Archives du blog

vendredi 15 juillet 2011

My sweet paranoïd Spotify...

Récemment on m'a demandé si c'était possible d'enlever la pub sur Spotify alors forcément j'ai relevé le challenge =)

Le problème c'est que Spotify c'est vraiment l'archétype d'une application paranoïaque ! Le pire c'est qu'elle se permet de se fermer toute seule au moindre lancement de débogueur ; et attention, je ne parle pas juste d'attacher le processus a olly, juste le lancer sans rien faire d'autre et on se prend une trappe !

Alors ma curiosité émoustillée je vais gratter un peu plus loin :

 J'essaie d'ouvrir sous IDA et j'ai pas plus d'indice...Résultat : coincé a la porte d'entrée quoi...
Un peu de recherche sur le net parce-que le reverse c'est pas vraiment ma compétence principale et je tombe sur un truc très interessant

spotify-vs-ollydbg

"The Macintosh version of Spotify has no anti-debugger protection at all"

C'est marrant qu'on fasse plus confiance au publique mac qu'à ceux du PC ... Si vous suivez le reste de l'article qui est pas trop mal foutu vous saurez pourquoi je déteste Apple et le reste du monde :D

Thanks to Hermance =)

5 commentaires:

  1. Merci pour le lien, je connaissais pas ce trick :)

    En tout cas ils sont sacrément tordus chez themida ^^

    RépondreSupprimer
  2. De rien ;)

    Ils m'ont bien donnés du fil a retordre oui...
    Mais je remarque que mes 20 heures de période d'essai reste indéfiniment au fur et a mesure que je fait planter l'application avec olly ! Je \o/

    RépondreSupprimer
  3. Et en attach ça déconne aussi ? Bizarre ça. Ils doivent avoir une loop routine qui check. M'enfin, la plupart du temps, ces protections se font soit par un examen de la table des processus (auquel cas c'est pourrave, suffit' limite de renommer olly.exe) soit par les API systèmes (IsDebugguerPresent). Dans tous les cas, j'ai souvenir d'un plugin Olly que j'utilisais pour contourner ces trucs là...

    http://www.openrce.org/downloads/details/111/IsDebuggerPresent

    A tester =)

    RépondreSupprimer
  4. (J'ai delete pour éviter le triple post, mais blogger c'est de la merde...).

    https://www.hackerzvoice.net/phpBB3/viewtopic.php?f=69&t=3419

    Thread intéressant, à vérifier (j'ai pas de Windows sous la main).

    Ceci étant après lecture approfondie du lien que tu as cité, il s'avère que c'est beaucoup plus tordu que ça...j'ai la flemme de lire autrement qu'en diagonale, mais ils exploitent un bug de bcc ?! Jamais vu ça \o/.

    RépondreSupprimer
  5. Plop, non troll pas sur blogger !
    En effet sympa le post =) oui ils ont une routine qui check mais pas que :/ même en passant IsDebuggeurPresent y'a toujours ça :

    2^63 - 0.5 = 111111111111111111111111111111111111111111111111111111111111111.1

    ça fait inévitablement sauter olly.

    "That number is not representable as a signed 64-bit int, and the FPU throws an exception. The debugger dies, and since the bad number is still on the FPU stack, it is able to kill the next debugger as well."

    RépondreSupprimer