Rambler's
Top100

Исследование защиты System Mechanic v4.0

Автор: ViNCE AHT
Дата: 05.01.2004
Раздел: Reverse Engineering

Tutorial: System Mechanics v4.0
Download: http://www.iolo.com/
---
Author: ViNCE [AHT]
E-mail: vincelabs@ahteam.org
WWW: http://www.ahteam.org
ICQ: none
---
Инструменты: TRW2000, FileInfo, Generic Un-Packer, DZA Patcher
Рейтинг программы: [10\10]

iNTRO
System Mechanics - это отличная программа для поддержания компа в хорошем боевом состоянии: тут и глобальная очистка от мусора; чистка реестра; анализ ресурсов; оптимизация, дефрагментация системы (hdd\memory) и защита данных от несанкционированного доступа... Прога триальная - работает всего лишь 30 дней :-( Приступим...

rIPPiNG
Для начала натравим на exe-шник FileInfo и мы увидим, что SM4 запакована старой версией AsPack'а. Тут же берём Generic Un-Pack'ер и распаковываем. Вот и нет АсПака! ;) Теперь открываем подгружаем наш любимый Айс и запускаем прогу... Ж-((( Ой, Винда чё-то глюкнула и перезагрузилась... На ладно, загружаемся ещё раз и запускаем прогу... $-((( Опять ребутнулась?!@#%#!$^ Ясно программеры оказались хитрыми, они надёно защитили свою прогу от SoftICE'а... но забыли\забили (не нужное вычеркнуть ;) про ТРВ2000... Сразу оговорюсь, не знаю какие ужасные вещи программеры делали над exe-шником, но WinDASM его не открывает... пустой листинг. Ну да ладно! Грузим прогу в ТРВ и ставим бряк на RegQueryValueExA (чтение из реестра). Прога прервётся. Теперь кликаем F5 где-то 25 раз. Хватит! Деактивируем бряк (bd *). Возвращаемся к модулю программы. Начинаем трейсить по F10, пока не выскочит окошко, напоминающее о регистрации. ВОт этот вызов (примерно):
:004E397B call near [edx+D8]
Ставим на этот call бряк и всё делаем по новой. На этот раз прога прервётся именно в этом месте.
Заходим внутрь call'а (F8) и продолжаем трейсить, но до такой строки:
:004562F3 jnz 00456319 (no jump)
Как мы видим переход "спит" - так что "разбудим" его (jnz -> jmp), чтобы перепрыгнуть наг.
Меняем байты перехода: 7524 на EB24.
Вы скажете: "Мне хотелось бы сделать для другана кряк, а не совать ему пропатченный exe-ник... и ещё не прилагать автораспаковщик АсПака!". Ну нифига ты загнул... - ответит кто-нибудь тебе, но это совершенно реально. Запускаем DZA Patcher и сверху выбираем exe-шник, который будет пропатчен. Теперь в поле "Virtual Address" вводим адрес нашего перехода - 004562F3. В поле "Original Byte" вводим оригинальный байт перехода, т.е. "75", а в "New byte" вводим новый байт - "EB". Второй байт перехода нам нафиг не нужен. Осталось кликнуть по Create Patch и в папке с прогой появиться файл "Patch.exe". Как только ты его запустишь, он навсегда профиксит (запакованный AsPack'ом!!!) exe-шник. После патчинга пробуем прогу... Всё работает. Прога сломана. А ведь с начала тебя могла напугать защитка от SoftICE'а ;-)))

oUTRO
Авторы понадеялись на АсПак и что SoftICE единственный в мире отладчик :-)))

---
ReleaseDate: [22.09.2004]



[Главная] [Другие статьи] [Обсудить в форуме]
©2003-2004 Lowlevel.RU

Rambler's Top100