Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Исследование IconTOY 3.1

Обсудить статью на форуме

Хорошая подборка видеоуроков, инструментов крэкера, книг и статей - здесь.
 Я рад представить вашему вниманию свое первое
 практическое пособие по взлому ПО.
 В нем речь пойдет о проге IconTOY. Она использует
 стандартную схему защиты:
 имя/серийник и сохраняет работоспособность в течение
 30 дней, после чего требует
 регистрации (наивная :)). Я расскажу вам, как можно
 избавиться от "бага",
 мешающего работе с прогой:
 
 Для этого нам понадобятся:
 1. Мозги в вашей голове.
 2. Дизассемблер (W32Dasm)
 3. Hex-редактор (Hiew)
 5. Вагон времени
 6. Много пива (или колы, или что вы там пьете)
    и сигарет (если курите).
 
 Все, lets rock!!!
 
 Цель: Пропатчить прогу, чтобы не истекал срок действия.
 
 Во-первых, сделайте парочку копий "девственного"
 icontoy.exe (я их обычно сохраняю с
 расширениями .ded, ded1, .ded2 и т.д.).
 Теперь поставьте в Панели управления дату на...
 скажем, 2 месяца вперед. Запустите
 IconTOY... у-у срок действия истек. Запишите на бумаге
 послание: "This copy of IconTOY
 has been in use...".
 Сделали? Отлично, можете вернуть время назад и
 дизассемблировать icontoy.exe.
 Отыщите в W32Dasm в "Refs -> String Data References"
 наше сообщение и двойной щелчок
 по нему, чтобы перейти в код проги. Должно показаться
 что-то типа:
 
 * Possible StringData Ref from Code Obj ->"This copy
 of IconTOY has been "
 					->"in use for "
                                   |
 :00486291 68C4634800		  push 004863C4
 :00486296 DD050CE94800		  fld qword ptr
 [0048E90C]
   . . .
 
 Пролистав децл выше, найдите строку:
 
 * Refferenced by a (U)nconditional or (C)onditional
 Jump at Address:
 |:0048626C(C)
 
 Это условный переход по адресу. Запомните адрес и
 отправляйтесь туда, откуда он был
 вызван: в W32Dasm меню "Goto -> Goto Code Location"
 введите нужный адрес и давите "ОК"
 Вот оно!!!:
 
 :0048626C 7612			  jbe 00486280
 	;срабатывает, когда выходит срок
 
 Вы наверняка обратили внимание на строку внизу окна
 дизасма:
 
 Line:290240 Pg 3819 and 3820... и т. д.
 
 Запишите число после слова @Offset. Это локальное
 смещение инструкции в файле
 icontoy.exe. Должно быть 0008566Ch. Закрывайте
 W32Dasm. Он больше не нужен. Открывайте
 icontoy.exe с помощью Hiew, декодируйте и ищите наше
 смещение. Далее все просто:
 измените значения двух байт с 7612h на, скажем, 9090.
 Вы не поняли, что мы сделали?
 "Занопили" переход (вписали пустую инструкцию, которая
 ничего не делает) - надо читать
 теорию :). Все, сохраните файл, закройте Hiew и...
 можете проверить прогу. Перегоните
 часы на пару месяцев вперед, потом назад; опять
 вперед, снова назад - все работает.
 Правда вот в "About" до сих пор светится мессага о
 том, что прога не зарегистрирована.
 Поработав с hex-редактором, вы можете найти нужные
 строки и заменить их на что-то свое.
 Дайте волю фантазии...
 
 Keep on cracking...
 



 Date  :07.09.2002
 Author:Cryo
 E-mail:cryo@cydem.zp.ua
 


Обсуждение статьи: Исследование IconTOY 3.1 >>>


Комментарии к статье: Исследование IconTOY 3.1

madsmoker82 25.10.2005 07:51:07
Можно было сделать проще. Через тот же StringReference найти сообщение об ошибочном серийнике, маленько подняться вверх... и о чудо!!!! целый набор серийников предстает перед нашими глазами, вводи любой, т.к. один хрен от имени он не зависит. К тому же в About будет надпись о нормальной регистрации. Патч конечно иногда быстрее, но энтузазизм должен же быть :)
---

Материалы находятся на сайте https://exelab.ru



Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS