Статья "История одной программы... (взлом klad.exe)":
|
|
<< Все статьи по взлому
|
Версия для печати
|
|
Только для образовательных целей! |
|
Автор: | ViNCE [AHTeam] |
Уровень: | Для начинающих |
Программа: |
Размер: |
Язык: |
Тип защиты: |
Инструменты: |
iNTRO Мой друг Bi0W0rm дал ссылочку на сайт www.webklad.narod.ru и "тонко" намекнул на то, что прога с этой странички легко ломается... Это меня и заинтриговало... Сидел я на работе - работы особой не было, ну и решил кости поразмять. Захожу на страничку и вижу громкие лозунги прям как у Маяковского (цитирую): "ВНИМАНИЕ !!! ВЫ НАШЛИ КЛАД В ИНТЕРНЕТЕ !!!
Мы предлагаем вам качественные и действительно нужные товары. Получив доступ к ним, вы сможете создать свой портал, сайт, узнаете все тонкости многих вещей (от заработка в интернете до открытия своего дела). Вы почувствуете себя действительно свободным и счастливым ЧЕЛОВЕКОМ, разбирающимся во многих вещах..
Многое, что есть на данном сайте вы можете найти в интернете бесплатно, но сколько времени у вас на это уйдет? А можете купить и в интернет-магазинах, но за какую сумму? Она вас устраивает?
Мы предлагаем вам получить все сразу . Такое вам никто нигде не предложит. И самое главное: заходите к нам почаще, т.к. каждую неделю у нас появляется что-то новое :) Скачивайте и обновляйте вашу базу БЕСПЛАТНО ! " В голове сразу мелькнула мысль - ЛОХОТРОН. Я так и ответил Bi0W0rm'у... но что-то внутри меня подтолкнуло уделить этому делу ещё своего личного времени. :)) Захожу в раздел "Скачать", а там скачиваю интерфейс сайта (GUI) - klad.exe, через который осуществляется работа с "кладом". Автор просит 2 доллара (2WMZ в системе WebMoney) за своё "чудо в перьях" (почему "чудо" - будет видно чуть позже). У меня таких сумм ясно нет, но есть как у любого реверсера запас утилит, которые скрашивают мою жизнь... Итак, приступим
aNALYS При первом осмотре выяснилось, что при запуске появляется окошко, в котором нужно ввести специальный СЕКРЕТНЫЙ код активации для получения доступа к "КЛАДУ". Что из себя представляет этот самый "клад"? Под кладом автор чудо-проги подразумевает 6 rar-архивов с очень полезной информацией (Web-ссылками). Klad.exe - это всего лишь GUI (Graphical User Interface), который при введённом ПРАВИЛЬНОМ активационном коде расшифровывает содержимое этих 6 архивов... Во как замужено... 8-)) Я сразу же по старой привычке натравил на klad.exe анализатор - FileInfo (http://protools.cjb.net) и он показал что упаковщика нет... т.е. klad.exe - "девственно чист" :))))))) Тогда можно переходить "ближе к телу"...
rIPPiNG Для дальнейшей работы нам понадобяться: WinDASM v10.0 (by Killer) и Hex-редактор (я взял HexWorkshop v3.1). Дизасмим файл klad.exe в WinDASM'е и ищем сообщение, которое нам выдаёт klad при неверном введённом активационном коде - это сообщение: "ОШИБКА!" Мы найдём следующий код:
:00452EBC E8EB0DFBFF call 00403CAC :00452EC1 757D jne 00452F40 ;<< ЕСЛИ ПРЫГНЕМ, ТО ПРИЛЕТИТ ПСИЦА ОБЛОМИНГО >:(( :00452EC3 B201 mov dl, 01 :00452EC5 8B83E4020000 mov eax, dword ptr [ebx+000002E4] :00452ECB 8B08 mov ecx, dword ptr [eax] :00452ECD FF515C call [ecx+5C]
* Possible StringData Ref from Code Obj ->"СПАСИБО :)" | :00452ED0 BA8C2F4500 mov edx, 00452F8C :00452ED5 8B83FC020000 mov eax, dword ptr [ebx+000002FC] :00452EDB E88C2BFDFF call 00425A6C
* Possible StringData Ref from Code Obj ->"Информация доступна :)" | :00452EE0 BAA02F4500 mov edx, 00452FA0 :00452EE5 8B83F0020000 mov eax, dword ptr [ebx+000002F0] :00452EEB E87C2BFDFF call 00425A6C :00452EF0 33D2 xor edx, edx :00452EF2 8B83F8020000 mov eax, dword ptr [ebx+000002F8] :00452EF8 8B08 mov ecx, dword ptr [eax] :00452EFA FF515C call [ecx+5C] :00452EFD B205 mov dl, 05 :00452EFF 8B83E4020000 mov eax, dword ptr [ebx+000002E4] :00452F05 E84A21FDFF call 00425054 :00452F0A B205 mov dl, 05 :00452F0C 8B83E8020000 mov eax, dword ptr [ebx+000002E8] :00452F12 E83D21FDFF call 00425054 :00452F17 33D2 xor edx, edx :00452F19 8B83D4020000 mov eax, dword ptr [ebx+000002D4] :00452F1F E8302AFDFF call 00425954 :00452F24 33D2 xor edx, edx :00452F26 8B8324030000 mov eax, dword ptr [ebx+00000324] :00452F2C E8232AFDFF call 00425954 :00452F31 33D2 xor edx, edx :00452F33 8B8330030000 mov eax, dword ptr [ebx+00000330] :00452F39 E8162AFDFF call 00425954 :00452F3E EB1D jmp 00452F5D ; << - МЫ ВВЕЛИ ПРАВИЛЬНЫЙ АКТИВАЦИОННЫЙ КОД :))
* Referenced by a (U)nconditional or (C)onditional Jump at Address: |:00452EC1(C) | :00452F40 33D2 xor edx, edx :00452F42 8B83E4020000 mov eax, dword ptr [ebx+000002E4] :00452F48 8B08 mov ecx, dword ptr [eax] :00452F4A FF515C call [ecx+5C]
* Possible StringData Ref from Code Obj ->"ОШИБКА!" | :00452F4D BAC02F4500 mov edx, 00452FC0 :00452F52 8B83FC020000 mov eax, dword ptr [ebx+000002FC] :00452F58 E80F2BFDFF call 00425A6C Убиваем переходик по адресу 00452EC1 на 9090. Открываем файл в hex-редакторе и вносим требуемые изменения. Запускаем прогу и вводим в место кода: "!!!YOU-NASTY-LAMMER!!!". Нажимаем кнопку активации и нас беспроблемно пускает в главную часть программы. Ещё, полазив по дэд листингу файла я нашёл сам ключ для шифрования. К сожалению в момент "исследования" klad.exe у меня не было под рукой отладчика и верный активационный код я так и не нашёл, но уверен, что он лежит и ждёт своего раскрытия в call'е по адресу: 00452EBC
dESCRiPTiON Распаковываем 6 скачанных архивов и получаем 6 зашифрованных файлов. Теперь открываем любой из файлов в программе klad.exe и жмём - "расшифровать". Забавный момент: когда жмём расшифровать линия прогресса замирает :))))))))), словно мы расшифровываем все томы Войны и мира и Властелина Колец :D Забавно... Теперь любой из 6 архивов можно свободно расшифровать и посмотреть...
oUTRO На моё большое удивление оказалось, что это был не ЛОХОТРОН, но и ничего полезного от расшифрованной информации я не получил, т.к. она для меня совершенно бесполезна. Подводя итог про защиту klad.exe (нормального названия у проги нет) я ничего не скажу - тут всё ясно без слов.
GREETiNZzz Спасибо тебе, Bi0W0rm за ссылочку... :P
p.s: надеюсь, автор klad'а не увидит данного тутора... :))
|
|
<< Все статьи по взлому
|
Версия для печати
|
|
|
Комментарии читателей к статье "История одной программы... (взлом klad.exe)":
|
17.04.2007 17:14 |
Жаль ссылка умерла, было б интересно потренираваться... (ViNCE [AHTeam] плиз если есть время скинь этот клад на s-sky@inbox.ru зашифрованный или ссылку) |
|
26.02.2007 09:51 |
salom |
|
30.01.2007 07:49 |
ViNCE [AHTeam] скинь мне плиз этот клад только зашифрованный mihan65@gmail.com |
|
07.12.2006 14:24 |
Жаль проэкт умер, интересная была програмка... |
|
|
|
Добавить свой комментарий:
|
|
|