Исследование защиты программы Hotkey Commander

03.09.2019 | Категория: Темная сторона Силы | Автор: ManHunter

Скриншот программы Hotkey Commander

Hotkey Commander - отличный менеджер горячих клавиш в Windows. Позволяет просматривать, какая программа захватила на себя обработку той или иной комбинации клавиш, а также переназначать, отключать и изменять горячие клавиши. Без регистрации работает всего 15 дней, что, безусловно, очень мало. На офсайте есть бесплатная софтинка Hotkey Explorer, но она позволяет только смотреть список приложений и назначенных им горячих клавиш.

Забираем с сайта дистрибутив, устанавливаем, смотрим. При попытке регистрации неправильными данными программа падает с фатальной ошибкой. Это точно не реакция защиты, скорее всего автор просто что-то не предусмотрел. А еще в окне есть неизменяемое поле серийного номера, но это не серийник, а HWID для привязки регистрации к компьютеру. Дизассемблер - наше все, отправляем главный исполняемый файл на разбор.

Окно регистрации программы

Пусть с окном регистрации не получилось, следующая зацепка - надпись "Not Registered" в заголовке. Поиском строки в листинге дизассемблера обнаружится следующий код:

Code (Assembler) : Убрать нумерацию

.text:004082CD mov ecx, offset unk_446B44
.text:004082D2 mov [esp+18h+var_4], 0
; Вызвать функцию проверки
.text:004082DA call sub_411BF0
.text:004082DF test eax, eax
; Если AX=0, то программа не зарегистрирована
.text:004082E1 jz short loc_4082F3
.text:004082E3 push offset unk_446B4C
.text:004082E8 lea ecx, [esp+1Ch+lpString]
.text:004082EC call ??YCString@@QAEABV0@ABV0@@Z
; CString::operator+=(CString const &)
.text:004082F1 jmp short loc_408301
.text:004082F3 ; ---------------------------------------
.text:004082F3 loc_4082F3:
.text:004082F3 push offset aNotRegistered
; "Not Registered"
.text:004082F8 lea ecx, [esp+1Ch+lpString]
.text:004082FC call sub_42C983

Все понятно. Вызывается функция проверки, если она вернула EAX=0, то программа работает в триальном режиме. Если посмотреть по перекрестным ссылкам места, из которых также вызывается функция проверки регистрации, то обнаружится еще одно любопытное место:

Code (Assembler) : Убрать нумерацию

.text:00411867 mov ecx, offset unk_446B44
.text:0041186C call sub_411BF0
.text:00411871 test eax, eax
.text:00411873 jz short loc_411888
.text:00411875 push 40h ; uType
.text:00411877 push offset aCongratulation
; "Congratulations"
.text:0041187C push offset aThankYouForReg
; "Thank you for registering Hotkey Comman"...
.text:00411881 mov ecx, esi
.text:00411883 call sub_42AB76

Тут тоже все понятно, но интересно другое. Прямо под этим кодом по адресу 004118A0 находится функция генерации HWID. Там обнаруживаются характерные вызовы системных функций GetAdaptersInfo и GetVolumeInformation, на основании информации из которых создается уникальный "отпечаток" системы и выполняется привязка регистрации к компьютеру. Но это так, чисто ради спортивного интереса. Возвращаемся к функции проверки регистрации. Впечатываем в ее начало по адресу 00411BF0 пару команд MOV EAX,1 и RET, сохраняем изменения. Теперь на любой вызов она будет возвращать правильный ответ.

Программа успешно "зарегистрирована"

Из заголовка исчезла триальная надпись, в интерфейсе нет кнопок регистрации, а на вкладке "О программе" красуется надпись о зарегистрированности. Регистрационного имени нет, но ничего, я как-нибудь это переживу. Зато теперь программа может без проблем запускаться на любом компьютере с сервисной флешки, куда она, собственно, и отправилась после проведения курса интенсивной терапии. Цель достигнута. Спасибо автору за очень полезную программу.

Просмотров: 1826 | Комментариев: 2

Метки: исследование защиты

Внимание! Статья опубликована больше года назад, информация могла устареть!

Можно дополнить статью. Походу автор забросил этот проект и не перевел программу в статус Free, последнее обновление сайта в 2013 году. Купить программу тоже нельзя, магазин, на который ведет ссылка о покупке, ничего не знает об этой полезной программе.

ManHunter, так держать! ПО должно быть свободным!

voffka (06.09.2019 в 22:43):

Жалко, что больше не делают такие защиты, раньше RSA была на каждой второй программе.
Процедура генерации на masm-e
https://pastebin.com/vvW0SN1T
использована biglib by roy|fleur

Добавить комментарий

Заполните форму для добавления комментария

Если программист в девять утра уже на работе, значит он там же и ночевал

Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина

Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал

Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.

Метки статей

Свернуть

Вам помог этот сайт?

Поблагодарили 34,349 раз

Международный день секретаря

Международный день солидарности молодежи

Всемирный день защиты лабораторных животных

Всемирная неделя иммунизации

Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите

Ctrl

Enter

Буду очень благодарен, если размеcтите мою кнопочку:

<a href="https://www.manhunter.ru" target="_blank"><img src="https://www.manhunter.ru/images/button.gif" alt="Личный блог ManHunter'а" title="Личный блог ManHunter'а" width="88" height="31" /></a>

$Яндекс тИЦ: {YANDEX_TIC}$

Яндекс ИКС: 380

Сейчас я слушаю

---

- автообновление

Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.1 сек. / MySQL: 2 (0.0076 сек.) / Память: 4.5 Mb

	2024 - АПРЕЛЬ
Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

Исследование защиты программы Hotkey Commander

Комментарии

Добавить комментарий