Blog. Just Blog

Исследование защиты программы FLAV Total Audio Converter

Версия для печати Добавить в Избранное Отправить на E-Mail | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы FLAV Total Audio Converter
Скриншот программы FLAV Total Audio Converter

FLAV Total Audio Converter - аудиоконвертер с поддержкой файлов различных форматов. Программа достаточно старенькая, даже офсайт прекратил существование, но некоторый ее функционал может пригодится и сейчас. Например, конвертирование в формат RealAudio не поддерживает даже знаменитый EZ CD Audio Converter. Программа платная, но, как вы наверняка поняли, купить ее на законных основаниях не получится, даже если захочется.

Забираем с файлообменника дистрибутив, устанавливаем, запускаем, смотрим. Главный исполняемый файл упакован UPX, который снимается самим же собой.

Триальное окно
Триальное окно

После запуска вываливается триальное окно с предложением зарегистрироваться, но на ввод неправильных серийников программа никак внешне не реагирует, только очищает поле ввода. Отправляем файл на разбор в дизассемблер.

Строка в файле
Строка в файле

В заголовке окна имеется строка "Unregistered", если ее поискать в файле, то обнаружится весь заголовок целиком. По перекрестным ссылкам переходим на код, где эта строка используется.
  1. CODE:004E0DCF                 jz      short loc_4E0E04
  2. CODE:004E0DD1                 lea     ecx, [ebp-30h]
  3. CODE:004E0DD4                 mov     edx, offset aLiscode_0 ; "lisCode"
  4. CODE:004E0DD9                 mov     eax, [ebp-20h]
  5. CODE:004E0DDC                 call    sub_43A310
  6. CODE:004E0DE1                 mov     edx, [ebp-30h]
  7. CODE:004E0DE4                 lea     ecx, [ebp-2Ch]
  8. CODE:004E0DE7                 mov     eax, offset a1412_0 ; "1412"
  9. CODE:004E0DEC                 call    sub_4C876C
  10. ; Сравнить две строки
  11. CODE:004E0DF1                 mov     eax, [ebp-2Ch]
  12. CODE:004E0DF4                 mov     edx, offset aTcl4Imne23hj_0
  13. ; "TCL4-IMNE-23HJ-PL61-M7AD"
  14. CODE:004E0DF9                 call    sub_4045AC
  15. ; Если они не равны, то поменять заголовок окна
  16. CODE:004E0DFE                 jz      loc_4E0F4B
  17. CODE:004E0E04 loc_4E0E04:CODE:004E0E04                 mov     edx, offset aFlavTotalAud_2
  18. ; "FLAV Total Audio Converter Unregistered"...
  19. CODE:004E0E09                 mov     eax, [esi+350h]
  20. CODE:004E0E0F                 call    sub_464260
  21. CODE:004E0E14                 mov     eax, ds:off_4ECBD4
  22. CODE:004E0E19                 mov     eax, [eax]
  23. CODE:004E0E1B                 cmp     byte ptr [eax+1A6h], 0
  24. CODE:004E0E22                 jz      short loc_4E0E30
  25. CODE:004E0E24                 mov     eax, ds:off_4ECBD4
  26. CODE:004E0E29                 mov     eax, [eax]
  27. CODE:004E0E2B                 call    sub_4810BC
Тут даже в отладчик лезть не надо, сразу бросается в глаза конструкция функции сравнения двух строк, причем одна из них фиксированная - "TCL4-IMNE-23HJ-PL61-M7AD". Если что-то с ней не совпадает, то заголовок окна меняется на незарегистрированный. Есть мнение, что это единственный правильный серийник для регистрации. Повторяем процесс регистрации с любым именем и этим серийником.

Сообщение об успешной регистрации
Сообщение об успешной регистрации

Программа благодарит за регистрацию. Надпись в заголовке окна теперь тоже правильная. Проверяем функционал, никаких ограничений нет.

Программа успешно зарегистрирована
Программа успешно зарегистрирована

Вот такая простенькая защита. Можно вернуть на место оригинальный нераспакованный файл, если хотите, конечно. Цель достигнута.

Поделиться ссылкой ВКонтакте
Просмотров: 456 | Комментариев: 1

Комментарии

Отзывы посетителей сайта о статье
user (07.11.2024 в 15:33):
Был ещё ТоталАудиоКонвертер от CoolUtils.
Оболочка для лежащих рядом конвеертеров командной строки.
Его пртектили с AsProtect'ом и криптованием участков кода.
Последняя версия, которая у меня в ходу, это 5.2.88.
Для неё ключей не было, поэтому пришлось восстанавливать только фрагмент сохранения файла, который был пошифрован, по образцу прошлой версии, распакованной с вализным ключом. Попыхтел тогда над этой темой
и новые версии уже не стал и смотреть.
Той 5.2.88 вполне хватает

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.07 сек. / MySQL: 2 (0.0118 сек.) / Память: 4.5 Mb
Наверх