Blog. Just Blog

Исследование защиты программы AttributeMagic Pro

Версия для печати Добавить в Избранное Отправить на E-Mail 28.01.2012 | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы AttributeMagic Pro
Скриншот программы AttributeMagic Pro

Программа AttributeMagic Pro предназначена для пакетного изменения атрибутов файлов, даты создания, модификации и последнего изменения, переименования файлов на основании этих данных, а также изменения даты файла на основании EXIF-данных изображения (дата съемки). Польза от программы весьма сомнительная, особенно за эту цену, но сегодня нас интересует не программа, а поиск уязвимостей в ее защите.

Скачиваем дистрибутив, распаковываем, устанавливаем. Первичный осмотр файла показывает, что он вроде как ничем не упакован - все текстовые строчки в открытом виде, секции кода и ресурсов не сжаты и т.п. Но смущает наличие секций "upx0" и "upx1". Ни один компилятор не создает автоматически секции с такими именами, но и на сам UPX это совсем не похоже.

Названия секций PE-файла
Названия секций PE-файла

Содержимое этих секций еще более подозрительное, сплошная мешанина из кода, а анализаторы исполняемых файлов молчат как партизаны. По опыту реверсинга могу с уверенностью сказать, что перед нами VMProtect, один из самых серьезных протекторов на сегодняшний день, а переименованием секций убираются ложные срабатывания некоторых антивирусов. Что ж, глаза боятся, а руки делают, поищем слабые места и ошибки в защите. Загоняем файл в дизассемблер, а параллельно посмотрим в программе как проявляется триал. При запуске показывается наг-скрин с предложением зарегистрироваться, а в окне "About" написано "Unregistered".

Окно "О программе"
Окно "О программе"

Отлично, поищем эту строчку в файле и условия ее появления в дизассемблере. Поиск приводит нас вот к такому коду:
Code (Assembler) : Убрать нумерацию
  1. ...
  2. .text:006528F6                 mov     eax, off_67EDEC
  3. .text:006528FB                 mov     eax, [eax]
  4. .text:006528FD                 xor     edx, edx
  5. .text:006528FF                 mov     ecx, [eax]
  6. .text:00652901                 call    dword ptr [ecx+6Ch]
  7. ; Вызвать функцию проверки регистрации
  8. .text:00652904                 call    sub_5A8954
  9. ; Если она вернула взведенный бит, то программа не зарегистрирована
  10. .text:00652909                 test    al, 2
  11. .text:0065290B                 jnz     short loc_652920
  12. .text:0065290D                 mov     eax, off_67EDEC
  13. .text:00652912                 mov     eax, [eax]
  14. .text:00652914                 mov     edx, offset aRegistered ; "Registered"
  15. .text:00652919                 call    sub_6491A0
  16. .text:0065291E                 jmp     short loc_652931
  17. .text:00652920 ; --------------------------------------------
  18. .text:00652920 loc_652920:
  19. .text:00652920                 mov     eax, off_67EDEC
  20. .text:00652925                 mov     eax, [eax]
  21. .text:00652927                 mov     edx, offset aUnregistered ; "Unregistered"
  22. .text:0065292C                 call    sub_6491A0
  23. ...
Вроде все понятно, есть какая-то функция проверки регистрации, и, если она вернула что-то типа EAX=0, то программа считается зарегистрированной. Посмотрим теперь на функцию проверки:
Code (Assembler) : Убрать нумерацию
  1. ; Переход в секцию VMProtect
  2. .text:005A8954                 call    sub_8582AF
  3. .text:005A8959                 db      67h
  4. .text:005A8959                 mov     eax, eax
  5. .text:005A895C                 push    ebp
  6. .text:005A895D                 mov     ebp, esp
  7. .text:005A895F                 push    ecx
  8. .text:005A8960                 mov     [ebp-4], eax
  9. .text:005A8963                 push    offset dword_5A8984
  10. ; Переход в секцию VMProtect
  11. .text:005A8968                 jmp     loc_87DA0A
  12. ...
Лютый кодо-фарш под виртуальной машиной протектора, и чем глубже - тем хуже и хуже. Разгребать это без специального инструментария нереально. Но нужно ли нам это? Вызовы функции проверки лежат в открытом виде, так что можно просто пропатчить их, или же прописать пару команд XOR EAX,EAX; RET в начало самой функции проверки. Это и есть главная ошибка аффтара, если не считать ошибок в ДНК и ошибки в выборе профессии. Ворота поставил, а забор забыл. Патчим функцию проверки, сохраняем изменения, запускаем.

Программа успешно "зарегистрирована"
Программа успешно "зарегистрирована"

Наг-окно пропало, пункт о регистрации в меню стал неактивным, а в окне "О программе" написано "Registered". Все прекрасно работает, наша цель достигнута. А любителям разных говнопротекторов я рекомендую пересмотреть свои взгляды на жизнь.

Поделиться ссылкой ВКонтакте
Просмотров: 6678 | Комментариев: 6

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
DimitarSerg (30.01.2012 в 13:19):
Ололо... Круто ;)
ManHunter, брависимо !
Это, кстати, не единичный случай кривого "навеса" говнопротекторов.
Кто в теме, то сразу вспомнит известного чела и его софт (не буду уточнять), который спрятал функции проверки кода под нехило запутанную ВМ + обфускацию, а в итоге сравнение серийников оказалось за бортом всего этого фарша и даже новичек, первый раз увидивший отладчик мог получить серийничек под себя.
ManHunter (29.01.2012 в 22:10):
Это лишь частный случай, без упаковки и с совершенно неграмотным использованием возможностей говнопрота. Если его правильно навесить, то так легко с ним уже не разделаться.

Dimas, как обычно, IDA и HiEW, больше ничего не надо. А, ну и голова, конечно, тоже.
ledhead (29.01.2012 в 16:33):
А я, глупыш, с VMprotect возился...
ManHunter, элегантно, как всегда, данке шон.
P.S. Отдельное спасибо за описание отпуска, очень познавательно.
С уважением.
Dimas (29.01.2012 в 15:30):
Блин я как вижу говнопрот, руки опускаются - а тут с говнопротом аффтара опустили ;-)
Интересно vmprotect ворованный или нет ?
И еще под чем исследовали, какие плугины применяли ?
Статья полный атас
Zhelezyaka (29.01.2012 в 10:24):
Эка ты их подковырнул, типа ткнул носом в изъян. )
Спасибо.
Exit (29.01.2012 в 02:23):
ManHunter, Браво!
Это было красиво!
PS давно и с большим удовольствием читаю твой блог ))

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Это я :-)
Если программист в девять утра уже на работе, значит он там же и ночевал
Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина
Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал
Ограничение по возрасту 16+ Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.
Метки статей
.NET (27), AJAX (5), Assembler (350), COM (40), CSS (39), Exif (15), FASM (8), Firefox (7), HDD (17), Hello Teddy (9), HTML (48), iconBIT (4), JavaScript (68), MySQL (13), Nikon (19), PDF (9), PHP (119), Samsung (6), SEO (12), Sublime Text (9), TintonLife (4), UGREEN (4), Windows 7 (66), аккумуляторы (22), аксессуары (12), анализаторы файлов (8), архиваторы (5), аттракционы (7), безопасность (55), браузеры (16), бытовая техника (19), варенье (18), ВВЦ (9), ВДНХ (14), видео (20), Воробьевы горы (9), вторые блюда (120), выпечка (27), выставки (116), генератор ПСЧ (10), графика (118), десерты (31), Египет (8), заготовки на зиму (45), закуска (21), закуска к пиву (24), зарядные устройства (23), защита (15), зоопарки (10), игры (36), иконки (22), интерфейс (26), исследование защиты (306), каша (4), клавиатура (7), Коломенское (37), консоль (7), концерты (52), Кузьминки (4), куклы (27), ледяные скульптуры (6), мои программы (68), мониторы (6), музеи (72), мультимедиа (71), мясо (59), напитки (14), ноутбуки (8), обфускация (7), окна (69), оформление сайта (47), парки Москвы (7), песчаные скульптуры (13), плееры (10), подводная съемка (4), поздравления (127), полезные функции (39), прохождения (4), процессы (25), птица (20), путешествия (25), распаковка (22), реверсинг (51), рыба (34), салаты (18), сброс триала (4), сеть (36), система (177), Сокольники (8), соусы (14), супы (14), телефоны (8), Тунис (6), умный дом (12), файлы справки (6), фаст-фуд (18), фестиваль цветов (5), флешки (5), фото (23), хеши (16), числа (8), юмор (12), яйца (17), Яндекс (10)
Вам помог этот сайт?
Сказать спасибо! Поблагодарили 34,352 раза
<< 2024 - АПРЕЛЬ >>
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          
День дочери
День ДНК
Всемирный день пингвинов
Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите
Ctrl
+
Enter
Буду очень благодарен, если размеcтите мою кнопочку:
Личный блог ManHunter'а
Valid CSS Valid XHTML 1.0 Transitional Valid mobileOK Basic Valid RSS
Яндекс тИЦ: {YANDEX_TIC} Яндекс ИКС: 380
Сейчас я слушаю
---
Имя:

Сообщение:

Осталось символов: 200

   
-
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.12 сек. / MySQL: 2 (0.0096 сек.) / Память: 4.5 Mb
Наверх