Blog. Just Blog

Исследование защиты программы tinySpell+

Версия для печати Добавить в Избранное Отправить на E-Mail 28.01.2025 | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы tinySpell+
Скриншот программы tinySpell+

Программа tinySpell+ предназначена для автоматической проверки правописания в любых приложениях. При обнаружении ошибки tinySpell+ сразу предлагает варианты для исправления. В платной версии поддерживаются внешние словари в формате Hunspell, что является большим преимуществом. Ну и еще некоторые полезные опции становятся доступны только после покупки. Но, как я всегда говорю, слова "купить" и "программа" ни при каких обстоятельствах не могут стоять рядом.

Забираем с офсайта дистрибутив последней версии, распаковываем, смотрим. Главный исполняемый файл ничем не упакован, отправляем его на разбор в дизассемблер. Попутно попробуем разблокировать программу, потому что без активации ее можно запустить только в пробном режиме на 15 минут. При вводе левых данных появляется следующее сообщение:

Сообщение о неправильной регистрации
Сообщение о неправильной регистрации

А при запуске в левом нижнем углу всплывает сообщение, что, мол, unregistered и все такое. Поищем в листинге эту строку. Первым же заходом обнаруживается следующий код:
Code (Assembler) : Убрать нумерацию
  1. .text:004119C4                 add     esp, 24h
  2. ; Проверить значение флага регистрации
  3. .text:004119C7                 cmp     dword_45BBD4, ebx
  4. ; Флаг =0, программа не зарегистрирована
  5. .text:004119CD                 jz      short loc_411A0F
  6. ; Программа зарегистрирована
  7. .text:004119CF                 lea     eax, [ebp+Rect]
  8. .text:004119D2                 push    eax             ; lpRect
  9. .text:004119D3                 push    edi             ; hWnd
  10. .text:004119D4                 call    ds:GetWindowRect
  11. .text:004119DA                 mov     eax, [ebp+Rect.bottom]
  12. .text:004119DD                 sub     eax, [ebp+Rect.top]
  13. .text:004119E0                 sar     eax, 2
  14. .text:004119E3                 push    offset aLicensedTo
  15. ; " - licensed to:"
  16. .text:004119E8                 push    50h
  17. .text:004119EA                 lea     ebx, [eax+eax*2]
  18. .text:004119ED                 lea     eax, [ebp+String]
  19. .text:004119F0                 push    eax
  20. .text:004119F1                 call    sub_432535
  21. .text:004119F6                 mov     esi, ds:SetDlgItemTextA
  22. .text:004119FC                 lea     eax, [ebp+String]
  23. .text:004119FF                 add     esp, 0Ch
  24. .text:00411A02                 push    eax             ; lpString
  25. .text:00411A03                 push    65h             ; nIDDlgItem
  26. .text:00411A05                 push    edi             ; hDlg
  27. .text:00411A06                 call    esi ; SetDlgItemTextA
  28. .text:00411A08                 push    offset byte_45F578
  29. .text:00411A0D                 jmp     short loc_411A36
  30. .text:00411A0F ; ----------------------------------------
  31. .text:00411A0F loc_411A0F:
  32. .text:00411A0F                 push    offset aUnregistered
  33. ; " - unregistered"
  34. .text:00411A14                 lea     eax, [ebp+String]
  35. .text:00411A17                 push    50h
  36. .text:00411A19                 push    eax
  37. .text:00411A1A                 call    sub_432535
  38. .text:00411A1F                 mov     esi, ds:SetDlgItemTextA
  39. .text:00411A25                 lea     eax, [ebp+String]
  40. .text:00411A28                 add     esp, 0Ch
Мы знаем условие срабатывания на триальную ветку алгоритма, для этого флаг dword_45BBD4 должен быть равен нулю. Посмотрим на этот флаг и на участки кода, где он инициализируется тем или иным значением.

Перекрестные ссылки на ячейку памяти
Перекрестные ссылки на ячейку памяти

По умолчанию флаг равен 1, но по перекрестным ссылкам видно, что несколько раз он сбрасывается на нулевое значение. Поочередно пройдем по этим командам и заменим в них 0 на 1, чтобы при любом раскладе программа чувствовала себя хорошо.
Code (Assembler) : Убрать нумерацию
  1. .text:00415D8C                 mov     edi, ecx
  2. .text:00415D8E                 mov     byte_45F578, 0
  3. .text:00415D95                 mov     dword_45BBD4, 0
  4. .text:00415D9F                 mov     dword_460448, 0
  5. .text:00415DA9                 jle     loc_415E3C
Code (Assembler) : Убрать нумерацию
  1. .text:0041C787                 push    eax             ; hWnd
  2. .text:0041C788                 call    ds:SetFocus
  3. .text:0041C78E                 mov     dword_45BBD4, 0
Code (Assembler) : Убрать нумерацию
  1. .text:00423BF6                 mov     dword_45BBD4, 0
  2. .text:00423C00                 mov     bEnable, 0
  3. .text:00423C0A                 mov     dword_45FCB8, 0
  4. .text:00423C14                 call    sub_413800
А в кусочке кода
Code (Assembler) : Убрать нумерацию
  1. .text:0041C82E                 mov     eax, dword_45BBD4
  2. .text:0041C833                 test    eax, eax
  3. .text:0041C835                 cmovz   eax, esi
  4. .text:0041C838                 mov     dword_45BBD4, eax
надо заменить трехбайтную команду cmovz eax, esi на пару команд xor eax,eax и inc eax, длина которых суммарно также составляет три байта. Сохраняем изменения, смотрим. Теперь при запуске текст во всплывающем окне меняется на "licensed to:" с пустым именем, а в настройках и главном меню программы открываются все доступные опции. Ограничений по времени работы также нет. Цель достигнута, можно пользоваться.

Поделиться ссылкой ВКонтакте
Просмотров: 398 | Комментариев: 2

Комментарии

Отзывы посетителей сайта о статье
ManHunter (29.01.2025 в 13:31):
Ctrl+X , стандартная функция IDA
Grey (29.01.2025 в 13:30):
Xrefs твоя разработка?

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Это я :-)
Если программист в девять утра уже на работе, значит он там же и ночевал
Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина
Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал
Я в Telegram
Ограничение по возрасту 16+ Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.
Метки статей
.NET (32), AJAX (5), Assembler (376), COM (44), CSS (44), Exif (15), FASM (8), Firefox (7), HDD (17), Hello Teddy (9), HTML (53), iconBIT (4), JavaScript (78), MySQL (13), Nikon (19), PDF (10), PHP (125), Samsung (6), SEO (12), Sublime Text (9), Telegram (5), TintonLife (4), UGREEN (4), Windows 7 (67), аккумуляторы (23), аксессуары (12), анализаторы файлов (8), архиваторы (6), аттракционы (7), безопасность (55), браузеры (16), бытовая техника (21), варенье (19), ВВЦ (9), ВДНХ (14), видео (20), Воробьевы горы (9), вторые блюда (128), выпечка (31), выставки (120), генератор ПСЧ (10), графика (122), десерты (31), Египет (9), заготовки на зиму (47), закуска (23), закуска к пиву (26), зарядные устройства (24), защита (15), зоопарки (10), игры (36), иконки (22), интерфейс (26), исследование защиты (324), каша (4), клавиатура (7), Коломенское (37), консоль (7), концерты (52), Кузьминки (4), куклы (27), ледяные скульптуры (6), мои программы (69), мониторы (6), музеи (78), мультимедиа (82), мясо (63), напитки (14), ноутбуки (8), обфускация (7), окна (71), оформление сайта (51), парки Москвы (7), песчаные скульптуры (13), плееры (10), подводная съемка (4), поздравления (132), полезные функции (47), прохождения (4), процессы (25), птица (23), путешествия (26), распаковка (22), реверсинг (52), регулярные выражения (5), рыба (35), салаты (19), сброс триала (4), сеть (37), система (179), Сокольники (8), соусы (16), супы (14), телефоны (10), Тунис (6), умный дом (15), файлы справки (7), фаст-фуд (18), фестиваль цветов (5), флешки (5), фото (23), хеши (18), числа (8), юмор (12), яйца (19), Яндекс (11)
Вам помог этот сайт?
Сказать спасибо! Поблагодарили 36,045 раз
<< 2025 - ФЕВРАЛЬ >>
Пн Вт Ср Чт Пт Сб Вс
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    
День военного топографа
День российской науки
Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите
Ctrl
+
Enter
Буду очень благодарен, если размеcтите мою кнопочку:
Личный блог ManHunter'а
Valid CSS Valid XHTML 1.0 Transitional Valid mobileOK Basic Valid RSS
Яндекс тИЦ: {YANDEX_TIC} Яндекс ИКС: 360
Сейчас я слушаю
---
Имя:

Сообщение:

Осталось символов: 200

   
-
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2025
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.07 сек. / MySQL: 2 (0.006 сек.) / Память: 4.5 Mb
Наверх