Исследование защиты программы Screen GIF

17.03.2019 | Категория: Темная сторона Силы | Автор: ManHunter

Скриншот программы Screen GIF

Программа Screen GIF предназначена для записи участка экрана в виде анимированного GIF-файла. Таких программ достаточно, в том числе и бесплатных, поэтому очень странно смотрится ценник в несколько десятков евро. Это при том, что Screen GIF делает примерно то же самое, что и бесплатные аналоги. Добро пожаловать на разделочный стол.

Первым делом забираем с офсайта дистрибутив, устанавливаем. Мда, размерчик для нехитрой утилиты, мягко говоря, великоват. Главный исполняемый файл ничем не упакован, отправляем его на дизассемблирование.

В меню программы есть пункт регистрации, но на ввод левых данных никакой реакции нет, окно регистрации просто закрывается. Надо другую зацепку, например, надпись "Unregistered version" в окне "О программе", которое открывается при старте. Поиском по файлу обнаружится юникодная строка:

Строка сообщения в файле

Как всегда бывает в таких случаях, посмотрим на код в листинге, где эта строка используется, и выясним условия, при которых она появляется.

Code (Assembler) : Убрать нумерацию

.text:0062FA25 call sub_618CAC
; Проверить значение по указателю на указатель DWORD 0x006ECA14
.text:0062FA2A mov eax, off_6ECA14
.text:0062FA2F cmp dword ptr [eax], 1
; Если оно не равно 1, то программа не зарегистрирована
.text:0062FA32 jnz short loc_62FA54
.text:0062FA34 lea edx, [ebp+var_8]
.text:0062FA37 mov eax, ds:off_629810
.text:0062FA3C call sub_629AA8
.text:0062FA41 mov edx, [ebp+var_8]
.text:0062FA44 mov eax, [ebx+390h]
.text:0062FA4A call sub_4A44D0
.text:0062FA4F jmp loc_62FADD
.text:0062FA54 ; ------------------------------------------------------
.text:0062FA54 loc_62FA54:
.text:0062FA54 lea ecx, [ebp+var_28]
; "Unregistered version"
.text:0062FA57 mov edx, offset aUnregisteredVe

Берется указатель на переменную, по этому адресу проверяется значение переменной. Если оно не равно 1, то программа не зарегистрирована. Разбираем матрешку:

Code (Assembler) : Убрать нумерацию

; Указатель на переменную
.data:006ECA14 off_6ECA14 dd offset dword_77431C

Переходим по адресу, на который ссылается указатель, затем по перекрестным ссылкам смотрим, где и как меняется значение переменной:

Перекрестные ссылки на переменную

Нас интересует тот участок кода, где переменной присваивается значение 1. И, судя по адресации, присвоение другого значения находится там же недалеко. Так и есть:

Code (Assembler) : Убрать нумерацию

.itext:006DAE3D mov eax, ds:off_629810
.itext:006DAE42 call sub_629DB0
.itext:006DAE47 test al, al
.itext:006DAE49 jz short loc_6DAE57
; Программа зарегистрирована
.itext:006DAE4B mov ds:dword_77431C, 1
.itext:006DAE55 jmp short locret_6DAE61
.itext:006DAE57 ; -----------------------------------------------------
.itext:006DAE57 loc_6DAE57:
; Программа не зарегистрирована
.itext:006DAE57 mov ds:dword_77431C, 2
.itext:006DAE61 locret_6DAE61:
.itext:006DAE61 retn

Никаких хитрых разветвлений алгоритма тут нет, достаточно в команде присвоения по адресу 006DAE57 просто поменять значение 2 на 1. В этом случае в переменную, отвечающую за статус регистрации, будет всегда записываться правильное значение. Сохраняем изменения, запускаем.

Программа успешно "зарегистрирована"

Окно "О программе" при старте программы и при завершении ее работы больше не появляется, пункт регистрации из меню исчез, на готовую анимацию не накладывается водяной знак, а в уже упомянутом окне "О программе" нам объявляется огромная благодарность за поддержку. Да было б за что, обращайтесь :) Цель достигнута, все ограничения сняты.

Просмотров: 1628 | Комментариев: 5

Метки: исследование защиты

Внимание! Статья опубликована больше года назад, информация могла устареть!

По сути ничего сложного предлагаю по нопить это для самых ленивых
CPU Disasm
Address Hex dump Command Comments
0062FA2F |. 8338 01 CMP DWORD PTR DS:[EAX],1
0062FA32 90 NOP
0062FA33 90 NOP
0062FA34 |. 8D55 F8 LEA EDX,[EBP-8]
0062FA37 |. A1 10986200 MOV EAX,DWORD PTR DS:[629810]

SHREEF (24.03.2019 в 01:03):

Ворпос. А пробовал отучить программу RAMCACHEIII WIN10 от win10 ибо в коде она может работать и с младшими версиями виндос ?!

Добавить комментарий

Заполните форму для добавления комментария

Если программист в девять утра уже на работе, значит он там же и ночевал

Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина

Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал

Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.

Метки статей

Свернуть

Вам помог этот сайт?

Поблагодарили 36,245 раз

Всемирный день социальной работы

День воссоединения Крыма с Россией

День Парижской коммуны

Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите

Ctrl

Enter

Буду очень благодарен, если размеcтите мою кнопочку:

<a href="https://www.manhunter.ru" target="_blank"><img src="https://www.manhunter.ru/images/button.gif" alt="Личный блог ManHunter'а" title="Личный блог ManHunter'а" width="88" height="31" /></a>

$Яндекс тИЦ: {YANDEX_TIC}$

Яндекс ИКС: 360

Сейчас я слушаю

---

- автообновление

Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2025
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.07 сек. / MySQL: 2 (0.0054 сек.) / Память: 4.5 Mb

	2025 - МАРТ
Пн	Вт	Ср	Чт	Пт	Сб	Вс
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31

Исследование защиты программы Screen GIF

Комментарии

Добавить комментарий