- Задание:
Wealth-Lab Developer 2.1
стоимость: 650$
сайт: http://www.wealth-lab.com/
- Используемые средства:
- ОС: win'98
- отладчик: softice 4.01
- утилиты: FrogIce v1.10.0, Armadillo deprotector 1.1 by tHE ANALYST, pdump32
- Решение:
- Ограничения: программа работает первые 30 дней после первого запуска, затем отказывается запускаться и требует регистрации. Также при входе и выходе из программы выводятся упоминания о незарегистрированной версии.
Программа защищена протектором Armadillo 2.xx by Silicon Realms Toolworks и отказывается работать с активированным отладчиком, поэтому для его скрытия нам придется использовать FrogIce.
- Снятие Armadillo 2.xx:
Деактивируем SoftIce, если он активен, и перезагружаем компьютер. Запускаем программу, в появившемся диалоге нажимаем OK, и попадаем в основное окно программы. Запускаем Armadill deprotector и в появившемся списке процессов выбираем WEALTH-LAB.TMP0.
Попробуем запустить распакованный файл, ни чего не получается, программа выдает ошибку. Дело в том, что Armadill deprotector правильно распаковывает программы, упакованные только Armadillo v 1.90, а для более поздних, неправильно находит OEP.
Поэтому нам придется вычислить OEP в ручную.
- Вычисление original entry point (OEP):
Активируем SoftIce, запускаем FrogIce, ставим BPX setthreadcontext do "d (*(esp+8))+b8" и запускаем прогу. На последнем прерывании SoftIce'а запомним значение дампа памяти:
58306A00h. OEP = 6A3058 - Image Base = 6A3058h - 400000h = 2A3058h, при помощи pdump32
запишем это значение в OEP распакованного файла. Снова попробуем запустить распакованный файл, ура, все ограничения и упоминания исчезли. Осталась только одна нехорошая надпись при загрузки: "Unregistered Demo version", но и это поправимо, загружаем распакованный файл в любой HEX редактор, ищем эту строку и заменяем на "ALL".
- Авторы:
SerHack