du packer Themida ?

Il suffit d'attacher KD et de consulter le DebugView pour s'en rendre compte:

Waiting to reconnect...
Connected to Windows XP 2600 x86 compatible target, ptr64 FALSE
Kernel Debugger connection established.
Symbol search path is: SRV*C:\WINDOWS\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is: 
Windows XP Kernel Version 2600 UP Free x86 compatible
Built by: 2600.xpsp_sp2_rtm.040803-2158
Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055ab20
System Uptime: not available
ERROR: DavReadRegistryValues/RegQueryValueExW(4). WStatus = 5
ERROR: DavReadRegistryValues/RegQueryValueExW(5). WStatus = 5
ERROR: DavReadRegistryValues/RegQueryValueExW(6). WStatus = 5
SYNC:DriverEntry.
SYNC:DriverEntry - Done.

%s------------------------------------------------
---          Themida Professional            ---
---      (c)2007 Oreans Technologies         ---
------------------------------------------------

watchdog!WdUpdateRecoveryState: Recovery enabled.

Et oui ! Cette année le challenge T2 consiste simplement à dumper un binaire protégé par Themida. Désolé les gars, mais si vous voulez une évaluation de votre protection commerciale par des experts du domaine, je peux vous envoyer une propale ...

4 commentaires:

Vincent a dit…

News0ft: C'est probablement le manque du challenge Securitech qui se fait sentir :)

ESS, atelier rootme !

Anonyme a dit…

LOL NON! Reaction de serpi à ce sujet? :)

Anonyme a dit…

http://www.google.fr/search?q=Please%2C+contact+support%40oreans.com.+Thank+you!&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-GB:official&client=firefox-a

Petit joueur! C'est le message d'erreur en cas d'exception fault :-) Je me disais aussi. :-)

Anonyme a dit…

En fait l'intérêt du challenge n'est il pas plutôt de péter le score au tetris 3D ? perso je préfère tetrinet mais bon ...