首页
社区
课程
招聘
[原创]揭檫0day神秘的面?
发表于: 2006-8-5 21:06 6060

[原创]揭檫0day神秘的面?

2006-8-5 21:06
6060

揭开0day神秘的面纱

0Day 所在的圈子业内称之为”Scene”,也有人把0day称为Warez。0Day代表什么含义呢?有说法认为0Day代表着速度,意味着一个软件从作者发布到其被破解不到一天。接下来的文章我们来探讨一下Scene的世界。
首先我们要先了解Scene是一个什么样子的团体。以及他们和P2P破解组织有什么样子的区别:鼎鼎大名的0Day 破解组织有CORE,ZWT等,而互联网上被网友们所认知的P2P软件破解组织也有FFF,SnD等。代表作我就不列举了。最大的区别就是他们的发布渠道不一样。我们先来谈谈Scene组织的发布渠道。
首先Scene组织是极其隐秘的,他们只在特定有TLS/SSL加密的FTP上发布他们的作品。并且该FTP会限制IP和IDENT,因为发布软件破解本身就是违法的行为。之所以Scene里0Day组织的作品能被广大网民享用我们要感谢另外一批“好事者”。为什么把他们称之为好事者呢?因为他们破坏了游戏规则但是造福了广大群众。这类人的行为称之为WEBLEAK。为什么会出现这种现象?还得从他们的游戏规则谈起。
我们先来了解一下组织的运作。一个严密的组织是内部是有分工的。比如Supplier, Cracker, Packer等。Supplier负责从网上找新鲜的软件提供给Cracker破解,或者负责提供Retail版软件。他们之间也是通过内部FTP,(他们称之为DUMP)一个拥有10-100M带宽的内部安全FTP进行文件传输。破解者把软件破解好后把作品传回DUMP,等待PACKER打包。
Packer按照Scene Release Standard 内部发布标准打包程序。最终发布名称规则如下
[<Developer.name>.]<Program.name>.v<Version>[.<Language>][.<OS>][.<CPU>]
[.<Release.Type>][.<Additional.Tags>]-<Groupname>
举例说明:ACD.Systems.ACDSee.Pro.v7.1.163.Incl.Keymaker-CORE其中ACD Systems是Developer Name, ACDSee是Program Name, V7.1.163是版本号,因为其语音是英文所以默认LANGUAGE省略。OS默认X86省略,X64版本会注明,CPU也一般省略,只有特定CPU才会填写,Release.Type有如下几种:
- Keygen.Only
        - Keymaker.Only
        - Keyfilemaker.Only
        - Keygen.and.Patch.Only
        - Keymaker.and.Patch.Only
        - Keyfilemaker.and.Patch.Only
        - Incl.Keygen
        - Incl.Keymaker
        - Incl.Keyfilemaker
        - Incl.Keygen.and.Patch
        - Incl.Keymaker.and.Patch
        - Incl.Keyfilemaker.and.Patch
        - Cracked
        - Regged
在这个例子中是Incl.Keymaker也就是有注册机。 Additional.Tags就是说有额外的说明。比如重新打包或者其他注意事项。最后就是Groupname,CORE。 详细规则请访问http://scenerules.irc.gs/t.html?id=2010.1_0DAY.nfo查看。在此不再累赘。
我们了解了打包规则来看命名规则,因为Scene发源时间比较早,所以文件名采用DOS时代的8.3格式。举例说明:ACD.Systems.ACDSee.Pro.v7.1.163.Incl.Keymaker-CORE是发布的作品名,每一个作品都会有一个单独的文件夹。如
ACD.Systems.ACDSee.Pro.v7.1.163.Incl.Keymaker-CORE文件夹,在这个文件夹内会有真正的作品,包含安装文件以及破解文件。用内部.rar外部.zip的格式来最终打包比如cracd716.zip。到此打包部分就结束了。
现在来看看这些作品是怎么传播的。首先每个组织都会有一个HQ(总部)FTP站点, 他们还会Affil(友情加盟)一些他们信任的FTP。在对外发布前。他们会把作品从DUMP通过FXP的形式发布到他们的AFFIL FTP站点。值得一提的是:这些AFFIL的FTP都是通过严格审核的秘密FTP,安全性极强。
我们现在来看看组织发布一个作品后别人是怎么知道的,首先每个FTP是连着一个IRC频道的,在发布的时候组织会在FTP上执行一个Pre的命令。比如
Site pre ACD.Systems.ACDSee.Pro.v7.1.163.Incl.Keymaker-CORE这样一样FTP命令告诉大家我发布了作品。执行了这样的命令后文件夹会从内部路径如/Private/Group/CORE/Ready/移动到/0Day/0701/这样一样公共路径。同时会在IRC频道上显示某组织已经发布了某作品。如 CORE Has just released ACD.Systems.ACDSee.Pro.v7.1.163.Incl.Keymaker-CORE!。现在CORE这样的组织就已经把他的作品发布到他所联盟的几个FTP上面了,通常是欧洲的一些FTP站点。那么他们是如何在短短几分钟内甚至几十秒内传播到世界各地上的呢?这时候我们就要了解FTP站点上面的另一群人了。Courier,也称之为Racer,他们在一看到IRC频道上面的Announce后就会进入FTP目录里面把0Day作品第一时间FXP到他们所在的FTP上面,这样一传十十传百。作品就会传播开来了。Courier之间也是有竞争的,由于时间有限就不细说了。要详细说明Scene的运作还得花费很多篇幅来说明。简单来说就是这些Racer们每个月在每个FTP上面是有额度的,每个月要传够多少个G的作品才能被留下,要不然就被删除出去,类似现在的PT机制。
那么我们知道,由于FTP站点运作人员和Racer的素质参差不齐,所以导致到了某个关节的FTP上面,就会有人把Scene里面的作品对外发布到外部网络上。这样广大网民才得以享用他们的作品。Scene的本质是自娱自乐。内部流传的。一旦这样的Racer或者FTP机主被发现后会被内部通报,发布一个Scene Note,告知业内这些人的IP以及站点名称等,告诉0Day组织如CORE等不要去这样的FTP上面Affil,可能会有安全隐患。早在2002年FBI就成功渗入过内部,导致许多站点倒闭。FBI会自己开一个FTP引诱0day组织加盟,所以很多组织都不太喜欢去北美的FTP上面发布。至于亚洲嘛,由于起步晚。所以也很少,亚洲的排名是KR,CN,JP。韩国的网络最好,日本的线路也很好但是好的站点都不在日本,中国是新起之秀有很多好的站点。到了现在这些站点的带宽都是GB级别的了。所以传播速度特别快。一个FTP上面不仅限于0Day板块。还有可能有电视剧、游戏、电影。电视剧游戏电影等Scene组织的传播原理同上就不在重复了。一个高清电影几分钟内就可以在互联网上成功传播。

                                                                                                   於2006年8月5日


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (34)
雪    币: 47147
活跃值: (20455)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
2
如看到开始一帖的人不要声张原作者是谁,谢谢合作
2006-8-5 21:08
0
雪    币: 1223
活跃值: (469)
能力值: (RANK:460 )
在线值:
发帖
回帖
粉丝
3
最初由 kanxue 发布
如看到开始一帖的人不要声张原作者是谁,谢谢合作

保密阿
2006-8-5 21:46
0
雪    币: 721
活跃值: (350)
能力值: ( LV9,RANK:1250 )
在线值:
发帖
回帖
粉丝
4
这个本来就应该保密,有些危险。
2006-8-5 21:57
0
雪    币: 254
活跃值: (126)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
5
从目前情况分析kanxue已经看到了,严刑拷问就会招了
2006-8-5 23:40
0
雪    币: 398
活跃值: (343)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
6
我也看到了,如果kanxue出价高的话,我可以比他便宜
2006-8-5 23:43
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
7
你多少钱一晚上?
2006-8-6 09:29
0
雪    币: 97697
活跃值: (200834)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
8
最初由 kanxue 发布
如看到开始一帖的人不要声张原作者是谁,谢谢合作


没看到.

好文,长见识.
2006-8-6 11:36
0
雪    币: 417
活跃值: (475)
能力值: ( LV9,RANK:1250 )
在线值:
发帖
回帖
粉丝
9
第一个精华贴!
2006-8-6 11:43
0
雪    币: 1334
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
很多东西是不能写的,但是就这个文章所写的这些内容来看,尚未涉及0day的机密东西,只能算一篇略沾边的文章,可以说是一篇0day启蒙性文章
2006-8-6 11:54
0
雪    币: 207
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
因_?吹骄W路上?的0DAY介铰都比蒉卉靳,都只是介铰了一些RLS NAME的??,就?了呃篇文章。不知Ivanov兄有何高??
2006-8-6 13:02
0
雪    币: 97697
活跃值: (200834)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
12
2006-8-6 13:45
0
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
13
原来是这样,学习了~
2006-8-6 22:33
0
雪    币: 2013
活跃值: (30)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
14
呵呵,涉及 IRC 的部分貌似以前没什么人公开过
嘿嘿,涉及 Nuke 的部分貌似有点问题

BTW,让我们热烈欢迎老伊万给大家在内部普及 0Day 知识
2006-8-8 14:03
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
15
貌似一万不给说r
2006-8-8 14:09
0
雪    币: 2013
活跃值: (30)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
16
最初由 nbw 发布
貌似一万不给说r

嘿嘿,大家来点题嘛
2006-8-8 14:11
0
雪    币: 1334
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
佛曰:不可说,不可说,言出即错。
2006-8-8 17:04
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
18
不好说,说不好,不说好。

偶对0day本身不敢兴趣,就是想知道为啥你们都不敢说?如果说了会有啥不良后果呐?
2006-8-8 17:16
0
雪    币: 47147
活跃值: (20455)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
19
最初由 nbw 发布
不好说,说不好,不说好。

偶对0day本身不敢兴趣,就是想知道为啥你们都不敢说?如果说了会有啥不良后果呐?


最严重的后果会让从事0day的人被FBI逮住
2006-8-8 17:20
0
雪    币: 234
活跃值: (370)
能力值: ( LV9,RANK:530 )
在线值:
发帖
回帖
粉丝
20
最初由 kanxue 发布
最严重的后果会让从事0day的人被FBI逮住

不会吧,这么严重?
2006-8-8 17:23
0
雪    币: 413
活跃值: (637)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
21
最初由 nbw 发布
你多少钱一晚上?


这孩子学坏了,呵呵!
2006-8-8 18:14
0
雪    币: 1913
活跃值: (15)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
22
国外FBI抓比较严。中国一般不涉及色情没关系。。 其实0DAY本来是内部传输不外传的。。但是到了中国就不一样拉。。你看国外有多少个FIXDOWN。 在中国还是比较好下载到破解的;D

回复S老大
呵呵,涉及 IRC 的部分貌似以前没什么人公开过
嘿嘿,涉及 Nuke 的部分貌似有点问题

NUKE部分。我贴个0DAY STANDARD
0DAY:
Dupes:
We can be very quick with this one, below an example (The "CuNT" release is a real dupe)
2002-10-20 Jack.The.MP3.Ripper.v1.0.cracked-DiCK
2002-10-30 Jack.The.MP3.Ripper.v1.0.incl.keygen-CuNT
But a Jack.The.MP3.Ripper.v1.0.keygen.only-CuNT is allowed!
Nuke reason: dupe.<yyyy-mm-dd>.<group>
Mu:
In general we handle a MinorUpdate period of 14 days! If you release a new version of a program with in 14 days of the last program release , but 14 days from the last release out no matter if its nuked for MU or not.
Example:
2002-10-10 Jack.The.MP3.Ripper.v1.0.cracked-DiCK
2002-10-15 Jack.The.MP3.Ripper.v1.1.incl.keymaker-CUNT <- (nuked for MU)
Next version is allowed on 2002-10-29 AND NOT on 2002-10-24, coz we count 14 days from the last release, no matter if its nuked for MU or not.
Additionally to bring some more clearness:
2002-10-10 Jack.The.MP3.Ripper.v1.0.cracked-DiCK
2002-10-14 Jack.The.MP3.Ripper.v1.0.keymaker.only-CUNT
So v1.0 cracked gets released on 10th of oct. and the keymaker.only on 14th then the next release is allowed on 2002-10-24, no matter what time the keymaker.only was released. coz we always count 14 days of the release that included the setup-file of the software itself.
The following groups have agreed to comply to these rules (ask handymen to add ur group here):
LAXiTY/ACME/DWP
Nuke reason: mu.<yyyy-mm-dd>.<group>
Release Name creation:
<PROGRAM NAME>.vX.XX.<opt. options>-<GROUP NAME>
<PROGRAM NAME>_vX.XX_<opt. options>-<GROUP NAME>
Examples:
The.true.story.by.php.monkey.v1.4-D2D
The_true_story_by_php_monkey_v1.4-D2D
Nuke reason: bad.dir
File naming:
Files should be named as stated in the 8.3 notation. And disk size should be between 720 KB and 5 megs. It also has
to include a .diz and .nfo file
Example: lxtd2d2.zip
Nuke reason: bad.pack
Size:
Maximum size of 0day release should be 300 MB
Nuke reason: oversized
Keygen rules:
A keygen is a standalone program which calculates serials based on pc name/company/user name etc etc.
When a serial algo uses fixed chars on certain positions and your "keygen" fills the other positions with random data it's NOT a keygen. When a keygen is not sufficient and a crack is required, the dir name should include this "incl.keygen.and.patch"
Nuke reason: not.a.valid.keygen
Theft:
Using a keygen/serial/crack with out permissions of the owners (other groups for example) is not legit. A group which is cought 2 times with stealing will be banned here aka being auto nuked (ofcourse if there is good evidence)
Nuke reason: stolen
Repack:
Fucked up releases can be re-released by doing a repack. Dir should contain ".repack.". The previous (bad) release will be nuked
Nuke reason: get.repack
Trade/pre faults:
Trade faults ("detecting macro monkeys" dirs for example), pre tests or fake things will not be counted as a legit release.
Nuke reason: crap
Free software:
Software which is freely available is not allowed. "Free" on d2d means that it costs around $0.00. "Cardware" or "free-registration" is. There are 2 exceptions there is, if a upgrade/update is not publicly available. And free updates/upgrades which will render the crack/serial/keygen of the previous version unusable (ie. they blacklisted stuff)
Nuke reason: free
Newer out:
When a group releases a v1.02 of a program and the new version v1.03 is already out for more then 3 days, it's a nuke. The grace period is 3 days. Only exception COULD be an util group having a hard to get program (thus means not publicly downloadable) and they release it when there's just a new version out, if this happens (unlikely:D) tell so in info file
Nuke.reason: newer.out.v<x.xx>
Crack malfunction:
If a crack/serial/keygen is not working 100% it's a nuke! This could mean a keygen without a server patch, a keygen which doesn't accept certain basic chars "A-Z,a-z,0-9" and ofcourse spaces (only when the program accepts these chars!) or a crack with missed checks having removed.
Nuke reason: bad.crack
Group request:
If a group really thinks they fucked up a release badly then they can do a group request. The release will be nuked then.
Nuke reason: grp.req
Beta software:
Betas / builds / rc are allowed only it's not an hidden beta/build/rc, means the word "Beta", "build" & "RC" has to be in directory name.
Nuke reason: hidden.beta
Types Allowed:
- ALL languages (Dutch, German, Chinese, Italian, Polish, etc etc)
- ALL platforms (PC, MAC, Linux, Solaris, OS/400, Windows, etc etc)
- Bookware
- HW required software (GSM & Telephone programs)
- Kiddie (some people have kids here, hi fanny:) )
- Addons (all types of addons for utils/games)
- Commerical fonts
- Screensaver
- Porn
- Different kind of flavors (Standard, prof, premium are ALL allowed)

IRC部分需要知道啥PM偶。。
2006-8-8 20:14
0
雪    币: 2013
活跃值: (30)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
23
最初由 Feisu 发布
国外FBI抓比较严。中国一般不涉及色情没关系。。 其实0DAY本来是内部传输不外传的。。但是到了中国就不一样拉。。你看国外有多少个FIXDOWN。 在中国还是比较好下载到破解的;D

回复S老大
呵呵,涉及 IRC 的部分貌似以前没什么人公开过
嘿嘿,涉及 Nuke 的部分貌似有点问题
........


事实上,目前国内抓的顺序是 整枝(比如专轮公) -> 色情(比如海岸线) -> 盗版(比如九天)

俺的意思是说,涉及 IRC 的部分在以往公开发布的文章中很少出现;
俺的意思是说,涉及 Nuke 时有很多时候是有一些潜规则的

另,貌似论坛不支持 PM
2006-8-9 08:38
0
雪    币: 1913
活跃值: (15)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
24
明白了;D
论坛不给PM应该是有些人乱发广告或者乱求破解才关的把;P

BTW..上面偶贴的那个英文部分就是潜规则
2006-8-9 19:48
0
雪    币: 721
活跃值: (350)
能力值: ( LV9,RANK:1250 )
在线值:
发帖
回帖
粉丝
25
0Day:在国内好像还排不上公安的议事日程。
2006-8-10 20:35
0
游客
登录 | 注册 方可回帖
返回
//