Исследование Opera 3.50

{codecitation class=»brush: pascal; gutter: false;» width=»600px»}

Автор: Smasher

Узелок завяжется, узелок развяжется, Если Windows не висит — это только кажется!

Объект исследования

Программой, которую мы сегодня будем исследовать будет достаточно популярный в последнее время браузер Opera 3.50. Скопировать программу можно поискав её в яндексе например. Защита у программы слабая и статья ориентирована в основном на новичков.

Инструменты

Отладчик SoftICE 3.23

Дизассемблер IDA Pro 3.8x

Введение

Впервые я услышал об браузере Opera, когда находился на одном из англоязычных cracker’ских сайтов. На этом сайте (как и на всех остальных) люто ненавидели все, что каким-либо образом связано с Microsoft, в результате чего каждые 30 секунд мой браузер MS IE 4.0 умолял меня заменить его на некий браузер Opera, находящийся по такому-то адресу. Позже, прочитав в журнале КомпьютерПресс статью, посвященную этой замечательной программе, я сразу же отправился на сайт компании-разработчика и скачал себе trial-версию Opera 3.50.

Программа действительно очень хорошая – быстрая, небольшая, удобная. Это единственный браузер, способный составить какую-либо конкуренцию MS IE и NN. Интересно то, что время, которое вам предоставляет фирма-разработчик не является непрерывным промежутком времени между некоторыми числами, а складывается из количества дней, в течение которых вы пользовались этой программой. Т.е. 30 day trial по существу здесь означает 30 запусков программы в разные дни, поэтому для проверки expired time просто перевести время на 30 дней вперед недостаточно.

При написании статьи я старался, чтобы она была понятна любому новичку, однако если вам необходимы фразы типа “теперь N-раз нажмем F12”,”а теперь нажмем Ctrl D и поставим точку прерывания с помощью команды bpx” и объяснения, что такое точка прерывания, ассемблерные инструкции и т.п., то лучше повремените с прочтением этой статьи, т.к. для ее понимания необходимо знание этого «микроминимума».

Несколько слов о защите

Как уже было сказано выше, программа “защищена” (от абсолютно бесплатного ее использования) временным ограничением и Name/Serial. Несколько слов об этих защитах. Снять trial – защиту можно “обманув” программу, сказав ей, что она зарегистрирована. Этот способ требует патча. Я не буду его рассматривать, потому что являюсь ярым противником патчей (везде, где можно обойтись без них) и сторонником отыскания правильных рег. кодов (хотя это дольше, сложнее и не всегда возможно). Несколько слов об “обмане” программы я все же скажу в конце статьи. Итак, перейдем непосредственно к рассмотрению защиты Name/Serial.

Как известно, защиты Name/Serial, как правило, очень легки для взлома (и написания keygen’a), поэтому, учтя это, разработчики постарались максимально запутать возможного “исследователя” (хотя оставили слабые места для патча). Как пример “работы” разработчиков в этой части, я посоветую вам попробовать найти алгоритм создания верного ключа следующими способами (анализируя код в SoftICE dead-listing’и IDA Pro и Wdasm):

Найти вначале программы cmp is_this_prog_registered ?

Найти в коде вызов сообщения о неправильном рег. коде:

с помощью самого сообщения

с помощью размеров окна

с помощью заголовка окна

Найти алгоритм, трассируя код, следующий за вызовом hmemcpy()

Использовать дополнительные интсрументы такие как Borland Resource Workshop, Customizer, Regmon, Filemon

Найти вхождение в dead-listing какого-либо объекта

Использовать любой другой способ

От всего этого код программы достаточно хорошо защищен. Кстати последний способ с использованием в качестве объекта надпись “(unregistered)” (помните самое начало запуска браузера ?) самая большая, на мой взгляд, “дыра” в защите программы (идеально подходит для патча).

Если вы самостоятельно нашли требуемый алгоритм и вычислили правильный рег.номер, то можете не читать дальше, и по праву считать себя “не совсем” новичком.

Исследование

Итак, начнем. Как обычно вводим какую-либо рег. информацию в NAG’е или с помощью меню Help -> Register Opera.

Примечание:

NAG, nag screen — это мешающее и раздражающее окно с сообщением о различных ограничениях. Эти окна можно увидеть, как правило, в любой незарегестрированной программе. После регистрации, окна NAG больше не появляются. Само NAG-окно может появляться практически везде: при запуске программы или/и при выходе из нее, а также в процессе работы программы. (тип. пример — ACDSee32). Практически всегда окна NAG встречаются в программах, использующих Trial период, в течение которого пользователь может пользоваться программой бесплатно (незарегестрировавшись)

Например следующую: Smasher, No organization, 123-4567A. Затем ставим точку прерывания bpx hmemcpy. Возвращаемся (F12) в вызывающую программу (Opera) и получаем SoftICE следующий код:

0048DD38 mov edi, ds:GetDlgItemTextA

0048DD3E lea eax, [esi 138h]

0048DD45 push eax ; Name

0048DD46 push 2BBAh

0048DD4B push ebp

0048DD4C call edi ; GetDlgItemTextA->hmemcpy

0048DD4E lea eax, [esi 264h]

0048DD54 push ebx

0048DD55 push eax ; Organization

0048DD56 push 2BBBh

0048DD5B push ebp

0048DD5C call edi ; GetDlgItemTextA->hmemcpy

0048DD5E lea eax, [esi 390h]

0048DD64 push ebx

0048DD65 push eax ; Reg. Number

0048DD66 push 2BBCh

0048DD6B push ebp

0048DD6C call edi ; GetDlgItemTextA->hmemcpy

0048DD6E pop edi

0048DD6F pop ebp

0048DD70 pop ebx

По адресу 0048DD45 на стек помещается адрес буфера, куда будет скопировано Name (копирование идет в строке 0048DD4С). Аналогично на стек помещаются адреса для копирования Organization и Reg. Number в строках 0048DD55 и 0048DD65 (и соответственно копирование происходит в строках 0048DD5С и 0048DD6С).

Примечание:

Хотя из приведенного выше фрагмента видно, что для копирования введеных нами рег. данных вызывается функция GetDlgItemTextA, использовать в качестве точки останова все же лучше вызов функции hmemcpy. Аргументация следующая: функции GetDlgItemTextA, GetWindowTextA при копировании всегда используют вызов функции hmemcpy. Более того, многие нестандартные 16-битные функции (например в программах, написанных на VisualBasic’e, Delphi и др.) также используют вызов функции hmemcpy().

Примечание:

Функция hmemcpy (Dest_buf, Sour_buf, Num_bytes) копирует Num_bytes байт из адреса Sour_buf в адрес Dest_buf. Рассмотрим приведенный выше фрагмент кода на примере копирования введенного в диалоге имени:

0048DD45 — Dest_Buf,

0048DD46 — Sour_Buf,

0048DD4B — Num_Bytes,

0048DD4С — Call …hmemcpy()

При этом наш Sour_Buf равен 2BBAh.

А что такое 2BBAh?

2BBAh — это указатель на буфер, который содержит введенное нами Name.

А почему имеенно 2BBAh?

Посмотрите в WDasm’e в разделе Refs->Dialog References на диалог SERNO_REGISTER.

До этого места вы, наверное, добрались самостоятельно, так как ничего сложного в этом нет. Попробуйте дальше протрассировать код в SoftICE — через некоторое время вы увидите, что сообщение о неверном рег. коде уже появилось, а где идет его вызов вы так и не нашли. Действия следующие: нам необходимо знать, по каким адресам идет копирование введенных нами регистрационных данных. Для этого мы помещаем точку прерывания по адресу 0048DD45 (двойным щелчком мыши сделать это наиболее быстро и удобно) и, прервавшись по этой точке прерывания (точка прерывания по hmemcpy, естесственно уже давно отключена — она нам больше не понадобится), фиксируем нужные нам адреса. Как выяснилось, это 994AB0, 994BDC, 994D08 для соответсвенно Name, Org-n, RN. Отключаем все существующие точки прерывания (bd *) и ставим новые с помощью команды bpr (breakpoint on memory range):

bpr 994AB0 994AB0 7 RW; «Smasher»= 7 букв;

bpr 994BDC 994BDC F RW; «No organization» = не важно сколько букв;

bpr 994D08 994D08 9 RW; «123-4567А» = 9 букв;

На примере bpr 994AB0 994AB0 7 RW поясню, что мы прервемся сразу, как только будут выполнены какие-либо Read или Write (RW) действия с адресным диапазоном 994АВ0-994АВ0 7. Что нам и нужно! После установки этих трех точек прерывания продолжим выполнение нашей программы (F5).

Итак, мы прервались по адресу 4DC993 в модуле Opera (Если вы прервались где-то в другом месте в любом системном модуле, то просто с помощью F12 «дойдите» до адреса 4DC993).

004DC993 repe movsd

004DC995 jmp ds:off_4DCAA8[edx*4]

Как нам известно, команда REPZ MOVSD копирует «n»-е количество байт (равное значению регистра CX) из адреса, взятого в регистре ESI по адресу, взятому из регистра EDI, при этом проверяет Z-флаг. Фиксируем эти адреса. Получается, что в этом месте происходит копирование Name из адреса 994AB0 в адрес 994F74. Нажмем F8 и подержим немного эту клавишу 🙂 Ну вот, регистр СХ стал равен нулю. Копирование выполнено. В скопированном блоке памяти Org-n имеет новый адрес 9950A0, а RN — 9951CC.

Примечание:

Вычислить новые адреса, где хранятся рег. данные можно следующими 3-мя способами:

С помощью линейки прокрутки в окне data window.

С помощью известного нам смещения. Нам известно, что в старом блоке памяти Name хранилось по адресу 994AB0, а Organization по адресу 994BDC. Найдем смещение между ними — в SoftICE’e дадим команду:

? 994BDC-994AB0

Возьмем полученный ответ в шестнадцатиричном формате (12С) и приплюсуем его к началу нового блока памяти:

? 994F74 12C

Получили 9950A0. Аналогично вычисляется новый адрес для RN.

С помощью поиска строки. Дадим команду:

s 0 l ffffffff «Smasher»

Получим следующий результат:

pattern found at

Но этот адрес нам уже известен. Еще раз даем команду поиска, но с другим начальным адресом:

s 994F75 l ffffffff «Smasher»

Получим следующий результат:

pattern found at

Аналогично находятся адреса для Org-n и RN.

А раз у нас появились новые буфера хранения рег. информации, то ставим соответственно еще точки прерывания

bpr 994F74 994F74 7 RW

bpr 9950A0 9950A0 F RW

bpr 9951CC 9951CC 9 RW

Теперь нажимаем F10, пока не достигнем приведенного ниже кода (пока можно не обращать внимание на прерывания по memory range, так как это, в основном, различные проверки).

004859A5 push eax

004859A6 call sub_4AC886

004859AB lea eax, [esi 390h]

004859B1 push offset a__1

004859B6 push eax

004859B7 call sub_424F5D ; RN modification

004859BC add esp, 10h

004859BF cmp byte ptr [ebx], 0

004859C2 jz short loc_485A3E

004859C4 cmp byte ptr [esi 390h], 0

004859CB jz short loc_485A3E

004859CD lea ebx, [esi 390h]

004859D3 push ebx

004859D4 call sub_4DC390 ; _strlen

004859D9 cmp eax, 0Ch ; cmp len_RN, 12

004859DC pop ecx

004859DD jnz short loc_4859FD ; if len12 jump

004859DF push edi

004859E0 call sub_4DC341

Процедура, которая вызывается в строке 004859B7 преобразует наш регистрационный номер. Не будем вдаваться в подробности ее работы, нам это ни к чему, однако для визуализации работы этой подпрограммы, дадим SoftICE’у команду d 9951CC. Заметим, что наш рег. номер «123-4567A» сократился до «1234567А». В строке 004859D4 вызывается функция длины строки (рег.номера). Далее, мы видим интересную проверку длины нашего рег. номера. Если эта длина равна не равна 12, то мы перескакиваем определенный кусок кода. Чтобы выяснить, что бы это могло значить, запретим все точки прерывания (bd *), продолжим выполнение программы (F5), и вновь введем рег. данные, но теперь в поле Reg. Number укажем любой 12-символьный номер (с учетом того, что «неверные» символы будут вырезаны в строке 004859B7). Нажмем ОК — все понятно, следовательно наш «верный» рег. номер не может быть 12-символьным. И в этом случае мы путем перехода в строке 004859DD оказываемся в следующем очень интересном фрагменте:

004859FD push 0Ch ; будет скопировано 12 байт

004859FF lea eax, [ebp-6Ch]

00485A02 push ebx ; из адреса 75FBBC

00485A03 push eax ; в адрес 75FBFC

00485A04 call sub_4DD3F0 ; _strncpy — копирование

00485A09 and byte ptr [ebp-60h], 0

00485A0D lea eax, [ebp-6Ch] ; из адреса 75FBBC

00485A10 push eax

00485A11 lea eax, [ebp-2Ch] ; в адрес 75FBFC

00485A14 push eax

00485A15 call sub_4DC5A0 ; копирование

00485A1A lea eax, [ebp-2Ch]

00485A1D push eax

00485A1E call sub_48E0DD ; !изменение RN по адресу 75FBFC

00485A23 lea eax, [ebp-2Ch]

00485A26 push eax ; будем сравнивать 75FBFC

00485A27 lea eax, [ebp-6Ch]

00485A2A push eax ; с 75FBBC

00485A2B call sub_4DC410 ; _strcmp — сравнение

00485A30 add esp, 20h

00485A33 test eax, eax ; сравниваемые строки одинаковы ?

00485A35 jnz short loc_485A3E ; если нет, то переход

00485A37 mov dword ptr [ebp 0Ch], 1 ; выставляем 1, если одинаковы

Рассмотрим, что делается в этом фрагменте. С адреса 004859FD по адрес 00485A04 выполняется копирование нашего рег. номера из буфера по адресу 9951СС в буфер по адресу 75FBBC. Так, это интересно! Переустанавливаем data window: d 75FBBC. С адреса 00485A09 по адрес 00485A15 выполняется еще одно копирование нашего рег. номера в буфер по адресу 75BFFC. Если ваше окно data window вмещает хотя бы 5 строк, то этот адрес также будет виден в нем.

Примечание:

Вы можете отредактировать файл WINICE.DAT под любые настройки (размеры окон, сами окна и т.д.). Например, следующими двумя способами:

1. отредактировать строку INIT=»X» как, например,

INIT=»X; wl; wr; wd 10; width 98; lines 73; wc 40;»

В этом случае данные установки автоматически выполнятся при первом входе в SoftIСE.

отредактировать значение любой свободной «горячей клавиши». Например, отредактируем значение Ctrl F3:

CF3=»^wl; ^wr; ^wd 10; ^width 98; ^lines 73; ^wc 40;»

В этом случае данные установки выполнятся при нажатии на Ctrl F3.

А сейчас посмотрим, что произойдет после выполнения функции 485A1E (нажимаем F10). Мы видим, что наш рег. номер по адресу 75BFFC изменился! Теперь он имеет следующий вид «1234B3KY2pb4». Все хорошо, но… это 12-символьный номер! Т.е. до этого места с таким номером мы не дойдем! И еще: у полученного номера первые 4 цифры остались без изменений, следовательно, можно предположить, что остальные 8 цифр получаются путем манипуляций с первыми 4-мя. Это действительно так (сомневающимся предлагаю проверить). Исходя из этих двух важных замечаний, мы берем себе новый рег. номер, длина которого больше 12. Например: «1234B3KY2pb4Smasher». Проходим все сказанное раннее с новым рег. номером и трассируем программу до следующего кода:

0048DDBC call sub_4DC390 ; _strlen (RN)

0048DDC1 cmp eax, 40h

0048DDC4 pop ecx

0048DDC5 jnb loc_48DEA2 ; if len(RN) >= 40h then jump «…bad RN»

0048DDCB lea eax, [ebp var_40]

0048DDCE push esi

0048DDCF push eax

0048DDD0 call sub_4DC5A0 ; copy RN из 994D08 в 75FBD4

0048DDD5 lea eax, [ebp var_40]

0048DDD8 push offset unk_4F5D60

0048DDDD push eax

0048DDDE call sub_424F5D ; возможное «урезание» RN

0048DDE3 lea eax, [ebp var_40]

0048DDE6 push eax

0048DDE7 call sub_4DC390 ; _strlen (RN по адресу 75FBD4)

0048DDEC add esp, 14h

0048DDEF cmp eax, 0Ch

0048DDF2 jle loc_48DEA2 ; if len (RN[75FBD4]) <=12 then jmp "...bad RN"

0048DDF8 lea eax, [ebp var_40]

0048DDFB push 0Ch ; !копироваться будут 12 байт

0048DDFD push eax

0048DDFE lea eax, [ebp var_A0]

0048DE04 push eax

0048DE05 call sub_4DD3F0 ; _strncpy RN из 75FBD4 в 75FB74

0048DE0A lea eax, [ebp var_34]

0048DE0D mov [ebp var_94], bl

0048DE13 push eax

0048DE14 lea eax, [ebp var_E0]

0048DE1A push eax

0048DE1B call sub_4DC5A0 ; !копирование оставшейся части RN в 75FB34

0048DE20 lea eax, [ebp var_A0]

0048DE26 push eax

0048DE27 lea eax, [ebp var_60]

0048DE2A push eax

0048DE2B call sub_4DC5A0 ; копирование RN из 75FB74 в 75FBB4 (12 байт)

0048DE30 lea eax, [ebp var_60]

0048DE33 push eax

0048DE34 call sub_48E0DD ; «изменение» RN из первых 4-х цифр

0048DE39 lea eax, [ebp var_60]

0048DE3C push eax

0048DE3D lea eax, [ebp var_A0]

0048DE43 push eax

0048DE44 call sub_4DC410 ; _strcmp — сравнение

0048DE49 add esp, 28h

0048DE4C test eax, eax

0048DE4E jnz short loc_48DEA2 ; if NZ then jmp «…bad RN»

0048DE50 lea eax, [ebp var_E0]

0048DE56 push eax

0048DE57 call sub_4DC390 ; _strlen части RN[75FB34]

0048DE5C xor esi, esi

0048DE5E cmp eax, ebx

0048DE60 pop ecx

0048DE61 jle short loc_48DE87

0048DE63 movsx edx, [ebp esi var_E0] ; цикл — начало

0048DE6B lea ecx, [ebp esi var_E0]

0048DE72 sub edx, 61h

0048DE75 jz short loc_48DE7F

0048DE77 dec edx

0048DE78 jnz short loc_48DE82

0048DE7A mov byte ptr [ecx], 31h

0048DE7D jmp short loc_48DE82

0048DE7F mov byte ptr [ecx], 30h

0048DE82 inc esi

0048DE83 cmp esi, eax

0048DE85 jl short loc_48DE63 ; цикл — конец

0048DE87 lea eax, [ebp var_E0]

0048DE8D push eax

0048DE8E call sub_4DC690 ; !_atol (75FB34)

0048DE93 pop ecx

0048DE94 xor edx, edx

0048DE96 push 7

0048DE98 pop ecx

0048DE99 div ecx ; делим EAX на 7 (EAX-целое,EDX — остаток)

0048DE9B test edx, edx ; если остаток=0, тогда ОК

0048DE9D jnz short loc_48DEA2 ; если нет, тогда «…bad RN»

0048DE9F push 1

0048DEA1 pop ebx

0048DEA2 pop edi

0048DEA3 mov eax, ebx

0048DEA5 pop esi

0048DEA6 pop ebx

0048DEA7 leave

0048DEA8 retn

Я думаю моих комментариев достаточно и нет необходимости подробно описывать, что делается в этом фрагменте. Рассмотрим наиболее важные моменты приведенного фрагмента. В строке 0048DE1B происходит копирование оставшейся (после первых 12 байт) части рег. номера. А в цикле 0048DE63 — 0048DE85 происходит изменение этой части (идет поиск букв «a» и «b», которые заменяются на соответственно цифры 0 и 1). В нашем случае берем из «1234B3KY2bp4Smasher» часть «Smasher». Она изменяется до «Sm0sher». В строке 0048DE8E вызывается функция atol, которая должна преобразовать часть рег. номера «Sm0sher» в hex-вид. В описании этой функции сказано, что если строка не может быть преобразована к требуемому виду, то функция возвращает 0. Попробовав вызвать эту функцию с новым рег. номером «1234B3KY2bp4Smasher7», мы опять получим 0. Следовательно, скорее всего с 13-символа нашего рег. номера должны быть одни цифры. Поэтому опять меняем наш рег. номер, например на следующий: «1234B3KY2bp1234562» ( 1234562 делится на 7 без остатка —

см. далее). Далее, как видно из листинга, преобразованная часть рег. номера делится на 7. Нам нужно, чтобы деление прошло без остатка, в противном случае мы рано или поздно придем к сообщению о неверном рег. номере.

Ну что же, еще один кусок кода позади, идем дальше. Если вы попробуете трассировать далее код программы, то опять попадетесь в ловушку программистов и останетесь ни с чем. Поэтому проверяем, в боевой ли готовности наши точки прерывания и смело (но зажмурив глаза) жмем F5. Мы прерываемся по адресу 004DС3B0. Если вы раньше самостоятельно изучали разные программы, то вы без труда по виду дизассемблированного кода определите, что перед вами подпрограмма определения длины строки _strlen. Проходим ее с помощью F10 (или нажимаем F12) и возвращаемся к адресу 004B3557. Вот этот код:

004B3552 call sub_4DC390 ; _strlen RN

004B3557 cmp eax, 0Ch

004B355A pop ecx

004B355B jle short loc_4B3593 ; if len (RN) <=12 then jmp "...bad RN"

004B355D cmp eax, 40h

004B3560 jge short loc_4B3593 ;if len (RN) >=40 then jmp «…bad RN»

004B3562 lea eax, [ebp var_4]

004B3565 push eax

004B3566 push edi

004B3567 call sub_48DEA9 ; !интересно

004B356C mov ebx, eax

004B356E pop ecx

004B356F test ebx, ebx

004B3571 pop ecx

004B3572 jz short loc_4B3593 ; if [ebx] = 0 then jmp «…bad RN»

004B3574 mov eax, dword_505F58

004B3579 test eax, eax

004B357B jz short loc_4B3593 ; if [dword_505F58] = 0 then jmp «…bad RN»

004B357D lea ecx, [esi 264h]

Обратим внимание, что сначала проверяется длина нашего рег. номера: не меньше ли она 13 (т.е. не меньше или не равна 12) и не больше ли она 3Fh. Если мы не проходим эту проверку, то перескакиваем к адресу 4B3593 и понимаем, что ни к чему хорошему это не приведет. А сейчас рассмотри оставшийся кусок кода. В строке 004B3567 происходит вызов какой-то подпрограммы, затем в строке 004B356F проверяется значение регистра ebx (которое берется из регистра eax), и, если оно равно 0, то переходим… как нам уже известно, к сообщению о неверном рег. номере. Следовательно, рассматриваем вызываемую в строке 004B3567 подпрограмму, для чего нажимаем F8, находясь (курсором) на этой строке. Вот что мы видим:

0048DEA9 push ebp

0048DEAA mov ebp, esp

0048DEAC sub esp, 80h

0048DEB2 push esi

0048DEB3 mov esi, [ebp arg_0]

0048DEB6 push edi

0048DEB7 push esi ; RN (994D08)

0048DEB8 xor edi, edi

0048DEBA call sub_48DF07 ; !интересно

0048DEBF pop ecx

0048DEC0 mov ecx, [ebp arg_4]

0048DEC3 test eax, eax ; !

0048DEC5 mov [ecx], eax

0048DEC7 jnz short loc_48DF01 ; !

0048DEC9 lea eax, [esi 0Ch]

0048DECC push eax

0048DECD lea eax, [ebp var_80]

0048DED0 push eax

0048DED1 call sub_4DC5A0

0048DED6 lea eax, [ebp var_40]

0048DED9 push esi

0048DEDA push eax

0048DEDB call sub_4DC5A0

0048DEE0 and [ebp var_34], 0

0048DEE4 lea eax, [ebp var_40]

0048DEE7 push eax

0048DEE8 call sub_48DF85

0048DEED lea eax, [ebp var_40] ; будем сравнивать

0048DEF0 push esi ; RN (994D08)

0048DEF1 push eax ; и correct RN

0048DEF2 call sub_4DC410 ; _strcmp — сравнение

0048DEF7 add esp, 1Ch

0048DEFA test eax, eax

0048DEFC jnz short loc_48DF01 ; if не равны, то EAX остается = 0

0048DEFE push 1 ; если равны, то EAX = 1

0048DF00 pop edi

0048DF01 mov eax, edi

0048DF03 pop edi

0048DF04 pop esi

0048DF05 leave

0048DF06 retn

Просмотрев весь этот кусок кода, мы видим, что в его конце сравниваются 2 строки (что бы это могло означать? быть может наш рег. номер сравнивается с верным рег. номером?). И если строки равны, то мы возвращаемся в вызывающую подпрограмму со значением в регистре eax = 1 (что нам и нужно). В противном случае, в регистре eax будет не 0 (а -01 или FFFFFFFFh). Посмотрим вверх кода. В строке 0048DEBA вызывается подпрограмма, и в зависимости от возвращаемого ей значения в регистре eax (если оно не равно 0), мы можем перепрыгнуть через столь нужное нам сравнение. Значит, рассматриваем эту подпрограмму. Вот ее код:

0048DF07 push ebp

0048DF08 mov ebp, esp

0048DF0A sub esp, 40h

0048DF0D push ebx

0048DF0E mov ebx, [ebp arg_0]

0048DF11 push esi

0048DF12 push edi

0048DF13 movzx eax, byte ptr [ebx]

0048DF16 push eax

0048DF17 call sub_4DCE3A ; _isupper

0048DF1C test eax, eax

0048DF1E pop ecx

0048DF1F jz short loc_48DF80 ; !

0048DF21 mov edi, offset off_4FC9EC

0048DF26 push dword ptr [edi]

0048DF28 lea eax, [ebp var_40]

0048DF2B push eax

0048DF2C call sub_4DC5A0

0048DF31 lea eax, [ebp var_40]

0048DF34 push offset a__

0048DF39 push eax

0048DF3A call sub_424F5D

0048DF3F lea eax, [ebp var_40]

0048DF42 push eax

0048DF43 call sub_4DC390

0048DF48 push eax

0048DF49 lea eax, [ebp var_40]

0048DF4C push eax

0048DF4D push ebx

0048DF4E call sub_4DC350

0048DF53 mov esi, eax

0048DF55 push 0

0048DF57 neg esi

0048DF59 lea eax, [ebp var_40]

0048DF5C push 40h

0048DF5E sbb esi, esi

0048DF60 push eax

0048DF61 inc esi

0048DF62 call sub_4DCCA0

0048DF67 add esp, 2Ch

0048DF6A test esi, esi

0048DF6C jnz short loc_48DF80

0048DF6E add edi, 4

0048DF71 cmp edi, offset aUJ

0048DF77 jl short loc_48DF26

0048DF79 xor eax, eax ; !

0048DF7B pop edi

0048DF7C pop esi

0048DF7D pop ebx

0048DF7E leave

0048DF7F retn

0048DF80 push 1

0048DF82 pop eax

0048DF83 jmp short loc_48DF7B

Вкратце поясню главные моменты. Сразу обратим внимание, что в строке 0048DF79 регистр eax обнуляется (что нам и нужно). В сторке 0048DF17 вызывается функция _isupper, которая проверяет регистр (верхний или нижний) буквы. С помощью SoftICE’a устанавливаем, что проверяется первая буква нашего рег. номера. Но это цифра, а у цифр нет различия в регистре. Поэтому делаем вывод, что в верном рег. номере первой должна стоять буква. Какой же нам необходим регистр, верхний или нижний? С помощью перехода в строке 0048DF1F делаем вывод, что если это буква нижнего регистра, то тогда мы перескочим к строке 48DF80, где регистр eax принимает значение 1. Следовательно, нам нужна буква верхнего регистра. Изменяем (в который раз) наш рег. номер (например на «S234B3KY2bp1234562»), но помним, что символы 5-12 генерируются из первых 4. Вычисляем символы 5-12. Теперь наш рег. номер имеет следующий вид: «S234UAZHscUF1234562». Ставим точку прерывания на строку 0048DEF1 , прервавшись по ней, смотрим, что в буфере с верным рег. номером

(d eax), и записываем его куда нибудь (кто может, пусть просто запомнит). Запрещаем все точки прерывания (bd *). Опять вводим наши рег. данные, но с известным нам правильным (ли?) номером. Нажимаем ОК и… принимаем поздравляем себя с успешной регистрацией замечательного браузера Opera 3.50.

Заключение

Адреса буферов в силу понятных причин могут не совпадать (это естественно).

Я старался объяснять практически все, через что мы проходим, но ближе к концу многое пропустил, объяснив лишь главные моменты. Так будет понятней новичкам (да и устал я немного к концу 🙂

Более легкий способ: патч — «обман» (см. начало). Не буду тут писать еще одно микроисследование, но при запуске Opera 3.50 мелькает окно с надписью: Registered to: (unregistered). Это вас ни на что не наводит ? Поищите в dead-listing’e вхождение строки (unregistered). А дальше делайте все сами. 🙂 Это не займет у вас больше 5-10 минут (в зависимости от уровня знаний).

К вопросу: to patch or not to patch. Мой ответ not to patch! если:

можно найти рег. номер

у вас есть время

вам нравится, что в окошке About стоит ваше имя

Если же вы все-таки решили патчить программу, то качественно проверьте, все ли работает как надо? Зачастую недостаточно пропатчить в одном месте или убрать например NAG. Opera — тому подтверждение. Убрав NAG, вы избавите себя от этого окна, однако по истечение evaluate time не сможете использовать этот браузер.

p.s. главное качество снятия защиты, а не количество «взломанных» программ.

Данная статья написана исключительно в учебных целях. Если вы в дальнейшем собираетесь использовать рассматриваемую в статье программу, купите ее!

{/codecitation}

Добавить комментарий