Blog. Just Blog

Исследование защиты программы Machete

Версия для печати Добавить в Избранное Отправить на E-Mail | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы Machete
Скриншот программы Machete

Machete - одна из лучших программ для быстрой нарезки фрагментов из видео- и аудиофайлов. Поддерживается большое количество различных форматов: AVI, FLV, WMV, 3GP, 3G2, MKV, MP4, MOV, WMA, MP3 и WAV. Главной особенностью Machete является то, что файлы не перекодируются, поэтому качество файла после редактирования остается как в исходнике, а скорость работы измеряется секундами. Я сам пользуюсь Machete, чтобы вырезать из любимого сериала рекламу очередного "спонсорского" говносайта. У меня спонсоров нет, за софт я принципиально не плачу, вот и Machete пришлось доводить до ума на предмет абсолютной бесплатности.

Начинаем как обычно с дистрибутива. Скачиваем, устанавливаем. Предварительный осмотр главного исполняемого файла говорит о том, что он упакован навесным протектором Armadillo, причем последней версии. Анализаторы исполняемых файлов это подтверждают.

Распаковываем файл при помощи ArmaGeddon
Распаковываем файл при помощи ArmaGeddon

Ничего страшного, распаковываем файл при помощи ArmaGeddon 2.1, причем для этого мне пришлось воспользоваться ноутбуком с Windows XP, так как ни под Windows 7, ни на виртуальной Windows XP сделать этого не удалось. Проверяем работоспособность распакованного файла, все должно быть нормально. Никаких наномитов и прочих подлянок нет.

Удаляем из файла секции протектора
Удаляем из файла секции протектора

Теперь желательно удалить из файла секции протектора, они уже не используются, но место занимают. Для этого воспользуемся утилитой CFF Explorer. Удаляем секции text1, adata, data1 и pdata. После этого размер распакованного файла сокращается почти в два раза. Программа запускается, работает, но ограничения незарегистрированной версии сохраняются.

Поскольку триальная защита и регистрация реализована средствами навесного протектора, то надо поискать, какие переменные окружения используются для хранения регистрационных данных. Для этого скармливаем распакованный файл программе Armadillo Environment Variables Finder:

Используемые переменные окружения
Используемые переменные окружения

В переменной ALTUSERNAME хранится имя пользователя, в USERKEY - серийный номер. Поскольку протектор снят и его секции удалены, а стало быть установить переменные окружения он больше никогда не сможет, то сделаем это самостоятельно при помощи программы Armadillo Environment Variables Injector:

Патчим переменные окружения
Патчим переменные окружения

Применяем патч, проверяем работоспособность полученного файла:

Программа успешно "зарегистрирована"
Программа успешно "зарегистрирована"

Теперь все ограничения сняты, программа работает в точности как зарегистрированная, в окне "О программе" красуется правильное имя, и более того, после такой обработки Machete может работать в портативном варианте. Цели достигнуты, спасибо всем авторам за отличные инструменты, в том числе и автору программы :)

Поделиться ссылкой ВКонтакте Поделиться ссылкой на Facebook Поделиться ссылкой на LiveJournal Поделиться ссылкой в Мой Круг Добавить в Мой мир Добавить на ЛиРу (Liveinternet) Добавить в закладки Memori Добавить в закладки Google
Просмотров: 4262 | Комментариев: 21

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
User (29.04.2016 в 03:28):
ЦитатаФайл распаковывать разве не надо?

Извиняюсь, поторопился =(
ManHunter (29.04.2016 в 03:06):
Файл распаковывать разве не надо?
User (29.04.2016 в 03:00):
Добрый день!

В свежей версии AEVF 1.3 определяет только одну функцию.

http://i80.fastpic.ru/big/2016...66ed5f73.png

это армадилла обновилась, или разработчик отказался от её системы регистрации?
Hedin (16.01.2016 в 09:37):
Доброго времени суток всем!
А что значит, что "и более того, после такой обработки Machete может работать в портативном варианте"? Для этого нужно что-то специально сделать? Она свой файл с настройками кидает в папку пользователя...
addhaloka (22.06.2015 в 13:45):
> v2.2 нормально распаковывает под Win7 x64.
Попробовал распаковать с v2.2 на Win8.1 x64. На первый взгляд всё нормально, но в импорте появилась некая combase.dll, из-за чего распакованный сабж не работает на XP (а может и вообще на других осях, кроме той, на которой анпачил).
Распакованная с v2.1 на XP - работает ровно везде.
hatmaster (21.06.2015 в 00:10):
Жека, Анон именно об этом и писал: нативная мелкософтовская Windows XP Mode работает только при наличии в процессоре поддержки VT-x. Проверено на себе. Китайские собратья устранили вопиющую несправедливость и склепали римейк VirtualBox'a - VMLite, который запускает тот же самый Windows XP Mode, но уже без необоснованных притязаний к процу.
DimitarSerg (16.06.2015 в 20:59):
У меня с некоторых пор на основной ВМ (варя 11) перестала анпакаться арма, х*р его знает что случилось :(

Поэтому на Parallels или ВБОксе (что запущено), на том и анпачу, хотя уже не помню когда последний раз нужен был анпак (вспомнил, FlowCode когда ломал последнюю) ... в %95 инлайн патч+кейген для армовской реги.
ManHunter (15.06.2015 в 18:04):
На ВСЕХ существующих в природе виртуальных машинах с XP на МОИХ компьютерах файл не распаковывается. Если у кого-то на чем-то распаковалось, то я могу только порадоваться.
Жека (15.06.2015 в 17:15):
ManHunter, добрый день, у меня чудесно распаковалось из под виртуалки от Майкрософт Windows XP Mode установленной на Win7 x64. Так что стоит попробовать, отличная вещ.
Kon Diter (13.06.2015 в 12:33):
ManHunter, досадно. У меня i5, если у Вас amd, то может из-за этого.
Главное, что решение найдено :) Спасибо за статью.
user (13.06.2015 в 10:59):
ЦитатаИменно по этой причине я предпочитаю полностью снятый протектор, даже если есть валидные ключи и/или кейгены.

..По поводу этой армадильей ошибки "Debugger present.." вспомнилось, как пришлось ковырять лет десять назад одну программку, которая успешно работала со сбросом триала под WinXP, а под Win98 работать не хотела, по причине именно этой прымхи "..debugger..", и это было очень неудобно. А попаковано там было в пакете всё - и лаунчер, и экзек вместе с библиотеками. Armageddon обламывался на той программе. Вот и пришлось убирать эту фигню вручную, правда, там не все подлые опции протектора были задействованы.
Кстати, это уже много позже мне попалась утилита envvar_finder/patcher, а тогда пришлось применить то же решение, но без утилиты. Это действительно проще, чем выковыривать все проверки.

Цитатаv2.2 нормально распаковывает под Win7 x64.

В архив версии для WinXP они не добавили Сишные библиотеки..
ManHunter (13.06.2015 в 10:33):
Kon Diter, увы, далеко не на всех машинах. Пробовал уже, на моих не распаковывает.
Kon Diter (13.06.2015 в 08:52):
http://arteam.accessroot.com/a...d.php?list.9

v2.2 нормально распаковывает под Win7 x64.
user (12.06.2015 в 14:28):
Согласен.
ManHunter (12.06.2015 в 14:10):
Цитатаи что, типа программа будет работать? - Совсем не обязательно.

Именно по этой причине я предпочитаю полностью снятый протектор, даже если есть валидные ключи и/или кейгены.
user (12.06.2015 в 12:48):
Ну, а допустим, программа куплена, регистрационная абракадабра введена и что, типа программа будет работать? - Совсем не обязательно.
Armadillo завершает программу при старте, выводя сообщение, что, дескать, "System debugger present.." и гудбай.

Не запущен на самом деле никакой дебаггер, и драйверы его неактивны, но в реестре имеется запись на загрузку этих драйверов - и всё. Работать не будет, пока не будет выполнена полная деинсталляция того самого debugger'a из системы.

Вот что армадильщики имели в виду, когда страдали такой хернёй?.
А люди, вешающие армадиллу на свой софт, о чём думали вообще?

Этот вопрос в пустоту - постоянно, когда приходится сталкиваться с подобным идиотизмом некоторых протекторов.
ManHunter (12.06.2015 в 12:37):
Виртуалка под VMWare, причем проверял на разных компах. Результат одинаковый. Так что для распаковки ничего лучше нет, чем отдельный физический комп с Windows XP. DecomAS, кстати, там тоже срабатывает лучше, чем на виртуалке.
SendMessageA (12.06.2015 в 10:45):
Цитатаза софт я принципиально не плачу
))
как Тесла бы не был собой, если бы платил за электричество
speedboy (12.06.2015 в 05:53):
good!
Anonymous (12.06.2015 в 02:04):
Цитатана виртуальной Windows XP сделать этого не удалось

Это зависит от процессора и используемой виртуальной машины.

Например, в опенсурсном VirtualBox есть баг, который тянется уже лет 10 - если процессор не поддерживает виртуализацию, то в виртуальной машине не работают аппаратные бряки. При этом, в VMWare эти бряки на том же проце работают нормально.

В принципе, сейчас даже самые бюджетные пентиумы умеют виртуализацию, а вот в процессорах времен Core2 у бюджетных моделей виртуализации не было.
vonMI (12.06.2015 в 00:14):
Занимательно и очень легко со столь полезными утилитками...Кстати,можно эту не устанавливать,просто извлечь(UE) и глумись вволю.

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2017
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.13 сек. / MySQL: 2 (0.0048 сек.) / Память: 4.5 Mb
Наверх