Сейчас на форуме: tyns777 (+5 невидимых)

 eXeL@B —› Обсуждение статей —› [ GeGter ] Исследование Moyea Swf to Video Converter v1.3.1.0
Посл.ответ Сообщение


Ранг: 536.4 (!), 171thx
Активность: 0.660.13
Статус: Администратор
Создатель CRACKL@B

Создано: 22 ноября 2010 00:12
· Личное сообщение · #1

Обсуждение статьи Исследование Moyea Swf to Video Converter v1.3.1.0

-----
Всем не угодишь




Ранг: 6.0 (гость), 1thx
Активность: 0.050
Статус: Участник

Создано: 17 октября 2015 16:00
· Личное сообщение · #2

Эта прога вообще проверяет введенный ключ ? Воспользовался IDR, нашел старт процедуры CreateForm окна регистрации, в ее коде только считывание ключа и сохранение в MyDate.ini файл. При старте в процедуре CreateForm главного окна (адрес в IDR тоже подсмотрел) она читает опять из MyDate.ini функцией GetPrivateProfileStringA. Поставил бряк на доступ на буффер с ключом. Далее если продолжить трассировать, то ниже идет создание окна регистрации, а считанный ключ нигде до этого не проверяется, да и после тоже.

Прога обманка ? Регистрация в ней отсутствует ?

Добавлено спустя 2 минуты
Говорю про версию 2.6, которую скачивал с офф сайта http://www.moyeasoft.com/ppt-to-dvd/ppt-to-video.html здесь.



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

Создано: 17 октября 2015 18:56
· Личное сообщение · #3

Не знаю насчёт считывания ключа, но первичной процедурой проверки регистрации там за километр шманит:
Code:
  1. 005F963B  |.  E8 0C420000   CALL 005FD84C                            ; [PPT2Video.reg //внутри
  2. 005F9640  |.  84C0          TEST AL,AL
  3. 005F9642  |.  0F84 AE020000 JZ 005F98F6

пропатчил пару условных переходов - прога, внезапно, перестала регокошко показывать. Типа сама себя зарегистрировала (в реестре)?!

Интересны разве что две вещи:
1. Проверка целостности программы. Наверно типа этого:
Code:
  1. 005FD882  |.  83C3 04       ADD EBX,4
  2. 005FD885  |.  3B03          CMP EAX,DWORD PTR DS:[EBX]
  3. 005FD887  |. /74 05         JE SHORT 005FD88E
+ функционал в либе...
2. Библиотека с говорящим названием Reglib.dll. Всё в открытом виде.



Ранг: 6.0 (гость), 1thx
Активность: 0.050
Статус: Участник

Создано: 17 октября 2015 20:03
· Личное сообщение · #4

ELF_7719116 пишет:
Проверка целостности программы.

Да она себя сама выдает, поправил один байт, прога выругнулась, что у нее проблемы по адресу, там какая-то функция, вставил ей Ret, больше нету проверки))

Добавлено спустя 24 минуты
ELF_7719116, первый кусок наверно этот, у нас адреса не совпадают похоже.
Code:
  1. 005F2A04   .  33C0          XOR EAX,EAX
  2. 005F2A06   .  E8 3DD80000   CALL 00600248                            ; SWF2Vide.00600248
  3. 005F2A0B   .  84C0          TEST AL,AL
  4. 005F2A0D   .  0F84 F2050000 JE 005F3005                              ; SWF2Vide.005F3005
  5. 005F2A13   .  BA 44325F00   MOV EDX,5F3244                           ; ASCII "Moyea SWF to Video Converter Pro"
  6. 005F2A18   .  8B45 FC       MOV EAX,DWORD PTR SS:[EBP-4]
  7. 005F2A1B   .  E8 38FCE6FF   CALL 00462658                            ; SWF2Vide.00462658
  8. 005F2A20   .  BA 44325F00   MOV EDX,5F3244                           ; ASCII "Moyea SWF to Video Converter Pro"
  9. 005F2A25   .  8B45 FC       MOV EAX,DWORD PTR SS:[EBP-4]
  10. 005F2A28   .  8B80 DC040000 MOV EAX,DWORD PTR DS:[EAX+4DC]
  11. 005F2A2E   .  E8 25FCE6FF   CALL 00462658                            ; SWF2Vide.00462658
  12.  


Внутри этого
Code:
  1. 005F2A06   .  E8 3DD80000   CALL 00600248                            ; SWF2Vide.00600248

создается наг регистрационный. Но внутри идет тупо чтение из ини ключа:
Code:
  1. 006002CA  |.  50            PUSH EAX
  2. 006002CB  |.  B9 0C046000   MOV ECX,60040C                           ; ASCII "Meinack"
  3. 006002D0  |.  BA 1C046000   MOV EDX,60041C                           ; ASCII "License"
  4. 006002D5  |.  8B45 F0       MOV EAX,DWORD PTR SS:[EBP-10]
  5. 006002D8  |.  8B18          MOV EBX,DWORD PTR DS:[EAX]
  6. 006002DA  |.  FF13          CALL DWORD PTR DS:[EBX]                  ; SWF2Vide.00440BC8
  7.  

А ниже условный переход и создание нага. Только значение [ebp-c] есть 0 изначально. И не меняется нигде после считывания ключа, а считанный ключ нигде не обрабатывается после его чтения.
Поэтому похоже на какую-то левую функцию.
Code:
  1. 0060030D   .  837D F4 00    CMP DWORD PTR SS:[EBP-C],0
  2. 00600311   .  0F85 B9000000 JNZ 006003D0                             ; SWF2Vide.006003D0
  3. 00600317   .  A1 649A6000   MOV EAX,DWORD PTR DS:[609A64]
  4. 0060031C   .  8B00          MOV EAX,DWORD PTR DS:[EAX]
  5. 0060031E   .  8B48 44       MOV ECX,DWORD PTR DS:[EAX+44]
  6. 00600321   .  B2 01         MOV DL,1
  7. 00600323   .  A1 34096000   MOV EAX,DWORD PTR DS:[600934]
  8. 00600328   .  E8 77BBE7FF   CALL 0047BEA4                            ; SWF2Vide.0047BEA4
  9.  


PS: Скачал с рутрекера, а не оффсайта еще эту прогу, вот там действительно есть проверка ключа.


 eXeL@B —› Обсуждение статей —› [ GeGter ] Исследование Moyea Swf to Video Converter v1.3.1.0
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати