Blog. Just Blog

Исследование защиты программы FolderSizes

Версия для печати Добавить в Избранное Отправить на E-Mail 19.11.2025 | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы FolderSizes
Скриншот программы FolderSizes

FolderSizes - это не просто программа, а целый "швейцарский нож" для анализа дискового пространства. Она превращает рутинную задачу поиска больших файлов в быстрый, наглядный и даже увлекательный процесс. Если вы столкнулись с сообщением "Недостаточно места на диске", FolderSizes - это один из самых эффективных инструментов для решения этой проблемы. Существуют платная версия с полным функционалом, которая имеет некоторые ограничения, если ее не купить.

Авторы оставили для скачивания дистрибутив старой 32-битной версии, в первую очередь для пользователей операционных систем, таких как Windows XP или 32-битные версии Windows 7/Vista. Так что заберем последний подходящий дистрибутив, устанавливаем, смотрим. Проверяем, запакован или зашифрован ли основной исполняемый файл. Нет, файл чистый.

Триальное окно
Триальное окно

Это сильно упрощает последующий анализ в дизассемблере, так как мы сразу видим оригинальный код, а не код распаковщика. Параллельно проверяем триальные ограничения.

Триальный текст
Триальный текст

Наличие строки "EVALUATION VERSION" в интерфейсе - ключевая находка, которая сильно сужает область поиска. Более того, использование ключевого слова "evaluation" является маркером, подтверждающим, что в коде следует искать и другие текстовые элементы, связанные с проверкой лицензии.
Code (Assembler) : Убрать нумерацию
  1. .text:004F4DAF                 call    loc_4E6B90
  2. .text:004F4DB4                 lea     ecx, [ebp-134h]
  3. .text:004F4DBA                 mov     byte ptr [ebp-4], 5
  4. ; Функция проврки
  5. .text:004F4DBE                 call    sub_11307C0
  6. ; Результат проверки
  7. .text:004F4DC3                 test    eax, eax
  8. ; Переход
  9. .text:004F4DC5                 jz      short loc_4F4DD8
  10. ; Текст заголовка окна
  11. .text:004F4DC7                 push    15h
  12. .text:004F4DC9                 push    offset aEvaluationVers
  13. ; " - EVALUATION VERSION"
  14. .text:004F4DCE                 lea     ecx, [ebp-10h]
  15. .text:004F4DD1                 call    loc_4248A0
  16. .text:004F4DD6                 jmp     short loc_4F4E1D
  17. .text:004F4DD8 ; ----------------------------------------------------
  18. .text:004F4DD8 loc_4F4DD8:
  19. .text:004F4DD8                 push    ecx
  20. .text:004F4DD9                 lea     eax, [ebp-14h]
Функция проверки компактна, что позволяет легко отследить ее перекрестные ссылки. Анализ показывает, что вызовы этой функции находятся в тех же участках кода, что и строки "Licensed user" или "License error: %s".
Code (Assembler) : Убрать нумерацию
  1. .text:011307C0 sub_11307C0     proc near
  2. .text:011307C0                 push    esi
  3. .text:011307C1                 mov     esi, ecx
  4. .text:011307C3                 call    sub_112ED50
  5. .text:011307C8                 cmp     dword ptr [esi+30h], 2
  6. .text:011307CC                 jz      short loc_11307D5
  7. .text:011307CE                 mov     eax, 1
  8. .text:011307D3                 pop     esi
  9. .text:011307D4                 retn
  10. .text:011307D5 ; ------------------------------------------------
  11. .text:011307D5 loc_11307D5:
  12. .text:011307D5                 mov     eax, [esi+24h]
  13. .text:011307D8                 and     eax, 8E00h
  14. .text:011307DD                 neg     eax
  15. .text:011307DF                 pop     esi
  16. .text:011307E0                 sbb     eax, eax
  17. .text:011307E2                 neg     eax
  18. .text:011307E4                 retn
  19. .text:011307E4 sub_11307C0     endp
Заменяем код по адресу 011307C0 и поменяем патч MOV EAX,0 и RET. Сохраняем изменения.

Программа успешно "зарегистрирована"
Программа успешно "зарегистрирована"

Проведенное тестирование подтверждает, что программа была успешно модифицирована для устранения ограничений пробной версии. В пользовательском интерфейсе полностью отсутствуют триальные надписи, а весь заявленный функционал выполняется без каких-либо исключений или сообщений об ошибках. Цель достигнута.

Поделиться ссылкой ВКонтакте
Просмотров: 551 | Комментариев: 4

Комментарии

Отзывы посетителей сайта о статье
ManHunter (23.11.2025 в 16:19):
Да не мелочись :)
https://z0mbie.daemonlab.org/21zero.html
voffka (23.11.2025 в 14:21):
MOV EAX,0
Шикуешь. А где старый добрый xor eax,eax?
ManHunter (21.11.2025 в 11:32):
Ключ появляется автоматически после патча, даже делать ничего не надо. Он прибит строкой в коде. А если этот License key зарегистрировать без патча, то программа напишет, что EVALUATION VERSION на 8 дней.
AleshaA (21.11.2025 в 10:56):
Как MOV EAX,0 и RET сочетается с License key на последней картинке

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Это я :-)
Если программист в девять утра уже на работе, значит он там же и ночевал
Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина
Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал
Я в Telegram
Ограничение по возрасту 16+ Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.
Метки статей
.NET (35), AJAX (5), Assembler (381), COM (44), CSS (46), Exif (15), FASM (9), Firefox (7), HDD (17), Hello Teddy (10), HTML (56), iconBIT (4), JavaScript (82), MySQL (13), Nikon (19), PDF (11), PHP (128), Samsung (6), SEO (12), Sublime Text (9), Telegram (5), TintonLife (4), UGREEN (4), Windows 7 (68), аккумуляторы (24), аксессуары (12), анализаторы файлов (8), архиваторы (6), аттракционы (7), безопасность (55), браузеры (16), бытовая техника (34), варенье (22), ВВЦ (9), ВДНХ (14), видео (20), Воробьевы горы (9), вторые блюда (138), выпечка (31), выставки (125), генератор ПСЧ (10), графика (123), десерты (31), Египет (9), заготовки на зиму (47), закуска (23), закуска к пиву (26), зарядные устройства (25), защита (15), зоопарки (10), игры (36), иконки (22), интерфейс (26), исследование защиты (336), каша (4), клавиатура (7), Коломенское (37), консоль (7), концерты (52), Кузьминки (4), куклы (28), ледяные скульптуры (6), мои программы (70), мониторы (6), музеи (82), мультимедиа (85), мясо (66), напитки (14), ноутбуки (8), обфускация (7), окна (71), оформление сайта (53), парки Москвы (7), песчаные скульптуры (13), плееры (10), подводная съемка (4), поздравления (140), полезные функции (49), прохождения (4), процессы (25), птица (28), путешествия (26), распаковка (22), реверсинг (53), регулярные выражения (5), рыба (35), салаты (19), сброс триала (4), сеть (40), система (182), Сокольники (8), соусы (16), супы (15), телефоны (10), Тунис (6), умный дом (28), файлы справки (7), фаст-фуд (19), фестиваль цветов (5), флешки (6), фото (23), хеши (21), числа (8), юмор (12), яйца (21), Яндекс (24)
Вам помог этот сайт?
Сказать спасибо! Поблагодарили 37,614 раз
<< 2025 - ДЕКАБРЬ >>
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        
День вязания
День башкирского языка
Международный день обезьян
Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите
Ctrl
+
Enter
Буду очень благодарен, если размеcтите мою кнопочку:
Личный блог ManHunter'а
Valid CSS Valid XHTML 1.0 Transitional Valid mobileOK Basic Valid RSS
Яндекс тИЦ: {YANDEX_TIC} Яндекс ИКС: 340
Сейчас я слушаю
---
Имя:

Сообщение:

Осталось символов: 200

   
-
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2025
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.1 сек. / MySQL: 2 (0.0093 сек.) / Память: 4.5 Mb
Наверх