Исследование System Mechanics 4.0

Перейти на главную страницу, индексную страницу.


Автор: ViNCE [AHT] <vincelabs@pisem.net>

Инструменты: TRW2000, FileInfo, Generic Un-Packer, DZA Patcher
Рейтинг программы: [10\10]
Download: http://www.iolo.com/

iNTRO

System Mechanics - это отличная программа для поддержания компа в хорошем боевом состоянии: тут и глобальная очистка от мусора; чистка реестра; анализ ресурсов; оптимизация, дефрагментация системы (hdd\memory) и защита данных от несанкционированного доступа... Прога триальная - работает всего лишь 30 дней :-( Приступим...

rIPPING

Для начала натравим на exe-шник FileInfo и мы увидим, что SM4 запакована старой версией AsPack'а. Тут же берём Generic Un-Pack'ер и распаковываем. Вот и нет АсПака! ;) Теперь открываем подгружаем наш любимый Айс и запускаем прогу... Ж-((( Ой, Винда чё-то глюкнула и перезагрузилась... На ладно, загружаемся ещё раз и запускаем прогу... $-((( Опять ребутнулась?!@#%#!$^ Ясно программеры оказались хитрыми, они надёно защитили свою прогу от SoftICE'а... но забыли\забили (не нужное вычеркнуть ;) про ТРВ2000... Сразу оговорюсь, не знаю какие ужасные вещи программеры делали над exe-шником, но WinDASM его не открывает... пустой листинг. Ну да ладно! Грузим прогу в ТРВ и ставим бряк на RegQueryValueExA (чтение из реестра). Прога прервётся. Теперь кликаем F5 где-то 25 раз. Хватит! Деактивируем бряк (bd *). Возвращаемся к модулю программы. Начинаем трейсить по F10, пока не выскочит окошко, напоминающее о регистрации. ВОт этот вызов (примерно):
:004E397B call near [edx+D8]
Ставим на этот call бряк и всё делаем по новой. На этот раз прога прервётся именно в этом месте. Заходим внутрь call'а (F8) и продолжаем трейсить, но до такой строки:
:004562F3 jnz 00456319 (no jump)
Как мы видим переход "спит" - так что "разбудим" его (jnz -> jmp), чтобы перепрыгнуть наг.
Меняем байты перехода: 7524 на EB24.
Вы скажете: "Мне хотелось бы сделать для другана кряк, а не совать ему пропатченный exe-ник... и ещё не прилагать автораспаковщик АсПака!". Ну нифига ты загнул... - ответит кто-нибудь тебе, но это совершенно реально. Запускаем DZA Patcher и сверху выбираем exe-шник, который будет пропатчен. Теперь в поле "Virtual Address" вводим адрес нашего перехода - 004562F3. В поле "Original Byte" вводим оригинальный байт перехода, т.е. "75", а в "New byte" вводим новый байт - "EB". Второй байт перехода нам нафиг не нужен. Осталось кликнуть по Create Patch и в папке с прогой появиться файл "Patch.exe". Как только ты его запустишь, он навсегда профиксит (запакованный AsPack'ом!!!) exe-шник. После патчинга пробуем прогу... Всё работает. Прога сломана. А ведь с начала тебя могла напугать защитка от SoftICE'а ;-)))

oUTRO

Авторы понадеялись на АсПак и что SoftICE единственный в мире отладчик :-)))

---
ReleaseDate: [22.09.2004]

ViNCE [AHT]
vincelabs@pisem.net


Материалы находятся на сайте http://cracklab.narod.ru/doc/






Hosted by uCoz