Blog. Just Blog

Исследование защиты программы Zeta Debugger

Версия для печати Добавить в Избранное Отправить на E-Mail 14.03.2018 | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы Zeta Debugger
Скриншот программы Zeta Debugger

Zeta Debugger, по заявлению его создателя, представляет собой отладчик с поддержкой отладочной информации, оставляемой некоторыми компиляторами в файлах. На самом деле все не так. И без того небогатый функционал этого неуклюжего поделия напрочь убивается чудовищным вырвиглазным интерфейсом "добро пожаловать в 90-е". А главный прикол в том, что этот отладчик еще и платный. К счастью, проект давно загнулся, но это как раз тот случай, когда ни капельки не жалко.

Офсайт недоступен, ссылки на скачивание не работают, но у меня в закромах завалялся дистрибутив версии 1.4. В интернетах мне удалось наковырять более свежую версию 1.5, но там урезанная бесплатная версия, которая не регистрируется. Да и не вижу смысла гоняться за последним релизом.

Устанавливаем, смотрим. Главный исполняемый файл ничем не упакован, поэтому отправляем отладчик в дизассемблер. Мммм, как звучит-то!

Окно регистрации
Окно регистрации

Если внимательно посмотреть на окно регистрации, то можно заметить, что поле ввода регистрационного имени заблокировано. В него принудительно вписывается имя учетной записи пользователя. Это означает, что регистрация привязывается как минимум к этой информации, и сделать универсальное решение на основе серийного номера не получится.

Как я понимаю, кнопка "ОК" активируется автоматически при вводе правильного серийника. Поищем в ресурсах идентификаторы кнопок, какие-нибудь сообщения об успехе регистрации, ну и всякое подобное.

Картинка в ресурсах
Картинка в ресурсах

И обнаруживается вот что. Вместо обычного сообщения о правильной регистрации в программе используется КАРТИНКА попугайской расцветки! По всей видимости, в случае успеха на нее заменяется картинка в окне регистрации. Индекс этой картинки 200, что в hex-значении равняется 0C8h. Поищем в коде, где это значение используется. Таких мест найдется несколько, но только одно относится к ресурсам:
Code (Assembler) : Убрать нумерацию
  1. .text:00426E79                 call    ds:SetCursor
  2. .text:00426E7F                 push    offset byte_46731C ; lpString
  3. .text:00426E84                 mov     edx, dword_46736C
  4. .text:00426E8A                 push    edx             ; hWnd
  5. .text:00426E8B                 call    ds:SetWindowTextA
  6. .text:00426E91                 push    1               ; uIDEvent
  7. .text:00426E93                 mov     eax, [ebp+hWnd]
  8. .text:00426E96                 push    eax             ; hWnd
  9. .text:00426E97                 call    ds:KillTimer
  10. .text:00426E9D                 mov     ecx, dword_46739C
  11. .text:00426EA3                 push    ecx             ; ho
  12. .text:00426EA4                 call    ds:DeleteObject
  13. ; Загрузить картинку из ресурсов
  14. .text:00426EAA                 push    0C8h            ; lpName
  15. .text:00426EAF                 mov     edx, hModule
  16. .text:00426EB5                 push    edx             ; hModule
  17. .text:00426EB6                 call    sub_453600
  18. .text:00426EBB                 add     esp, 8
  19. .text:00426EBE                 mov     dword_46739C, eax
  20. .text:00426EC3                 push    0               ; bErase
  21. .text:00426EC5                 push    offset stru_4673A0 ; lpRect
  22. .text:00426ECA                 mov     eax, [ebp+hWnd]
  23. .text:00426ECD                 push    eax             ; hWnd
  24. ; Перерисовать окно
  25. .text:00426ECE                 call    ds:InvalidateRect
Чуть выше условие, при котором этот блок срабатывает:
Code (Assembler) : Убрать нумерацию
  1. .text:00426DD3                 cmp     [ebp+var_108], 10h
  2. .text:00426DDA                 jnz     loc_426F22
Прокручиваем еще выше на то место, где инициализируется переменная [ebp+var_108]:
Code (Assembler) : Убрать нумерацию
  1. .text:00426D38                 call    sub_427029
  2. .text:00426D3D                 add     esp, 8
  3. .text:00426D40                 mov     [ebp+var_108], eax
Итого, по результатам работы функции sub_427029 принимается решение о корректности регистрационных данных. Для правильного серийника она должна вернуть значение 10h. Что ж, осталось ее в этом убедить :) Записываем в начало функции проверки пару команд MOV EAX,10h и RET. Сохраняем изменения, запускаем. Окно регистрации не появляется, но и программа через доли секунды закрывается без каких-либо видимых причин. Есть подозрение, что в программе заложена проверка целостности. Хорошо, возвращаем исходный файл, запускаем отладчик под отладчиком (мммм....), ставим точку останова на адрес 0427029 и стартуем на выполнение. Когда точка останова сработает, то патчим начало функции напрямую в памяти. Отпускаем отладку, так и есть, окно регистрации не появляется, программа не закрывается. Проверка целостности файла действительно присутствует.

После каждого запуска отладчика в папке с программой создается файл zd.log. При обычном запуске процесс работы выглядит примерно так:

22 Starting main loop
23 [437103]: cmdline='"C:\Program Files\ZD\zd.exe" '
24 SAMPLE PLUG-IN: Shutting down...
25 Shutting down the debugger...
26 [401088]: OK
А вот при запуске патченного файла в лог добавляется интересная строчка:

22 Starting main loop
23 [437103]: cmdline='"C:\Program Files\ZD\zd.exe" '
24 [440883]: Patrol failedSAMPLE PLUG-IN: Shutting down...
25 Shutting down the debugger...
26 [401088]: OK
Несложно догадаться, что это и есть реакция защиты от изменений. Вернемся в дизассемблер и посмотрим, где эта строчка проявляется:
Code (Assembler) : Убрать нумерацию
  1. .text:00440861                 add     eax, 0F0h
  2. .text:00440866                 mov     dword_46B938, eax
  3. ; Проверка
  4. .text:0044086B                 cmp     dword_46B938, 100h
  5. ; Условный переход в случае несовпадения
  6. .text:00440875                 jnz     short loc_440879
  7. ; Перепрыгнуть вывод строки
  8. .text:00440877                 jmp     short loc_440812
  9. .text:00440879 ; ------------------------------------------
  10. .text:00440879 loc_440879:
  11. .text:00440879                 push    offset aPatrolFailed
  12. ; "Patrol failed"
  13. .text:0044087E                 call    sub_44FEAA
  14. .text:00440883                 add     esp, 4
  15. .text:00440886                 mov     eax, [ebp+arg_4]
  16. .text:00440889                 mov     ecx, hWndNewParent
  17. .text:0044088F                 mov     [eax], ecx
Забиваем NOP'ами условный переход по адресу 00440875. Сохраняем изменения, запускаем. Окна регистрации нет, лог чистый, программа не закрывается.

Программа успешно "зарегистрирована"
Программа успешно "зарегистрирована"

Для чистоты эксперимента переведем системное время на пару месяцев вперед, программа все так же работает. Цель достигнута. Можно запускать деинсталлятор и удалять этого монстра с жесткого диска.

Поделиться ссылкой ВКонтакте
Просмотров: 2361 | Комментариев: 9

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
user (28.03.2018 в 22:44):
..просто не сразу разобрался, что "region59" туда тоже относится.
user (28.03.2018 в 22:31):
Да, так и есть.
ManHunter (27.03.2018 в 16:30):
Хз, файл на месте, никуда не девался. Может местный провайдер режет доступ к Я.Диску?
user (25.03.2018 в 23:17):
-- Добавлено --
Скачалась нормально версия 1.4 отсюда: www.duote.com/soft/1953.html
user (25.03.2018 в 16:54):
Что-то дистрибутив версии 1.4 не скачивается из указанного места.
И вообще, найти его в сети не удаётся.
В вебархиве только его версия 1.5.
ManHunter (24.03.2018 в 10:10):
Все когда-то было, но это же не причина, чтобы больше ничего не делать.
xussr (24.03.2018 в 04:26):
Не впечатлило уже проходилили подобное -
ManHunter (23.03.2018 в 21:32):
Интерфейс напоминает "домашние странички" времен становления интернета. Не хватает только анимации с вращающимися e-mail, бегающими собачками, Comic Sans и прочего днища.
pawel97 (23.03.2018 в 21:10):
Загнулся, вырвиглазный, не жалко, неуклюжее поделие, но дистриб оставлю :)
Хоткеи аффтар делал по принципу лишь бы не как у всех.

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Это я :-)
Если программист в девять утра уже на работе, значит он там же и ночевал
Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина
Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал
Ограничение по возрасту 16+ Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.
Метки статей
.NET (27), AJAX (5), Assembler (348), COM (39), CSS (39), Exif (15), FASM (8), Firefox (7), HDD (17), Hello Teddy (9), HTML (48), iconBIT (4), JavaScript (68), MySQL (13), Nikon (19), PDF (9), PHP (119), Samsung (6), SEO (12), Sublime Text (9), TintonLife (4), UGREEN (4), Windows 7 (66), аккумуляторы (22), аксессуары (12), анализаторы файлов (8), архиваторы (5), аттракционы (7), безопасность (55), браузеры (16), бытовая техника (19), варенье (18), ВВЦ (9), ВДНХ (14), видео (20), Воробьевы горы (9), вторые блюда (120), выпечка (27), выставки (116), генератор ПСЧ (10), графика (118), десерты (31), Египет (8), заготовки на зиму (45), закуска (21), закуска к пиву (24), зарядные устройства (23), защита (15), зоопарки (10), игры (36), иконки (22), интерфейс (26), исследование защиты (306), каша (4), клавиатура (7), Коломенское (37), консоль (7), концерты (52), Кузьминки (4), куклы (27), ледяные скульптуры (6), мои программы (68), мониторы (6), музеи (72), мультимедиа (70), мясо (59), напитки (14), ноутбуки (8), обфускация (7), окна (69), оформление сайта (47), парки Москвы (7), песчаные скульптуры (13), плееры (10), подводная съемка (4), поздравления (127), полезные функции (39), прохождения (4), процессы (25), птица (20), путешествия (25), распаковка (22), реверсинг (51), рыба (34), салаты (18), сброс триала (4), сеть (36), система (177), Сокольники (8), соусы (14), супы (14), телефоны (8), Тунис (6), умный дом (12), файлы справки (6), фаст-фуд (18), фестиваль цветов (5), флешки (5), фото (23), хеши (16), числа (8), юмор (12), яйца (17), Яндекс (10)
Вам помог этот сайт?
Сказать спасибо! Поблагодарили 34,321 раз
<< 2024 - АПРЕЛЬ >>
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          
Национальный день донора крови
Всемирный день цирка
Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите
Ctrl
+
Enter
Буду очень благодарен, если размеcтите мою кнопочку:
Личный блог ManHunter'а
Valid CSS Valid XHTML 1.0 Transitional Valid mobileOK Basic Valid RSS
Яндекс тИЦ: {YANDEX_TIC} Яндекс ИКС: 380
Сейчас я слушаю
---
Имя:

Сообщение:

Осталось символов: 200

   
-
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.13 сек. / MySQL: 2 (0.0091 сек.) / Память: 4.5 Mb
Наверх