Blog. Just Blog

Исследование защиты программы RAR Password Recovery Magic

Версия для печати Добавить в Избранное Отправить на E-Mail 11.01.2010 | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы RAR Password Recovery Magic
Скриншот программы RAR Password Recovery Magic

Программа RAR Password Recovery Magic предназначена для восстановления забытых паролей к архивам RAR. Скорость работы существенно уступает топовым аналогам, так что программа сгодится исключительно для экспериментов. Пытается подобрать пароли по заранее созданному словарю, а также прямым перебором (brute-force). Настройки скудноваты, видимо вся энергия авторов ушла на написание интерфейса с поддержкой графического скина, или же в свое время это была чья-то лабораторная по информатике. К минусам можно отнести еще и шароварность.

Скачиваем дистрибутив, устанавливаем, запускаем. На запрос регистрации введем любые неправильные данные, получим сообщение "You are unsuccessful!". Запускающий файл ничем не упакован, строка сообщения обнаруживается в секции данных:
Code (Assembler) : Убрать нумерацию
  1. CODE:004A2B1C _str_You_are_unsucce dd 0FFFFFFFFh           ; _top
  2. CODE:004A2B1C                 dd 21                   ; Len
  3. CODE:004A2B1C                 db 'You are unsuccessful!',0; Text
На нее ссылается указатель:
Code (Assembler) : Убрать нумерацию
  1. DATA:004ACB0C off_4ACB0C      dd offset _str_You_are_unsucce.Text
  2. DATA:004ACB0C ; DATA XREF: sub_4A3EAC+1DA
  3. DATA:004ACB0C ; sub_4A4170+16C...
На него в свою очередь ссылается следующий указатель:
Code (Assembler) : Убрать нумерацию
  1. DATA:004AD118 off_4AD118      dd offset off_4ACB0C
  2.     ; DATA XREF: _TCode_btnOkClick+DA
И только на этот указатель есть ссылка из секции кода:
Code (Assembler) : Убрать нумерацию
  1. ...
  2. CODE:004A4EFD                 call    @Controls@TControl@GetText$qqrv
  3. ; Controls::TControl::GetText(void)
  4. CODE:004A4F02                 mov     eax, [ebp+var_4]
  5. CODE:004A4F05                 push    eax
  6. CODE:004A4F06                 lea     edx, [ebp+var_8]
  7. CODE:004A4F09                 mov     eax, [ebx+308h]
  8. CODE:004A4F0F                 call    @Controls@TControl@GetText$qqrv
  9. ; Controls::TControl::GetText(void)
  10. CODE:004A4F14                 mov     edx, [ebp+var_8]
  11. CODE:004A4F17                 mov     eax, ds:off_4ACC58
  12. CODE:004A4F1C                 mov     eax, [eax]
  13. CODE:004A4F1E                 mov     eax, [eax+370h]
  14. CODE:004A4F24                 pop     ecx
  15. ; Вызвать функцию проверки введенных данных
  16. CODE:004A4F25                 call    @Sqledit@EditSQL$qqrp16Classes
  17. CODE:004A4F2A                 test    al, al
  18. ; Если функция вернула AL = 0, то введенные данные неправильные
  19. CODE:004A4F2C                 jz      short loc_4A4FA3
  20. ; Программа успешно зарегистрирована
  21. CODE:004A4F2E                 mov     edx, ds:off_4ACDD8
  22. CODE:004A4F34                 mov     edx, [edx]
  23. CODE:004A4F36                 mov     eax, ds:off_4ACC58
  24. CODE:004A4F3B                 mov     eax, [eax]
  25. ...
  26. ; Часть кода пропущена
  27. ...
  28. CODE:004A4FA1                 jmp     short loc_4A4FC6
  29. CODE:004A4FA3 ; ----------------------------------------------------
  30. CODE:004A4FA3 loc_4A4FA3:
  31. ; Показать сообщение о неправильном серийном номере
  32. CODE:004A4FA3                 push    10h             ; uType
  33. CODE:004A4FA5                 mov     eax, ds:off_4ACE88
  34. CODE:004A4FAA                 mov     eax, [eax]
  35. CODE:004A4FAC                 call    @System@@LStrToPChar$qqrx17System
  36. ; System::__linkproc__ LStrToPChar(System::AnsiString)
  37. CODE:004A4FB1                 push    eax             ; lpCaption
  38. CODE:004A4FB2                 mov     eax, ds:off_4AD118
  39. CODE:004A4FB7                 mov     eax, [eax]
  40. CODE:004A4FB9                 call    @System@@LStrToPChar$qqrx17System
  41. ; System::__linkproc__ LStrToPChar(System::AnsiString)
  42. CODE:004A4FBE                 push    eax             ; lpText
  43. CODE:004A4FBF                 push    0               ; hWnd
  44. CODE:004A4FC1                 call    MessageBoxA_0_0
  45. ...
Теперь запустим программу под отладчиком и поставим точку останова по адресу 004A4F25. Введем в окно регистрации ваше имя и любой неправильный серийный номер, отладчик остановится на вызове функции проверки. Попробуем пройти ее пошагово. В самом начале функции на стеке видны введенное имя и неправильный серийник, а потом на основе введенного имени по адресу 00490F76 производятся какие-то расчеты.

Пошаговая трассировка
Пошаговая трассировка

Если внимательно наблюдать за стеком, то можно заметить, что после этого в нем появилось еще одно интересное значение, очень похожее на какой-то серийный номер:

Серийный номер найден
Серийный номер найден

Далее в регистры EAX и EDX заносится новая строка и введенный серийный номер, и по адресу 00490F81 выполняется их сравнение. Предположим, что это и есть правильный серийный номер для введенного имени. Скопируем его и повторим регистрацию, но уже с ним.

Программа успешно зарегистрирована
Программа успешно зарегистрирована

Как видим, наша догадка подтвердилась и регистрация прошла успешно. Теперь можно побаловаться и самой программой, чтобы убедиться в ее несостоятельности. Вот такая никому не нужная программа с никчемной защитой. Дорогие товарищи программисты, пожалуйста, никогда не пишите подобный софт! В интернете и без того слишком много хлама!

Поделиться ссылкой ВКонтакте
Просмотров: 5506 | Комментариев: 3

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
ManHunter (10.01.2010 в 14:57):
Консольный cRARk однозначно рулит
http://www.password-crackers.r...gram_13.html
INC. (10.01.2010 в 08:38):
Баг детектед
как вариант можете попробовать
Advanced RAR Password Recovery (http://www.passwords.ru/progs_rus.php)
WinRar Password Remover (_http://www.intelore.com/rar_password_recovery.php)

ManHunter
Очередной раз большое спасибо за статью.
ps: скриншоты не обрезал.
Баг детектед (10.01.2010 в 06:47):
а какой аналогичный софт посоветуете?

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Это я :-)
Если программист в девять утра уже на работе, значит он там же и ночевал
Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина
Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал
Ограничение по возрасту 16+ Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.
Метки статей
.NET (27), AJAX (5), Assembler (348), COM (39), CSS (39), Exif (15), FASM (8), Firefox (7), HDD (17), Hello Teddy (9), HTML (48), iconBIT (4), JavaScript (68), MySQL (13), Nikon (19), PDF (9), PHP (119), Samsung (6), SEO (12), Sublime Text (9), TintonLife (4), UGREEN (4), Windows 7 (66), аккумуляторы (22), аксессуары (12), анализаторы файлов (8), архиваторы (5), аттракционы (7), безопасность (55), браузеры (16), бытовая техника (19), варенье (18), ВВЦ (9), ВДНХ (14), видео (20), Воробьевы горы (9), вторые блюда (120), выпечка (26), выставки (116), генератор ПСЧ (10), графика (118), десерты (31), Египет (8), заготовки на зиму (45), закуска (21), закуска к пиву (24), зарядные устройства (23), защита (15), зоопарки (10), игры (36), иконки (22), интерфейс (26), исследование защиты (306), каша (4), клавиатура (7), Коломенское (37), консоль (7), концерты (52), Кузьминки (4), куклы (27), ледяные скульптуры (6), мои программы (68), мониторы (6), музеи (72), мультимедиа (70), мясо (59), напитки (14), ноутбуки (8), обфускация (7), окна (69), оформление сайта (47), парки Москвы (7), песчаные скульптуры (13), плееры (10), подводная съемка (4), поздравления (127), полезные функции (39), прохождения (4), процессы (25), птица (20), путешествия (25), распаковка (22), реверсинг (51), рыба (34), салаты (18), сброс триала (4), сеть (36), система (177), Сокольники (8), соусы (14), супы (14), телефоны (8), Тунис (6), умный дом (12), файлы справки (6), фаст-фуд (18), фестиваль цветов (5), флешки (5), фото (23), хеши (16), числа (8), юмор (12), яйца (17), Яндекс (10)
Вам помог этот сайт?
Сказать спасибо! Поблагодарили 34,316 раз
<< 2024 - АПРЕЛЬ >>
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          
День работника ломоперерабатывающей отрасли России
День российской полиграфии
День юридической службы Министерства внутренних дел России
День принятия Крыма, Тамани и Кубани в состав Российской империи
День подснежника
Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите
Ctrl
+
Enter
Буду очень благодарен, если размеcтите мою кнопочку:
Личный блог ManHunter'а
Valid CSS Valid XHTML 1.0 Transitional Valid mobileOK Basic Valid RSS
Яндекс тИЦ: {YANDEX_TIC} Яндекс ИКС: 380
Сейчас я слушаю
---
Имя:

Сообщение:

Осталось символов: 200

   
-
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.07 сек. / MySQL: 2 (0.0076 сек.) / Память: 4.5 Mb
Наверх