Blog. Just Blog

Исследование защиты программы Feed Editor

Версия для печати Добавить в Избранное Отправить на E-Mail | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы Feed Editor
Скриншот программы Feed Editor

Откопал в архивах программу Feed Editor. Как можно догадаться из названия, она предназначена для создания и редактирования RSS-каналов. Хотя что за бред, сейчас любой даже самый простейший сайтовый движок делает фиды автоматически. Офсайт вполне предсказуемо сдох, по всей видимости, из-за невостребованности софтины, так что отправлять деньги все равно некому.

Забираем с файлообменника дистрибутив, устанавливаем, смотрим. По характерному набору файлов в папке с установленной программой можно определить, что программа написана на Visual Basic, а потом накрыта навесным протектором Armadillo. Если есть сомнения, то любой анализатор исполняемых файлов это подтвердит. Окно с таймером при запуске и окно регистрации однозначно говорят о том, что защита реализована с помощью встроенных средств Armadillo. Снимаем навесной протектор при помощи ArmaGeddon, все проходит без проблем.

Снимаем навесной протектор
Снимаем навесной протектор

Можно поудалять из файла "мертвые" секции, относящиеся к Armadillo, чтобы уменьшить его размер, но конкретно в этом случае не вижу необходимости тратить на это время.

Так как навесной протектор снят, а защита реализована с его помощью, будем использовать инструментарий для таких случаев. После распаковки отправляем файл в программу Armadillo Environment Variables Finder и определяем с ее помощью все, что относится к Armadillo.

Находим переменные окружения Armadillo
Находим переменные окружения Armadillo

В переменной окружения ALTUSERNAME при нормальном режиме работы навесного протектора находится регистрационное имя. Сейчас протектора нет, переменную окружения ставить некому. Значит нам потребуется следующий инструмент - Armadillo Environment Variables Injector. Отправляем распакованный файл в инжектор, устанавливаем нужное значение переменной ALTUSERNAME и патчим файл с дефолтными опциями.

Патчим переменные окружения
Патчим переменные окружения

Проверяем пропатченный файл. Надпись о незарегистрированной программе в заголовке главного окна пропала, в окне "О программе" красуется регистрационное имя из переменной окружения. Никаких ограничений по функционалу нет.

Программа успешно "зарегистрирована"
Программа успешно "зарегистрирована"

Цель достигнута, мы еще раз потренировались в распаковке и патче переменных окружения Armadillo. Можно удалять программу Feed Editor за ненадобностью, она реально больше ни для чего не нужна.

Поделиться ссылкой ВКонтакте
Просмотров: 1399 | Комментариев: 8

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
vffinder (27.07.2022 в 02:29):
Friend, I'm trying to unpack PhpRunner with Armageddon 2.3. Got this message: "LoadLibraryA RETN search string not found!". Any idea?
egor (07.06.2022 в 18:45):
Спасибо
ManHunter (07.06.2022 в 18:35):
Наличие армы на файле лучше определять не универсальными, а специализированными утилитами, они тут тоже есть. Внедрение в файл фейковых сигнатур вполне нормальная практика, они заточены как раз против PEiD и аналогов.
Пытаться распаковать 32-битный файл при помощи 32-битного Армагеддона на Win10x64 - заведомо провальное занятие. Для корректной распаковки должен быть отдельный физический комп с WinXP, в крайнем случае Win7x86. Не виртуалка, не эмулятор, а именно железная машина. Но это при уверенности, что навешана именно арма.
egor (07.06.2022 в 18:22):
Наверное, не очень высказался...
Анализаторы, типа PEiD или ExeinfoPe говорят, что прога упакована
Armadillo 4.4x ~ 4.62..5.0~7.0 32bit
Когда я загружаю прогу в ArmaGeddon 2.2 (с Вашего сайта) - он и показывает ту строку.
ManHunter (07.06.2022 в 14:49):
Ну ясно дело, "унпакер" же у всех один единственный и точно одинаковый. Окружение, на котором выполняется распаковка, тоже у всех совпадает до винтика. Да и программ в природе написано не так много, Feed Editor и вот эта вторая, другая.
egor (07.06.2022 в 07:38):
Подскажите, если при запуске унпакера (для другой программы) показывается:
WaitForDebugEvent RETN search string not found!
Хотя все анализаторы показывают, что использовалась Арма.
В программе нет окон ввода ключа (может, ключ должен лежать в папке).
А под отладчиком программа продолжает работать параллельно.
ManHunter (03.06.2021 в 21:37):
Не проблема, обновил ссылку. Спасибо.
voffka (03.06.2021 в 19:40):
Ссылка на дистрибутив не работает.
Офсайт у них всё же есть, но с 12 года ничего не обновлялось
https://extralabs.github.io/

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.07 сек. / MySQL: 2 (0.0047 сек.) / Память: 4.5 Mb
Наверх