Исследование BestCrypt 7.0

Перейти на главную страницу, индексную страницу.


Автор: ViNCE [AHT] <vincelabs@pisem.net>

Инструменты: W32Dasm, FileInfo, Hex-редактор
Рейтинг программы: [10\10]
Download: www.jetico.com

iNTRO

BestCrypt (далее - "BC") - отличная программулька для защиты информации, хранящейся на ваших винтах. BC работает с 4-мя известными алгоритмами шифрования: BLOWFISH, GOST, RIJNDAEL и TWOFISH. Все перечисленные алгоритмы достаточно надёжны, так что мистерам хакерам, крякерам, фрикерам и кардерам можно будет спокойно спать с такой защитой... ну если конечно, ты захочешь взломать любимую прогу Дж.Буша младшего и выслать ему на мыло кряк (bush@mira.net) ...тут тебе никакая прога не поможет... ;) Да ну ладно, прога работает всего 30 дней.
Будем "лечить"...

rIPPING

Натравим для проверки на exe-шник FileInfo... Прога не запакована (написана на Visual C++ 6.0). Переведём дату на год вперёд и запустим BC. Прога културно напоминает о закончившемся триале и спрашивает (!!!)
"Хотите увидеть данный наг в следующий раз?"... Я жму "Нет" и при следующем перезапуске наг не появляется ;))))))
Хорошая шутка... Значит что-то в проге не работает... Хм... Действительно! Когда я хочу создать новый зашифрованный диск мне сообщает - "Trial period is finished. New containers can not be created.".
Вот и всё ограничения у expired-версии! :\
Открываем гл.файл проги - bestcrypt.exe в WinDASM'е. Как только прога дизасмиться залезаем в SDR. Ищем нужную нам строку: "Trial period ... be created."
Находим:
:004127F6 7413                    je 0041280B ;<-Нужный нам переход!!!
:004127F8 6AFF                    push FFFFFFFF
:004127FA 6A10                    push 00000010
* Possible Reference to String Resource ID=41476: "Trial period is finished.
New containers can not be created."
|
:004127FC 6804A20000              push 0000A204
:00412801 E8B5360400              call 00455EBB
:00412806 E924010000              jmp 0041292F
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:004127EB(C), :004127F6(C)
|
:0041280B FF7508                  push [ebp+08]
:0041280E 8D45EC                  lea eax, dword ptr [ebp-14]
:00412811 8BCE                    mov ecx, esi
:00412813 50                      push eax
:00412814 E87EE4FFFF              call 00410C97
:00412819 A19CA74800              mov eax, dword ptr [0048A79C]
:0041281E 8365FC00                and dword ptr [ebp-04], 00000000
:00412822 8945F0                  mov dword ptr [ebp-10], eax
* Possible Reference to String Resource ID=41429: "New Container"
|
:00412825 68D5A10000              push 0000A1D5
Рассмотрев данный кусок кода мы видим интересный переход:
:004127F6 7413                    je 0041280B
Если он осуществится (по умолчанию - нет), то сообщение о триальности минуется и запуститься код создания нового контейнера (Container). Вот и все ограничения! Очередная прога, которая поддаётся на "БитХак"...

---
ReleaseDate: [14.09.2004]

ViNCE [AHT]
vincelabs@pisem.net


Материалы находятся на сайте http://cracklab.narod.ru/doc/






Hosted by uCoz