Исследование защиты программы Process Lasso
Скриншот программы Process Lasso
Process Lasso на протяжении вот уже двух десятков лет заслуженно сохраняет звание одного из самых мощных менеджеров процессов. Для каждого процесса можно вручную или автоматически установить приоритет, а также посмотреть детальную информацию о его модулях. Нежелательные процессы, нагружающие систему, можно автоматически завершать, а также блокировать запуск процессов из "черного списка". Также Process Lasso ведет лог запускаемых процессов, который сохраняется в журнал событий. Пробная версия урезана по функционалу, а за полную версию надо выложить денежку. Ну или не надо, смотря как подойти к вопросу.
Забираем с офсайта дистрибутив, устанавливаем. Главный исполняемый файл ничем не упакован, отправляем его на разборку в дизассемблер. Пока тот работает, посмотрим на проявления триальности.
Окно "О программе"
В окне "О программе" отображается счетчик дней и присутствуют кнопки для активации и покупки.
Главное окно программы
В главном окне программы выводится надпись "UNLICENSED". Вот с нее и начнем.
Строка в ресурсах
В самой программе эта строка отсутствует, зато есть в языковых файлах. В ресурсном файле эта строка находится под индексом 1203 или 4B3h, если в шестнадцатеричной системе счисления. Поиском в листинге дизассемблера по этому значению обнаруживается следующий код:
Code (Assembler) : Убрать нумерацию
- .text:0042E166 mov ecx, offset unk_545D98
- ; Вызвать функцию проверки
- .text:0042E16B call sub_46DC90
- .text:0042E170 test al, al
- ; Если AL=0, то вывести надпись
- .text:0042E172 jnz short loc_42E1CD
- .text:0042E174 push 3FFh ; cchBufferMax
- ; Загрузить строку из файла с ресурсами
- .text:0042E179 lea eax, [ebp+Buffer]
- .text:0042E17F push eax ; lpBuffer
- .text:0042E180 push 4B3h ; uID
- .text:0042E185 push [ebp+hInstance] ; hInstance
- .text:0042E188 call sub_470050
- .text:0042E18D mov edx, eax
- .text:0042E18F add esp, 10h
Программа успешно "зарегистрирована"
В окне "О программе" все красиво, на логотип добавилась надпись "PRO", кнопки покупки и активации исчезли, счетчик дней сменился благодарностью за покупку. В главном окне программы пропала надпись "UNLICENSED", в заголовок добавилась строчка "Pro". Цель достигнута.
Просмотров: 1241 | Комментариев: 11
Метки: исследование защиты, процессы
Комментарии
Отзывы посетителей сайта о статье
Жека
(08.02.2024 в 01:46):
ManHunter, Серверный только в x64, я таким не занимаюсь. Ну и зря, сейчас есть отличный дебагер x64dbg. По удобству и функционалу превосходит, замученный всеми ollydbg-110. Не знаю как вам и другим, но мне он чертовски нравится - рекомендую, Пора брат Пора... уже и 64-битные юзать проги:).
user
(02.02.2024 в 20:22):
Документируем правильно:
;--------------------------------------------file PRL.CRK
Process Lasso v.12.4.7.20
x32 - Set PRO
ProcessLasso.exe
.0046DCAB: 3C B0 ;0006D0AB:
.0046DCAE: 0F 00 ;0006D0AE:
x64 - Set PRO
ProcessLasso.exe
.00000001`4008550B: 3C B0 ;0008490B:
.00000001`4008550E: 05 00 ;0008490E:
x32 server - Set PRO
ProcessLasso.exe
.0046D23B: 3C B0 ;0006C63B:
.0046D23E: 0F 00 ;0006C63E:
x64 server - Set PRO
ProcessLasso.exe
.00000001`400848BB: 3C B0 ;00083CBB:
.00000001`400848BE: 05 00 ;00083CBE:
;--------------------------------------------end of file PRL.CRK
;--------------------------------------------file PRL.CRK
Process Lasso v.12.4.7.20
x32 - Set PRO
ProcessLasso.exe
.0046DCAB: 3C B0 ;0006D0AB:
.0046DCAE: 0F 00 ;0006D0AE:
x64 - Set PRO
ProcessLasso.exe
.00000001`4008550B: 3C B0 ;0008490B:
.00000001`4008550E: 05 00 ;0008490E:
x32 server - Set PRO
ProcessLasso.exe
.0046D23B: 3C B0 ;0006C63B:
.0046D23E: 0F 00 ;0006C63E:
x64 server - Set PRO
ProcessLasso.exe
.00000001`400848BB: 3C B0 ;00083CBB:
.00000001`400848BE: 05 00 ;00083CBE:
;--------------------------------------------end of file PRL.CRK
ManHunter
(02.02.2024 в 15:47):
Ага, тоже уже нашел. Ровно такая же защита.
0046D220 -> mov al,1 и ret
https://hostingkartinok.com/sh...1b796d6d7820
0046D220 -> mov al,1 и ret
https://hostingkartinok.com/sh...1b796d6d7820
Petya
(02.02.2024 в 15:43):
ManHunter
(02.02.2024 в 15:40):
Серверный только в x64, я таким не занимаюсь.
Petya
(02.02.2024 в 15:36):
В соответствии с принципом королевы следовало на Server Edition замахиваться. Или там защита серьёзнее?
ManHunter
(01.02.2024 в 17:19):
Дров там никаких не наблюдается, так что в лучшем случае по списку. При запуске устанавливает свой сервис. Ради интереса натравил на процессы антивируса, PL вполне ожидаемо соснул.
morgot
(01.02.2024 в 16:57):
"блокировать запуск процессов из "черного списка".
А как блочит-то, драйвер грузит или просто перебор по списку?
А как блочит-то, драйвер грузит или просто перебор по списку?
ManHunter
(01.02.2024 в 09:00):
Раньше паковал, а тут вот как-то так. Я тоже удивился.
крутой
(01.02.2024 в 07:26):
И все?
Просто как ))
Этот Джереми Коллак же автор PECompact, чет свое не пакует
Просто как ))
Этот Джереми Коллак же автор PECompact, чет свое не пакует
Добавить комментарий
Заполните форму для добавления комментария
И просьба не начинать очередной холивар в камментах на эту тему, буду нафиг удалять.