Blog. Just Blog

Исследование защиты программы Feed Editor

Версия для печати Добавить в Избранное Отправить на E-Mail | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы Feed Editor
Скриншот программы Feed Editor

Откопал в архивах программу Feed Editor. Как можно догадаться из названия, она предназначена для создания и редактирования RSS-каналов. Хотя что за бред, сейчас любой даже самый простейший сайтовый движок делает фиды автоматически. Офсайт вполне предсказуемо сдох, по всей видимости, из-за невостребованности софтины, так что отправлять деньги все равно некому.

Забираем с файлообменника дистрибутив, устанавливаем, смотрим. По характерному набору файлов в папке с установленной программой можно определить, что программа написана на Visual Basic, а потом накрыта навесным протектором Armadillo. Если есть сомнения, то любой анализатор исполняемых файлов это подтвердит. Окно с таймером при запуске и окно регистрации однозначно говорят о том, что защита реализована с помощью встроенных средств Armadillo. Снимаем навесной протектор при помощи ArmaGeddon, все проходит без проблем.

Снимаем навесной протектор
Снимаем навесной протектор

Можно поудалять из файла "мертвые" секции, относящиеся к Armadillo, чтобы уменьшить его размер, но конкретно в этом случае не вижу необходимости тратить на это время.

Так как навесной протектор снят, а защита реализована с его помощью, будем использовать инструментарий для таких случаев. После распаковки отправляем файл в программу Armadillo Environment Variables Finder и определяем с ее помощью все, что относится к Armadillo.

Находим переменные окружения Armadillo
Находим переменные окружения Armadillo

В переменной окружения ALTUSERNAME при нормальном режиме работы навесного протектора находится регистрационное имя. Сейчас протектора нет, переменную окружения ставить некому. Значит нам потребуется следующий инструмент - Armadillo Environment Variables Injector. Отправляем распакованный файл в инжектор, устанавливаем нужное значение переменной ALTUSERNAME и патчим файл с дефолтными опциями.

Патчим переменные окружения
Патчим переменные окружения

Проверяем пропатченный файл. Надпись о незарегистрированной программе в заголовке главного окна пропала, в окне "О программе" красуется регистрационное имя из переменной окружения. Никаких ограничений по функционалу нет.

Программа успешно "зарегистрирована"
Программа успешно "зарегистрирована"

Цель достигнута, мы еще раз потренировались в распаковке и патче переменных окружения Armadillo. Можно удалять программу Feed Editor за ненадобностью, она реально больше ни для чего не нужна.

Поделиться ссылкой ВКонтакте Поделиться ссылкой на Facebook Поделиться ссылкой на LiveJournal Поделиться ссылкой в Мой Круг Добавить в Мой мир Добавить на ЛиРу (Liveinternet) Добавить в закладки Memori Добавить в закладки Google
Просмотров: 1053 | Комментариев: 8

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
vffinder (27.07.2022 в 02:29):
Friend, I'm trying to unpack PhpRunner with Armageddon 2.3. Got this message: "LoadLibraryA RETN search string not found!". Any idea?
egor (07.06.2022 в 18:45):
Спасибо
ManHunter (07.06.2022 в 18:35):
Наличие армы на файле лучше определять не универсальными, а специализированными утилитами, они тут тоже есть. Внедрение в файл фейковых сигнатур вполне нормальная практика, они заточены как раз против PEiD и аналогов.
Пытаться распаковать 32-битный файл при помощи 32-битного Армагеддона на Win10x64 - заведомо провальное занятие. Для корректной распаковки должен быть отдельный физический комп с WinXP, в крайнем случае Win7x86. Не виртуалка, не эмулятор, а именно железная машина. Но это при уверенности, что навешана именно арма.
egor (07.06.2022 в 18:22):
Наверное, не очень высказался...
Анализаторы, типа PEiD или ExeinfoPe говорят, что прога упакована
Armadillo 4.4x ~ 4.62..5.0~7.0 32bit
Когда я загружаю прогу в ArmaGeddon 2.2 (с Вашего сайта) - он и показывает ту строку.
ManHunter (07.06.2022 в 14:49):
Ну ясно дело, "унпакер" же у всех один единственный и точно одинаковый. Окружение, на котором выполняется распаковка, тоже у всех совпадает до винтика. Да и программ в природе написано не так много, Feed Editor и вот эта вторая, другая.
egor (07.06.2022 в 07:38):
Подскажите, если при запуске унпакера (для другой программы) показывается:
WaitForDebugEvent RETN search string not found!
Хотя все анализаторы показывают, что использовалась Арма.
В программе нет окон ввода ключа (может, ключ должен лежать в папке).
А под отладчиком программа продолжает работать параллельно.
ManHunter (03.06.2021 в 21:37):
Не проблема, обновил ссылку. Спасибо.
voffka (03.06.2021 в 19:40):
Ссылка на дистрибутив не работает.
Офсайт у них всё же есть, но с 12 года ничего не обновлялось
https://extralabs.github.io/

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2023
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.06 сек. / MySQL: 2 (0.0046 сек.) / Память: 4.5 Mb
Наверх