havij

Havij v1.16 Pro Cracked（9.27更新警告）

coolice2012-09-26共171536人围观，发现 28 个不明物体工具

9.27 UPDATE警告
Freebuf团队发现此软件绑有木马，请谨慎下载。
感谢MR.Table提供线索。
相关证明：

原文：
作者:Vexs [x-bug team]

Havij v1.16 Pro发布一段时间了，程序本身的破解应该很多人都能搞，但加了个VMP壳，一直没见到有Cracked发布。
最近发现来自海湾地区[ AoRE Team ]组织的Service Manual小伙子(没看错，这确实是他的代号，“服务手册”？)搞出了一个Loader，测试了下，还行。
压缩包的名称是:Portable Cracked by Service Manual [ AoRE Team ].rar。

原贴在这里：
http://www.aoreteam.com/vb/showthread.php?p=72967
但这个论坛比较不好注册，我发现另一论坛有人转载了，恰好我有那个论坛的帐号。
http://ashiyane.org/forums/showthread.php?p=413644
这个是免安装程序，打包成了Portable版本，运行程序后会把文件释放在系统目录下，主要是里面那个Havij_Load.exe是关键，提出来即可，由于这是加载器，可能不太稳定。

无图无真像，补下图：

下载
网盘下载

via:[x-bug team]

这些评论亮了

Mr.Table回复

Can u please upload to a hoster like rapidshare? Can't the tool without beeing registered. Thanks!

)9(亮了
Mr.Table回复

C:\Windows\SysWOW64\HavijPro
https://www.virustotal.com/file/e9ddb4f8036a3885a32f7ca720079d038bb97b2fbc30e1cf3e4dfe079fb3d7d3/analysis/

)7(亮了

发表评论

已有 28 条评论

Eric3 2012-09-26回复1楼

一直在等这个，泪流满面啊

亮了(3)
小远 (1级) 2012-09-26回复2楼

果然强悍

亮了(0)
g.r0b1n (5级)黄埔安全学院创始人 2012-09-26回复3楼

1.16做了哪些更新？

亮了(1)
phper 2012-09-26回复4楼

Havij_Load.exe是干嘛的？打开了没用啊

亮了(0)
- coolice 2012-09-26回复
  
  @phper
  Havij_Load.exe 很明显是patch，拷到安装程序目录，然后运行即可，注意：WIN7用户需要以管理员权限运行，否则没有反映！
  
  亮了(2)
Mr.Table 2012-09-26回复5楼

Can u please upload to a hoster like rapidshare? Can’t the tool without beeing registered. Thanks!

亮了(9)
- Tobe (4级) 2012-09-26回复
  
  @Mr.Table then please register here, you won’t regret.
  
  亮了(1)
- g.r0b1n (5级)黄埔安全学院创始人 2012-09-26回复
  
  @Mr.Table You can download it from baidu without register
  
  亮了(1)
- Crow (3级)百度安全工程师 2012-09-26回复
  
  @Mr.Table You can download it here —>http://pan.baidu.com/share/link?shareid=65924&uk=822763159
  
  亮了(1)
atom (1级) 2012-09-26回复6楼

谢谢楼主分享。

亮了(0)
Mr.Table 2012-09-27回复7楼

its infected… use antibot software

亮了(2)
- l4mbda (1级) 2012-09-27回复
  
  @Mr.Table OO
  
  亮了(0)
- fu4k 2012-09-27回复
  
  @Mr.Table are u sure?everything normal
  
  亮了(0)
rose橙子 (1级) 2012-09-27回复8楼

等了很久了，谢谢

亮了(0)
Mr.Table 2012-09-27回复9楼

C:\Windows\SysWOW64\HavijPro

https://www.virustotal.com/file/e9ddb4f8036a3885a32f7ca720079d038bb97b2fbc30e1cf3e4dfe079fb3d7d3/analysis/

亮了(7)
coolice 2012-09-27回复10楼

为了分享，百度盘是随便注册的，分享包在26号10点打包的文件被篡改.
图：
http://pan.baidu.com/share/link?shareid=66624&uk=822763159

亮了(1)
- silly 2012-09-27回复
  
  @coolice 确实被篡改了，图帖过来大家看下
  
  亮了(2)
phper 2012-09-27回复11楼

怎么做到的？

亮了(0)
x-bug Team 2012-09-27回复12楼

纯属扯淡。坚定完毕..
丫的又浪费我几个小时去重新分析对比。。
做了行为分析和静态代码分析对比
没发现所谓的后门情况。。
我很想知道你们的补丁是在那个网盘下的,顺便Mail 我一个份去做个对比。

亮了(2)
vexs (1级) 2012-09-27回复13楼

不会吧，那么恐怖，我刚刚看了下，没发现什么异常啊。
Havij v1.16 Pro Portable Cracked by Service Manual [ AoRE Team ].exe程序本身使用了IRANTK installer打包成Portable版本，运行的时候会释放文件到C:\WINDOWS\system32\HavijPro文件夹（这个操作同样会在%temp%文件夹下释放IRANTK.INFO文件，实际上这是installer的DLL执行文件）。
Havij_Load.exe就在HavijPro文件夹其中，创建日期和修改日期是2014年9月16日, 22:33:38，估计作者在制作补丁的时候把系统时间调后测试程序过期效果。

IRANTK.INFO是Visual C++ v6.0编译的，没有发现有恶意连网的代码执行。
分析Havij_Load.exe文件发现是由RSR_Loader制作的Loader，逻辑很简单，启动Havij.exe程序并Patch内存代码，同样没有发现有恶意连网的代码执行，Havij.exe进程启动后会退出Loader自身。
Havij_Load.exe的代码是VB编译并使用UPX压缩。

启动Havij.exe后在内存中也没有发现有恶意代码，实在没精力在折腾这个了，以后会尽量考虑不再转载类似信息。

谨慎始终是个好习惯，谁有木马样本可以上传到一个靠谱的网盘，等有时间可以看看是怎么回事。

亮了(2)
- thanks (8级)FreeBuf常务处主任 2012-09-27回复
  
  @vexs 不管怎样赞一个vexs的分享精神，freebuf就是个分享交流平台，发出来让大家一起来鉴定:)
  
  亮了(0)
firefox 2012-09-27回复14楼

谁有绿色无公害安全的？求一份

亮了(1)
fake 2012-09-27回复15楼

下不了咯

亮了(1)
x-bug Team 2012-09-28回复16楼

关于Freebuf 团队说Vexs 在X-bug 发布的havij捆绑有后门，我们已经详细分析完毕，捆绑后门程序的属于vexs以前发布的一个，同时他也说明了程序可能存在问题。在此，我们不做过多解释，同时也希望FreeBuf 不在转载我们x-bug 发布的一些工具了，以免给大家带来更大的困扰。
详细分析如下：http://hi.baidu.com/vexs_exp/item/9c48a91fdfe4d4098ebde48e

亮了(3)
vexs (1级) 2012-09-28回复17楼

要说的在这里：http://hi.baidu.com/vexs_exp/item/9c48a91fdfe4d4098ebde48e
从来没发过图文blog,呵，第一篇。

亮了(0)
- radiowar (6级)国内首个公开专注研究无线类安全团队 2012-09-30回复
  
  @vexs 老V没事别出现！回家带孩子去！以后再发没毒文件就砍死你！
  
  亮了(5)
回忆 (1级) 2012-09-28回复18楼

求一份无毒的…谢谢…

亮了(0)
kcilly (1级) 2012-11-02回复19楼

求一份~~下载不了~

亮了(0)