<< Все статьи по взлому История одной программы... (взлом klad.exe) Обсудить эту статью >>
Автор:ViNCE [AHTeam]
Уровень:Для начинающих
Программа:Klad.exe с webklad.narod.ru
Размер:163 Кб
Язык:Borland Delphi 4.0 - 5.0
Тип защиты:Серийный номер
Инструменты:FileInfo, WinDASM v10.0, HexWorkshop v3.1

iNTRO
Мой друг Bi0W0rm дал ссылочку на сайт www.webklad.narod.ru и "тонко" намекнул на то, что прога с этой странички легко ломается... Это меня и заинтриговало... Сидел я на работе - работы особой не было, ну и решил кости поразмять. Захожу на страничку и вижу громкие лозунги прям как у Маяковского (цитирую):
"ВНИМАНИЕ !!! ВЫ НАШЛИ КЛАД В ИНТЕРНЕТЕ !!!

Мы предлагаем вам качественные и действительно нужные товары. Получив доступ к ним, вы сможете создать свой портал, сайт, узнаете все тонкости многих вещей (от заработка в интернете до открытия своего дела). Вы почувствуете себя действительно свободным и счастливым ЧЕЛОВЕКОМ, разбирающимся во многих вещах..

Многое, что есть на данном сайте вы можете найти в интернете бесплатно, но сколько времени у вас на это уйдет? А можете купить и в интернет-магазинах, но за какую сумму? Она вас устраивает?

Мы предлагаем вам получить все сразу . Такое вам никто нигде не предложит. И самое главное: заходите к нам почаще, т.к. каждую неделю у нас появляется что-то новое :) Скачивайте и обновляйте вашу базу БЕСПЛАТНО !
"
В голове сразу мелькнула мысль - ЛОХОТРОН. Я так и ответил Bi0W0rm'у... но что-то внутри меня подтолкнуло уделить этому делу ещё своего личного времени. :)) Захожу в раздел "Скачать", а там скачиваю интерфейс сайта (GUI) - klad.exe, через который осуществляется работа с "кладом". Автор просит 2 доллара (2WMZ в системе WebMoney) за своё "чудо в перьях" (почему "чудо" - будет видно чуть позже). У меня таких сумм ясно нет, но есть как у любого реверсера запас утилит, которые скрашивают мою жизнь... Итак, приступим

aNALYS
При первом осмотре выяснилось, что при запуске появляется окошко, в котором нужно ввести специальный СЕКРЕТНЫЙ код активации для получения доступа к "КЛАДУ". Что из себя представляет этот самый "клад"? Под кладом автор чудо-проги подразумевает 6 rar-архивов с очень полезной информацией (Web-ссылками). Klad.exe - это всего лишь GUI (Graphical User Interface), который при введённом ПРАВИЛЬНОМ активационном коде расшифровывает содержимое этих 6 архивов... Во как замужено... 8-))
Я сразу же по старой привычке натравил на klad.exe анализатор - FileInfo (http://protools.cjb.net) и он показал что упаковщика нет... т.е. klad.exe - "девственно чист" :))))))) Тогда можно переходить "ближе к телу"...

rIPPiNG
Для дальнейшей работы нам понадобяться: WinDASM v10.0 (by Killer) и Hex-редактор (я взял HexWorkshop v3.1). Дизасмим файл klad.exe в WinDASM'е и ищем сообщение, которое нам выдаёт klad при неверном введённом активационном коде - это сообщение: "ОШИБКА!"
Мы найдём следующий код:
:00452EBC E8EB0DFBFF              call 00403CAC
:00452EC1 757D jne 00452F40 ;<< ЕСЛИ ПРЫГНЕМ, ТО ПРИЛЕТИТ ПСИЦА ОБЛОМИНГО >:((
:00452EC3 B201 mov dl, 01
:00452EC5 8B83E4020000 mov eax, dword ptr [ebx+000002E4]
:00452ECB 8B08 mov ecx, dword ptr [eax]
:00452ECD FF515C call [ecx+5C]

* Possible StringData Ref from Code Obj ->"СПАСИБО :)"
|
:00452ED0 BA8C2F4500 mov edx, 00452F8C
:00452ED5 8B83FC020000 mov eax, dword ptr [ebx+000002FC]
:00452EDB E88C2BFDFF call 00425A6C

* Possible StringData Ref from Code Obj ->"Информация доступна :)"
|
:00452EE0 BAA02F4500 mov edx, 00452FA0
:00452EE5 8B83F0020000 mov eax, dword ptr [ebx+000002F0]
:00452EEB E87C2BFDFF call 00425A6C
:00452EF0 33D2 xor edx, edx
:00452EF2 8B83F8020000 mov eax, dword ptr [ebx+000002F8]
:00452EF8 8B08 mov ecx, dword ptr [eax]
:00452EFA FF515C call [ecx+5C]
:00452EFD B205 mov dl, 05
:00452EFF 8B83E4020000 mov eax, dword ptr [ebx+000002E4]
:00452F05 E84A21FDFF call 00425054
:00452F0A B205 mov dl, 05
:00452F0C 8B83E8020000 mov eax, dword ptr [ebx+000002E8]
:00452F12 E83D21FDFF call 00425054
:00452F17 33D2 xor edx, edx
:00452F19 8B83D4020000 mov eax, dword ptr [ebx+000002D4]
:00452F1F E8302AFDFF call 00425954
:00452F24 33D2 xor edx, edx
:00452F26 8B8324030000 mov eax, dword ptr [ebx+00000324]
:00452F2C E8232AFDFF call 00425954
:00452F31 33D2 xor edx, edx
:00452F33 8B8330030000 mov eax, dword ptr [ebx+00000330]
:00452F39 E8162AFDFF call 00425954
:00452F3E EB1D jmp 00452F5D ; << - МЫ ВВЕЛИ ПРАВИЛЬНЫЙ АКТИВАЦИОННЫЙ КОД :))

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00452EC1(C)
|
:00452F40 33D2 xor edx, edx
:00452F42 8B83E4020000 mov eax, dword ptr [ebx+000002E4]
:00452F48 8B08 mov ecx, dword ptr [eax]
:00452F4A FF515C call [ecx+5C]

* Possible StringData Ref from Code Obj ->"ОШИБКА!"
|
:00452F4D BAC02F4500 mov edx, 00452FC0
:00452F52 8B83FC020000 mov eax, dword ptr [ebx+000002FC]
:00452F58 E80F2BFDFF call 00425A6C
Убиваем переходик по адресу 00452EC1 на 9090. Открываем файл в hex-редакторе и вносим требуемые изменения. Запускаем прогу и вводим в место кода: "!!!YOU-NASTY-LAMMER!!!". Нажимаем кнопку активации и нас беспроблемно пускает в главную часть программы. Ещё, полазив по дэд листингу файла я нашёл сам ключ для шифрования. К сожалению в момент "исследования" klad.exe у меня не было под рукой отладчика и верный активационный код я так и не нашёл, но уверен, что он лежит и ждёт своего раскрытия в call'е по адресу: 00452EBC

dESCRiPTiON
Распаковываем 6 скачанных архивов и получаем 6 зашифрованных файлов. Теперь открываем любой из файлов в программе klad.exe и жмём - "расшифровать". Забавный момент: когда жмём расшифровать линия прогресса замирает :))))))))), словно мы расшифровываем все томы Войны и мира и Властелина Колец :D Забавно... Теперь любой из 6 архивов можно свободно расшифровать и посмотреть...

oUTRO
На моё большое удивление оказалось, что это был не ЛОХОТРОН, но и ничего полезного от расшифрованной информации я не получил, т.к. она для меня совершенно бесполезна. Подводя итог про защиту klad.exe (нормального названия у проги нет) я ничего не скажу - тут всё ясно без слов.

GREETiNZzz
Спасибо тебе, Bi0W0rm за ссылочку... :P

p.s: надеюсь, автор klad'а не увидит данного тутора... :))

<< Все статьи по взлому Обсудить эту статью >>

ALIEN Hack Team - http://ahteam.org
Только для образовательных целей