Как-то попался мне диск "Журнал Хакер" на котором было много шароварных прог.
(Что же это за "хакеры" которые издают диски с шароварными программами,
львиная доля которых откровенный отстой, ну да ладно...)
На диске была программа FontLister...
Итак, программа триальная, при старте огромный НАГ-скрин с надписью
Unregistered User а также в окне о программе записывается дата установки и
если дата установки далека от текущей, то... фигня дело вобщем :)
Будем кракать...
Запускаем программу при помощи SymbolLoader'a из пакета SoftIce, чтобы
оказаться в самом начале программы, мы окажемся здесь:
Попробуем поменять по адресу 015F:004D4C42 команду JZ 004D4C78 на JMP 004D4C78
и с удивлением обнаружим, что наг-окна при старте нет.
Теперь сделаем так, чтобы в меню "о программе" всегда высвечивалась
"правильная" дата инсталяции:
Запустим Regedit.exe и посмотрим к каким записям в реестре обращается наша
прога и находим очень интересный раздел:
в котором, очевидно, хранится дата инсталляции. А если убить эту запись?
Может прога подумает, что мы тока инстальнулись и запишет туда сегоднящную
дату? И правда, после того как я убил этот раздел, он был заново создан
прогой, но с текущей датой. (Очень глупо).
Но нам перед каждым запуском килять запись не очень удобно, поэтому тут два
варианта:
1) Искать в программе то место, где проверяется наличие ключа Date
2) Встроить в программу маленькую функцию, которая при запуске проги будет килять
разедел.
Я выбрал второй вариант, потому как это сложнее и интереснее, а как сказал
кто-то "Если это будет просто, то это того не стоит!". Приступми:
встраивать будем функцию RegDeleteKeyA, т.к. эта функция предназначена для
удаления записей реестра и она содержится в импорте нашей программы :)
Посмотрим на параметры, которые надо передавать этой функции:
LONG RegDeleteKeyA(
HKEY hKey, // handle of open key
LPCTSTR lpSubKey // address of name of subkey to delete
);
Я нашел свободного места (под свободным местом понимаем кучу 20h) по адресу
004D50BF
Заглянув в таблицу импорта, я узнал, что фактическим вызовом
call RegDeleteKeyA
будет
call 000056DC
Также я узнал, что OEP = 004D4BF9, заменим его при помощи ProcDump или
вручную на адрес начала нашей процедуры (004D50BF)
и по адресу 004D50BF пишем в HVIEW такую процедуру:
Теперь меняем точку входа в программу на 004D50BE (что на единицу меньше,
чем адрес нашей процедуры, но так надо! Это тема не этой статьи).
И ... При старте программа сначала выполнила нашу небольшую процедурку, т.е.
убила раздел о регистрации и потом передала управление оригинальной программе,
которая создала раздел по-новой и записала туда сегоднящнюю дату.
Вау! Кульно.
Теперь осталось вместо строки "Unregistered User" вставить что-то типа
"cracked_by_vallkor". Делается это просто:
Заходим в HVIEW нажимаем F7 (поиск) ищем строку "Unregistered User" и
меняем на что угодно, только в конце новой строки не забывайте ставить
нулевой байт.
Крак делайте сами, поскоку слишком много изменений, а QVIEW не плюсюет
автоматом ImageBase :) На этом досвиданья.
Исследовал (и получил от этого удовольствие):
vallkor [PTDS]
E-mail : vallkor@chat.ru
Page : vallkor.chat.ru
В статье описывается процесс краканья программы FontLister с помощью вставки собственного кода, целью которого является изменения даты регистрации при запуске программы.
Комментарии и вопросы
Получайте свежие новости и обновления по Object Pascal, Delphi и Lazarus прямо в свой смартфон. Подпишитесь на наш Telegram-канал delphi_kansoftware и будьте в курсе последних тенденций в разработке под Linux, Windows, Android и iOS
Telegram-канал