Blog. Just Blog

Исследование защиты программы STOIK Panorama Maker

Версия для печати Добавить в Избранное Отправить на E-Mail 18.06.2012 | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы STOIK Panorama Maker
Скриншот программы STOIK Panorama Maker

STOIK Panorama Maker - очень удобная программа для создания панорамных снимков из нескольких отдельных кадров, причем можно делать как горизонтальные, так и вертикальные панорамы. Все операции выполняются буквально за несколько кликов мышкой, а результат получается потрясающий. Более простой и удобной программы для создания панорам я пока не встречал. А любой хороший софт просто обязан быть (или стать) бесплатным.

Скачиваем дистрибутив, устанавливаем, запускаем. Сразу же после запуска программа предлагает нам резко метнуться в кассу, ввести регистрационный ключ или продолжить работу в триальном режиме.

Окно регистрации программы
Окно регистрации программы

Аффтары пишут, что программа в течение 15-дневного триального срока полнофункциональная. На самом деле это не так. В бесплатном режиме результат невозможно сохранить, и, как вы уже догадались, сейчас мы будем обходить все эти ограничения. На ввод неправильных регистрационных данных программа реагирует сообщением "Wrong activation key!", поищем его в исполняемом файле.

Строка сообщения в ресурсах
Строка сообщения в ресурсах

Строка сообщения в ресурсах файла имеет индекс 346 или 15Ah в шестнадцатеричной системе счисления. С похожими ситуациями мы уже неоднократно сталкивались, поэтому как и в прошлые разы поищем это значение в листинге дизассемблера.
Code (Assembler) : Убрать нумерацию
  1. .text:004AD136                 mov     ecx, esp
  2. .text:004AD138                 mov     [ebp+108h+var_120], esp
  3. .text:004AD13B                 push    edx
  4. .text:004AD13C                 call    ds:mfc90_300
  5. .text:004AD142                 lea     eax, [ebp+108h+var_120]
  6. .text:004AD145                 push    eax
  7. ; Вызвать функцию проверки
  8. .text:004AD146                 call    loc_4A1D80
  9. .text:004AD14B                 add     esp, 8
  10. ; По умолчанию будем считать, что программа не зарегистрирована (BL=1)
  11. .text:004AD14E                 mov     ebx, 1
  12. .text:004AD153                 push    offset aOk      ; "Ok"
  13. .text:004AD158                 mov     ecx, eax
  14. .text:004AD15A                 mov     byte ptr [ebp+108h+var_10C], bl
  15. .text:004AD15D                 mov     [ebp+108h+var_134], ebx
  16. ; Сравнить результат функции проверки со строкой 'Ok'
  17. .text:004AD160                 call    ds:mfc90_1603
  18. .text:004AD166                 test    eax, eax
  19. .text:004AD168                 jnz     short loc_4AD188
  20. ; Если совпадает, то программа действительно зарегистрирована
  21. .text:004AD16A                 push    ecx
  22. .text:004AD16B                 lea     edx, [ebp+108h+var_11C]
  23. .text:004AD16E                 mov     ecx, esp
  24. .text:004AD170                 mov     [ebp+108h+var_12C], esp
  25. .text:004AD173                 push    edx
  26. .text:004AD174                 call    ds:mfc90_300
  27. .text:004AD17A                 call    sub_4ACDC0
  28. .text:004AD17F                 add     esp, 4
  29. .text:004AD182                 cmp     eax, esi
  30. .text:004AD184                 jnz     short loc_4AD188
  31. ; После успешного прохождения всех проверок обнулить регистр BL
  32. .text:004AD186                 xor     bl, bl
  33. .text:004AD188 loc_4AD188:
  34. .text:004AD188                 lea     ecx, [ebp+108h+var_120] ; void *
  35. .text:004AD18B                 mov     [ebp+108h+var_10C], esi
  36. .text:004AD18E                 call    ds:mfc90_601
  37. ; Программа зарегистрирована (BL=0) ?
  38. .text:004AD194                 test    bl, bl
  39. .text:004AD196                 jz      short loc_4AD1AA
  40. .text:004AD198 loc_4AD198:
  41. ; Вывести сообщение "Wrong activation key!"
  42. .text:004AD198                 push    0FFFFFFFFh
  43. .text:004AD19A                 push    esi
  44. .text:004AD19B                 push    15Ah
  45. .text:004AD1A0                 call    mfc90_1182
  46. .text:004AD1A5                 jmp     loc_4AD2DA
Теперь посмотрим на вызываемую функцию проверки. Мы помним, что она должна вернуть строчку "Ok", поэтому поищем все, что так или иначе связано с этой строкой. Найдется вот такой кусочек кода:
Code (Assembler) : Убрать нумерацию
  1. ; Выполнить сравнение
  2. .text:004A1EAE                 cmp     edx, eax
  3. ; Если не равно, то переход на возврат значения "Error"
  4. .text:004A1EB0                 jnz     short loc_4A1F15
  5. .text:004A1EB2                 inc     ecx
  6. .text:004A1EB3                 cmp     ecx, 6
  7. .text:004A1EB6                 jl      short loc_4A1E73
  8. .text:004A1EB8                 add     ebp, 7
  9. .text:004A1EBB                 cmp     ebp, 1Ch
  10. .text:004A1EBE                 jl      short loc_4A1E6D
  11. ; Вернуть значение "Ok"
  12. .text:004A1EC0                 mov     esi, [esp+18h]
  13. .text:004A1EC4                 push    offset aOk      ; "Ok"
  14. .text:004A1EC9                 mov     ecx, esi
  15. .text:004A1ECB                 call    ds:mfc90_310
  16. ...
  17. ; Часть второстепенного кода опущена
  18. ...
  19. .text:004A1F15 loc_4A1F15:
  20. .text:004A1F15                 mov     esi, [esp+18h]
  21. ; Вернуть значение "Error"
  22. .text:004A1F19                 push    offset aError_0 ; "Error"
  23. .text:004A1F1E                 mov     ecx, esi
  24. ...
Простыми патчами на возврат EAX=1 тут не обойтись, но достаточно забить командами NOP единственный условный переход по адресу 004A1EB0, ведущий к возврату ошибки. После этого программа примет любой регистрационный ключ как родной. Код около места патча достаточно "приметный", так что можно легко выделить сигнатуру для поиска и сделать универсальный патч для всех последующих версий программы.

При анализе ассемблерного листинга в районе вызова проверок серийного номера я несколько раз натыкался на файл под названием "stpnm2.key". Поискав на диске этот файл я обнаружил, что он находится в папке %ProgramData%\stpnm2.key и в него в текстовом виде записывается введенный регистрационный ключ плюс первым байтом длину ключа. То есть мало того, что программа гадит в реестре, так еще и распихивает свои файлы куда ни попадя. Причем при деинсталляции файл ключа не удаляется. В который раз убеждаюсь, что хорошие манеры программирования сейчас большая редкость. Но может быть эта информация будет полезной для любителей делать портативные сборки разного софта.

С патчами все понятно, теперь попробуем разобрать алгоритм проверки и, соответственно, алгоритм генерации правильного серийного номера. Для этого поставим точку останова на начало уже знакомой нам функции проверки по адресу 004A1D80 и пройдем ее под отладчиком, введя какой-нибудь неправильный серийный номер. Еще в листинге дизассемблера бросается в глаза интересная конструкция, в которой из строки получаются значения по определенной маске.
Code (Assembler) : Убрать нумерацию
  1. ...
  2. .text:004A1E03                 push    edx
  3. .text:004A1E04                 push    offset a6c6c6c6c6c6c6c
  4. ; "%6c-%6c-%6c-%6c-%6c-%6c-%6c-%6c"
  5. .text:004A1E09                 lea     ecx, [esp+0A4h]
  6. .text:004A1E10                 call    ds:mfc90_910
  7. .text:004A1E16                 push    eax
  8. .text:004A1E17                 call    ds:sscanf
  9. ...
Теперь мы знаем формат серийного номера - 8 групп по 6 символов, разделенных черточками. Что интересно, полученные после этой операции данные нигде не используются и даже не проверяются на валидность. Ладно, зная формат, придумаем какой-нибудь серийный номер заведомо неправильный, но подходящий по формату, например, "AAAAAA-BBBBBB-CCCCCC-DDDDDD-EEEEEE-FFFFFF-GGGGGG-HHHHHH". Стартуем программу под отладчиком, вводим его в окно регистрации и в пошаговом режиме доходим до уже знакомого кода, но на этот раз уже с целью добиться понимания алгоритма проверки:
Code (Assembler) : Убрать нумерацию
  1. ...
  2. ; Взять следующий символ из серийного номера
  3. .text:004A1E73                 movsx   eax, byte ptr [esi+ecx]
  4. ; Умножить на 343FDh
  5. .text:004A1E77                 imul    eax, 343FDh
  6. ; Прибавить 269EC3h
  7. .text:004A1E7D                 add     eax, 269EC3h
  8. .text:004A1E82                 mov     dword_504F84, eax
  9. ; Двоичный сдвиг
  10. .text:004A1E87                 shr     eax, 10h
  11. ; Сброс всех битов кроме первых 8
  12. .text:004A1E8A                 and     eax, 7FFFh
  13. ; Обнулиить EDX
  14. .text:004A1E8F                 cdq
  15. ; Поделить на 24h (значение видно под отладчиком)
  16. .text:004A1E90                 idiv    edi
  17. ; Если результат вышел за некие границы, то серийник неправильный
  18. .text:004A1E92                 test    edx, edx
  19. .text:004A1E94                 jl      loc_4A1F35
  20. .text:004A1E9A                 cmp     edx, edi
  21. .text:004A1E9C                 jge     loc_4A1F35
  22. ; Взять символ из проверочного массива и сравнить его с символом из серийника
  23. ; Проверочный массив - строка "ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"
  24. ; Индекс элемента - значение регистра EDX
  25. .text:004A1EA2                 movzx   edx, byte ptr [ebx+edx]
  26. .text:004A1EA6                 lea     eax, [ecx+ebp]
  27. .text:004A1EA9                 movsx   eax, byte ptr [esp+eax+4Ch]
  28. .text:004A1EAE                 cmp     edx, eax
  29. ; Не совпало - серийный номер неправильный
  30. .text:004A1EB0                 jnz     short loc_4A1F15
  31. ; Следующий символ
  32. .text:004A1EB2                 inc     ecx
  33. .text:004A1EB3                 cmp     ecx, 6
  34. ; Группа символов обработана?
  35. .text:004A1EB6                 jl      short loc_4A1E73
  36. ; Следующая группа
  37. .text:004A1EB8                 add     ebp, 7
  38. .text:004A1EBB                 cmp     ebp, 1Ch
  39. .text:004A1EBE                 jl      short loc_4A1E6D
  40. ; Все символы соответствуют, серийный номер правильный
  41. .text:004A1EC0                 mov     esi, [esp+18h]
  42. .text:004A1EC4                 push    offset aOk      ; "Ok"
  43. .text:004A1EC9                 mov     ecx, esi
  44. ...
Что получается? Серийный номер условно разделяется на две половины по 4 группы символов. При этом каждый символ из первой половины преобразуется в определенное значение (индекс элемента массива) по описанному выше алгоритму. Затем по этому индексу берется символ (элемент) из проверочного массива "ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789" и он сравнивается с соответствующим символом из той же позиции второй половины серийника. В нашем примере для латинской буквы "A" из первой половины серийника в проверочном массиве будет соответствовать символ "8", это хорошо видно в отладчике. Контрольное значение "8" сравнивается с введенным символом "E" из второй половины серийника:

Сравнение символа со значением из массива
Сравнение символа со значением из массива

Формула получения индекса в более привычной записи будет выглядеть примерно так:

index = ((serial[i] * 343FDh + 269EC3h) >> 10h) & 7FFFh) mod 24h
Выяснив одно единственное совпадение, можно сразу же узнать один из валидных серийный номеров, в котором будет первая и вторая половина будут состоять из одинаковых символов. Например, правильным серийным номером для регистрации будет "AAAAAA-AAAAAA-AAAAAA-AAAAAA-888888-888888-888888-888888". Попробуем зарегистрировать программу с этим ключом. Никаких сообщений о правильной регистрации не появится, однако надпись "TRIAL" в заголовке программы пропадет. Если теперь попробовать сделать панораму и сохранить результат, то и тут никаких ограничений не будет. Окно регистрации при запуске программы также пропало. То есть регистрационный ключ подобран правильно. Рабочий кейген теперь вы можете написать самостоятельно. Подобным образом обходится защита и других программ от STOIK. Новых побед вам в реверсинге и творческих успехов в фототворчестве!

Поделиться ссылкой ВКонтакте
Просмотров: 5282 | Комментариев: 11

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
Petya (10.07.2020 в 20:42):
При сохранении пишет "General conversion error". Как патченая, так и кейгененая версии. На печать виртуальным принтером выводит нормально.
brute (17.03.2016 в 09:55):
я запатчил по другим адресам: 004A271E и 004A9B32. Заменил jnz на jmp. Аналогично ChVL: один байт убирает окно ввода серийника и триал, а второй включает сохранение. (Это на XP, где адреса загрузки постоянны).
ChVL (03.12.2012 в 06:17):
Хороший разбор CrackMe получился. Для начинающих весьма познавательно и полезно.
Защита у сабжа простенькая (вернее, никакой), а потому для себя патчится максимум за 10 мин с учётом выпитого кофе. Всего-то слегка поправить два байта: один по адресу 4A5A03 - убирается триал, другой по адресу 4AA8FE - подключается сохранение проекта. В обоих случаях условный переход заменяется безусловным.
Swo (21.11.2012 в 20:20):
Привет,сегодня только наткнулся на ваш форум, изучаю методы отладкию
Вопрос а чему вы дизесамблируете код?
Dmitry (22.07.2012 в 20:55):
Собственно, программа не очень сильно загружает многоядерные процессоры (12%), а время просчёта довольно велико. Результат не поразил. Более адекватно работает Kolor Autopano Giga 2.5.
За разбор Спасибо!
ManHunter (21.06.2012 в 11:02):
Конечно. И очень много.
Max (20.06.2012 в 18:08):
А существует ли защита, которую вам не удалось сломать?
ManHunter (18.06.2012 в 11:30):
Почему не в курсе? Неоднократно встречал шифрованные или как-то иначе модифицированные строки. Только это их все равно не спасает. Можно ведь ловить не строки, а, например, открытие окна, обращения к файловой системе, реестру, и так далее. Занимает чуть больше времени, но результат все равно одинаковый.
Балбес (18.06.2012 в 11:28):
Читаю тут статьи о взломе, и мне становится дико интересно: неужели никто из девелоперов до сих пор не в курсе, что такие строки можно и зашифровать?
ManHunter (18.06.2012 в 09:03):
Сама программа, кстати, очень понравилась. А защита лажовая, это да.
AyTkACT (18.06.2012 в 01:38):
>>>> Подобным образом обходится защита и других программ от STOIK.
Никак не решу что хуже софт от STOIK или их "защита".
з.ы. Шикарный разбор! =)

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Это я :-)
Если программист в девять утра уже на работе, значит он там же и ночевал
Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина
Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал
Ограничение по возрасту 16+ Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.
Метки статей
.NET (27), AJAX (5), Assembler (350), COM (40), CSS (39), Exif (15), FASM (8), Firefox (7), HDD (17), Hello Teddy (9), HTML (48), iconBIT (4), JavaScript (68), MySQL (13), Nikon (19), PDF (9), PHP (119), Samsung (6), SEO (12), Sublime Text (9), TintonLife (4), UGREEN (4), Windows 7 (66), аккумуляторы (22), аксессуары (12), анализаторы файлов (8), архиваторы (5), аттракционы (7), безопасность (55), браузеры (16), бытовая техника (19), варенье (18), ВВЦ (9), ВДНХ (14), видео (20), Воробьевы горы (9), вторые блюда (120), выпечка (27), выставки (116), генератор ПСЧ (10), графика (118), десерты (31), Египет (8), заготовки на зиму (45), закуска (21), закуска к пиву (24), зарядные устройства (23), защита (15), зоопарки (10), игры (36), иконки (22), интерфейс (26), исследование защиты (306), каша (4), клавиатура (7), Коломенское (37), консоль (7), концерты (52), Кузьминки (4), куклы (27), ледяные скульптуры (6), мои программы (68), мониторы (6), музеи (72), мультимедиа (71), мясо (59), напитки (14), ноутбуки (8), обфускация (7), окна (69), оформление сайта (47), парки Москвы (7), песчаные скульптуры (13), плееры (10), подводная съемка (4), поздравления (127), полезные функции (39), прохождения (4), процессы (25), птица (20), путешествия (25), распаковка (22), реверсинг (51), рыба (34), салаты (18), сброс триала (4), сеть (36), система (177), Сокольники (8), соусы (14), супы (14), телефоны (8), Тунис (6), умный дом (12), файлы справки (6), фаст-фуд (18), фестиваль цветов (5), флешки (5), фото (23), хеши (16), числа (8), юмор (12), яйца (17), Яндекс (10)
Вам помог этот сайт?
Сказать спасибо! Поблагодарили 34,352 раза
<< 2024 - АПРЕЛЬ >>
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          
День дочери
День ДНК
Всемирный день пингвинов
Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите
Ctrl
+
Enter
Буду очень благодарен, если размеcтите мою кнопочку:
Личный блог ManHunter'а
Valid CSS Valid XHTML 1.0 Transitional Valid mobileOK Basic Valid RSS
Яндекс тИЦ: {YANDEX_TIC} Яндекс ИКС: 380
Сейчас я слушаю
---
Имя:

Сообщение:

Осталось символов: 200

   
-
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.51 сек. / MySQL: 2 (0.0114 сек.) / Память: 4.5 Mb
Наверх