<< Все статьи по взлому Регистрация Anawave WebSnake 1.23 Обсудить эту статью >>
Автор:FEUERRADER [AHTeam]
Уровень:Для начинающих
Программа:Anawave WebSnake 1.23
Размер:websnake.exe = 1372672 байт, _analib.dll = 119808 байт
Язык:Microsoft Visual C++
Тип защиты:Серийник+код
Инструменты:Win32Dasm 9.0, Hiew

Описание: качалка какая-то, мне не понравилась, обычная "прожка на взлома". Посмотрим... Тычет нагом, регистрация из серийного номера, кода и имени. Посмотрим, есть ли серийник для нее в базе данных Serials 2000. Есть! Вот он:
Name:	Zero
s/n: [GCK]
Code: 0%E-AB%7%2-F%E
Т.к. цель этой статьи - регистрация взломом, то в серийнике, знаки заменены "%". Зарегимся, с помощью этого серийника и видим, что наг остался, но строки в нем изменились, стало там типа: "Your software is registered. Thank you.".

Исследование: сделав несложное исследование, выяснилось, что защита скрыта в DLL, что очень глупо (в данном случае). Дизассемблируем файл _analib.dll. Ищем вышеуказанную строчку. Нашли тут:
* Reference To: MFC42.Ordinal:09D2, Ord:09D2h
|
:100073FF E80C860000 Call 1000FA10
:10007404 8BCE mov ecx, esi
:10007406 E865020000 call 10007670 <-проверка какая-то
:1000740B C745FCFFFFFFFF mov [ebp-04], FFFFFFFF
:10007412 3D1A750000 cmp eax, 0000751A <-если eax=751A, то
:10007417 740C je 10007425 <-зарегены
:10007419 E81B000000 call 10007439
:1000741E 33C0 xor eax, eax
:10007420 E9FF000000 jmp 10007524

....пропущено......

:10007460 83C634 add esi, 00000034

* Possible Reference to String
Resource ID=30026: "Your software is registered. Thank you."
|
:10007463 684A750000 push 0000754A
Если заменить указанный переход, то в наге окно поменяется, но останется всякая другая лажа про регистрацию. Зайдем в указанный CALL. Видим, что он вызывается 3 раза из 10007352, 10007406, 1000F659. Вы думаете, что надо ходить по этим адресам, изменять там переход? Ну, да, можно, но есть способ гораздо рациональнее. Смотрите вверх. Если после Call->eax=751Ah, то рег. данные верны. Так давайте сделаем, чтобы в Call в eax заносилось 751A и делался ret. Делаем, и у нас всё принимает вид:
* Referenced by a CALL at Addresses:
|:10007352 , :10007406 , :1000F659
|
:10007670 B81A750000 mov eax, 0000751A
:10007675 C3 ret

:10007676 55 push ebp
:10007677 8BEC mov ebp, esp
Вот так все просто! Очень легкий взлом. Это доказывает, что не всегда имеет место изменение джампов.
Заключение: не буду давать кряк, я все выше понятно описал. Дурак не поймет!

Спасибо за интерес к этой статье!


<< Все статьи по взлому Обсудить эту статью >>

ALIEN Hack Team - http://ahteam.org
Только для образовательных целей