Главная страница
English site version
Навигация по сайту:
Доставка цветов по Егорлыкскую egorlykskaya.sredi-cvetov.ru.
Статья "Регистрация Anawave WebSnake 1.23":
<< Все статьи по взлому Версия для печати
Только для образовательных целей!
Автор:FEUERRADER [AHTeam]
Уровень:Для начинающих
Программа:Anawave WebSnake 1.23
Размер:websnake.exe = 1372672 байт, _analib.dll = 119808 байт
Язык:Microsoft Visual C++
Тип защиты:Серийник+код
Инструменты:Win32Dasm 9.0, Hiew

Описание: качалка какая-то, мне не понравилась, обычная "прожка на взлома". Посмотрим... Тычет нагом, регистрация из серийного номера, кода и имени. Посмотрим, есть ли серийник для нее в базе данных Serials 2000. Есть! Вот он:
Name:	Zero
s/n:	[GCK]
Code:	0%E-AB%7%2-F%E
Т.к. цель этой статьи - регистрация взломом, то в серийнике, знаки заменены "%". Зарегимся, с помощью этого серийника и видим, что наг остался, но строки в нем изменились, стало там типа: "Your software is registered. Thank you.".

Исследование: сделав несложное исследование, выяснилось, что защита скрыта в DLL, что очень глупо (в данном случае). Дизассемблируем файл _analib.dll. Ищем вышеуказанную строчку. Нашли тут:
* Reference To: MFC42.Ordinal:09D2, Ord:09D2h
                                  |
:100073FF E80C860000      Call 1000FA10
:10007404 8BCE            mov ecx, esi
:10007406 E865020000      call 10007670          <-проверка какая-то
:1000740B C745FCFFFFFFFF  mov [ebp-04], FFFFFFFF
:10007412 3D1A750000      cmp eax, 0000751A      <-если eax=751A, то 
:10007417 740C            je 10007425            <-зарегены
:10007419 E81B000000      call 10007439
:1000741E 33C0            xor eax, eax
:10007420 E9FF000000      jmp 10007524

....пропущено......

:10007460 83C634          add esi, 00000034

* Possible Reference to String
  Resource ID=30026: "Your software is registered. Thank you."
                                  |
:10007463 684A750000      push 0000754A
Если заменить указанный переход, то в наге окно поменяется, но останется всякая другая лажа про регистрацию. Зайдем в указанный CALL. Видим, что он вызывается 3 раза из 10007352, 10007406, 1000F659. Вы думаете, что надо ходить по этим адресам, изменять там переход? Ну, да, можно, но есть способ гораздо рациональнее. Смотрите вверх. Если после Call->eax=751Ah, то рег. данные верны. Так давайте сделаем, чтобы в Call в eax заносилось 751A и делался ret. Делаем, и у нас всё принимает вид:
* Referenced by a CALL at Addresses:
|:10007352   , :10007406   , :1000F659   
|
:10007670 B81A750000              mov eax, 0000751A
:10007675 C3                      ret

:10007676 55                      push ebp
:10007677 8BEC                    mov ebp, esp
Вот так все просто! Очень легкий взлом. Это доказывает, что не всегда имеет место изменение джампов.
Заключение: не буду давать кряк, я все выше понятно описал. Дурак не поймет!

Спасибо за интерес к этой статье!
<< Все статьи по взлому Версия для печати
Комментарии читателей к статье "Регистрация Anawave WebSnake 1.23":
Комментарии отсутствуют
Добавить свой комментарий:
Ваше имя: Текст сообщения:
Ваш E-Mail:
Введите код:   

ALIEN Hack Team - © 2003-2024
Лицензионное соглашение