Blog. Just Blog

Исследование защиты программы Smart Photo Import

Версия для печати Добавить в Избранное Отправить на E-Mail 31.07.2013 | Категория: Темная сторона Силы | Автор: ManHunter
Скриншот программы Smart Photo Import
Скриншот программы Smart Photo Import

Программа Smart Photo Import помогает переносить цифровые фотоснимки из камеры или с flash-карточек разного формата. При этом Smart Photo Import автоматически переименовывает файлы на основании EXIF-данных или по установленным пользователем правилам. Также может автоматически раскладывать скопированные файлы по каталогам. Польза от программы сомнительная, тем более от платной версии, но как объект исследования может и пригодится.

Сразу скажу, что программа обновляется пару раз в месяц, поэтому некоторые данные из статьи, такие как адреса кода в исполняемом файле, могут оказаться иными. Впрочем, это касается и любой другой программы. Скачиваем дистрибутив, устанавливаем, запускаем. После старта незарегистрированной программы сразу появляется триальное окно с таймером и предложением купить или зарегистрировать ее. На ввод заведомо неправильных данных программа отреагирует вот таким сообщением:

Сообщение о неправильной регистрации
Сообщение о неправильной регистрации

Поищем эту строчку. Файл не упакован, и искомая строка найдется в ресурсах под индексом 64798 в десятичной системе счисления или 0FD1Eh в шестнадцатеричной.

Строка в ресурсах
Строка в ресурсах

Отправляем файл в дизассемблер, ждем окончания его работы и теперь можно спокойно поискать, где в коде используется значение этого индекса. Шестнадцатеричного, естественно. Найдется типичный указатель на указатель.
Code (Assembler) : Убрать нумерацию
  1. CODE:007AAE50 off_7AAE50      dd offset hModule
  2. CODE:007AAE54                 dd 0FD1Eh
Если вы ранее сталкивались с реверсом программ на Delphi, то такая конструкция у вас не вызовет никаких недоумений. Достаточно посмотреть на код, который ссылается на первый DWORD конструкции.
Code (Assembler) : Убрать нумерацию
  1. ...
  2. CODE:007AAEBE                 call    sub_40C22C
  3. CODE:007AAEC3                 mov     eax, [ebp+var_4]
  4. ; Получить длину регистрационного имени
  5. CODE:007AAEC6                 call    sub_40445C
  6. ; Имя не может быть меньше 8 символов
  7. CODE:007AAECB                 cmp     eax, 8
  8. CODE:007AAECE                 jl      loc_7AAF62
  9. ; Преобразовать имя в регистрационный ключ
  10. CODE:007AAED4                 lea     edx, [ebp+var_14]
  11. CODE:007AAED7                 mov     eax, [ebp+var_4]
  12. CODE:007AAEDA                 call    sub_5DABDC
  13. ; Команда "cmpstr" - сравнение двух строк
  14. CODE:007AAEDF                 mov     edx, [ebp+var_14]
  15. CODE:007AAEE2                 mov     eax, [ebp+var_8]
  16. CODE:007AAEE5                 call    sub_40456C
  17. ; Если строчки не равны, то переход
  18. CODE:007AAEEA                 jnz     short loc_7AAF40
  19. ; Сохранить куда-то регистрационные данные
  20. CODE:007AAEEC                 lea     edx, [ebp+var_18]
  21. CODE:007AAEEF                 mov     eax, [ebx+2E0h]
  22. CODE:007AAEF5                 call    sub_43A4B4
  23. CODE:007AAEFA                 mov     ecx, [ebp+var_18]
  24. CODE:007AAEFD                 mov     edx, offset aUser_1 ; "user"
  25. CODE:007AAF02                 mov     eax, offset aRegistration_1
  26. ; "registration"
  27. CODE:007AAF07                 call    sub_5DBA48
  28. CODE:007AAF0C                 mov     eax, offset aRegistration_1
  29. ; "registration"
  30. CODE:007AAF11                 mov     ecx, [ebp+var_8]
  31. CODE:007AAF14                 mov     edx, offset aRegcode_1 ; "regcode"
  32. CODE:007AAF19                 call    sub_5DBA48
  33. CODE:007AAF1E                 push    0
  34. CODE:007AAF20                 lea     edx, [ebp+var_1C]
  35. CODE:007AAF23                 mov     eax, offset off_7AAE48
  36. CODE:007AAF28                 call    sub_4076B8
  37. CODE:007AAF2D                 mov     eax, [ebp+var_1C]
  38. CODE:007AAF30                 mov     cx, word_7AB024
  39. CODE:007AAF37                 mov     dl, 2
  40. CODE:007AAF39                 call    sub_460448
  41. CODE:007AAF3E                 jmp     short loc_7AAF82
  42. CODE:007AAF40 ; ---------------------------------------------------
  43. ; Вывод сообщения о неправильной регистрации
  44. CODE:007AAF40 loc_7AAF40:
  45. CODE:007AAF40                 push    0
  46. CODE:007AAF42                 lea     edx, [ebp+var_20]
  47. CODE:007AAF45                 mov     eax, offset off_7AAE50
  48. CODE:007AAF4A                 call    sub_4076B8
  49. CODE:007AAF4F                 mov     eax, [ebp+var_20]
  50. CODE:007AAF52                 mov     cx, word_7AB024
  51. CODE:007AAF59                 mov     dl, 2
  52. CODE:007AAF5B                 call    sub_460448
Этот участок кода нагляднее всего пройти под отладчиком. Что мы тут видим? Сперва вызывается функция вычисления длины регистрационного имени. Помните строку сообщения в ресурсах о том, что регистрационное имя не может быть меньше 8 символов? Так вот это оно и есть. Далее вычисляется какая-то строка, очевидно, что на основании регистрационного имени. Ну а потом вызывается функция сравнения двух строчек. Почему я в этом уверен? Обычно, если проверка кустарная и выполняется внутри какой-то функции, то ее результат возвращается в регистре EAX, а затем он сравнивается с нулем или единицей. В нашем случае в функцию передаются указатели на две строки в регистрах EAX и EDX, а условный переход выполняется на основании значения флага нуля ZF. Это типичное поведение функции проверки равенства строк. Перед проверкой регистры указывают на интересные значения:

Ссылки на строчки в регистрах отладчика
Ссылки на строчки в регистрах отладчика

EAX указывает на введенный нами заведомо неправильный серийный номер, EDX указывает на строку, которая очень похожа на серийный номер для имени "ManHunter/ PCL". Сохраним значение строчки из регистра EDX, перезапустим программу и попробуем зарегистрировать ее с найденной парой "имя-серийник".

Программа успешно зарегистрирована
Программа успешно зарегистрирована

Снова перезапустим программу. На этот раз триальное окно исчезло, значит программа действительно зарегистрирована. Мне определенно нравятся такие типы защиты, когда введенный серийник сравнивается с правильным. Во-первых, это позволяет зарегистрировать программу практически легально, не прибегая к байт-хаку, распаковке, лоадерам и прочим инструментам второй линии фронта. Во-вторых, нет нужды медитировать на код и отладчик, пытаясь отреверсить алгоритм проверки с целью написания кейгена. Отлов серийников - это хорошо и правильно.

Поделиться ссылкой ВКонтакте
Просмотров: 5152 | Комментариев: 2

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
user (02.08.2013 в 21:32):
Не ленитесь:
HKCU\Software\New_World_Software
brute (02.08.2013 в 07:17):
Число 64798 в иде не искал, hview -не люблю идеологически. В оле не нашёл, особо и не искал. В  IDR нашел процедуру проверки, стал отлаживать.. Увидел в регистрах, дампе и стеке строку рядом с reg_name. Попробовал ввести её в качестве пароля и прога зарегистрировалась - сам не понял и не запомнил как всё быстро получилось. Хотел пропатчить что-нибудь, а прога по Ctrl+F2 в оле уже не останавливается на вводе пароля (даже после переустановки).. Реестр чистить лень..

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Это я :-)
Если программист в девять утра уже на работе, значит он там же и ночевал
Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина
Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал
Ограничение по возрасту 16+ Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.
Метки статей
.NET (27), AJAX (5), Assembler (348), COM (39), CSS (39), Exif (15), FASM (8), Firefox (7), HDD (17), Hello Teddy (9), HTML (48), iconBIT (4), JavaScript (68), MySQL (13), Nikon (19), PDF (9), PHP (119), Samsung (6), SEO (12), Sublime Text (9), TintonLife (4), UGREEN (4), Windows 7 (66), аккумуляторы (22), аксессуары (12), анализаторы файлов (8), архиваторы (5), аттракционы (7), безопасность (55), браузеры (16), бытовая техника (19), варенье (18), ВВЦ (9), ВДНХ (14), видео (20), Воробьевы горы (9), вторые блюда (120), выпечка (27), выставки (116), генератор ПСЧ (10), графика (118), десерты (31), Египет (8), заготовки на зиму (45), закуска (21), закуска к пиву (24), зарядные устройства (23), защита (15), зоопарки (10), игры (36), иконки (22), интерфейс (26), исследование защиты (306), каша (4), клавиатура (7), Коломенское (37), консоль (7), концерты (52), Кузьминки (4), куклы (27), ледяные скульптуры (6), мои программы (68), мониторы (6), музеи (72), мультимедиа (70), мясо (59), напитки (14), ноутбуки (8), обфускация (7), окна (69), оформление сайта (47), парки Москвы (7), песчаные скульптуры (13), плееры (10), подводная съемка (4), поздравления (127), полезные функции (39), прохождения (4), процессы (25), птица (20), путешествия (25), распаковка (22), реверсинг (51), рыба (34), салаты (18), сброс триала (4), сеть (36), система (177), Сокольники (8), соусы (14), супы (14), телефоны (8), Тунис (6), умный дом (12), файлы справки (6), фаст-фуд (18), фестиваль цветов (5), флешки (5), фото (23), хеши (16), числа (8), юмор (12), яйца (17), Яндекс (10)
Вам помог этот сайт?
Сказать спасибо! Поблагодарили 34,326 раз
<< 2024 - АПРЕЛЬ >>
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          
Национальный день донора крови
Всемирный день цирка
Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите
Ctrl
+
Enter
Буду очень благодарен, если размеcтите мою кнопочку:
Личный блог ManHunter'а
Valid CSS Valid XHTML 1.0 Transitional Valid mobileOK Basic Valid RSS
Яндекс тИЦ: {YANDEX_TIC} Яндекс ИКС: 380
Сейчас я слушаю
---
Имя:

Сообщение:

Осталось символов: 200

   
-
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.07 сек. / MySQL: 2 (0.0076 сек.) / Память: 4.5 Mb
Наверх