Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Исследование CoffeeCup HTML Editor 9.3

Обсудить статью на форуме

Массу крэкерских инструментов, видеоуроков и статей вы сможете найти на видеокурсе от нашего сайта. Подробнее здесь.

Автор: -=SouL=- <art_a@bk.ru>

Tools:
SoftIce 4.x
W32dasm
QVIEW 2.80
Пиво желательно...

Про жертву:
Профессиональный HTML-редактор, включающий FTP-клиент, библиотеки JavaScript, эффекты Flash, мастера таблиц и сайтов, программу для создания шрифтов, чистильщик HTML и многое другое. Содержит около 25 000 изображений, включая фоны, иконки и т. п. работоспособная в течение 45 дней плюс еще некоторые ограничения. www.CoffeeCup.com (вес около 7 мб)

И так начнем.
Запустим программу и видим "это наглое" окно с просьбой зарегистрировать программу, которое будет надаедать нам в течении 45 дней НЕПОРЯДОК!!!
Переведем часы на год вперед и запустим программу. Жмем Start The Editor упс выскакивает еще одно окно о том, что все приехали. Запустим программу в SoftIce Loader, чтобы попасть в самое начало программы. Что мы видим:

  0167:00661BA5			MOV 	EBP, ESP		//мы здесь
  0167:00661BA7			ADD	ESP, -0C
  0167:00661BAA			MOV	EAX, 00661354
  0167:00661BAF			CALL	00406D64
  0167:00661BB4			MOV	EAX, [0066B434]
  0167:00661BB9			MOV	EAX, [EAX]
  0167:00661BBB			CALL	004607FC
  0167:00661BC0			MOV	EAX, [0066B434]
  0167:00661BC5			MOV	EAX, [EAX]
  0167:00661BC7			MOV	EDX, 00661C94
  0167:00661BCC			CALL	0046020A
  0167:00661BD1			CALL	00660A28	    //интересно
  0167:00661BD6			CALL	006600B4
 
Заходим в CALL 00660A28:
 ----------skip--------------------------------
 0167:00660A64			TEST	AL, AL
 0167:00660A67			JZ	00660AA2	        //вот он радной
 0167:00660A69			MOV	ECX, [0066B434]
 0167:00660A6F			MOV	ECX, [ECX]
 
Как видите здесь идет проверка на зарегеность. Если "Да" то прыгаем, "Нет" - выводим знакомое нам окошко. Меняем JZ 00660AA2 на JMP 00660AA2. Делаем изминения прямо в айсе, закраваем айс и ВОТ ОНО программа запускается без "наглого" окна. Открываем вкладку Java Script и вот те на - большая часть скриптов доступна только после регистрации. Кидаем CoffeeCup.exe в Wdasm и ищем такую вот строчку: "To Register, please visit http://www.coffeecup.com". Нашли:

 :00656BF8 BAEC6D6500	               mov edx, 00656DEC
 :00656BFD E88AD4DAFF                   call 0040408C
 :00656C02 8D45E8   	                   lea eax, dword ptr [ebp-18]
 
* Possible StringData Ref from Code Obj ->"(The first script in each category.)"
 :00656C05 BA186E6500          		   mov edx, 00656E18
 :00656C0A E87DD4DAFF  				   call 0040408C
 :00656C0F 8D45E8                  	   lea eax, dword ptr [ebp-18]
* Possible StringData Ref from Code Obj ->"To Register, please visit http://www.coffeecup" ->".com"
 :00656C12 BA4C6E6500              	mov edx, 00656E4C
 :00656C17 E870D4DAFF              	call 0040408C
 :00656C1C 8B55E8                  	mov edx, dword ptr [ebp-18]
 :00656C1F 8B45FC                  	mov eax, dword ptr [ebp-04]
 :00656C22 8B8010030000            	mov eax, dword ptr [eax+00000310]
 :00656C28 E85F66DEFF              	call 0043D28C
 :00656C2D E90B010000              	jmp 00656D3D
 
Проскролим вверх откуда вызывается эта функция:

 :00656BC4 E8D3ACE2FF              	call 0048189C
 :00656BC9 8945F4                  	mov dword ptr [ebp-0C], eax
 :00656BC1 8B55F8                  	mov edx, dword ptr [ebp-08]
 :00656BCC E857EBFAFF              	call 00605728
 :00656BD1 84C0                    	test al, al
 :00656BD3 745D                    	je 00656C32
 :00656BD5 837DF401                	cmp dword ptr [ebp-0C], 00000001
 :00656BD9 7C57                    	jl 00656C32
//если зарегистрированы то прыгаем если нет то...идем далеко-далеко
 :00656BDB 8D45E8                  	lea eax, dword ptr [ebp-18]
 
Меняем jl 00656C32 на jmp 00656C32. После таких операций будут доступны все Java скрипты.
Ну вот и все ограничения мы сняли, хотя вы уже заметили желтый банер(спросьбой зарегистрировать) и после закрытия программы выскакивает окошко с тойже просьбой - зарегистрировать!!!!. Убрать это безобразие будет домашним заданиям для вас.
P.S.Baner ищите в Wdasme, окошко отлавливайти с помощью айса. КУПИТИ ЭТУ ПРОГРАММУ она стоит своих $49
P.S. Я не претендую на лучшую статью(читал я как-то статью от groups OUFG, на эту же тему,правда не помню кто написал - там поменяли два байтика и все ограничения были сняты). Но я пошел долгим путем...не судите...!!??
P.S. Запомните все материалы публикуются только в учебных целях и автор за их использование ответственности не несет!!

-=SouL=-
art_a@bk.ru
http:/mobyle-hack.boom.ru

Обсуждение статьи: Исследование CoffeeCup HTML Editor 9.3 >>>


Материалы находятся на сайте https://exelab.ru



Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS