Исследование Vinn Archive 1.0b

Перейти на главную страницу, индексную страницу.


Автор: ViNCE [AHT] <vincelabs@pisem.net>

Инструменты: SoftICE, Hex-редактор
Рейтинг программы: [3\10]
Download: http://vinnsoft.euro.ru

iNTRO

Vinn Archive - это простенькая прога для создания виртуальных копий папок и CD... прога крайне не понравилась - убогая и оформление для авангардистов... а деньги за неё просят. Приступим...

rIPPING

При запуске проги вылезает диалог "AVLock Lite - The easiest way to protect your application" - понятно! Это очередная навеска для Дэлфи или C++. На этой форме всё уже есть - никуда ходить не надо: Имя\Фирма\Key или регистрация по E-mail или через Инет. Серийник искать как-то в лом.
Смотрим exe-шник в FileInfo -> tElock v1.7?
Ладно, берём из пакета UN-PACK (папка plugins) все анпакеры и пытаемся распаковать эту дрянь. С каким-то из анпакеров всё пройдёт успешно и перед нами распакованный продукт.
Подгружаем Айс... стоп! прога детектит Айс... т.е. подгружаем FrogICE, и открываем SoftICE. Честно говоря, сначала я искал оптимальный вариант, чтобы как можно ближе подобраться к вызову нага, но бряк на ShowWindow срабатывал слишком поздно и там без появления нага было никак, так что в результате упорного трейсинга и анализа кода я нашёл такой путь:
1. Бряк на GetVersion, чтобы прерваться в коде проге
2. bc *
3. bpx RegQueryValueExA
4. F5 где-то 25 раз
5. F12 пока не окажемся в коде проги.
6. Трейсим по F10. Если видим часто мелькающие:
xxxxxxxxx jmp xxxxxxxx
xxxxxxxxx jmp xxxxxxxx
...значит мы на правильном пути!
7. be *
8. F5 где-то 15 раз
9. F12 до попадания в модуль проги
10. Теперь трейсим, там будет куча call'ов. Как только увидим при вызове call'ов
проблески окна нага...
11. Жмём 2 раза F12 и оказываемся примерно в таком коде:
jz xxxxxxxx (jump) ;<-если не зарегены к нагу...
mov
FSUBR
FCOMP
FSTSW
SAHF
jbe xxxxxxxx (no jump) ;<- если триал истёк к нагу...
mov
cmp
jnz xxxxxxxx (jump) ;<-если мы не зарегены, то к нагу...
mov
jmp xxxxxxxx (jump) ;<-обходящий наг прыжок
mov
call xxxxxxxx ;<-вызов нага

Мы окажемся на команде mov после вызова нага. Что тут делать? Просто нопим 3 джампа.
Привожу байты:
1. 7428 E89A33F8FF8B45FC
2. 7612 8B45FC80B8990000
3. 7506 C645FB01EB138B45
Патчим распакованный файл и запускаем... работает!!! ;) Теперь переводим дату на год вперёд... работает! Всё! Прога сломана и AVLock в придачу!

oUTRO

tElock конечно хороший упаковщик... а AVLock Lite навесная ерунда...лучше бы программеры сами повозились чем надеяться на AVLock...

ViNCE [AHT]
vincelabs@pisem.net


Материалы находятся на сайте http://cracklab.narod.ru/doc/






Hosted by uCoz