Исследование CoffeeCup HTML Editor 9.3

Перейти на главную страницу, индексную страницу.


Автор: -=SouL=- <art_a@bk.ru>

Tools:
SoftIce 4.x
W32dasm
QVIEW 2.80
Пиво желательно...

Про жертву:
Профессиональный HTML-редактор, включающий FTP-клиент, библиотеки JavaScript, эффекты Flash, мастера таблиц и сайтов, программу для создания шрифтов, чистильщик HTML и многое другое. Содержит около 25 000 изображений, включая фоны, иконки и т. п. работоспособная в течение 45 дней плюс еще некоторые ограничения. www.CoffeeCup.com (вес около 7 мб)

И так начнем.
Запустим программу и видим "это наглое" окно с просьбой зарегистрировать программу, которое будет надаедать нам в течении 45 дней НЕПОРЯДОК!!!
Переведем часы на год вперед и запустим программу. Жмем Start The Editor упс выскакивает еще одно окно о том, что все приехали. Запустим программу в SoftIce Loader, чтобы попасть в самое начало программы. Что мы видим:

 0167:00661BA5			MOV 	EBP, ESP		//мы здесь
 0167:00661BA7			ADD	ESP, -0C
 0167:00661BAA			MOV	EAX, 00661354
 0167:00661BAF			CALL	00406D64
 0167:00661BB4			MOV	EAX, [0066B434]
 0167:00661BB9			MOV	EAX, [EAX]
 0167:00661BBB			CALL	004607FC
 0167:00661BC0			MOV	EAX, [0066B434]
 0167:00661BC5			MOV	EAX, [EAX]
 0167:00661BC7			MOV	EDX, 00661C94
 0167:00661BCC			CALL	0046020A
 0167:00661BD1			CALL	00660A28	    //интересно
 0167:00661BD6			CALL	006600B4
Заходим в CALL 00660A28:
----------skip--------------------------------
0167:00660A64			TEST	AL, AL
0167:00660A67			JZ	00660AA2	        //вот он радной
0167:00660A69			MOV	ECX, [0066B434]
0167:00660A6F			MOV	ECX, [ECX]
Как видите здесь идет проверка на зарегеность. Если "Да" то прыгаем, "Нет" - выводим знакомое нам окошко. Меняем JZ 00660AA2 на JMP 00660AA2. Делаем изминения прямо в айсе, закраваем айс и ВОТ ОНО программа запускается без "наглого" окна. Открываем вкладку Java Script и вот те на - большая часть скриптов доступна только после регистрации. Кидаем CoffeeCup.exe в Wdasm и ищем такую вот строчку: "To Register, please visit http://www.coffeecup.com". Нашли:

:00656BF8 BAEC6D6500	               mov edx, 00656DEC
:00656BFD E88AD4DAFF                   call 0040408C
:00656C02 8D45E8   	                   lea eax, dword ptr [ebp-18]
* Possible StringData Ref from Code Obj ->"(The first script in each category.)"
:00656C05 BA186E6500          		   mov edx, 00656E18
:00656C0A E87DD4DAFF  				   call 0040408C
:00656C0F 8D45E8                  	   lea eax, dword ptr [ebp-18]
* Possible StringData Ref from Code Obj ->"To Register, please visit http://www.coffeecup" ->".com"
:00656C12 BA4C6E6500              	mov edx, 00656E4C
:00656C17 E870D4DAFF              	call 0040408C
:00656C1C 8B55E8                  	mov edx, dword ptr [ebp-18]
:00656C1F 8B45FC                  	mov eax, dword ptr [ebp-04]
:00656C22 8B8010030000            	mov eax, dword ptr [eax+00000310]
:00656C28 E85F66DEFF              	call 0043D28C
:00656C2D E90B010000              	jmp 00656D3D
Проскролим вверх откуда вызывается эта функция:

:00656BC4 E8D3ACE2FF              	call 0048189C
:00656BC9 8945F4                  	mov dword ptr [ebp-0C], eax
:00656BC1 8B55F8                  	mov edx, dword ptr [ebp-08]
:00656BCC E857EBFAFF              	call 00605728
:00656BD1 84C0                    	test al, al
:00656BD3 745D                    	je 00656C32
:00656BD5 837DF401                	cmp dword ptr [ebp-0C], 00000001
:00656BD9 7C57                    	jl 00656C32
//если зарегистрированы то прыгаем если нет то...идем далеко-далеко
:00656BDB 8D45E8                  	lea eax, dword ptr [ebp-18]
Меняем jl 00656C32 на jmp 00656C32. После таких операций будут доступны все Java скрипты.
Ну вот и все ограничения мы сняли, хотя вы уже заметили желтый банер(спросьбой зарегистрировать) и после закрытия программы выскакивает окошко с тойже просьбой - зарегистрировать!!!!. Убрать это безобразие будет домашним заданиям для вас.
P.S.Baner ищите в Wdasme, окошко отлавливайти с помощью айса. КУПИТИ ЭТУ ПРОГРАММУ она стоит своих $49
P.S. Я не претендую на лучшую статью(читал я как-то статью от groups OUFG, на эту же тему,правда не помню кто написал - там поменяли два байтика и все ограничения были сняты). Но я пошел долгим путем...не судите...!!??
P.S. Запомните все материалы публикуются только в учебных целях и автор за их использование ответственности не несет!!

-=SouL=-
art_a@bk.ru
http:/mobyle-hack.boom.ru


Материалы находятся на сайте http://cracklab.narod.ru/doc/






Hosted by uCoz