Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Регистрация Anawave WebSnake 1.23

Обсудить статью на форуме

Хорошая подборка видеоуроков, инструментов крэкера, книг и статей - здесь.

Автор: FEUERRADER <feuerrader@nm.ru>


   Программа: Anawave WebSnake 1.23
      Размер: websnake.exe = 1372672 байт,
              _analib.dll  = 119808 байт
        Язык: Microsoft Visual C++
      Защита: серийник+код
        Цель: взлом или регистрация
 Инструменты: Win32Dasm 9.0, Hiew
 

Описание: качалка какая-то, мне не понравилась, обычная "прожка на взлома". Посмотрим... Тычет нагом, регистрация из серийного номера, кода и имени. Посмотрим, есть ли серийник для нее в базе данных Serials 2000. Есть! Вот он:
Name: Zero
s/n: [GCK]
Code: 0%E-AB%7%2-F%E
Т.к. цель этой статьи - регистрация взломом, то в серийнике, знаки заменены "%". Зарегимся, с помощью этого серийника и видим, что наг остался, но строки в нем изменились, стало там типа: "Your software is registered. Thank you.".

Исследование: сделав несложное исследование, выяснилось, что защита скрыта в DLL, что очень глупо (в данном случае). Дизассемблируем файл _analib.dll. Ищем вышеуказанную строчку. Нашли тут:
 * Reference To: MFC42.Ordinal:09D2, Ord:09D2h
                                   |
 :100073FF E80C860000      Call 1000FA10
 :10007404 8BCE            mov ecx, esi
 :10007406 E865020000      call 10007670          <-проверка какая-то
 :1000740B C745FCFFFFFFFF  mov [ebp-04], FFFFFFFF
 :10007412 3D1A750000      cmp eax, 0000751A      <-если eax=751A, то
 :10007417 740C            je 10007425            <-зарегены
 :10007419 E81B000000      call 10007439
 :1000741E 33C0            xor eax, eax
 :10007420 E9FF000000      jmp 10007524
 
 ....пропущено......
 
 :10007460 83C634          add esi, 00000034
 
 * Possible Reference to String
   Resource ID=30026: "Your software is registered. Thank you."
                                   |
 :10007463 684A750000      push 0000754A
 

Если заменить указанный переход, то в наге окно поменяется, но останется всякая другая лажа про регистрацию. Зайдем в указанный CALL. Видим, что он вызывается 3 раза из 10007352, 10007406, 1000F659. Вы думаете, что надо ходить по этим адресам, изменять там переход? Ну, да, можно, но есть способ гораздо рациональнее. Смотрите вверх. Если после Call->eax=751Ah, то рег. данные верны. Так давайте сделаем, чтобы в Call в eax заносилось 751A и делался ret. Делаем, и у нас всё принимает вид:

 * Referenced by a CALL at Addresses:
 |:10007352   , :10007406   , :1000F659
 |
 :10007670 B81A750000              mov eax, 0000751A
 :10007675 C3                      ret
 
 :10007676 55                      push ebp
 :10007677 8BEC                    mov ebp, esp

Вот так все просто! Очень легкий взлом. Это доказывает, что не всегда имеет место изменение джампов.
Заключение: не буду давать кряк, я все выше понятно описал. Дурак не поймет!

Спасибо за интерес к этой статье!



Все права защищены ©  2003 



Обсуждение статьи: Регистрация Anawave WebSnake 1.23 >>>


Материалы находятся на сайте https://exelab.ru



Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS