精睿(vc52).网络安全

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 51863|回复: 645

[原创] eset一些研究

    [复制链接]
发表于 2016-1-27 16:51 | 显示全部楼层 |阅读模式

马上注册,查看更多内容,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
本帖最后由 zater001 于 2017-4-18 11:55 编辑

目录:
2.如何能够欺骗eset,让到期时间想多久就多久?
4.如何处理update.ver文件。
5.ESET服务器如何区分你是软件更新还是认为更新的。
21.ESETid与密码存放
23.v9自定义更新服务器
43.esetv10的自定义服务器的方法
47.esetv10到期日欺骗
 楼主| 发表于 2017-3-10 00:40 | 显示全部楼层
esetv10的自定义服务器的方法
修改这个注册文件,然后重新导入就可以升级了然后想要升级可以使用ieset server或mirror进行更新即可。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
回复 支持 反对

使用道具 举报

发表于 2016-1-27 23:22 | 显示全部楼层
支持
回复 支持 0 反对 1

使用道具 举报

 楼主| 发表于 2016-1-27 16:53 | 显示全部楼层
本帖最后由 zater001 于 2016-1-29 17:06 编辑

如何能够欺骗eset,让到期时间想多久就多久?
eset会发送一个get请求到expire.eset.com\getlicexp
内容如下:
<?xml version="1.0" encoding="utf-8"?>
<GETLICEXP>
<SECTION ID="1000103">
  <LICENSEREQUEST>
   <NODE NAME="UsernamePassword" VALUE="" TYPE="STRING" />
   <NODE NAME="Product" VALUE="essbe" TYPE="STRING" />
   <NODE NAME="Version" VALUE="8.0.319.1" TYPE="STRING" />
   <NODE NAME="Language" VALUE="804" TYPE="DWORD" />
   <NODE NAME="UpdateTag" VALUE="" TYPE="STRING" />
   <NODE NAME="System" VALUE="6.1" TYPE="STRING" />
   <NODE NAME="EvalInfo" VALUE="0" TYPE="DWORD" />
   <NODE NAME="ProductCode" VALUE="6E" TYPE="DWORD" />
   <NODE NAME="Platform" VALUE="Windows" TYPE="STRING" />
  </LICENSEREQUEST>
</SECTION>
</GETLICEXP>
应该可以看出一些名堂吧。
然后服务器会回馈一个请求。内容类似于下面的内容。
<?xml version="1.0" encoding="utf-8" ?>
<GETLICEXP>
<SECTION ID="1000103">
<LICENSEINFO>
<NODE NAME="ExpirationDate" VALUE="579de840" TYPE="DWORD" />
<NODE NAME="ExpirationState" VALUE="0" TYPE="DWORD" />
<NODE NAME="ExpirationNotifyDays" VALUE="e" TYPE="DWORD" />
<NODE NAME="DistributorGUID" VALUE="100" TYPE="STRING" />
<NODE NAME="LicenseType" VALUE="4" TYPE="DWORD" />
<NODE NAME="LicenseCategory" VALUE="3" TYPE="DWORD" />
<NODE NAME="LicenseCancelledFlag" VALUE="0" TYPE="DWORD" />
<NODE NAME="PasswordChangedFlag" VALUE="0" TYPE="DWORD" />
<NODE NAME="InfoMessage" VALUE="" TYPE="STRING" />
<NODE NAME="LinkUrl" VALUE="" TYPE="STRING" />
<NODE NAME="IsEvalVersion" VALUE="0" TYPE="DWORD" />
<NODE NAME="RedirectionToken" VALUE="&resellerId=0&partnerId=100&licProdCode=110&batchCode=VC25" TYPE="STRING" />
</LICENSEINFO>
</SECTION>
</GETLICEXP>
这里就是相关的数据。
579de840就是到期的时间这个是16进制,转换为10进制1469966400。
http://tool.chinaz.com/Tools/unixtime.aspx
就可以获得时间为2016/7/31 20:0:0
所以如果要任意修改时间的话,就可以把这个值修改为任意值。比如2021/12/31等,然后hosts劫持,让他读取本地文件即可。


从本质上说,没有任何效果,其不会更改eset服务器的到期时间。这个就开心就好代码参考16楼





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

点评

大神能给你服务端的程序参考看看吗?  详情 回复 发表于 2016-1-28 11:58

评分

参与人数 1金币 +10 收起 理由
叶子 + 10 感谢提供分享

查看全部评分

回复 支持 反对

使用道具 举报

发表于 2016-1-27 16:54 | 显示全部楼层
不明觉厉  支持楼主继续研究  期待成果
回复 支持 反对

使用道具 举报

 楼主| 发表于 2016-1-27 17:14 | 显示全部楼层
如何处理update.ver文件。
每一次更新都会出现一个update.ver文件。
他的下载位置一般是这样的,不建议直接下载,因为eset是有header的,用来区分人和eset的区别的。
以v8为例:下载地址是:http://xxxx.com/eset_upd/v8/update.ver
v9,下载地址是:http://xxxx.com/eset_upd/v8/update.ver
那updatev.ver是怎样的呢?
把后缀名改为.rar,用winrar解压缩就可以找到了。
就像这样

前面不重要,会告诉你一些服务器的位置之类的。
以下面为重要的。
[W10UPGRADE0]
version=1000 (20150723)
versionid=1000
build=1000
type=w10upgrade
category=engine
level=0
base=268435456
date=23.07.2015
platform=x86
group=w10upgrade
buildregname="W10UpgradeBuild"
file=/v8-rel-sta/mod_041_w10upgrade_1005/em041_32_l0.nup
size=118835
告诉你下载的地址,大小和平台分组等等都和eset有着对应,重构这个就可以实现私人服务器了。‘
当然下载的位置/v8-rel-sta/mod_041_w10upgrade_1005/em041_32_l0.nup
就对应的http://xxxx.com/eset_upd/v8-rel- ... 005/em041_32_l0.nup
这里就一般可以下载了。
不过如果要私人服务器,就要把file的位置进行配置。
那还有一个重要的问题是,我的id和password用在哪儿?
当你要下载这个文件时,会提示你登录,这是就要用到eset的id和password。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
回复 支持 反对

使用道具 举报

 楼主| 发表于 2016-1-27 17:22 | 显示全部楼层
ESET服务器如何区分你是软件更新还是认为更新的。
在发送update.ver以及下载的一系列的文件时时候,会有一个header的东西,一般我们日常上网服务器会收到这样一个header。
Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.82 Safari/537.36
这边用的是chrome浏览器。
当我们打开一个网站或之类时,会自动的发送一个类似于这样的东西以及一些其他的信息在这个请求包中。凭借这个就可以区分是用户还是机器了。
当然这个是可以作假的。
----------------------------------------------
那么eset是的header是这样的呢?
类似与这样的:
ESS Update (Windows; U; 32bit; PVT F; BPC 8.0.319.1; OS: 6.1.7601 SP 1.0 NT; TDB 24801; CL 1.1.1; x64c; APP essbe; BEO 1; ASP 0.0; FW 0.0; PX 0; PUA 1; CD 1; RA 0; HWF: FFFFFFFFFF-FFFF-FFFF-FFFF-FFFF012345; PLOC zh_cn; PCODE 110.40.0; PAR 0; ATH 2; DC 0)
当然里面会包含系统的版本,eset的版本之类的,还有一个机器码。
这就可以区分一个又一个的机器。
回复 支持 反对

使用道具 举报

发表于 2016-1-27 18:18 | 显示全部楼层
本帖最后由 figoshen 于 2016-2-4 10:14 编辑

有效期再长也没有卵用
更新痛毒的 ID 通不通过取决于服务端
回复 支持 反对

使用道具 举报

发表于 2016-1-27 20:01 | 显示全部楼层
学习了,谢谢。
回复 支持 反对

使用道具 举报

发表于 2016-1-27 21:57 | 显示全部楼层
厉害,研究的比较深刻啊
回复 支持 反对

使用道具 举报

发表于 2016-1-27 22:53 | 显示全部楼层
学习了,谢谢。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|文字版|RSS|站长邮件|精睿.网络安全 ( 鄂ICP备07005250号 )

GMT+8, 2018-1-17 21:12 , Processed in 0.130058 second(s), 28 queries , Gzip On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表