RCE.SU - реверсинг, кодинг, выделенные сервера, ICQ, proxy

Wealth-Lab Developer 2.1

Содержание:
  • Задание
  • Используемые средства
  • Решение
  • Авторы

  • Задание:

    Wealth-Lab Developer 2.1
    стоимость: 650$
    сайт: http://www.wealth-lab.com/

  • Используемые средства:

    - ОС: win'98
    - отладчик: softice 4.01
    - утилиты: FrogIce v1.10.0, Armadillo deprotector 1.1 by tHE ANALYST, pdump32

  • Решение:

    - Ограничения: программа работает первые 30 дней после первого запуска, затем отказывается запускаться и требует регистрации. Также при входе и выходе из программы выводятся упоминания о незарегистрированной версии.
    Программа защищена протектором Armadillo 2.xx by Silicon Realms Toolworks и отказывается работать с активированным отладчиком, поэтому для его скрытия нам придется использовать FrogIce.

    - Снятие Armadillo 2.xx:
    Деактивируем SoftIce, если он активен, и перезагружаем компьютер. Запускаем программу, в появившемся диалоге нажимаем OK, и попадаем в основное окно программы. Запускаем Armadill deprotector и в появившемся списке процессов выбираем WEALTH-LAB.TMP0.
    Попробуем запустить распакованный файл, ни чего не получается, программа выдает ошибку. Дело в том, что Armadill deprotector правильно распаковывает программы, упакованные только Armadillo v 1.90, а для более поздних, неправильно находит OEP.
    Поэтому нам придется вычислить OEP в ручную.

    - Вычисление original entry point (OEP):
    Активируем SoftIce, запускаем FrogIce, ставим BPX setthreadcontext do "d (*(esp+8))+b8" и запускаем прогу. На последнем прерывании SoftIce'а запомним значение дампа памяти:
    58306A00h. OEP = 6A3058 - Image Base = 6A3058h - 400000h = 2A3058h, при помощи pdump32
    запишем это значение в OEP распакованного файла. Снова попробуем запустить распакованный файл, ура, все ограничения и упоминания исчезли. Осталась только одна нехорошая надпись при загрузки: "Unregistered Demo version", но и это поправимо, загружаем распакованный файл в любой HEX редактор, ищем эту строку и заменяем на "ALL".

  • Авторы:

    SerHack


<= Вернуться к статьям


Rambler's Top100