Blog. Just Blog

Исследование защиты программы AVS Photo Editor

Версия для печати Добавить в Избранное Отправить на E-Mail 05.08.2016 | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы AVS Photo Editor
Скриншот программы AVS Photo Editor

Под сегодняшнюю раздачу попадает программа AVS Photo Editor. Как можно догадаться из названия, это очередной редактор графических файлов. Не могу сказать, что он чем-то превосходит классический фотошоп или какие-нибудь другие редакторы, для этого надо как минимум поработать с ним какое-то время, но одно знаю точно - он требует денег, а этого достаточно для вскрытия.

Скачиваем дистрибутив, устанавливаем. Предварительный осмотр показывает, что главный исполняемый файл AVSPhotoEditor.exe ничем не упакован, поэтому просто отправляем его в дизассемблер. После запуска сразу появляется окно с сообщением о том, что программа не зарегистрирована. Это первый признак триальности.

Сообщение незарегистрированной программы
Сообщение незарегистрированной программы

Второй явный признак - надпись в заголовке программы. Теперь попробуем зарегистрировать ее, для начала какими-нибудь левыми данными.

Сообщение о неправильной регистрации
Сообщение о неправильной регистрации

Как видим, для регистрации программы используется дополнительная утилита, вызываемая из исполняемого файла, а кроме того, по ее сообщению понятно, что введенный серийник проверяется на сервере. Это значит, что активировать программу нелегальным ключом без подтверждения его на сервере никак не получится. Остается один вариант - патч.

Небольшое лирическое отступление. При исследовании программ я использую поиск по ключевым словам - "unregistered", "regname", "license" и т.п. Как правило, или рядом с этими строками выполняются какие-то важные проверки, связанные с регистрацией, или на них можно выйти по перекрестным ссылкам.

Используется компонент LicenceManager
Используется компонент LicenceManager

Так вот, поиск по ключевым словам вывел меня на интересную строку. Судя по всему, это название компонента, используемого для работы с лицензией. Поищем его в дизассемблерном листинге.
Code (Assembler) : Убрать нумерацию
  1. .text:0040BD88 ; __fastcall TLicenceManager::TLicenceManager(void)
  2. .text:0040BD88                 public @TLicenceManager@$bctr$qqrv
  3. .text:0040BD88 @TLicenceManager@$bctr$qqrv proc near
  4. .text:0040BD88
  5. .text:0040BD88 var_28          = dword ptr -28h
  6. .text:0040BD88 var_18          = word ptr -18h
  7. .text:0040BD88 var_C           = dword ptr -0Ch
  8. .text:0040BD88 var_8           = byte ptr -8
  9. .text:0040BD88 var_4           = dword ptr -4
  10. .text:0040BD88
  11. .text:0040BD88                 push    ebp
  12. .text:0040BD89                 mov     ebp, esp
  13. .text:0040BD8B                 add     esp, 0FFFFFFD8h
  14. .text:0040BD8E                 push    ebx
  15. ...
Листаем ниже. Это просто праздник какой-то :)) Тут и функция удаления лицензии, и получения количества лицензий, и еще всякое такое, но вот и суперприз - функция GetActualLicence. Все ее содержимое приводить не буду, только самую концовку:
Code (Assembler) : Убрать нумерацию
  1. .text:0040C2CF                 mov     eax, [ebp+var_38]
  2. .text:0040C2D2                 mov     edx, [ebp+var_28]
  3. .text:0040C2D5                 mov     large fs:0, edx
  4. .text:0040C2DC                 pop     edi
  5. .text:0040C2DD                 pop     esi
  6. .text:0040C2DE                 pop     ebx
  7. .text:0040C2DF                 mov     esp, ebp
  8. .text:0040C2E1                 pop     ebp
  9. .text:0040C2E2                 retn
Очевидно, что функция возвращает какие-то значения в регистрах EAX и EDX. Рискну предположить, что EAX отвечает за положительный или отрицательный результат наличия и корректности лицензии. Вернемся на начало функции GetActualLicence и пропатчим его парой инструкций MOV EAX,1 и RET. Сохраняем изменения.

Программа успешно "зарегистрирована"
Программа успешно "зарегистрирована"

При первом запуске пропатченной программы она выдаст сообщение, что подписка вот-вот закончится и что осталось 0 дней до ее окончания. Но подписка к нашей регистрации отношения не имеет, и больше это сообщение не появится. Зато пропала надпись в заголовке программы, из меню пропали все пункты, связанные с покупкой и регистрацией, в окне "О программе" отображается, что программа активирована, ну и по функционалу никаких ограничений нет. Цель достигнута. Таким же способом отучаются от жадности и другие программы этого разработчика.

Поделиться ссылкой ВКонтакте
Просмотров: 2003 | Комментариев: 3

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
X-Wing Top Ace (12.08.2016 в 18:20):
ЦитатаГде анпак протектора?

А где там протектор, требующий делать распаковку? ;)))) Ясно же написано: "главный исполняемый файл AVSPhotoEditor.exe ничем не упакован".

ЦитатаКак то слабо...

Разводка на "слабо" засчитана. ;)
ManHunter (08.08.2016 в 15:26):
Я так гляжу, интернет просто ломится от неслабых листингов и нескатившихся анпаков протекторов. И среди этой массы офигенных увлекательных статей всегда можно найти альтернативу на почитать.
Jogovsky (08.08.2016 в 15:04):
Где экшон? Где огромные листинги функции проверки лицензии? Где анпак протектора? Как то слабо... скатился, отписка и всё такое...

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Это я :-)
Если программист в девять утра уже на работе, значит он там же и ночевал
Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина
Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал
Ограничение по возрасту 16+ Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.
Метки статей
.NET (27), AJAX (5), Assembler (350), COM (40), CSS (39), Exif (15), FASM (8), Firefox (7), HDD (17), Hello Teddy (9), HTML (48), iconBIT (4), JavaScript (68), MySQL (13), Nikon (19), PDF (9), PHP (119), Samsung (6), SEO (12), Sublime Text (9), TintonLife (4), UGREEN (4), Windows 7 (66), аккумуляторы (22), аксессуары (12), анализаторы файлов (8), архиваторы (5), аттракционы (7), безопасность (55), браузеры (16), бытовая техника (19), варенье (18), ВВЦ (9), ВДНХ (14), видео (20), Воробьевы горы (9), вторые блюда (120), выпечка (27), выставки (116), генератор ПСЧ (10), графика (118), десерты (31), Египет (8), заготовки на зиму (45), закуска (21), закуска к пиву (24), зарядные устройства (23), защита (15), зоопарки (10), игры (36), иконки (22), интерфейс (26), исследование защиты (306), каша (4), клавиатура (7), Коломенское (37), консоль (7), концерты (52), Кузьминки (4), куклы (27), ледяные скульптуры (6), мои программы (68), мониторы (6), музеи (72), мультимедиа (71), мясо (59), напитки (14), ноутбуки (8), обфускация (7), окна (69), оформление сайта (47), парки Москвы (7), песчаные скульптуры (13), плееры (10), подводная съемка (4), поздравления (127), полезные функции (39), прохождения (4), процессы (25), птица (20), путешествия (25), распаковка (22), реверсинг (51), рыба (34), салаты (18), сброс триала (4), сеть (36), система (177), Сокольники (8), соусы (14), супы (14), телефоны (8), Тунис (6), умный дом (12), файлы справки (6), фаст-фуд (18), фестиваль цветов (5), флешки (5), фото (23), хеши (16), числа (8), юмор (12), яйца (17), Яндекс (10)
Вам помог этот сайт?
Сказать спасибо! Поблагодарили 34,351 раз
<< 2024 - АПРЕЛЬ >>
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          
Международный день секретаря
Международный день солидарности молодежи
Всемирный день защиты лабораторных животных
Всемирная неделя иммунизации
Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите
Ctrl
+
Enter
Буду очень благодарен, если размеcтите мою кнопочку:
Личный блог ManHunter'а
Valid CSS Valid XHTML 1.0 Transitional Valid mobileOK Basic Valid RSS
Яндекс тИЦ: {YANDEX_TIC} Яндекс ИКС: 380
Сейчас я слушаю
---
Имя:

Сообщение:

Осталось символов: 200

   
-
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.06 сек. / MySQL: 2 (0.0042 сек.) / Память: 4.5 Mb
Наверх