Навигация по сайту:
Статья "Исследование PEStudio 3.21":
<< Все статьи по взлому Версия для печати
Только для образовательных целей!
Автор:FEUERRADER [AHTeam]
Уровень:Для начинающих
Программа:PEStudio 3.21
Размер:160 Kb
Язык:Microsoft Visual C++ 6.0
Тип защиты:Имя/код
Инструменты:Win32Dasm 8.9, Hiew 6.x, SoftIce 4.05

Описание: PE Studio предназначена для промотра и редактирования заголовка исполняемого файла формата РЕ. Иногда полезна крякеру. В начале вылазит простенький наг-скрин. Регистрация через имя-код. Вообщем, все как обычно :((

Исследование: в принципе в программе нет ограничений, поэтому можно воспользоваться банальным взломом через изменение условных переходов. Хотя можно получить регистрационный номер прямо в SoftIce (проверено), но сейчас мы займемся не поиском серийного номера для вашего имени, а взломом.
Итак, суем в Win32Dasm файл pestudio.exe. Открываем Dialog References, там "DialogID_007A, CONTROL_ID:0434, "Order PE Studio online". Видим такое:
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0040D510(C)
|
:0040D5BF 56 push esi

* Reference To: USER32.GetDlgItem, Ord:0102h
|
:0040D5C0 8B35CC814100 mov esi, dword ptr [004181CC]
:0040D5C6 6814A34100 push 0041A314

* Possible Reference to Dialog: DialogID_007A, CONTROL_ID:0434, "Order PE Studio online"
|
:0040D5CB 6834040000 push 00000434
Идем по адресу 40D510. Парой экранов вверх видим:
* Referenced by a CALL at Address:
|:004085C0
|
:0040D4D3 A01C244200 mov al, byte ptr [0042241C]
:0040D4D8 84C0 test al, al
:0040D4DA 7409 je 0040D4E5
:0040D4DC 803D1D24420000 cmp byte ptr [0042241D], 00
:0040D4E3 751A jne 0040D4FF
Сейчас можно войти в отладчик, поставить бряк на 40D4D3. Заменить переходы 40D4DA, 40D4E3 на противоположные. Тогда Вы больше не увидите навязчивого окна при запуске программы. Но подождите првить файл. Остался пункт меню о регистрации. Смотрим, откуда вызывается 40D5BF:
:0040856E B854754100              mov eax, 00417554
:00408573 E868580000 call 0040DDE0
:00408578 83EC20 sub esp, 00000020
:0040857B A01C244200 mov al, byte ptr [0042241C]
:00408580 84C0 test al, al
:00408582 741A je 0040859E
:00408584 6A00 push 00000000

* Possible Ref to Menu: MenuID_0066, Item: "Registration"
|

* Possible Reference to Dialog: DialogID_0077, CONTROL_ID:9C4D, "&Register"
|
:00408586 684D9C0000 push 00009C4D
:0040858B FF3530254200 push dword ptr [00422530]

* Reference To: USER32.GetMenu, Ord:011Ch
|
:00408591 FF1508824100 Call dword ptr [00418208]
:00408597 50 push eax

* Reference To: USER32.DeleteMenu, Ord:0087h
|
:00408598 FF1500824100 Call dword ptr [00418200]

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00408582(C)
|
:0040859E 807D0800 cmp byte ptr [ebp+08], 00
:004085A2 742D je 004085D1
:004085A4 8D4DD4 lea ecx, dword ptr [ebp-2C]
:004085A7 E8674D0000 call 0040D313
:004085AC C745D4DC8D4100 mov [ebp-2C], 00418DDC
:004085B3 FF3530254200 push dword ptr [00422530]
:004085B9 8365FC00 and dword ptr [ebp-04], 00000000
:004085BD 8D4DD4 lea ecx, dword ptr [ebp-2C]
:004085C0 E80E4F0000 call 0040D4D3
:004085C5 834DFCFF or dword ptr [ebp-04], FFFFFFFF
:004085C9 8D4DD4 lea ecx, dword ptr [ebp-2C]
:004085CC E8B84E0000 call 0040D489
О, то что нам нужно! Вызова функции 4085C0 можно избежать, если изменить переход 4085A2 на безусловный. Смотрим выше: также изменяем 408582 так, чтобы он не выполнился и исчез пункт меню "Registration". Вот и всё, больше нет ни единого напоминания о регистрации!

Crack:
========вырежь=тут=========
Difference(s) between pestudio.exe & cracked.exe
PESTUDIO.EXE
00008583: 1A 00
000085A2: 74 EB
========вырежь=тут=========

Спасибо за интерес к этой статье!


<< Все статьи по взлому Версия для печати
Комментарии читателей к статье "Исследование PEStudio 3.21":
Зочин

22.08.2018 10:39
Cheap Pandora Bracelets
Cheap Pandora Sale
Buy pandora charm
orb of chance
Cheap WoW Gold Sale
cheap fifa 17 coins
poe currency
Buy WOW Gold
fifa 17 coins
Добавить свой комментарий:
Ваше имя: Текст сообщения:
Ваш E-Mail:
Введите код:   

ALIEN Hack Team - © 2003-2018
Лицензионное соглашение