RCE.SU - реверсинг, кодинг, выделенные сервера, ICQ, proxy

Site Submitter v1.5.

И так сегодня мы займемся исследованием программы под названием Site Submitter v1.5. В общих чертах методика защита довольно проста и типична. На мой взгляд имеется два варианта вакцины:
1) сделать патчик для этой программы;
2) разобраться с алгоритмом программы и построить генератор серийных номеров;

Мы займемся первым, если кому интересен второй вариант( а он конечно интересный) пусть займется второй частью. По моим личным соображениям, так как серийный номер довольно длинный, то имя на кого будет зарегистрирована программа по всей видимости хранится прям в номерке.

И так приступим! Для начала в вашем любимом отладчике : ) поставьте бряк на АПИ функцию MessageBoxA. Сделать это можно командой bpx MessageBoxA. Затем запускаем саму программу и ждем ..... появляется «Nag» окно, ищем на нем кнопочку Register и жмем ее, затем в появившееся окно вводим какие-нибудь символы( произвольно, здесь работает ваше собственное воображение, можно много не вводить : ) ). Затем нажимаем кнопочку Ok и попадаем в наш любимый отладчик, дальше трассируем без захода в процедуры до адреса 00445BF7. Затем прокручиваем листинг вверх, до адреса 00445B0E, поэтому адресу находится CALL 0044F524. Поставим точку останова на этот вызов, можно bpx 00445B0E. Далее оставляя все бряки активизированными выходим из окошка отладчика, и можно перезапустить программу и еще раз в окошке нажать на кнопочку Register, а затем ввести информацию в поле ввода и нажать на Ok, а можно это сделать сразу после того как программа скажет, что серийный номерок неверный. Так или иначе вы должны прерваться по адресу 00445B0E, дальше жмем F8 и заходим в эту процедуру.
Можно протрассировать листинг, а можно сразу прокрутить его и поставить точку останова на адреса 0044F60C and 0044F66F. Затем нажимаем F5 и останавливаемся по адресу 0044F60C и видим следующую инструкцию:

0044F60C  JNZ NEAR 0044F6E4

Эта инструкция состоит из 6 байт и нам выполнять переход по этому адресу ненужно, поэтому можно смело забить эти 6 байт кодиком 90 (то есть кодом команды nop). После этого трассируем дальше и доходим до инструкции следующего вида:

0044F66F  JZ 0041F6C4

Этот переход также нельзя выполнять поэтому можно эти два байта команды забить кодом 90.

Затем можно смело жать F5 и если вы все сделали правильно программа вас поздравит, и напишет что после перезагрузки программы она станет зарегистрированной (Это чистая правда : ) ). Но сначала вам нужно сделать те изменения которые вы делали в отладчике, в файле с программой. Для этого можно воспользоваться обычным HIEW или любым другим 16-ричным редактором.

Если ничего не забыл, то все должно работать! Успехов!