О диагностике без Крипто-Стика

банкоматы компании Wincor
Аватара пользователя
windows94
Местный
Сообщения: 191
Зарегистрирован: 18 фев 2011, 03:49
Авто: Toyota Corolla Axio
Откуда: Красноярск
Поблагодарили: 10 раз

О диагностике без Крипто-Стика

Непрочитанное сообщение windows94 »

Почти на всех новых (читай USB-шных) банкоматах, где стоит новый софт, не работает обычный Kdiag. После указания в параметрах, типа связи с устройством (USB), Kdiag не может достучаться до последнего. Втыкаем Крипто-Стик, запускаем криптованый Kdiag, вводим PIN и Вуаля - всё работает. Но как быть, когда Крипто-Стика нет? Инженеры из банка рассказали мне, что обходят этот краеугольный камень, подключая диагностируемый девайс к ноутбуку. Благо интерфейс USB. А на ноуте стоит простая WinXP с обычным Kdiag'ом.
Если нет с собой ноута, полагаю, можно и нужно использовать штатный системник банкомата.
Теперь вопрос: чем же он отличается от внешнего ноута, что на нём не работает простой Kdiag? Очевидно, при погашеном софте банкомата, всё равно остаются запущенными некие резидентные процессы, проверяющие наличие криптозащиты. Возможно они даже не дадут себя грохнуть из диспетчера задач. В таком случае следует вычислить их в ветке реестра, отвечающей за автозагрузку, и сделать некий ремонтный REG-файл, временно отключающий их из автозапуска.
Вопрос в том, есть ли у кого доступ к такому банкомату и время, повозиться с вычислением процессов-стражей? Душа любого русского банкоматчика была бы безмерно благодарна. :hi:
Filin_Fm
Новичок
Сообщения: 46
Зарегистрирован: 22 янв 2013, 02:39
Поблагодарили: 1 раз
Контактная информация:

Re: О диагностике без Крипто-Стика

Непрочитанное сообщение Filin_Fm »

Странно
никогда проблем с kdiagом не наблюдал, даже на usb банкоматах
А что это за новый софт такой?
или нет
Аватара пользователя
windows94
Местный
Сообщения: 191
Зарегистрирован: 18 фев 2011, 03:49
Авто: Toyota Corolla Axio
Откуда: Красноярск
Поблагодарили: 10 раз

Re: О диагностике без Крипто-Стика

Непрочитанное сообщение windows94 »

Да вот хотябы: ProBase_C_1.1.20.06.U1

Вот выдержка из PDF - сопровождения о защите.

Platform Protection
ProBase Platform Protection secures some internal, security relevant platform resources
which should not be manipulated by anybody outside during runtime. This feature is
implemented completely transparent for the customer as long as he does not try to
manipulate such resources instead of using the released tools for update (like ProBase
setup).
The mechanism is independent of any Windows user privileges. It protects the defined
resources from manipulation and secures the confidentiality of some data files. The
mechanism is self-protecting and cannot be switched off during runtime.
Platform Protection does not affect the use of the product PC/E Terminal Security –
Intrusion Protection (known as PSA) and does not replace PSA.
Platform Protection is not a product which the customer can explicitly buy. It is an internal
component based on OEM technology like others within ProBase. The ProBase support
is given by Wincor Nixdorf and not by any of the OEM suppliers.
The following internal ProBase resources are protected by this component:
• Secure Channel & TPM
• CrypTA
• Keystores
• Certificates
• Internal statistics
Especially it is not allowed to create, rename or delete subfolders of CSCROOT,
JBOSROOT, XFSROOT other than by using ProBase setup (e.g. "by hand"). Files within
DIAGSERVROOT can only be exchanged by ProBase setup mechanisms. It is not
recommended to be exchange all other files within the defined ProBase root folders in
any other way.
Filin_Fm
Новичок
Сообщения: 46
Зарегистрирован: 22 янв 2013, 02:39
Поблагодарили: 1 раз
Контактная информация:

Re: О диагностике без Крипто-Стика

Непрочитанное сообщение Filin_Fm »

Я вот подумал на счет попробовать зайти в систему, с правами local sistem. Тогда же по идее любые процессы можно убивать и поднимать, и ни один, даже самый крутой софт, не в праве будет ему противиться (особенно после команды ссkill). И как раз таки после перезагрузки банкомат стартанет под своим обычным пользователем, вместе со всем софтом))
Хотя возможно это я в какие то не те дебри полез.

Добавлено спустя 1 час 24 минуты 33 секунды:
Итак, проверить мне лично не на чем, но я бы попробовал такую комбинацию
1.- Cначала входим в консоль с правами SYSTEM, для этого пишем в ней at hh:mm interactive cmd, где hh — текущий час, а mm — текущая минута плюс 1 (важно). Дожидаемся открытия второй консоли с правами SYSTEM.
2.- Собственно валим процесс и все его дочерние процессы командой TASKKILL /F /IM ProBase_C_1.1.20.06.U1.exe /T

По идее с правами системы процесс должен умереть до следующей перезагрузки.

Ну или второй вариант - использовать reg файл (я изначально так на блокноте тренировался), который делает из USERa SYSTEM 8-) , но потом тушить все процессы из диспетчера задач по очереди как то более геморно помоему. Но если первый вариант не сработает, то иначе вроде бы никак :pardon: Второй вариант меня пугает некоторыми подводными камнями, но если надо - сделаю мини-гайд по использованию, с прикрепленными reg файлами :-)
Но не сегодня - потому. что отключаюсь.
или нет
Аватара пользователя
windows94
Местный
Сообщения: 191
Зарегистрирован: 18 фев 2011, 03:49
Авто: Toyota Corolla Axio
Откуда: Красноярск
Поблагодарили: 10 раз

Re: О диагностике без Крипто-Стика

Непрочитанное сообщение windows94 »

Я вот подумал на счет попробовать зайти в систему, с правами local sistem.
С этим проблем нет вообще. Все админские пароли есть в распоряжении.
...Тогда же по идее любые процессы можно убивать и поднимать, и ни один, даже самый крутой софт, не в праве будет ему противиться (особенно после команды ссkill).
Согласен. CCKILL обязателен после остановки банкоматного софта из конфигурационного мэнеджера. Но есть некоторые процессы (на вскидку их там три, отвечающие за криптозащиту), убивая которые в диспетчере задач, получаем вновь запущенные с таким же именем.
Вот по-этому и надо искать их запуск в реестре. И правильнее будет отключать их именно оттуда.
sacdhzcadr
Новичок
Сообщения: 31
Зарегистрирован: 14 янв 2013, 17:30
Откуда: Санкт-Петербург

Re: О диагностике без Крипто-Стика

Непрочитанное сообщение sacdhzcadr »

Не проще ли тогда запускать винду с диска ?
Аватара пользователя
vvn
Специалист
Сообщения: 309
Зарегистрирован: 17 ноя 2011, 14:15
Поблагодарили: 24 раза

Re: О диагностике без Крипто-Стика

Непрочитанное сообщение vvn »

windows94
Ларчик как оказалось открывался достаточно просто...
Сначала действовал согласно поставленной задаче -
windows94 писал(а):повозиться с вычислением процессов-стражей
Прибил Cisco Security Agents (действуя по логике что его ставит ProBase, хотя Cisco как бы сети..., ну так на всякий случай), как оказалось потом не заслуженно...
Попробовал еще раз запустить K-Diag, внимательно прочитал сообщение об ошибке, ругань на не соответствие версий аппликации USBIO, подумал, заменил файл драйвера usbio.sys в C:\WINDOWS\system32\drivers, на файл из отдельного пакета установки (специально взял с форума), перегрузил банкомат что бы устройства стартовали с данным драйвером…
windows94 писал(а):Душа любого русского банкоматчика была бы безмерно благодарна.
Софт работает, K-DIAG тоже...
P.S. Видимо проверка организована на уровне драйвера когда к нему цепляется K-DIAG, если версия старая которая работала без ключа... то отказ несоответствие версий, если с поддержкой ключа, то ввод пина (не знаю на самом деле как, ни разу не пользовался)...
Вечно молодой, вечно пьяный...
Lucky
Модератор
Модератор
Сообщения: 2233
Зарегистрирован: 04 ноя 2010, 05:21
Благодарил (а): 37 раз
Поблагодарили: 51 раз

Re: О диагностике без Крипто-Стика

Непрочитанное сообщение Lucky »

vvn писал(а):специально взял с форума
Приложи его сюда, или ссылку на него внутрифорумную дай, чтобы знать наверняка, что эта именно нужная версия.
Эх, гайки и лайки отключены сейчас, так что на словах тебе спасибо! :drinks: :good:
Аватара пользователя
vvn
Специалист
Сообщения: 309
Зарегистрирован: 17 ноя 2011, 14:15
Поблагодарили: 24 раза

Re: О диагностике без Крипто-Стика

Непрочитанное сообщение vvn »

Endless Quest
K-Diag для USB-устройств
1.rar
Я думаю если установить K-DIAG2.6, то из него то же подойдет...
Вечно молодой, вечно пьяный...
Аватара пользователя
windows94
Местный
Сообщения: 191
Зарегистрирован: 18 фев 2011, 03:49
Авто: Toyota Corolla Axio
Откуда: Красноярск
Поблагодарили: 10 раз

Re: О диагностике без Крипто-Стика

Непрочитанное сообщение windows94 »

vvn, крассавчик!!! Блин, где гайки, медали и лайки???

Ура! Русские опять немцев уделали!!! :yahoo: Пока у меня заработало только на одном банкомате 2100xe USB. Запустил установку старого драйвера с заменой имеющегося и всё! 8-)
Драйверок выложил ниже.

P.S. - Надо будет ещё на новых банкоматах испробовать (на 8100 серии).
Аватара пользователя
windows94
Местный
Сообщения: 191
Зарегистрирован: 18 фев 2011, 03:49
Авто: Toyota Corolla Axio
Откуда: Красноярск
Поблагодарили: 10 раз

Re: О диагностике без Крипто-Стика

Непрочитанное сообщение windows94 »

Ну вот! Немцы могут подписывать полную капитуляцию! Теперь проверено и на ProCash 8100. Правда инсталляция старого драйвера не получилась, зато замена файла usbio.sys из под админа идеально сработала!!! :yahoo: :drinks:
Аватара пользователя
windows94
Местный
Сообщения: 191
Зарегистрирован: 18 фев 2011, 03:49
Авто: Toyota Corolla Axio
Откуда: Красноярск
Поблагодарили: 10 раз

Re: О диагностике без Крипто-Стика

Непрочитанное сообщение windows94 »

Загвоздочка, господа. :unknown:

На банкомате 8100 всё же не всё так гладко. Пока удалось протестировать лишь CCDM без криптоключа. Когда дело коснулось EPPv6 и Чекового принтера, kdiag потребовал криптостик. :wall:
novichok12
Местный
Сообщения: 50
Зарегистрирован: 03 мар 2014, 01:40
Авто: нет

Re: О диагностике без Крипто-Стика

Непрочитанное сообщение novichok12 »

Как вы это делаете? У меня сегодня не получилось. Установил KDIAG 2.6 без USBIO на ProCash 2100xe usb, а драйвер USBIO установил по инструкции с этого архива 1.rar. Запустил KDIAG выбрал интерфейс а он ругается. Может я чего-то не правильно делаю???
Аватара пользователя
windows94
Местный
Сообщения: 191
Зарегистрирован: 18 фев 2011, 03:49
Авто: Toyota Corolla Axio
Откуда: Красноярск
Поблагодарили: 10 раз

Re: О диагностике без Крипто-Стика

Непрочитанное сообщение windows94 »

перезагружать надо после нового драйвера, ну и под админом всё делать.
isoft
Местный
Сообщения: 104
Зарегистрирован: 20 июл 2011, 13:40
Благодарил (а): 1 раз
Поблагодарили: 1 раз

Re: О диагностике без Крипто-Стика

Непрочитанное сообщение isoft »

Поиском посмотреть по диску файлик usbio.sys и убедиться, что везде лежит файлик размером 23040
Аватара пользователя
central
Модератор
Модератор
Сообщения: 2087
Зарегистрирован: 20 дек 2010, 04:59
Авто: Майбах
Благодарил (а): 32 раза
Поблагодарили: 90 раз

Re: О диагностике без Крипто-Стика

Непрочитанное сообщение central »

А CMDv4 на 8100 удалось протестировать этим способом?
TROUBLE-SHOOTER
Rosn
Прохожий
Сообщения: 1
Зарегистрирован: 15 фев 2017, 05:50

Re: О диагностике без Крипто-Стика

Непрочитанное сообщение Rosn »

Добрый день. Залейте usbio.sys для Cash Out+IN. Драйвер весом 23040 не подходит тут. Ошибку апликаций убирает, но появляется ошибка уже с вопросом к самим дровам kdiag не может найти устройство. USB: No such device usb;VID=$0AA7;PID=$4100;NUM=000
rafgraf
Местный
Сообщения: 68
Зарегистрирован: 04 окт 2011, 17:16
Авто: летящий пепелац
Благодарил (а): 7 раз

Re: О диагностике без Крипто-Стика

Непрочитанное сообщение rafgraf »

Добрый вечер!
Извините что не совсем в тему, но все же ...
Что делает служба Cisco Security Agent ? Банкомат на ПЦ ЗК, на нижнем уровне Пробейз 1.1.20.6. Что то мне показалось что она появляется в в системе только если устанавливать Cisco VPN Client до Пробейза. Если наоборот, то его нет (или я не вижу). Проблема в том что VPN Client не всегда переподымается, хотя прописана автоинициация на любой чих по интерфейсу 0.0.0.0... Вот я думаю, не может ли эта служба как то влиять ?
Ответить