Исследование защиты программы ForceDelete
Скриншот программы ForceDelete
Программа ForceDelete по заверению автора должна удалять неудаляемые файлы, которые заблокированы работающими процессами, системой или как-то еще. По факту мы имеем приложение, предел которого - попытаться закрыть процессы и удалить файлы, с которыми они работали. Ну а чо вы хотели с пользовательскими правами и без использования драйверов-то? А самое смешное, что это поделие в бесплатном режиме работает аж целых три раза в сутки, после чего надо метнуться в кассу за регистрацией. Достойный пациент чисто для академического разбора.
Забираем с офсайта портативку, распаковываем, смотрим. Программа написана на дотнете, подготовим необходимый инструментарий, а именно dnSpy. Заодно посмотрим на триальные проявления. После трех запусков или при нажатии на кнопку-ссылку "Upgrade to PRO" открывается окно для ввода серийного номера. На ввод левых данных программа реагирует следующим сообщением:
Сообщение о неправильной регистрации
Отлично, исходные данные для анализа у нас есть. Переходим в dnSpy и запускаем поиск по строке сообщения. Единственным совпадением будет функция проверки введенного серийника:
Функция проверки серийного номера
Что тут происходит? Серийник проверяется со второго по счету символа, в нем должны одновременно присутствовать символы "W", "A", "N" и "G", позиции символов значения не имеют. Следующая проверка - длина серийника должна быть 15 символов. Если все проверки пройдены, то в системной папке создается файл "fdsound.dll" и в него записывается строка "20130303". А за окном шел 21-й век, где-то люди летали в космос, создавали искусственный интеллект...
Таким образом валидным серийником будет любая строка длиной 15 символов, среди которых должны присутствовать символы "W", "A", "N" и "G", начиная со второй позиции. Это может быть, например, серийник "PWTXG-MANHUNTER". Повторяем регистрацию найденным серийником:
Программа успешно зарегистрирована
Получаем благодарочку от программы и все ограничения по количеству запусков тут же снимаются. Цель достигнута, теперь можно смело удалять это недоразумение и ставить нормальный Unlocker.
Просмотров: 527 | Комментариев: 4
Комментарии
Отзывы посетителей сайта о статье
ManHunter
(17.06.2024 в 18:33):
Очень может быть, что и автор совпадает. Обычно так не делаю, одного два раза не трогаю.
Petya
(17.06.2024 в 17:32):
Какое-то дежавю. Немного поиска - и точно, https://www.manhunter.ru/under...ti_copy.html
Авторы будто бы разные. Стандартная библиотека?
Авторы будто бы разные. Стандартная библиотека?
Tigoro
(16.06.2024 в 15:40):
Единственное, от unlocker уже только первая страница сайта осталась (либо банится IP).
https://web.archive.org/web/20...ker1.9.2.exe
https://web.archive.org/web/20...ker1.9.2.exe
Добавить комментарий
Заполните форму для добавления комментария
https://www.manhunter.ru/under...toolkit.html
И да, тут точно один автор - только после написания заглянул на сайт.