Исследование защиты программ компании


"Египетский Оракул"

Компания "Простые решения" выпускает программы для кибергадания "Книга перемен", "Египетский Оракул", "Карты Таро - Кельтский Крест" и "Карты Таро - Гадание на Желание или Событие". Оценивать точность и объективность результатов таких гаданий я не буду, так как в результаты работы функции random() все равно никогда не поверю, а вот посмотреть на программы изнутри было бы любопытно.

Для исследований нам понадобится какой-нибудь дистрибутив из вышеназванных, пусть это будет "Египетский Оракул". Качаем, устанавливаем, запускаем. Видим такую нехорошую картину:


Окно регистрации

Значит на все про все у нас есть несколько триальных запусков программы. Попробуем обойтись одной попыткой. После нажатия кнопки "Начать" запускается главное окно программы, в его заголовке мы видим интересную строчку "Macromedia Flash Player 8" и характерную иконку. Тут даже не надо ходить к гадалке, это однозначно скомпилированный в исполняемый файл Flash-ролик. Но ни одна программа из виденных мной не позволяет сразу же делать ролики с окнами регистрации, значит это скорее всего самодельный враппер.


Файл враппера

Гыыы, аффтар излишней скромностью явно не страдает :)) Process Explorer подтверждает наши догадки, это точно какая-то самоделка.


Запущенный процесс

Теперь можно сходить в папку Temp и скопировать оттуда файл pgm 1.1.0003 beta.exe в сухое прохладное место. Это и будет исполняемый файл без всякой навесной защиты. Перенесите его в папку с установленной программой, переименуйте с заменой файла в launcher.exe и наслаждайтесь гаданиями неограниченное время. Единственное, что при этом иконка самого приложения изменится на значок Flash-плеера, но это не так страшно. В конце концов иконку можно поменять на нужную любым редактором ресурсов.

А как быть, если триальное количество запусков уже закончилось? Надо найти место враппера, где хранится скомпилированный Flash-файл. Первое, что приходит на ум - ресурсы. Посмотрим на файл изнутри какой-нибудь программой для работы с ресурсами, например, Restorator:


Ресурс содержит исполняемый файл

Так и есть, содержимое ресурса PROGRAM указывает на содержащийся в нем исполняемый файл. Ставим галочку "извлекать все", запускаем процесс извлечения, Resource Ripper сообщает, что нашел и успешно сохранил какой-то исполняемый файл размером около 3 мегабайт.


Ресурсы извлечены

В папке launcher.exe_ResRipper среди картинок обнаруживается exe-файл с уже знакомой нам флешовой иконкой. Это и есть основной файл со снятой защитой, что с ним делать дальше уже описано чуть выше. А извлеченными иконками соответствующих размеров можно как раз заменить иконку Macromedia Flash в новом файле, сделать это можно в том же Restorator'е. Если очень чешется, то можно пойти дальше и вытащить сам Flash-ролик, а потом разобрать и его по косточкам, но это как-нибудь в другой раз.

Вот такое "простое решение". Остальные продукты компании имеют точно такую же врапперную защиту, все вышеописанные методы годятся и для них.
Теги:
защита, взлом
Добавлено: 21 Сентября 2013 06:06:46 Добавил: Андрей Ковальчук Нравится 0
Добавить
Комментарии:
Нету комментариев для вывода...