Blog. Just Blog

Исследование защиты программы Bit Che

Версия для печати Добавить в Избранное Отправить на E-Mail 15.11.2018 | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы Bit Che
Скриншот программы Bit Che

Bit Che - неплохая программа на основе собственного скриптового языка, которая в основном используется в качестве поисковика торрентов. Программа парсит указанные сайты, извлекает из страниц нужную информацию и выводит ее в виде списка. В бесплатной версии недоступны некоторые функции, а платная версия требует перечисления денег разработчику и регистрации на его сайте. Какие-то лишние телодвижения, которых вполне можно избежать.

Первым делом забираем с офсайта дистрибутив. Устанавливаем, запускаем, смотрим. На первый взгляд все вроде работает, но при попытке, например, открыть новую вкладку результатов поиска, появляется сообщение о необходимости прогуляться в кассу.

Сообщение незарегистрированной версии
Сообщение незарегистрированной версии

Исполняемый файл упакован UPX, никаких дополнительных наворотов там нет, поэтому просто распаковываем его средствами самого упаковщика: upx -d Bit_Che.exe

Строка сообщения в файле
Строка сообщения в файле

В исполняемом файле легко находится строка сообщения незарегистрированной версии. Отправим распакованный файл в дизассемблер и посмотрим, где и при каких условиях эта строка задействуется.
Code (Assembler) : Убрать нумерацию
  1. .text:004A7D79                 mov     ecx, [ebp-54h]
  2. ; Указатель на ячейку памяти
  3. .text:004A7D7C                 mov     edx, dword_6200C0
  4. .text:004A7D82                 cmp     word ptr [edx+ecx*2], 0FFFFh
  5. ; Если значение в памяти не равно 0FFFFh, то вывести сообщение
  6. .text:004A7D87                 jnz     short loc_4A7D9B
  7. .text:004A7D89                 mov     dword ptr [ebp-4], 4
  8. .text:004A7D90                 mov     word ptr [ebp-24h], 0FFFFh
  9. .text:004A7D96                 jmp     loc_4A7F16
  10. .text:004A7D9B ; --------------------------------------------
  11. .text:004A7D9B loc_4A7D9B:
  12. .text:004A7D9B                 mov     dword ptr [ebp-4], 6
  13. .text:004A7DA2                 mov     word ptr [ebp-24h], 0
  14. .text:004A7DA8                 mov     dword ptr [ebp-4], 7
  15. .text:004A7DAF                 mov     edx, offset aSorryButThisFe
  16. ; "Sorry, but this feature is disabled in "...
  17. .text:004A7DB4                 lea     ecx, [ebp-28h]
  18. .text:004A7DB7                 call    ds:__vbaStrCopy
  19. .text:004A7DBD                 mov     dword ptr [ebp-48h], 38h
  20. .text:004A7DC4                 lea     eax, [ebp-28h]
Тут берется DWORD из ячейки памяти по фиксированному адресу 006200C0, затем по этому адресу с определенным смещением считывается значение типа WORD, если оно равно 0FFFF, то программа считается зарегистрированной. Если посмотреть по перекрестным ссылкам с dword_6200C0 все участки кода, где эта ячейка памяти используется, то обнаружится 16 вхождений с проверками. Поскольку в программе используется онлайн-проверка регистрации, единственным вариантом решения будет патч.

Для патча надо определить, какая проверка выполняется первой и заменить ее на инициализацию ячейки памяти нужным нам значением. Первый этап выполняется в отладчике. Загружаем программу в отладчик, ставим хардварную точку останова с условием любого доступа на DWORD по адресу 006200C0.

Устанавливаем точку останова
Устанавливаем точку останова

Запускаем программу. Несколько раз точка останова сработает, но по коду это будут явно не проверки. Затем отладчик остановится на первой проверке:
Code (Assembler) : Убрать нумерацию
  1. .text:004B9110                 mov     eax, [ebp-208h]
  2. .text:004B9116                 mov     ecx, dword_6200C0
  3. .text:004B911C                 movsx   edx, word ptr [ecx+eax*2]
  4. .text:004B9120                 test    edx, edx
  5. .text:004B9122                 jnz     loc_4B91B6
  6. .text:004B9128                 mov     dword ptr [ebp-4], 0CFh
Этот код надо пропатчить, заменив команду по адресу 004B911C на MOV word ptr [ecx+eax*2], 0FFFF и вписав после нее безусловный переход JMP loc_4B91B6:

Патчим файл
Патчим файл

Теперь вместо проверки программа будет принудительно переведена в зарегистрированный режим. Сохраняем изменения, запускаем.

Программа успешно "зарегистрирована"
Программа успешно "зарегистрирована"

В окне "О программе" поменялся значок и красуется надпись "Plus Edition", с панели инструментов пропала иконка доната. Теперь проверим функционал. Самый простой способ - попробовать открыть больше одной вкладки поиска.

Программа успешно "зарегистрирована"
Программа успешно "зарегистрирована"

Все работает, никаких ограничений больше нет. Цель достигнута. На мой взгляд очень странное решение делать платной программу для поиска пиратского контента.

Поделиться ссылкой ВКонтакте
Просмотров: 2003 | Комментариев: 7

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
Kemper (27.11.2018 в 09:35):
блин я то подумал что софт для поиска какойто новый))) - а так то да метёлка форева)))
ManHunter (27.11.2018 в 07:53):
Kemper, как видно на скриншотах, в качестве демонстрации работы программы я использовал поиск творчества двух популярных металл-групп - Metallica (в простонародье "Метла", "Метёлка") и Accept. На это и обратили внимание комментаторы, которые разделяют мои музыкальные вкусы.
https://ru.wikipedia.org/wiki/Accept
https://ru.wikipedia.org/wiki/Metallica
Kemper (27.11.2018 в 02:48):
чтот я отстал от прогресса) - меня конечно не обламывает найти то что мне надо на трекерах по старинке - но ху из "метелка" и "Accept"?
ManHunter (26.11.2018 в 20:26):
А метёлка что, не форева? :)
Lazy_Kent (26.11.2018 в 20:00):
Про Accept подпишусь. :)
brute (26.11.2018 в 18:05):
какая-то левая программа, ничего не находит, ничего не качает в отличие от.. других мест.. Поэтому её лечением даже заниматься не хочется.
Андрей (25.11.2018 в 05:42):
Accept forever!

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Это я :-)
Если программист в девять утра уже на работе, значит он там же и ночевал
Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина
Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал
Ограничение по возрасту 16+ Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.
Метки статей
.NET (27), AJAX (5), Assembler (348), COM (39), CSS (39), Exif (15), FASM (8), Firefox (7), HDD (17), Hello Teddy (9), HTML (48), iconBIT (4), JavaScript (68), MySQL (13), Nikon (19), PDF (9), PHP (119), Samsung (6), SEO (12), Sublime Text (9), TintonLife (4), UGREEN (4), Windows 7 (66), аккумуляторы (22), аксессуары (12), анализаторы файлов (8), архиваторы (5), аттракционы (7), безопасность (55), браузеры (16), бытовая техника (19), варенье (18), ВВЦ (9), ВДНХ (14), видео (20), Воробьевы горы (9), вторые блюда (120), выпечка (27), выставки (116), генератор ПСЧ (10), графика (118), десерты (31), Египет (8), заготовки на зиму (45), закуска (21), закуска к пиву (24), зарядные устройства (23), защита (15), зоопарки (10), игры (36), иконки (22), интерфейс (26), исследование защиты (306), каша (4), клавиатура (7), Коломенское (37), консоль (7), концерты (52), Кузьминки (4), куклы (27), ледяные скульптуры (6), мои программы (68), мониторы (6), музеи (72), мультимедиа (70), мясо (59), напитки (14), ноутбуки (8), обфускация (7), окна (69), оформление сайта (47), парки Москвы (7), песчаные скульптуры (13), плееры (10), подводная съемка (4), поздравления (127), полезные функции (39), прохождения (4), процессы (25), птица (20), путешествия (25), распаковка (22), реверсинг (51), рыба (34), салаты (18), сброс триала (4), сеть (36), система (177), Сокольники (8), соусы (14), супы (14), телефоны (8), Тунис (6), умный дом (12), файлы справки (6), фаст-фуд (18), фестиваль цветов (5), флешки (5), фото (23), хеши (16), числа (8), юмор (12), яйца (17), Яндекс (10)
Вам помог этот сайт?
Сказать спасибо! Поблагодарили 34,326 раз
<< 2024 - АПРЕЛЬ >>
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          
Национальный день донора крови
Всемирный день цирка
Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите
Ctrl
+
Enter
Буду очень благодарен, если размеcтите мою кнопочку:
Личный блог ManHunter'а
Valid CSS Valid XHTML 1.0 Transitional Valid mobileOK Basic Valid RSS
Яндекс тИЦ: {YANDEX_TIC} Яндекс ИКС: 380
Сейчас я слушаю
---
Имя:

Сообщение:

Осталось символов: 200

   
-
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.07 сек. / MySQL: 2 (0.0048 сек.) / Память: 4.5 Mb
Наверх