Blog. Just Blog

Исследование защиты программы ForceDelete

Версия для печати Добавить в Избранное Отправить на E-Mail | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы ForceDelete
Скриншот программы ForceDelete

Программа ForceDelete по заверению автора должна удалять неудаляемые файлы, которые заблокированы работающими процессами, системой или как-то еще. По факту мы имеем приложение, предел которого - попытаться закрыть процессы и удалить файлы, с которыми они работали. Ну а чо вы хотели с пользовательскими правами и без использования драйверов-то? А самое смешное, что это поделие в бесплатном режиме работает аж целых три раза в сутки, после чего надо метнуться в кассу за регистрацией. Достойный пациент чисто для академического разбора.

Забираем с офсайта портативку, распаковываем, смотрим. Программа написана на дотнете, подготовим необходимый инструментарий, а именно dnSpy. Заодно посмотрим на триальные проявления. После трех запусков или при нажатии на кнопку-ссылку "Upgrade to PRO" открывается окно для ввода серийного номера. На ввод левых данных программа реагирует следующим сообщением:

Сообщение о неправильной регистрации
Сообщение о неправильной регистрации

Отлично, исходные данные для анализа у нас есть. Переходим в dnSpy и запускаем поиск по строке сообщения. Единственным совпадением будет функция проверки введенного серийника:

Функция проверки серийного номера
Функция проверки серийного номера

Что тут происходит? Серийник проверяется со второго по счету символа, в нем должны одновременно присутствовать символы "W", "A", "N" и "G", позиции символов значения не имеют. Следующая проверка - длина серийника должна быть 15 символов. Если все проверки пройдены, то в системной папке создается файл "fdsound.dll" и в него записывается строка "20130303". А за окном шел 21-й век, где-то люди летали в космос, создавали искусственный интеллект...

Таким образом валидным серийником будет любая строка длиной 15 символов, среди которых должны присутствовать символы "W", "A", "N" и "G", начиная со второй позиции. Это может быть, например, серийник "PWTXG-MANHUNTER". Повторяем регистрацию найденным серийником:

Программа успешно зарегистрирована
Программа успешно зарегистрирована

Получаем благодарочку от программы и все ограничения по количеству запусков тут же снимаются. Цель достигнута, теперь можно смело удалять это недоразумение и ставить нормальный Unlocker.

Поделиться ссылкой ВКонтакте
Просмотров: 527 | Комментариев: 4

Комментарии

Отзывы посетителей сайта о статье
Petya (10.07.2024 в 16:32):
Эта не до такой степени, но похожа. Тоже проверка на наличие четырёх символов, sound.dll в %APPDATA%.
https://www.manhunter.ru/under...toolkit.html
И да, тут точно один автор - только после написания заглянул на сайт.
ManHunter (17.06.2024 в 18:33):
Очень может быть, что и автор совпадает. Обычно так не делаю, одного два раза не трогаю.
Petya (17.06.2024 в 17:32):
Какое-то дежавю. Немного поиска - и точно, https://www.manhunter.ru/under...ti_copy.html
Авторы будто бы разные. Стандартная библиотека?
Tigoro (16.06.2024 в 15:40):
Единственное, от unlocker уже только первая страница сайта осталась (либо банится IP).

https://web.archive.org/web/20...ker1.9.2.exe

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.08 сек. / MySQL: 2 (0.0076 сек.) / Память: 4.5 Mb
Наверх