Исследование защиты скринсейвера Wow Beautiful Screensaver
Скриншот скринсейвера Wow Beautiful Screensaver
Wow Beautiful Screensaver - старый скринсейвер-слайдшоу, который на самом деле далеко не Beautiful, и уж тем более не Wow. Так, собранное в каком-то конструкторе скринсейверов недоразумение из набора невнятных картинок. И за это еще требовалось выложить какие-то деньги. Офсайт благополучно сдох, туда ему и дорога. А скринсейверу дорога на разделочный стол.
Как я уже сказал, офсайт прекратил существование, так что забираем дистрибутив с файлообменника. Устанавливаем, смотрим что и как. На ввод неправильных регистрационных данных скринсейвер реагирует следующим сообщением.
Сообщение о неправильной регистрации
Главный файл упакован UPX, который благополучно снимается самим собой. Распакованный файл отправляем в дизассемблер, а когда он закончит работу, поиском по листингу выходим на следующий код.
Code (Assembler) : Убрать нумерацию
- CODE:004ED015 mov eax, [eax]
- CODE:004ED017 mov eax, [eax+304h]
- CODE:004ED01D call sub_44BBEC
- CODE:004ED022 mov edx, [ebp-14h]
- CODE:004ED025 pop eax
- ; Функция сравнения строк
- CODE:004ED026 call sub_404C70
- ; Если строки равны, то регистрация прошла успешно
- CODE:004ED02B jz short loc_4ED070
- CODE:004ED02D push 30h
- CODE:004ED02F lea edx, [ebp-18h]
- CODE:004ED032 mov eax, ds:off_5078F0
- CODE:004ED037 mov eax, [eax]
- CODE:004ED039 call sub_46C998
- CODE:004ED03E mov eax, [ebp-18h]
- CODE:004ED041 call sub_404D24
- CODE:004ED046 push eax
- CODE:004ED047 lea edx, [ebp-1Ch]
- CODE:004ED04A mov eax, offset aInvalidRegistr
- ; "Invalid registration key."
- CODE:004ED04F call sub_4817EC
- CODE:004ED054 mov eax, [ebp-1Ch]
- CODE:004ED057 call sub_404D24
- CODE:004ED05C mov edx, eax
- CODE:004ED05E mov eax, ds:off_5078F0
- CODE:004ED063 mov eax, [eax]
- CODE:004ED065 pop ecx
- CODE:004ED066 call sub_46D014
- CODE:004ED06B jmp loc_4ED1FA
- CODE:004ED070 ; --------------------------------------
- CODE:004ED070 loc_4ED070:
- CODE:004ED070 push 30h
- CODE:004ED072 lea edx, [ebp-20h]
- CODE:004ED075 mov eax, ds:off_5078F0
- CODE:004ED07A mov eax, [eax]
- CODE:004ED07C call sub_46C998
- CODE:004ED081 mov eax, [ebp-20h]
- CODE:004ED084 call sub_404D24
- CODE:004ED089 push eax
- CODE:004ED08A lea edx, [ebp-24h]
- CODE:004ED08D mov eax, offset aRegistration_0
- ; "Registration key accepted."
- CODE:004ED092 call sub_4817EC
- CODE:004ED097 mov eax, [ebp-24h]
- CODE:004ED09A call sub_404D24
Открываем настройки еще раз, отладчиком цепляемся к процессу. Ставим точку останова по адресу 004ED026, отпускаем программу на выполнение и снова пытаемся зарегистрироваться с левыми данными.
Указатели на строки в регистрах
Когда сработает точка останова, в регистрах будут ссылки на введенный левый серийник и на строку "2E05E0A3". Именно эти две строки сравниваются при проверке регистрации. Закрываем отладчик, открываем настройки и повторяем регистрацию с именем "ManHunter / PCL", но теперь уже в качестве серийного номера будем использовать найденную строку.
Повторяем регистрацию
Скринсейвер благодарит нас за регистрацию.
Скринсейвер успешно зарегистрирован
Кнопка регистрации исчезает, при переводе времени на месяц вперед ничего плохого не происходит, цель достигнута. Можно удалять это убожество с компьютера.
Просмотров: 1152 | Комментариев: 2
Метки: исследование защиты
Внимание! Статья опубликована больше года назад, информация могла устареть!
Комментарии
Отзывы посетителей сайта о статье
DiPrm
(07.07.2020 в 15:43):
Wow!)
xussr
(06.07.2020 в 10:30):
xussr
1548D9B7
1548D9B7
Добавить комментарий
Заполните форму для добавления комментария