Blog. Just Blog

Исследование защиты программы Freez Screen Video Capture

Версия для печати Добавить в Избранное Отправить на E-Mail | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы Freez Screen Video Capture
Скриншот программы Freez Screen Video Capture

Freez Screen Video Capture - программа для захвата участка экрана и записи его в видеофайл. Ничего необычного. Аффтар позиционирует ее как бесплатную утилиту, но каждый раз при запуске появляется надоедливое окно с предложением метнуться на офсайт и проверить, не появилось ли там обновления. По сути, просто вынуждают посмотреть размещенную там говнорекламу. А через 10 дней начинается вообще цирк: программа перестает запускаться и требует серийный номер, который надо бесплатно получить на офсайте. Ребята, давайте все вместе поможем Даше-Следопыту аффтару определиться в этой жизни с тем, как должна работать бесплатная программа!

Забираем с сайта дистрибутив, устанавливаем, запускаем. Первым делом нас отправляют на сайт разработчика, проверить обновления. Ага, последняя движуха на сайте датируется 2011 годом, палюбасу там внезапно обнаружится что-то новое.

Окно сообщения
Окно сообщения

Исполняемый файл ничем не упакован, отправляем его на дизассемблирование и поищем текст сообщения об обновлении. Ничего сложного, строка обнаруживается с первого захода:

Текст сообщения в файле
Текст сообщения в файле

Возвращаемся в листинг дизассемблера, находим нужную нам строчку и по единственной перекрестной ссылке переходим на код, где эта строка используется:
  1. .text:0040DA84                 lea     ecx, [esp+18h]
  2. .text:0040DA88                 mov     dword ptr [esp+240h], 0
  3. ; Вызвать функцию проверки регистрации
  4. .text:0040DA93                 call    sub_4061E0
  5. .text:0040DA98                 test    al, al
  6. ; Если программа зарегистрирована, но больше не жрать мозги пользователю
  7. .text:0040DA9A                 jnz     loc_40DBC0
  8. .text:0040DAA0                 lea     edx, [esp+18h]
  9. .text:0040DAA4                 push    edx
  10. .text:0040DAA5                 call    sub_406370
  11. ; Программа в пользовании больше 10 дней?
  12. .text:0040DAAA                 cmp     eax, 0Ah
  13. ; Да, потребовать регистрацию
  14. .text:0040DAAD                 jge     loc_40DB61
  15. ; До этого момента назойливо требовать посетить офсайт
  16. .text:0040DAB3                 push    21h
  17. .text:0040DAB5                 push    offset aOnlineUpdate
  18. ; "Online Update"
  19. .text:0040DABA                 push    offset aThereMayBeAnUp
  20. ; "There may be an update on our website. "...
  21. .text:0040DABF                 mov     ecx, edi
  22. .text:0040DAC1                 call    sub_40F34D
  23. .text:0040DAC6                 cmp     eax, esi
  24. .text:0040DAC8                 jnz     loc_40DBC0
Все просто и наглядно. Если посмотреть функцию проверки регистрации, то можно обнаружить там вызовы API по работе с реестром. То есть регистрация хранится в реестре и использовать программу в портативном режиме не получится. Это плохо, ведь в остальном программу ничего не удерживает от работы с флешки. Значит надо сделать так, чтобы программа при любом раскладе думала, что в реестре записана корректная регистрационная информация. Для этого можно записать в начало функции пару команд MOV AL,1 и RET или пропатчить возвращаемый результат, заменив двухбайтную команду MOV AL,BL по адресу 0040634C на двухбайтную команду MOV AL,1. Сохраняем изменения, запускаем. Больше никаких непристойных предложений не появляется. При запуске с флешки на чистой машине тоже никаких ограничений не выявлено. Цель достигнута.

Таким же образом приводятся в чувства и остальные программы этого разработчика, они все страдают одинаковой ерундой с обновлениями и регистрацией.

Поделиться ссылкой ВКонтакте
Просмотров: 1959 | Комментариев: 2

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
TestLog (19.02.2019 в 12:17):
Прошу прощения вот адрес начала процедуры - 00406480
TestLog (19.02.2019 в 11:53):
Начало процедуры регистрации, необходимо пройти 2 условия для зарега.
Ключи реестра:
HKEY_CURRENT_USER\Software\Freez\videocapturename
HKEY_CURRENT_USER\Software\Freez\videocaptureCode
имя в регсхеме не участвует

Ну и сам ключ - https://pastebin.com/Q7jSp17J

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.08 сек. / MySQL: 2 (0.0084 сек.) / Память: 4.5 Mb
Наверх