Исследование IconTOY 3.1

Перейти на главную страницу, индексную страницу.


Я рад представить вашему вниманию свое первое
практическое пособие по взлому ПО.
В нем речь пойдет о проге IconTOY. Она использует
стандартную схему защиты:
имя/серийник и сохраняет работоспособность в течение
30 дней, после чего требует
регистрации (наивная :)). Я расскажу вам, как можно
избавиться от "бага",
мешающего работе с прогой:

Для этого нам понадобятся:
1. Мозги в вашей голове.
2. Дизассемблер (W32Dasm)
3. Hex-редактор (Hiew)
5. Вагон времени
6. Много пива (или колы, или что вы там пьете)
   и сигарет (если курите).

Все, lets rock!!!

Цель: Пропатчить прогу, чтобы не истекал срок действия.

Во-первых, сделайте парочку копий "девственного"
icontoy.exe (я их обычно сохраняю с
расширениями .ded, ded1, .ded2 и т.д.).
Теперь поставьте в Панели управления дату на...
скажем, 2 месяца вперед. Запустите
IconTOY... у-у срок действия истек. Запишите на бумаге
послание: "This copy of IconTOY
has been in use...".
Сделали? Отлично, можете вернуть время назад и
дизассемблировать icontoy.exe.
Отыщите в W32Dasm в "Refs -> String Data References"
наше сообщение и двойной щелчок
по нему, чтобы перейти в код проги. Должно показаться
что-то типа:

* Possible StringData Ref from Code Obj ->"This copy
of IconTOY has been "
					->"in use for "
                                  |
:00486291 68C4634800		  push 004863C4
:00486296 DD050CE94800		  fld qword ptr
[0048E90C]
  . . .

Пролистав децл выше, найдите строку:

* Refferenced by a (U)nconditional or (C)onditional
Jump at Address:
|:0048626C(C)

Это условный переход по адресу. Запомните адрес и
отправляйтесь туда, откуда он был
вызван: в W32Dasm меню "Goto -> Goto Code Location"
введите нужный адрес и давите "ОК"
Вот оно!!!:

:0048626C 7612			  jbe 00486280
	;срабатывает, когда выходит срок

Вы наверняка обратили внимание на строку внизу окна
дизасма:

Line:290240 Pg 3819 and 3820... и т. д.

Запишите число после слова @Offset. Это локальное
смещение инструкции в файле
icontoy.exe. Должно быть 0008566Ch. Закрывайте
W32Dasm. Он больше не нужен. Открывайте
icontoy.exe с помощью Hiew, декодируйте и ищите наше
смещение. Далее все просто:
измените значения двух байт с 7612h на, скажем, 9090.
Вы не поняли, что мы сделали?
"Занопили" переход (вписали пустую инструкцию, которая
ничего не делает) - надо читать
теорию :). Все, сохраните файл, закройте Hiew и...
можете проверить прогу. Перегоните
часы на пару месяцев вперед, потом назад; опять
вперед, снова назад - все работает.
Правда вот в "About" до сих пор светится мессага о
том, что прога не зарегистрирована.
Поработав с hex-редактором, вы можете найти нужные
строки и заменить их на что-то свое.
Дайте волю фантазии...

Keep on cracking...



Date  :07.09.2002
Author:Cryo
E-mail:cryo#cydem.zp.ua


Материалы размещены на http://cracklab.narod.ru/doc/ с разрешения http://cydem.zp.ua/






Hosted by uCoz