Blog. Just Blog

Исследование защиты программы Feed Editor

Версия для печати Добавить в Избранное Отправить на E-Mail 24.05.2021 | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы Feed Editor
Скриншот программы Feed Editor

Откопал в архивах программу Feed Editor. Как можно догадаться из названия, она предназначена для создания и редактирования RSS-каналов. Хотя что за бред, сейчас любой даже самый простейший сайтовый движок делает фиды автоматически. Офсайт вполне предсказуемо сдох, по всей видимости, из-за невостребованности софтины, так что отправлять деньги все равно некому.

Забираем с файлообменника дистрибутив, устанавливаем, смотрим. По характерному набору файлов в папке с установленной программой можно определить, что программа написана на Visual Basic, а потом накрыта навесным протектором Armadillo. Если есть сомнения, то любой анализатор исполняемых файлов это подтвердит. Окно с таймером при запуске и окно регистрации однозначно говорят о том, что защита реализована с помощью встроенных средств Armadillo. Снимаем навесной протектор при помощи ArmaGeddon, все проходит без проблем.

Снимаем навесной протектор
Снимаем навесной протектор

Можно поудалять из файла "мертвые" секции, относящиеся к Armadillo, чтобы уменьшить его размер, но конкретно в этом случае не вижу необходимости тратить на это время.

Так как навесной протектор снят, а защита реализована с его помощью, будем использовать инструментарий для таких случаев. После распаковки отправляем файл в программу Armadillo Environment Variables Finder и определяем с ее помощью все, что относится к Armadillo.

Находим переменные окружения Armadillo
Находим переменные окружения Armadillo

В переменной окружения ALTUSERNAME при нормальном режиме работы навесного протектора находится регистрационное имя. Сейчас протектора нет, переменную окружения ставить некому. Значит нам потребуется следующий инструмент - Armadillo Environment Variables Injector. Отправляем распакованный файл в инжектор, устанавливаем нужное значение переменной ALTUSERNAME и патчим файл с дефолтными опциями.

Патчим переменные окружения
Патчим переменные окружения

Проверяем пропатченный файл. Надпись о незарегистрированной программе в заголовке главного окна пропала, в окне "О программе" красуется регистрационное имя из переменной окружения. Никаких ограничений по функционалу нет.

Программа успешно "зарегистрирована"
Программа успешно "зарегистрирована"

Цель достигнута, мы еще раз потренировались в распаковке и патче переменных окружения Armadillo. Можно удалять программу Feed Editor за ненадобностью, она реально больше ни для чего не нужна.

Поделиться ссылкой ВКонтакте Поделиться ссылкой на Facebook Поделиться ссылкой на LiveJournal Поделиться ссылкой в Мой Круг Добавить в Мой мир Добавить на ЛиРу (Liveinternet) Добавить в закладки Memori Добавить в закладки Google
Просмотров: 1053 | Комментариев: 8

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
vffinder (27.07.2022 в 02:29):
Friend, I'm trying to unpack PhpRunner with Armageddon 2.3. Got this message: "LoadLibraryA RETN search string not found!". Any idea?
egor (07.06.2022 в 18:45):
Спасибо
ManHunter (07.06.2022 в 18:35):
Наличие армы на файле лучше определять не универсальными, а специализированными утилитами, они тут тоже есть. Внедрение в файл фейковых сигнатур вполне нормальная практика, они заточены как раз против PEiD и аналогов.
Пытаться распаковать 32-битный файл при помощи 32-битного Армагеддона на Win10x64 - заведомо провальное занятие. Для корректной распаковки должен быть отдельный физический комп с WinXP, в крайнем случае Win7x86. Не виртуалка, не эмулятор, а именно железная машина. Но это при уверенности, что навешана именно арма.
egor (07.06.2022 в 18:22):
Наверное, не очень высказался...
Анализаторы, типа PEiD или ExeinfoPe говорят, что прога упакована
Armadillo 4.4x ~ 4.62..5.0~7.0 32bit
Когда я загружаю прогу в ArmaGeddon 2.2 (с Вашего сайта) - он и показывает ту строку.
ManHunter (07.06.2022 в 14:49):
Ну ясно дело, "унпакер" же у всех один единственный и точно одинаковый. Окружение, на котором выполняется распаковка, тоже у всех совпадает до винтика. Да и программ в природе написано не так много, Feed Editor и вот эта вторая, другая.
egor (07.06.2022 в 07:38):
Подскажите, если при запуске унпакера (для другой программы) показывается:
WaitForDebugEvent RETN search string not found!
Хотя все анализаторы показывают, что использовалась Арма.
В программе нет окон ввода ключа (может, ключ должен лежать в папке).
А под отладчиком программа продолжает работать параллельно.
ManHunter (03.06.2021 в 21:37):
Не проблема, обновил ссылку. Спасибо.
voffka (03.06.2021 в 19:40):
Ссылка на дистрибутив не работает.
Офсайт у них всё же есть, но с 12 года ничего не обновлялось
https://extralabs.github.io/

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Это я :-)
Если программист в девять утра уже на работе, значит он там же и ночевал
Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина
Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал
Ограничение по возрасту 16+ Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.
Метки статей
.NET (25), AJAX (5), Assembler (317), COM (32), CSS (38), Exif (15), FASM (8), Firefox (7), HDD (15), Hello Teddy (9), HTML (46), iconBIT (4), JavaScript (65), MySQL (12), Nikon (19), PDF (9), PHP (113), Samsung (6), SEO (12), Sublime Text (9), TintonLife (4), UGREEN (4), Windows 7 (66), аккумуляторы (22), аксессуары (12), анализаторы файлов (8), архиваторы (5), аттракционы (7), безопасность (53), браузеры (16), бытовая техника (13), варенье (17), ВВЦ (9), ВДНХ (12), видео (20), Воробьевы горы (8), вторые блюда (107), выпечка (23), выставки (111), генератор ПСЧ (10), графика (110), десерты (29), Египет (8), заготовки на зиму (42), закуска (21), закуска к пиву (23), зарядные устройства (23), защита (15), зоопарки (9), игры (32), иконки (20), интерфейс (26), исследование защиты (286), каша (4), клавиатура (7), Коломенское (37), консоль (7), концерты (52), Кузьминки (4), куклы (27), ледяные скульптуры (6), мои программы (66), мониторы (6), музеи (69), мультимедиа (65), мясо (52), напитки (13), ноутбуки (6), обфускация (7), окна (68), оформление сайта (46), парки Москвы (7), песчаные скульптуры (13), плееры (10), подводная съемка (4), поздравления (120), полезные функции (37), прохождения (4), процессы (22), птица (16), путешествия (25), распаковка (17), реверсинг (48), рыба (32), салаты (18), сброс триала (4), сеть (35), система (169), Сокольники (8), соусы (12), супы (14), телефоны (8), Тунис (6), умный дом (6), файлы справки (6), фаст-фуд (17), фестиваль цветов (5), флешки (5), фото (23), хеши (16), числа (8), юмор (12), яйца (16), Яндекс (8)
Вам помог этот сайт?
Сказать спасибо! Поблагодарили 32,560 раз
<< 2023 - МАЙ >>
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        
День ветеранов таможенной службы России
День военного автомобилиста Вооруженных сил России
Всемирный день здорового пищеварения
Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите
Ctrl
+
Enter
Буду очень благодарен, если размеcтите мою кнопочку:
Личный блог ManHunter'а
Valid CSS Valid XHTML 1.0 Transitional Valid mobileOK Basic Valid RSS
Яндекс тИЦ: {YANDEX_TIC} Яндекс ИКС: 410
Сейчас я слушаю
---
Имя:

Сообщение:

Осталось символов: 200

   
-
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2023
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.06 сек. / MySQL: 2 (0.0046 сек.) / Память: 4.5 Mb
Наверх