Регистрация Anawave WebSnake 1.23

Перейти на главную страницу, индексную страницу.


Автор: FEUERRADER <feuerrader@nm.ru>


  Программа: Anawave WebSnake 1.23
     Размер: websnake.exe = 1372672 байт,
             _analib.dll  = 119808 байт
       Язык: Microsoft Visual C++
     Защита: серийник+код
       Цель: взлом или регистрация
Инструменты: Win32Dasm 9.0, Hiew

Описание: качалка какая-то, мне не понравилась, обычная "прожка на взлома". Посмотрим... Тычет нагом, регистрация из серийного номера, кода и имени. Посмотрим, есть ли серийник для нее в базе данных Serials 2000. Есть! Вот он:
Name: Zero
s/n: [GCK]
Code: 0%E-AB%7%2-F%E
Т.к. цель этой статьи - регистрация взломом, то в серийнике, знаки заменены "%". Зарегимся, с помощью этого серийника и видим, что наг остался, но строки в нем изменились, стало там типа: "Your software is registered. Thank you.".

Исследование: сделав несложное исследование, выяснилось, что защита скрыта в DLL, что очень глупо (в данном случае). Дизассемблируем файл _analib.dll. Ищем вышеуказанную строчку. Нашли тут:
* Reference To: MFC42.Ordinal:09D2, Ord:09D2h
                                  |
:100073FF E80C860000      Call 1000FA10
:10007404 8BCE            mov ecx, esi
:10007406 E865020000      call 10007670          <-проверка какая-то
:1000740B C745FCFFFFFFFF  mov [ebp-04], FFFFFFFF
:10007412 3D1A750000      cmp eax, 0000751A      <-если eax=751A, то
:10007417 740C            je 10007425            <-зарегены
:10007419 E81B000000      call 10007439
:1000741E 33C0            xor eax, eax
:10007420 E9FF000000      jmp 10007524

....пропущено......

:10007460 83C634          add esi, 00000034

* Possible Reference to String
  Resource ID=30026: "Your software is registered. Thank you."
                                  |
:10007463 684A750000      push 0000754A

Если заменить указанный переход, то в наге окно поменяется, но останется всякая другая лажа про регистрацию. Зайдем в указанный CALL. Видим, что он вызывается 3 раза из 10007352, 10007406, 1000F659. Вы думаете, что надо ходить по этим адресам, изменять там переход? Ну, да, можно, но есть способ гораздо рациональнее. Смотрите вверх. Если после Call->eax=751Ah, то рег. данные верны. Так давайте сделаем, чтобы в Call в eax заносилось 751A и делался ret. Делаем, и у нас всё принимает вид:

* Referenced by a CALL at Addresses:
|:10007352   , :10007406   , :1000F659
|
:10007670 B81A750000              mov eax, 0000751A
:10007675 C3                      ret

:10007676 55                      push ebp
:10007677 8BEC                    mov ebp, esp

Вот так все просто! Очень легкий взлом. Это доказывает, что не всегда имеет место изменение джампов.
Заключение: не буду давать кряк, я все выше понятно описал. Дурак не поймет!

Спасибо за интерес к этой статье!



Все права защищены ©  2003 


Материалы находятся на сайте http://cracklab.narod.ru/doc/






Hosted by uCoz