Blog. Just Blog

Исследование защиты программы Quick Input

Версия для печати Добавить в Избранное Отправить на E-Mail | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы Quick Input
Скриншот программы Quick Input

Программа Quick Input предназначена для ускорения ввода часто повторяющихся слов и словосочетаний. Что-то типа автокомплита в IDE, только работает в программах, где такого функционала нет в принципе. При вводе данных программа их запоминает, а в следующий раз по первым введенным буквам предложит варианты в виде выпадающего списка. И все бы было хорошо, если бы проект не сдох, унеся в небытие не только ставшие бесплатными последние версии, но даже возможность покупки. Будем работать с тем, что есть в наличии.

Забираем с файлообменника дистрибутив, устанавливаем, смотрим. Беглым осмотром убеждаемся, что файл упакован. По характерному названию секции "adata" можно предположить, что использовался ASProtect.

Программа накрыта ASProtect
Программа накрыта ASProtect

Программа ASPrINF любезно показывает нам версию ASProtect и прочую дополнительную информацию. Бггы. Кто не понял причину моего смеха, поясню. В каждый защищенный файл протектор ASProtect в обязательном порядке записывает данные, на которые протектор был зарегистрирован. Тут аффтар для защиты своего поделия воспользовался ломаным ASProtect, релизом от stephenteh из крякерской команды RESURRECTiON. Так что, следуя заветам Ильича, будем грабить награбленное.

Сообщение триальной версии
Сообщение триальной версии

При запуске вываливается триальное окно со счетчиком оставшихся дней. В окне "О программе" отображается "незарегистрированная версия". Но для начала надо снять навесной протектор. В автоматическом режиме с ним не справился ни DecomAS, ни Stripper, на этот случай у меня есть специальный нетбук с Windows XP, отладчик OllyDbg с плагинами ODbgScript, OllyDump и скрипт Aspr2.XX unpacker v1.15F от VolX.

Делаем дамп процесса
Делаем дамп процесса

Отправляем файл в отладчик, запускаем скрипт на выполнение. Когда он закончит работу, плагином OllyDump делаем дамп памяти процесса. Галочку восстановления импорта надо обязательно снять.

Лог скрипта
Лог скрипта

Теперь надо восстановить импорт, для этого воспользуйтесь вашим любимым инструментом для этих целей, у меня это будет The Cheap Imports Reconstructor. Предварительно открываем окно лога скрипта, там записаны важные значения: "RVA of OEP", "RVA of IAT" и "Size of IAT".

Восстанавливаем импорт
Восстанавливаем импорт

Переносим их в соответствующие поля The Cheap Imports Reconstructor, нажимаем кнопку "Get Imports". Останутся не восстановленными три функции, это ошметки ASProtect, их нужно просто удалить. После этого нажатием "Fix Dump" выбираем созданный ранее дамп и прикручиваем к нему импорт.

Программа успешно "зарегистрирована"
Программа успешно "зарегистрирована"

Если все сделано правильно, на выходе получаем распакованный и зарегистрированный файл, так как вся защита была реализована средствами навесного протектора. При распаковке скрипт эмулирует функции протектора, отвечающие за защиту. Вот и все, цель достигнута, программой можно пользоваться без каких-либо ограничений. Ну и заодно в очередной раз потренировались в ручной распаковке, этот навык терять нельзя.

Поделиться ссылкой ВКонтакте
Просмотров: 390 | Комментариев: 11

Комментарии

Отзывы посетителей сайта о статье
Жека (18.05.2024 в 23:16):
Отлично:) Вас можно в разведку брать!
ManHunter (18.05.2024 в 23:13):
На всякий случай уточнил список начальства, которое может ставить мне задачи. Потом уточнил список друзей и близких людей, которые могут попросить меня об одолжениях. И имени "Жека" ни в одном из этих списков не нашел. Поэтому что мне делать, так это я как-нибудь сам разберусь.
Жека (18.05.2024 в 23:10):
Ну вы всё ещё детскими игрушка занимаетесь:) Я думаю большинство ваших читателей это уже все лет 15-20 тому назад освоили. Вот лучше это ломаните: [del]
Файлики, которые надо ломать на дотнете там. Как раз чё-та статей про него у вас не стало. :)
User (13.05.2024 в 05:54):
Ну, Килыч не все доделал, но что есть ) Разве что в скрипте работа с лицензией прота получше оформлена
ManHunter (12.05.2024 в 19:37):
А под Win10x86 распаковалось. Чудеса.
ManHunter (12.05.2024 в 19:08):
voffka, User, все это есть. Но на выходе битый файл с обрезанным импортом.
voffka (12.05.2024 в 14:40):
DecomAS 1.8 beta1 распаковал без проблем
Vnv (12.05.2024 в 11:43):
А можно перевыложить на другой обменник? На Яндекс меня не пускают.

Уже не надо, нашел на ru-board.
ManHunter (12.05.2024 в 07:38):
Ссылка на дистрибутив дана, дальше по инструкции.
Test (12.05.2024 в 06:28):
И где можно забрать готовое чудо?). Спасибо.

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.06 сек. / MySQL: 2 (0.003 сек.) / Память: 4.5 Mb
Наверх