UnWrapper Helper 1.1

UnWrapper Helper - это вспомогательная программа для автоматического восстановления секции кода в исполняемом файле из дампа или напрямую из памяти запущенного процесса. Восстановление заключается в копировании первой найденной секции кода в исходный файл. Это помогает в исследовании различных защит, основанных на враппере, когда секция кода дочернего файла зашифрована или иным образом модифицирована, и расшифровывается в памяти при запуске. Также UnWrapper Helper помогает анализировать изменения, внесенные в код работающего процесса различными сторонними программами: трейнерами для игр, лоадерами, инжекторами и т.п., или же самим процессом (динамическая расшифровка, метаморфный код). В результате работы UnWrapper Helper на диске создается копия исходного файла, но с уже внесенными изменениями в секции кода. Обратите внимание, что UnWrapper Helper не работает с упакованными файлами, так как физический размер секции кода в исходном файле на диске должен соответствовать размеру секции кода в памяти запущенного процесса или в дампе. UnWrapper Helper также НЕ является взломщиком защит, а только автоматизирует трудоемкие ручные действия.

Читать статью целиком »

Исследование защиты программы InspectExe

InspectExe - очень удобное расширение стандартного Проводника Windows для просмотра свойств исполняемых файлов. Кроме обычных вкладок добавляются новые вкладки с инструментами для просмотра секций исполняемого файла, функций импорта, ресурсов, параметров PE-заголовка, сертификатов и т.д. В общем, неплохое подспорье для реверсеров при первоначальном анализе своих жертв. InspectExe распространяется в двух вариантах - бесплатном с некоторыми заблокированными функциями и платном, где никаких ограничений, естественно, нет. Сейчас мы попробуем превратить бесплатную версию InspectExe в полнофункциональную, проведя анализ ее защиты, хотя в приличном обществе это называется не иначе как "вор у вора дубинку украл".

Читать статью целиком »

Мульти-плагин для PEiD, DiE, Bit Detector, SCANiT, ExeScan, FastScanner и PE Tools

Практически все современные анализаторы исполняемых файлов поддерживают внешние модули (плагины), значительно расширяющие их функционал. Это могут быть утилиты для извлечения ресурсов, узкоспециализированные анализаторы протекторов, распаковщики, редакторы исполняемых файлов и множество других модулей. Все хорошо и здорово, если бы не одно "но". Анализаторы чаще всего не совместимы по своим функциям взаимодействия с плагинами. Для решения этой проблемы некоторые авторы начали делать мульти-плагины, которые могут работать с несколькими типами анализаторов. Если мне не изменяет память, то первым таким плагином стал модуль определения точной версии ASProtect под названием VerA от известного реверсера PE_Kill. Он одинаково хорошо работал в PEiD и DiE. Я решил пойти дальше и сделать мульти-плагин, который поддерживает шесть различных анализаторов, а именно PEiD, DiE, Bit Detector, SCANiT, ExeScan и FastScanner, а также подходит для программы PE Tools. Остальные анализаторы исполняемых файлов и подавляющее большинство утилит для реверса, поддерживающие внешние модули, "заточены" на формат плагинов от PEiD, поэтому я их в этом списке даже не упоминаю.

Начнем с формата плагинов для PEiD. Тут используются две функции - LoadDll и DoMyJob. Первая используется для получения имени плагина, вторая - непосредственно для работы плагина с загруженным файлом. С LoadDll ничего сложного:Забегая вперед скажу, что подобная функция используется еще в двух анализаторах, так что при написании реального плагина их можно без проблем объединить. В статье для удобства понимания эти функции разделены.

Читать статью целиком »

Убираем рекламу из uTorrent

Для пополнения своей видеотеки я уже давно пользуюсь бесплатным торрент-клиентом uTorrent, но вот уже два обновления подряд начали показывать рекламный баннер. Я, конечно, понимаю, что при такой популярности программы было бы странным не попытаться поиметь с нее бабла, но... Мне категорически не нравится реклама в программах в любом виде. Сейчас будем возвращать uTorrent его былое великолепие.

Читать статью целиком »

Программы для заморозки времени и обхода триальных защит

В подавляющем большинстве случаев защита коммерческих программ основана на так называемом триале, то есть когда программа работает в полном режиме какое-то время, а затем надо ее зарегистрировать или прекратить использование. В основном такая защита обходится программами для удаления триальных ключей из реестра, но только если для защиты использован известный навесной протектор, или же их защита уже была ранее исследована и добавлена в обработку. Для самодельных защит, а также для обхода малоизвестных протекторов, часто используется трюк с заморозкой или откатом системных часов на определенную дату в прошлое. После таких манипуляций программа считает, что она только что установлена или что триальный срок еще не закончился, и продолжает работать. Здесь я собрал все программы для заморозки времени, которые мне встречались.

Читать статью целиком »