Blog. Just Blog

Исследование защиты программы APIS32

Версия для печати Добавить в Избранное Отправить на E-Mail 16.04.2013 | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы APIS32
Скриншот программы APIS32

APIS32 - утилита для просмотра функций API, используемых тем или иным приложением Windows. Вам достаточно выбирать нужные вам функции из списка, запускаете программу-жертву, а APIS32 выдаст полный отчет о всех вызовах этих функций из нее. Если я не ошибаюсь, это одна из первых программ такого рода, но автор явно погорячился, сделав ее платной. Инструменты для реверса просто обязаны быть бесплатными.

На официальном сайте разработчика по какой-то причине убраны все упоминания об этой программе, но осталась прямая ссылка на дистрибутив. Может быть автору стало стыдно, что он по молодости выпустил платную программу, я не знаю. Скачиваем, устанавливаем, смотрим. Исполняемый файл упакован самодельным пакером, по всей видимости прототипом или ранней версией MPRESS (это упаковщик от автора программы). С ним легко справляется QuickUnpack, но можно без особых проблем распаковать и вручную.

Распаковываем исполняемый файл
Распаковываем исполняемый файл

Проверяем распакованный файл. Все работает. Признаки триальности долго искать не придется, одних только надписей "UNREGISTERED" в программе как у дурака махорки. С них и начнем. Я надеюсь, вы не забыли отправить распакованный файл в дизассемблер?

Нехорошая строка найдена
Нехорошая строка найдена

Строка о незарегистрированной программе найдена. Теперь посмотрим в дизассемблере на код, в котором выполняется разветвление алгоритма на триальную ветку и зарегистрированную.
Code (Assembler) : Убрать нумерацию
  1. ...
  2. ; Вызвать функцию проверки регистрации
  3. .text:00401711                 call    sub_405040
  4. .text:00401716                 jmp     short loc_401719
  5. .text:00401716 ; ----------------------------------------------
  6. .text:00401718                 db 0B8h ; Анти-дизассеблерный трюк
  7. .text:00401719 ; ----------------------------------------------
  8. .text:00401719 loc_401719:
  9. ; Если функция проверки вернула AL=0, то программа не зарегистрирована
  10. .text:00401719                 or      al, al
  11. .text:0040171B                 jz      short loc_40171F
  12. .text:0040171D                 jmp     short loc_401754
  13. .text:0040171F ; ----------------------------------------------
  14. .text:0040171F loc_40171F:
  15. .text:0040171F                 mov     edi, offset aUnregistered
  16. ; "UNREGISTERED"
  17. .text:00401724                 mov     edx, offset Filename
  18. .text:00401729                 or      ecx, 0FFFFFFFFh
  19. .text:0040172C                 xor     eax, eax
  20. .text:0040172E                 repne scasb
  21. .text:00401730                 not     ecx
  22. .text:00401732                 sub     edi, ecx
  23. .text:00401734                 mov     esi, edi
  24. .text:00401736                 mov     ebx, ecx
  25. .text:00401738                 mov     edi, edx
  26. .text:0040173A                 or      ecx, 0FFFFFFFFh
  27. .text:0040173D                 xor     eax, eax
  28. .text:0040173F                 repne scasb
  29. .text:00401741                 add     edi, 0FFFFFFFFh
  30. .text:00401744                 mov     ecx, ebx
  31. .text:00401746                 shr     ecx, 2
  32. .text:00401749                 rep movsd
  33. .text:0040174B                 mov     ecx, ebx
  34. .text:0040174D                 and     ecx, 3
  35. .text:00401750                 rep movsb
  36. .text:00401752                 jmp     short loc_4017BA
  37. .text:00401754 ; ----------------------------------------------
  38. .text:00401754 loc_401754:
  39. .text:00401754                 mov     edi, offset aRegisteredTo
  40. ; "Registered to "
  41. .text:00401759                 mov     edx, offset Filename
  42. .text:0040175E                 or      ecx, 0FFFFFFFFh
  43. .text:00401761                 xor     eax, eax
  44. ...
Мы видим чистый код с абсолютно прозрачной структурой. Классический трюк против дизассемблера с прыжком внутрь следующей команды может быть и прокатил бы в далеком 2000 году, но сейчас IDA такие конструкции разбирает даже не поморщившись.

Переходим к функции проверки регистрации по адресу 0405040. Там тоже все понятно, из реестра читаются значения ключей с именем и регистрационным номером, затем все это проверяется и возвращается результат. Проверку регистрации обойдем обычным патчем. Записываем пару команд MOV AL,1 и RET в начало функции, сохраняем изменения и APIS32 начинает прекрасно работать вообще без каких-либо регистрационных данных.

Программа успешно "зарегистрирована"
Программа успешно "зарегистрирована"

Сторонникам кейгенов и противникам "хирургических" методов это, конечно, не понравится. Но зато мы получили портативный инструмент, который можно хранить на флешке и использовать на любом компьютере без необходимости каждый раз вводить регистрационные данные. Правда, своего имени в окне программы мы тоже не увидим, но это совсем не страшно.

Поделиться ссылкой ВКонтакте
Просмотров: 8093 | Комментариев: 7

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
user (30.07.2013 в 01:34):
Только хирургия. Только она.
Matsist (20.04.2013 в 08:07):
В платности проги есть некоторая логика) Если пользователь шарит, то и сам сломает, а может и купить от щедрот)
Руслан (20.04.2013 в 05:00):
Dependency Walker
ManHunter (19.04.2013 в 17:15):
Да можно указатели "Registered to" переписать на нужную строчку и все будет красивее некуда. Про инлайн сразу не подумал, чуть попозже дополню статью.
Voffka (19.04.2013 в 17:12):
На cracklab-e есть статья по ее лому(с красивым абаутом),доработке переноса строк и инлайну.
Rogin (17.04.2013 в 23:04):
Спасибо за Ваш блог, очень познавательно.
Вася (16.04.2013 в 20:30):
Да, старинная программка :)
И ломаная переломанная.

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Это я :-)
Если программист в девять утра уже на работе, значит он там же и ночевал
Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина
Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал
Ограничение по возрасту 16+ Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.
Метки статей
.NET (27), AJAX (5), Assembler (348), COM (39), CSS (39), Exif (15), FASM (8), Firefox (7), HDD (17), Hello Teddy (9), HTML (48), iconBIT (4), JavaScript (68), MySQL (13), Nikon (19), PDF (9), PHP (119), Samsung (6), SEO (12), Sublime Text (9), TintonLife (4), UGREEN (4), Windows 7 (66), аккумуляторы (22), аксессуары (12), анализаторы файлов (8), архиваторы (5), аттракционы (7), безопасность (55), браузеры (16), бытовая техника (19), варенье (18), ВВЦ (9), ВДНХ (14), видео (20), Воробьевы горы (9), вторые блюда (120), выпечка (26), выставки (116), генератор ПСЧ (10), графика (118), десерты (31), Египет (8), заготовки на зиму (45), закуска (21), закуска к пиву (24), зарядные устройства (23), защита (15), зоопарки (10), игры (36), иконки (22), интерфейс (26), исследование защиты (306), каша (4), клавиатура (7), Коломенское (37), консоль (7), концерты (52), Кузьминки (4), куклы (27), ледяные скульптуры (6), мои программы (68), мониторы (6), музеи (72), мультимедиа (70), мясо (59), напитки (14), ноутбуки (8), обфускация (7), окна (69), оформление сайта (47), парки Москвы (7), песчаные скульптуры (13), плееры (10), подводная съемка (4), поздравления (127), полезные функции (39), прохождения (4), процессы (25), птица (20), путешествия (25), распаковка (22), реверсинг (51), рыба (34), салаты (18), сброс триала (4), сеть (36), система (177), Сокольники (8), соусы (14), супы (14), телефоны (8), Тунис (6), умный дом (12), файлы справки (6), фаст-фуд (18), фестиваль цветов (5), флешки (5), фото (23), хеши (16), числа (8), юмор (12), яйца (17), Яндекс (10)
Вам помог этот сайт?
Сказать спасибо! Поблагодарили 34,315 раз
<< 2024 - АПРЕЛЬ >>
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          
День работника ломоперерабатывающей отрасли России
День российской полиграфии
День юридической службы Министерства внутренних дел России
День принятия Крыма, Тамани и Кубани в состав Российской империи
День подснежника
Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите
Ctrl
+
Enter
Буду очень благодарен, если размеcтите мою кнопочку:
Личный блог ManHunter'а
Valid CSS Valid XHTML 1.0 Transitional Valid mobileOK Basic Valid RSS
Яндекс тИЦ: {YANDEX_TIC} Яндекс ИКС: 380
Сейчас я слушаю
---
Имя:

Сообщение:

Осталось символов: 200

   
-
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.11 сек. / MySQL: 2 (0.0084 сек.) / Память: 4.5 Mb
Наверх