Исследование защиты программы Feed Editor
Скриншот программы Feed Editor
Откопал в архивах программу Feed Editor. Как можно догадаться из названия, она предназначена для создания и редактирования RSS-каналов. Хотя что за бред, сейчас любой даже самый простейший сайтовый движок делает фиды автоматически. Офсайт вполне предсказуемо сдох, по всей видимости, из-за невостребованности софтины, так что отправлять деньги все равно некому.
Забираем с файлообменника дистрибутив, устанавливаем, смотрим. По характерному набору файлов в папке с установленной программой можно определить, что программа написана на Visual Basic, а потом накрыта навесным протектором Armadillo. Если есть сомнения, то любой анализатор исполняемых файлов это подтвердит. Окно с таймером при запуске и окно регистрации однозначно говорят о том, что защита реализована с помощью встроенных средств Armadillo. Снимаем навесной протектор при помощи ArmaGeddon, все проходит без проблем.
Снимаем навесной протектор
Можно поудалять из файла "мертвые" секции, относящиеся к Armadillo, чтобы уменьшить его размер, но конкретно в этом случае не вижу необходимости тратить на это время.
Так как навесной протектор снят, а защита реализована с его помощью, будем использовать инструментарий для таких случаев. После распаковки отправляем файл в программу Armadillo Environment Variables Finder и определяем с ее помощью все, что относится к Armadillo.
Находим переменные окружения Armadillo
В переменной окружения ALTUSERNAME при нормальном режиме работы навесного протектора находится регистрационное имя. Сейчас протектора нет, переменную окружения ставить некому. Значит нам потребуется следующий инструмент - Armadillo Environment Variables Injector. Отправляем распакованный файл в инжектор, устанавливаем нужное значение переменной ALTUSERNAME и патчим файл с дефолтными опциями.
Патчим переменные окружения
Проверяем пропатченный файл. Надпись о незарегистрированной программе в заголовке главного окна пропала, в окне "О программе" красуется регистрационное имя из переменной окружения. Никаких ограничений по функционалу нет.
Программа успешно "зарегистрирована"
Цель достигнута, мы еще раз потренировались в распаковке и патче переменных окружения Armadillo. Можно удалять программу Feed Editor за ненадобностью, она реально больше ни для чего не нужна.
Просмотров: 1399 | Комментариев: 8
Метки: исследование защиты
Внимание! Статья опубликована больше года назад, информация могла устареть!
Комментарии
Отзывы посетителей сайта о статье
vffinder
(27.07.2022 в 02:29):
Friend, I'm trying to unpack PhpRunner with Armageddon 2.3. Got this message: "LoadLibraryA RETN search string not found!". Any idea?
egor
(07.06.2022 в 18:45):
Спасибо
ManHunter
(07.06.2022 в 18:35):
Наличие армы на файле лучше определять не универсальными, а специализированными утилитами, они тут тоже есть. Внедрение в файл фейковых сигнатур вполне нормальная практика, они заточены как раз против PEiD и аналогов.
Пытаться распаковать 32-битный файл при помощи 32-битного Армагеддона на Win10x64 - заведомо провальное занятие. Для корректной распаковки должен быть отдельный физический комп с WinXP, в крайнем случае Win7x86. Не виртуалка, не эмулятор, а именно железная машина. Но это при уверенности, что навешана именно арма.
Пытаться распаковать 32-битный файл при помощи 32-битного Армагеддона на Win10x64 - заведомо провальное занятие. Для корректной распаковки должен быть отдельный физический комп с WinXP, в крайнем случае Win7x86. Не виртуалка, не эмулятор, а именно железная машина. Но это при уверенности, что навешана именно арма.
egor
(07.06.2022 в 18:22):
Наверное, не очень высказался...
Анализаторы, типа PEiD или ExeinfoPe говорят, что прога упакована
Armadillo 4.4x ~ 4.62..5.0~7.0 32bit
Когда я загружаю прогу в ArmaGeddon 2.2 (с Вашего сайта) - он и показывает ту строку.
Анализаторы, типа PEiD или ExeinfoPe говорят, что прога упакована
Armadillo 4.4x ~ 4.62..5.0~7.0 32bit
Когда я загружаю прогу в ArmaGeddon 2.2 (с Вашего сайта) - он и показывает ту строку.
ManHunter
(07.06.2022 в 14:49):
Ну ясно дело, "унпакер" же у всех один единственный и точно одинаковый. Окружение, на котором выполняется распаковка, тоже у всех совпадает до винтика. Да и программ в природе написано не так много, Feed Editor и вот эта вторая, другая.
egor
(07.06.2022 в 07:38):
Подскажите, если при запуске унпакера (для другой программы) показывается:
WaitForDebugEvent RETN search string not found!
Хотя все анализаторы показывают, что использовалась Арма.
В программе нет окон ввода ключа (может, ключ должен лежать в папке).
А под отладчиком программа продолжает работать параллельно.
WaitForDebugEvent RETN search string not found!
Хотя все анализаторы показывают, что использовалась Арма.
В программе нет окон ввода ключа (может, ключ должен лежать в папке).
А под отладчиком программа продолжает работать параллельно.
ManHunter
(03.06.2021 в 21:37):
Не проблема, обновил ссылку. Спасибо.
voffka
(03.06.2021 в 19:40):
Ссылка на дистрибутив не работает.
Офсайт у них всё же есть, но с 12 года ничего не обновлялось
https://extralabs.github.io/
Офсайт у них всё же есть, но с 12 года ничего не обновлялось
https://extralabs.github.io/
Добавить комментарий
Заполните форму для добавления комментария