Blog. Just Blog

Исследование защиты программы WinImage

Версия для печати Добавить в Избранное Отправить на E-Mail 15.04.2015 | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы WinImage
Скриншот программы WinImage

WinImage – одна из лучших программ для создания, чтения и редактирования образов всевозможных дисков и файловых систем, включая DMF, VHD, VMDK, FAT, ISO, NTFS и Linux. С помощью WinImage вы сможете создать образ любого носителя, просматривать его содержание, извлекать необходимые файлы и добавлять новые, а также дефрагментировать и менять формат. Но цена в 30$ и ограничения пробной версии портят все впечатление.

Скачиваем дистрибутив портативной версии, распаковываем. Главный файл ничем не упакован, сразу отправим его на анализ в дизассемблер. Параллельно посмотрим, как проявляются триальные ограничения. Из видимого - это окно при запуске программы и надпись в заголовке.

Триальное окно
Триальное окно

При попытке регистрации неправильным серийником программа выводит вот такое сообщение:

Сообщение о неправильной регистрации
Сообщение о неправильной регистрации

Строка сообщения обнаруживается в ресурсах. Рядом с ней находится строка о правильной регистрации. Но нас пока интересует неправильная регистрация, точнее индекс строки. Он равен 1067 в десятичной системе счисления или 42Bh в шестнадцатеричной.

Строка сообщения в ресурсах
Строка сообщения в ресурсах

Теперь поищем в коде место, где используется этот индекс. Найдется только один участок кода:
Code (Assembler) : Убрать нумерацию
  1. ; Получить регистрационное имя и введенный серийник
  2. .text:0044AD79                 call    esi ; GetDlgItemTextA
  3. .text:0044AD7B                 push    ebx
  4. .text:0044AD7C                 mov     eax, edi
  5. ; Вызвать функцию проверки
  6. .text:0044AD7E                 call    sub_452224
  7. .text:0044AD83                 xor     edx, edx
  8. .text:0044AD85                 pop     ecx
  9. .text:0044AD86                 mov     ecx, dword_4B4060
  10. .text:0044AD8C                 mov     dword_4B4BD8, eax
  11. ; Если результат проверки EAX=0, то серийник неправильный
  12. .text:0044AD91                 cmp     eax, edx
  13. .text:0044AD93                 jz      short loc_44AD9B
  14. .text:0044AD95                 mov     dword_4B3CC8, ecx
  15. .text:0044AD9B loc_44AD9B:
  16. .text:0044AD9B                 mov     dword_4B4380, ecx
  17. .text:0044ADA1                 cmp     dword_4B3CC8, edx
  18. .text:0044ADA7                 jnz     short loc_44ADAE
  19. .text:0044ADA9                 mov     dword_4B4380, eax
  20. .text:0044ADAE loc_44ADAE:
  21. .text:0044ADAE                 xor     esi, esi
  22. .text:0044ADB0                 inc     esi
  23. .text:0044ADB1                 cmp     eax, edx
  24. .text:0044ADB3                 jnz     short loc_44ADDE
  25. ; Загрузить из ресурсов строку о неправильной регистрации
  26. .text:0044ADB5                 push    2010h
  27. .text:0044ADBA                 push    42Dh
  28. .text:0044ADBF                 mov     dword_4B48D4, esi
  29. .text:0044ADC5                 mov     dword_4B4378, esi
  30. .text:0044ADCB                 mov     byte_4B4818, dl
  31. .text:0044ADD1                 mov     byte_4B44B0, dl
  32. .text:0044ADD7                 push    42Bh
  33. .text:0044ADDC                 jmp     short loc_44ADF9
  34. .text:0044ADDE ; -------------------------------------
  35. .text:0044ADDE loc_44ADDE:
  36. .text:0044ADDE                 push    2040h           ; uType
  37. .text:0044ADE3                 push    42Dh            ; int
  38. .text:0044ADE8                 mov     dword_4B48D4, edx
  39. .text:0044ADEE                 mov     dword_4B4378, edx
  40. .text:0044ADF4                 push    42Ah            ; int
Настала очередь отладчика. Загружаем в него программу, ставим точку останова на вызов функции проверки по адресу 0044AD7E и пройдем ее в пошаговом режиме. Ее код целиком я приводить здесь не буду, только самое начало:
Code (Assembler) : Убрать нумерацию
  1. .text:00452224                 push    ebp
  2. .text:00452225                 mov     ebp, esp
  3. .text:00452227                 and     dword_4B4060, 0
  4. .text:0045222E                 sub     esp, 200h
  5. .text:00452234                 push    esi
  6. .text:00452235                 lea     ecx, [ebp+sz]   ; lpsz
  7. .text:0045223B                 call    sub_45213D
  8. .text:00452240                 mov     eax, [ebp+arg_0]
  9. ; Вызвать функцию генерации правильного серийника
  10. .text:00452243                 call    sub_45215E
  11. .text:00452248                 mov     esi, eax
  12. .text:0045224A                 cmp     esi, 0B8DCDD26h
  13. .text:00452250                 jz      loc_452461
  14. .text:00452256                 lea     eax, [ebp+sz]
  15. .text:0045225C                 push    eax
  16. .text:0045225D                 lea     eax, [ebp+var_200]
  17. .text:00452263                 push    esi
  18. .text:00452264                 push    eax
  19. ; Сравнить введенный серийник с правильным
  20. .text:00452265                 call    sub_4521D8
  21. .text:0045226A                 pop     ecx
  22. .text:0045226B                 pop     ecx
  23. .text:0045226C                 push    eax
  24. .text:0045226D                 call    sub_474E60
  25. .text:00452272                 pop     ecx
  26. ...
В пошаговом режиме отладчика хорошо видно, что на основании регистрационного имени по очереди генерируются различные серийные номера, которые, в свою очередь сравниваются с введенной строкой серийника.

Сравнение серийников на стеке
Сравнение серийников на стеке

Сравнение серийников на стеке
Сравнение серийников на стеке

Сравнение серийников на стеке
Сравнение серийников на стеке

Я проверил, можно брать любой из них, он подойдет для регистрации. В принципе, на этом можно и остановиться, но давайте посмотрим, как генерируется проверочный серийник, например, самый первый.
Code (Assembler) : Убрать нумерацию
  1. .text:0045215E sub_45215E      proc near
  2. .text:0045215E                 push    ebp
  3. .text:0045215F                 mov     ebp, esp
  4. .text:00452161                 sub     esp, 108h
  5. .text:00452167                 lea     ecx, [ebp+sz]   ; lpsz
  6. ; Начальное значение серийника
  7. .text:0045216D                 mov     [ebp+var_4], 0047694Ch
  8. ; Перевести регистрационное имя в верхний регистр
  9. .text:00452174                 call    sub_45213D
  10. .text:00452179                 lea     eax, [ebp+sz]
  11. .text:0045217F                 push    eax             ; lpString
  12. .text:00452180                 call    ds:lstrlenA
  13. .text:00452186                 xor     ecx, ecx
  14. ; Длина регистрационного имени
  15. .text:00452188                 mov     [ebp+var_8], eax
  16. .text:0045218B                 test    eax, eax
  17. .text:0045218D                 jle     short loc_4521D3
  18. .text:0045218F                 push    ebx
  19. .text:00452190                 push    esi
  20. .text:00452191                 mov     esi, [ebp+var_8]
  21. .text:00452194                 push    edi
  22. ; Указатель на регистрационное имя
  23. .text:00452195                 lea     edi, [ebp+sz]
  24. .text:0045219B loc_45219B:
  25. ; Цикл вычисления правильного серийника
  26. .text:0045219B                 mov     eax, ecx
  27. .text:0045219D                 push    0Eh
  28. .text:0045219F                 cdq
  29. .text:004521A0                 pop     ebx
  30. .text:004521A1                 idiv    ebx
  31. .text:004521A3                 test    edx, edx
  32. .text:004521A5                 jnz     short loc_4521AA
  33. .text:004521A7                 push    27h
  34. .text:004521A9                 pop     esi
  35. .text:004521AA loc_4521AA:
  36. .text:004521AA                 lea     eax, [ecx+3]
  37. .text:004521AD                 movzx   edx, byte ptr [edi+eax-3]
  38. .text:004521B2                 imul    edx, esi
  39. .text:004521B5                 add     [ebp+var_4], edx
  40. .text:004521B8                 push    0Eh
  41. .text:004521BA                 cdq
  42. .text:004521BB                 pop     ebx
  43. .text:004521BC                 idiv    ebx
  44. .text:004521BE                 test    edx, edx
  45. .text:004521C0                 jz      short loc_4521C7
  46. .text:004521C2                 imul    esi, 3
  47. .text:004521C5                 jmp     short loc_4521CA
  48. .text:004521C7 loc_4521C7:
  49. .text:004521C7                 imul    esi, 7
  50. .text:004521CA loc_4521CA:
  51. .text:004521CA                 inc     ecx
  52. .text:004521CB                 cmp     ecx, [ebp+var_8]
  53. .text:004521CE                 jl      short loc_45219B
  54. .text:004521D0                 pop     edi
  55. .text:004521D1                 pop     esi
  56. .text:004521D2                 pop     ebx
  57. .text:004521D3 loc_4521D3:
  58. ; EAX = правильный серийник
  59. .text:004521D3                 mov     eax, [ebp+var_4]
  60. .text:004521D6                 leave
  61. .text:004521D7                 retn
  62. .text:004521D7 sub_45215E      endp
Процедура настолько очевидная, что для создания кейгена ее можно копировать прямо из дизассемблера. После небольшой чистки и коррекции адресов, генерация серийника сводится вот к такому компактному коду:
Code (Assembler) : Убрать нумерацию
  1.         ; Длина имени
  2.         mov     [len],eax
  3.         mov     [key],0047694Ch
  4.         mov     edi,regname
  5.         xor     ecx,ecx
  6. loc_45219B:
  7.         mov     eax, ecx
  8.         cdq
  9.         mov     ebx,0Eh
  10.         idiv    ebx
  11.         test    edx, edx
  12.         jnz     loc_4521AA
  13.         mov     esi,27h
  14. loc_4521AA:
  15.         lea     eax,[ecx+3]
  16.         movzx   edx,byte [edi+ecx]
  17.         imul    edx,esi
  18.         add     [key],edx
  19.         cdq
  20.         mov     ebx,0Eh
  21.         idiv    ebx
  22.         test    edx,edx
  23.         jz      short loc_4521C7
  24.         imul    esi,3
  25.         jmp     short loc_4521CA
  26. loc_4521C7:
  27.         imul    esi,7
  28. loc_4521CA:
  29.         inc     ecx
  30.         cmp     ecx,[len]
  31.         jl      short loc_45219B
  32.         ; [key] -> серийник
После этого значение DWORD из переменной [key] переводится в шестнадцатеричную строку, она же и является правильным серийным номером. Так, для имени "ManHunter / PCL" серийник будет "412DBD22". Проверим, что у нас получилось:

Программа успешно зарегистрирована
Программа успешно зарегистрирована

Программа успешно зарегистрирована, а кейген теперь вы можете написать самостоятельно. Защита оказалась несложной, как раз для начинающих реверсеров. В качестве домашнего задания предлагаю разобрать функции генерации следующих серийников.

Поделиться ссылкой ВКонтакте
Просмотров: 5971 | Комментариев: 15

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
Petya (02.02.2024 в 16:32):
Пытался восстановить имя. Ничего вменяемого, слишком много коллизий. Лучший кандидат из найденного -
ЦитатаNM DF SB XWJMOWYVUH
. Не называйте так своих детей, или они не смогут купить WinImage!
ManHunter (26.01.2024 в 13:24):
Именно так, странно только, что лишь один серийник.
Petya (26.01.2024 в 13:22):
Меня вот сравнение с B8DCDD26 заинтересовало. Чёрный список? Не пропускать имя, "хэш" которого такой-то?
ManHunter (14.06.2019 в 17:53):
В статье всё подробно написано, приведены все адреса и все необходимые фрагменты кода, даже выделен отдельно алгоритм генерации серийника. Если это непонятно, то я ничем помочь не могу. Делай свою курсовую самостоятельно.
ManGoL (14.06.2019 в 17:45):
Вы же писали эту статью бесплатно. Хотя бы просто объяснить какие способы защиты применяются. либо давайте договоримся не бесплатно
ManHunter (14.06.2019 в 15:26):
Серьезно? Сидеть рисовать блок-схему, да еще поди и бесплатно? Я лучше с детьми в парк схожу погулять.
ManGoL (14.06.2019 в 04:04):
Здравствуйте! Огромное спасибо за Вашу статью! Не могли бы вы описать полный механизм защиты программы? Если можно в виде блок схемы.
P.S. заранее СПАСИБО!!!
othy (21.07.2015 в 19:16):
ManHunter, из парочки 9.x не того. Да и "412DBD22" не катит.. это задумка такая..
ManHunter (15.04.2015 в 00:05):
Там проверяются два серийника для Pro-версии и штук пять для Standard. У меня в статье серийник для Standard.
DimitarSerg (15.04.2015 в 00:01):
Я в начале 2011 кейгенил (очень громко сказано), одна из первых закейгененных прог была :)
Только у меня 9 едитов для серийников, видимо разные виды.
user (14.04.2015 в 15:03):
ЦитатаДержи еще парочку для коллекции:

Спасибо. Взаимообразно - rghost.ru/7GF2TwDxg
ЦитатаА вот генератор с исходниками кому интересно.

Спасибо too. Для коллекции.
Movic (14.04.2015 в 09:17):
А вот генератор с исходниками кому интересно.
http://nashdisk.ru/0acc43
ManHunter (14.04.2015 в 07:15):
ЦитатаПопадалось два кейгена:

Держи еще парочку для коллекции: http://rghost.ru/7rjMMvBRH
user (14.04.2015 в 02:30):
Да, и ещё - ключи бывают двух видов - Standard и Pro.
Я не вдавался в подробности, чем они отличаются, но факт.
Вообще, пользовался патченной старой версией 6(?), мне хватало.
А с этими ключами задолбаешься их вводить на каждой машине..
user (14.04.2015 в 02:11):
Попадалось два кейгена:
- от HOMBO/CORE (1998 г.) - для версии 4.х
- от ТМG (2006 г.) - для версии 8.х
Оба они нормально работают и с этой версией 9.0.
Это кстати внушает уважение к Gilles Vollant'у.
Правда, не вполне понятно, зачем там тогда приверчен демо-режим..
Хорошая программа.

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Это я :-)
Если программист в девять утра уже на работе, значит он там же и ночевал
Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина
Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал
Ограничение по возрасту 16+ Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.
Метки статей
.NET (27), AJAX (5), Assembler (350), COM (40), CSS (39), Exif (15), FASM (8), Firefox (7), HDD (17), Hello Teddy (9), HTML (48), iconBIT (4), JavaScript (68), MySQL (13), Nikon (19), PDF (9), PHP (119), Samsung (6), SEO (12), Sublime Text (9), TintonLife (4), UGREEN (4), Windows 7 (66), аккумуляторы (22), аксессуары (12), анализаторы файлов (8), архиваторы (5), аттракционы (7), безопасность (55), браузеры (16), бытовая техника (19), варенье (18), ВВЦ (9), ВДНХ (14), видео (20), Воробьевы горы (9), вторые блюда (120), выпечка (27), выставки (116), генератор ПСЧ (10), графика (118), десерты (31), Египет (8), заготовки на зиму (45), закуска (21), закуска к пиву (24), зарядные устройства (23), защита (15), зоопарки (10), игры (36), иконки (22), интерфейс (26), исследование защиты (306), каша (4), клавиатура (7), Коломенское (37), консоль (7), концерты (52), Кузьминки (4), куклы (27), ледяные скульптуры (6), мои программы (68), мониторы (6), музеи (72), мультимедиа (71), мясо (59), напитки (14), ноутбуки (8), обфускация (7), окна (69), оформление сайта (47), парки Москвы (7), песчаные скульптуры (13), плееры (10), подводная съемка (4), поздравления (127), полезные функции (39), прохождения (4), процессы (25), птица (20), путешествия (25), распаковка (22), реверсинг (51), рыба (34), салаты (18), сброс триала (4), сеть (36), система (177), Сокольники (8), соусы (14), супы (14), телефоны (8), Тунис (6), умный дом (12), файлы справки (6), фаст-фуд (18), фестиваль цветов (5), флешки (5), фото (23), хеши (16), числа (8), юмор (12), яйца (17), Яндекс (10)
Вам помог этот сайт?
Сказать спасибо! Поблагодарили 34,352 раза
<< 2024 - АПРЕЛЬ >>
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          
День дочери
День ДНК
Всемирный день пингвинов
Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите
Ctrl
+
Enter
Буду очень благодарен, если размеcтите мою кнопочку:
Личный блог ManHunter'а
Valid CSS Valid XHTML 1.0 Transitional Valid mobileOK Basic Valid RSS
Яндекс тИЦ: {YANDEX_TIC} Яндекс ИКС: 380
Сейчас я слушаю
---
Имя:

Сообщение:

Осталось символов: 200

   
-
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.3 сек. / MySQL: 2 (0.0102 сек.) / Память: 4.5 Mb
Наверх