| Сейчас на форуме: Kybyx, testrev1337, bedop66938, vsv1 (+7 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Сброс триала InstallShield |
| Посл.ответ | Сообщение |
|
|
Создано: 29 октября 2009 23:45 · Поправил: simplix · Личное сообщение · #1 Всем добрый день. Прошу помочь в исследовании сброса триала InstallShield, впервые встретил его на одной программе, при желании гуглом можно найти похожие проги с аналогичной защитой. Казалось бы обычно триал сбрасывается легко, но такого уровня мне ещё видеть не приходилось. Для примера выкладываю экзешник одной из таких программ, дальше первого экрана можно не запускать, всё равно не запустится, здесь нам нужен только механизм триала. Ломать тоже не интересно в данном случае, а интересен сам триал, о нём и пойдёт речь. То что можно очень легко отследить - это создаваемые и удаляемые ключи в CLSID, файл лицензии в файлах в профилях пользователей и реестре - всё это поддаётся чистке без вопросов. Но в отличии от других триалов, этот ещё пишет что-то в файловую систему - было выяснено путём многочисленных экспериментов. Это не метки файлов по дате/размеру/атрибутам и даже не ntfs-потоки. Триал остаётся даже в том случае (точнее не триал, а уже сообщение о невозможности установить лицензию), если с раздела удалить все файлы, свободное место полностью затереть нулями и на тот раздел скопировать чистую ось (все действия проводились на ВМ). В MBR он тоже не пишет, перезаписывал. Единственное на что у меня пало подозрение - это файлы файловой системы, а частности заметил подозрительные изменения в $MFTMirr, $Secure:$SDH и $Secure:$SII (здесь при смене даты и запусках триала можно проследить подозрительные мелкие изменения, типа счётчика - но неявного, если и есть то шифрован), но и их исправление к первоначальному виду, т. е. до запуска триала, результата не дают, а анализ других файлов типа $LogFile и $MFT очень трудоёмкий. Впрочем я могу ошибаться и счётчик пишется куда-то в другое место. Смысл сброса этого триала прост - интересно! Если у кого есть идеи или желание победить его, или просто понять принцип защиты, на мой взгляд очень хорошей, отписывайтесь.  |
|
|
Создано: 30 октября 2009 12:49 · Поправил: tundra37 · Личное сообщение · #2 Ups 
|
|
|
Создано: 30 октября 2009 13:09 · Личное сообщение · #3 Там защита SafeCast если его распаковать, то триал должен исчезнуть. Когда-то давно была тема по SafeCast и там триал как раз в MBR писался. |
|
|
Создано: 30 октября 2009 19:20 · Личное сообщение · #4 Раз такое дело с жестким диском - то проследил в виртуальной машине - после запуска в Start Sectors (WinHex -> Открыть диск -> Физический) заменились нулевые байты в блоке 4000 41FF. Возможно это и есть, посмотри, хотя в хосте посмотрел - а по этому адресу байты тоже уже присутствовали. Проследил через Systracer - прога создает сервис лицензирования, а значит перед зачисткой триала следует его остановить, 2 момент - прога какает еще там, где в стандартных отслеживателях типо Total Uninstall по умолчанию пути добавлены в исключения как исключительно для системных нужд и якобы не представляющиеся для зачистки, например папочка %TEMP%. На практике пока проверить откат изменений нет возможности, так как для этого надо переводить время что для меня в данный случай не приемлимо. |
|
|
Создано: 30 октября 2009 20:24 · Поправил: simplix · Личное сообщение · #5 YO-everybody пишет: заменились нулевые байты в блоке 4000 41FF Да, это оно, спасибо. Собственно вопросов больше нет, поэтому тему закрываю. |
|
eXeL@B —› Крэки, обсуждения —› Сброс триала InstallShield |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати