Исследование защиты программы GPS Location Remover For Photos
Скриншот программы GPS Location Remover For Photos
Я думал, что уже всякой бесполезной хрени в жизни насмотрелся, а тут вот оно чо, Михалыч. Шароварное поделие GPS Location Remover For Photos, как можно догадаться из названия, предназначено для удаления геотегов из EXIF-секции фотографий. Типа это сохранит вашу приватность при размещении фотографий в соцсетях, а злобные враги не смогут узнать, где было сделано фото. То, что обычно фотографии сопровождаются всякими чекинами и камментами "Зоцените мы с посонами тусим в кабаке на Пушкенской", это в расчет не берется. Это не говоря уже о том, что кроме геотегов в EXIF остается много интересной информации. В который раз убеждаюсь в истинности пословицы "Без лоха жизнь плоха", и что абсолютно бесполезный продукт тоже можно пытаться продать.
Начинаем с загрузки дистрибутива. После установки и запуска наблюдаем полный комплект триальных надписей. Судя по структуре каталогов установленной программы, в ней используются языковые файлы. Логично предположить, что все текстовые строчки хранятся именно там. Откроем, к примеру, файл english.xml. Там легко обнаружатся строки, относящиеся к триальному режиму работы:
<Text.NotLicensed Text="Not Licensed"/>
<Text.TrialVersion Text="Trial Version"/>
<Text.YouAreUsingTheTrialVersion Text="You are using the 15-day trial version."/>
На самом деле их там гораздо больше, но нам хватит и этого. Переходим к исполняемому файлу. Он ничем не упакован. Размер большой, дизассемблеру потребуется немало времени для анализа, так что не будем с этим медлить. Параллельно поищем строчки из языкового файла, причем искать надо по названию XML-тега, а не по самому тексту:
Строка в файле
Посмотрим, где и как эта строчка используется. Из-за юникода текст по перекрестным ссылкам в дизассемблере не виден, но виден в HiEW.
Code (Assembler) : Убрать нумерацию
- .text:00AED358 push offset loc_AED60F
- .text:00AED35D push dword ptr fs:[eax]
- .text:00AED360 mov fs:[eax], esp
- ; Указатель
- .text:00AED363 mov eax, off_B2C02C
- ; Проверить DWORD по этому указателю
- .text:00AED368 cmp dword ptr [eax], 0
- ; Если он не равен 0, то программа зарегистрирована
- .text:00AED36B jnz loc_AED4A7
- .text:00AED371 lea ecx, [ebp+var_C]
- .text:00AED374 mov edx, offset off_AED628
- .text:00AED379 mov eax, ds:off_8803AC
- .text:00AED37E call sub_880AB0
- .text:00AED383 push [ebp+var_C]
Перекрестные ссылки на указатель
На указатель есть три ссылки. Одну мы уже видели, осталось посмотреть остальные.
Code (Assembler) : Убрать нумерацию
- .text:00880036 mov edx, off_B2C02C
- .text:0088003C mov edx, [edx]
- .text:0088003E mov eax, [ebx+3E8h]
- .text:00880044 call sub_543124
Code (Assembler) : Убрать нумерацию
- ; Указатель
- .text:00AF01E5 mov eax, off_B2C02C
- .text:00AF01EA cmp dword ptr [eax], 0
- ; Проверить DWORD по этому указателю
- .text:00AF01ED jnz short loc_AF021E
- .text:00AF01EF mov eax, [ebx+474h]
- .text:00AF01F5 cmp byte ptr [eax+69h], 0
- .text:00AF01F9 jnz short loc_AF022B
- .text:00AF01FB mov edx, [ebx+420h]
- .text:00AF0201 mov ecx, [edx+54h]
- .text:00AF0204 add ecx, [edx+5Ch]
- .text:00AF0207 inc ecx
- .text:00AF0208 mov edx, ecx
- .text:00AF020A call sub_542544
- .text:00AF020F mov eax, [ebx+474h]
- .text:00AF0215 mov dl, 1
- .text:00AF0217 call sub_542FD4
- .text:00AF021C jmp short loc_AF022B
- .text:00AF021E ; ---------------------------------------
- .text:00AF021E loc_AF021E:
- .text:00AF021E mov eax, [ebx+474h]
- .text:00AF0224 xor edx, edx
- .text:00AF0226 call sub_542FD4
- .text:00AF022B loc_AF022B:
- .text:00AF022B mov edx, offset off_AF03DC
- .text:00AF0230 mov eax, ebx
- .text:00AF0232 call sub_543124
Программа успешно "зарегистрирована"
Все триальные надписи пропали, перевод времени на месяц вперед на работоспособности тоже никак не сказывается. Цель достигнута. Мне кажется, что половина усилий аффтара ушла на онлайн-активацию и прочие навороты в регистрации. А на выходе все равно получился бесполезный многомегабайтный монстр.
Просмотров: 1913 | Комментариев: 1
Внимание! Статья опубликована больше года назад, информация могла устареть!
Комментарии
Отзывы посетителей сайта о статье
SVS
(10.04.2017 в 13:26):
Умеешь с юмором преподать материал. Обожаю тебя за эти статьи юморные)))
Добавить комментарий
Заполните форму для добавления комментария