Der Foxit PDF Reader Hack

nospam@example.com (Peter) — Thu, 09 Nov 2006 20:55:00 +0100

Endlich mal wieder ein richtiger Hack auf diesem Blog. Nein es geht nicht darum meine Allrounderqualitäten zu demonstrieren ;-), zu diesem Hack wurde ich eher zufällig inspiriert. (Apropos Allrounderqualitäten: Auf dem Geburtstag einer Kollegin, forderte mich ebenjene während einem Salsalied zu einem Tanz auf, mal abgesehen davon, dass ich bisher noch nie Salsa getanzt habe und bisher niemand auf dieser Party tanzte, lies ich mir nichts anmerken und tanzte mit ihr. Alle Augen waren auf uns gerichtet, ich verhielt mich professionell und strahlte wie Tschernobyl. Das Beste war als sie mir zwei Tage später sagte, dass ich gut getanzt hätte.)
Der PDF Reader von Foxit Software ist eine höchst interessante Sache, ich verwende ihn unter Windows um PDFs anzuzeigen, er lehnt sich vom Design an den Adobe Reader an, startet einiges schneller und der Download dauert nur 2 MB lang.

Mit dem Foxit Reader kann man auch in bestehende PDFs reinzeichnen und rein schreiben, wenn man sie aber dann abspeichert bleibt das for Evaluation only.

Foxit Reader Normal

Wie bringt man diesen Evaluation Hinweis aus diesem Dokument heraus? Die Geschichte ist einfach man startet einen Hexeditor und lädt die Exe von Foxit, sucht nach dem auftauchen von "Edited by" und überschreibt den Text mit Leerzeichen (0x20).

Dann speichert man das Ganze wieder unter einem anderen Namen. Wichtiger Hinweis: Man kann diesen Text nicht einfach rauslöschen, denn dann würden alle Sprungadressen(Assembler) in der Exe nicht mehr stimmen, und man könnte das Ganze nicht mehr starten. Nach der Bearbeitung dieser Exe sieht das Ganze so aus.

Nicht das ich dieses Feature bräuchte, das Ganze hier ist nur zu rein akademischen Zwecken und wer dieses Feature des Foxit Readers braucht, soll es bei Foxit Software einkaufen gehen.

Reverse Engineering: Online TV Recorder Part I

nospam@example.com (Peter) — Fri, 04 Nov 2005 18:52:14 +0100

Der Online TV Recorder ist eine gute Lösung für Leute die keinen Videorekorder zuhause haben. Man kann sich bei dieser Seite registrieren und die Filme und Serien, welche aufgenommen werden sollen in Auftrag geben und das Ganze völlig kostenlos und legal. Wegen dem Urheberrecht dürfen Aufnahmen, die in den Auftrag gegeben worden sind, jedoch nur von dem Auftraggeber heruntergeladen werden. Um dies sicherzustellen wird ein ausgeklüggeltes System aus Verschlüsselung und Datenbank verwendet. Um die Dateien zu entschlüsseln muss ein Dekoder heruntergeladen werden in welchen man seinen Benutzernamen und Passwort eingeben muss, dieser kontaktiert anschliessend eine Webseite, welchen einen md5-Hash oder ähnlich zurückgibt mit welchem die heruntergeladene Datei entschlüsselt wird. Soweit habe ich es jedenfalls herausgefunden. Die Webseite gibt den Hash nur einmal aus, wird also während dem Entschlüsselungsvorgang abgebrochen ist die Datei oder zumindest ein Teil von ihr verloren.

Also Denke ich probier wir das Ganze mal aus, ich gebe meine Benutzerinformationen und das Inputfile an und klicke auf Decode, siehe da meine Firewall schlägt an und meldet einen Verbindungsversuch, welchen ich erstmal abwehre, die Datei kann nicht enschlüsselt werden. Beim nächsten Mal lasse ich das Programm passieren und meine Sendung wird einwandfrei und in guter Qualität entschlüsselt, leider aber im WMV-Format.

Sehen wir uns das mal unter der Lupe an, mit Lupe ist hiermit Hacker's Best Friend gemeint, das kommerzielle Programm IDA Pro, welches vorallem in der Virenanalyse zum Einsatz kommt. Ich öffne den Decoder also in IDA, und sehen wir da, kryptisch aussehende Daten und den verdächtigen String UPX1, d.h. das Programm ist mit dem Binary Packer UPX gepackt worden, welcher unteranderem für Viren verwendet wird, dass das Binary klein und unlesbar wird, sprich nicht gleich zu disassemblieren. Also starten wir das Programm UPX mit dem Parameter d wie decompress, und schau das Programm des Mannes, dessen Technologie auch von der NASA für Spirit und Co verwendet wird entpackt das Programm ohne zu meckern.

Erneut geöffnet in IDA blickt uns lesbarer Intel-Assembler Code entgegen. Als erstes suche ich der Einfachheit halber nach einer URL und man glaubts kaum, Volltreffer!. Jetzt brauche ich nicht einmal mehr den Netzwerk Sniffer Ethereal einzusetzen um auf die URL zu kommen. Ich tippe sie einfach in meinen Browser ein und fülle die Lücken mit Email, Passwort und Dateiname, der Browser liefert einen 32-Bit MD5, RIPEMD-128 ähnlichen Hash zurück, welcher höchstwahrscheinlichst zufällig generiert wird, in der Datenbank gespeichert und die Datei mit diesem verschlüsselt.

Ich kopiere den Hash und alterniere die URL des Decoder Binary mit einem HEX-Editor in eine URL auf meinem Server, und lade eine Datei an den Pfad die den Hash enthält, so kann ich die Datei trotzdem entschlüsseln! Das Programm läuft weiter als hätte es nichts gemerkt, hat es ja auch nicht, Passwort, Dateinamen und Email sind jetzt egal, alles was zählt ist der Hash, welcher der Schlüssel ist um die Videodatei zu entschlüsseln. Als nächstes werd ich wahrscheinlich die verwendete Kryptographie aufs Korn nehmen, wann steht in den Sternen.

Peter's Insider Blog - Reverse Engineering

Der Foxit PDF Reader Hack

Reverse Engineering: Online TV Recorder Part I