Исследование защиты программы Freez Screen Video Capture
Скриншот программы Freez Screen Video Capture
Freez Screen Video Capture - программа для захвата участка экрана и записи его в видеофайл. Ничего необычного. Аффтар позиционирует ее как бесплатную утилиту, но каждый раз при запуске появляется надоедливое окно с предложением метнуться на офсайт и проверить, не появилось ли там обновления. По сути, просто вынуждают посмотреть размещенную там говнорекламу. А через 10 дней начинается вообще цирк: программа перестает запускаться и требует серийный номер, который надо бесплатно получить на офсайте. Ребята, давайте все вместе поможем
Забираем с сайта дистрибутив, устанавливаем, запускаем. Первым делом нас отправляют на сайт разработчика, проверить обновления. Ага, последняя движуха на сайте датируется 2011 годом, палюбасу там внезапно обнаружится что-то новое.
Окно сообщения
Исполняемый файл ничем не упакован, отправляем его на дизассемблирование и поищем текст сообщения об обновлении. Ничего сложного, строка обнаруживается с первого захода:
Текст сообщения в файле
Возвращаемся в листинг дизассемблера, находим нужную нам строчку и по единственной перекрестной ссылке переходим на код, где эта строка используется:
Code (Assembler) : Убрать нумерацию
- .text:0040DA84 lea ecx, [esp+18h]
- .text:0040DA88 mov dword ptr [esp+240h], 0
- ; Вызвать функцию проверки регистрации
- .text:0040DA93 call sub_4061E0
- .text:0040DA98 test al, al
- ; Если программа зарегистрирована, но больше не жрать мозги пользователю
- .text:0040DA9A jnz loc_40DBC0
- .text:0040DAA0 lea edx, [esp+18h]
- .text:0040DAA4 push edx
- .text:0040DAA5 call sub_406370
- ; Программа в пользовании больше 10 дней?
- .text:0040DAAA cmp eax, 0Ah
- ; Да, потребовать регистрацию
- .text:0040DAAD jge loc_40DB61
- ; До этого момента назойливо требовать посетить офсайт
- .text:0040DAB3 push 21h
- .text:0040DAB5 push offset aOnlineUpdate
- ; "Online Update"
- .text:0040DABA push offset aThereMayBeAnUp
- ; "There may be an update on our website. "...
- .text:0040DABF mov ecx, edi
- .text:0040DAC1 call sub_40F34D
- .text:0040DAC6 cmp eax, esi
- .text:0040DAC8 jnz loc_40DBC0
Таким же образом приводятся в чувства и остальные программы этого разработчика, они все страдают одинаковой ерундой с обновлениями и регистрацией.
Просмотров: 1959 | Комментариев: 2
Метки: исследование защиты, мультимедиа
Внимание! Статья опубликована больше года назад, информация могла устареть!
Комментарии
Отзывы посетителей сайта о статье
TestLog
(19.02.2019 в 12:17):
Прошу прощения вот адрес начала процедуры - 00406480
TestLog
(19.02.2019 в 11:53):
Начало процедуры регистрации, необходимо пройти 2 условия для зарега.
Ключи реестра:
HKEY_CURRENT_USER\Software\Freez\videocapturename
HKEY_CURRENT_USER\Software\Freez\videocaptureCode
имя в регсхеме не участвует
Ну и сам ключ - https://pastebin.com/Q7jSp17J
Ключи реестра:
HKEY_CURRENT_USER\Software\Freez\videocapturename
HKEY_CURRENT_USER\Software\Freez\videocaptureCode
имя в регсхеме не участвует
Ну и сам ключ - https://pastebin.com/Q7jSp17J
Добавить комментарий
Заполните форму для добавления комментария