Всем доброго времени суток!
По просьбе пользователя Irenica пишу статью про реверсинг.
Сегодня предлагаю отвлечься от темы экспериментов, да и вообще от хакинга.
Сегодня мы будем играть в крекеров. Не волнуйтесь - игра простая.
Мы будем снимать защиту у одной программы, заоодно и хорошо посмеемся, т.к для вас я подобрал программу, с "супермегакрутой защитой".
Итак, наша цель - Akala EXE Lock.
Эта программа позиционирует себя как элитный защитник EXE файлов.
Не протектор, а именно защитник, т.е на exe ставиться пароль.
Защита действительно хорошая, мне хакнуть пока не удалось.
А вот защита самой программы (регистрация), очень убогая.
Ну, приступим!
Давайте сначала скачаем программу:Ссылко
Разработчик хочет 30$ за лицензию.
А хрен ему (прости бро, но защита реально лажовая)!
Устанавливаем программу.
Теперь на надо сделать анализ EXE.
Используем PEiD или Detect It Easy:
IMAGE http://i48.fastpic.ru/big/2013/0617/1a/3995b7cc86b6778d788e67420425571a.jpg

Ага, Aspack. Это такой "защитник кода от взлома".
Есть два способа его распаковки:
Ручной и Автоматический.
Для ускорения процесса будем использовать Автоматический.
Если кому-то интересно, то могу написать про ручную распаковку.
Для автораспаковки нам понадобится прога: Aspack DIE
Открываем Aspack Die и выбираем нашу программу:
IMAGE http://i48.fastpic.ru/big/2013/0617/ba/0aeabea0992c092227b2e5ef578409ba.jpg

Если все прошло удачно, то через 3-4 секунды увидим сообщение:
IMAGE http://i47.fastpic.ru/big/2013/0617/5f/d70cf5e93a3dcec74c60e28ffb24fc5f.jpg

Ок! Файл распаковали.
Если хотите, то можете открыть распакованный файл и увидеть, что прога написанна на дельфи.
Теперь открываем в отладчике:
IMAGE http://i47.fastpic.ru/big/2013/0617/f1/78227ad58d28f13751b255f51b74fcf1.jpg

Ну да, чистый дельфи.
Теперь запустим прогу в отладчике (F9).
Появится форма, в которую надо ввести имя и ключ:
IMAGE http://i48.fastpic.ru/big/2013/0617/2d/fc303423cce316288d137a1fd2697e2d.jpg

Вводим от балды и запоминаем текст сообщения с ошибкой.
Теперь пройдемся по строкам и поищем текст ошибки.
Для этого:
1) Жмем правой кнопкой на пустое пространство слева от кода
2) Выбираем Search For-> Search for all strings
Когда загрузится строки, ловим такой момент:
IMAGE http://i46.fastpic.ru/big/2013/0617/a7/8e03a2d7865498e23bc236b964c01da7.jpg

Вот мы и нашли текст ошибки.
Теперь жмем на него 2 раза и попадаем на эту строчку в коде.
Идем вверх до такого момента:
IMAGE http://i48.fastpic.ru/big/2013/0617/c0/1fca44b7eaf46603e12e3235ad6398c0.jpg

Процедура, которая стоит чуть ниже строки Akala Exe Lock - процедура генерации кода.
Жмем на нее мышкой, а потом F2.
Мы поставили на нее брейкпоинт.
Теперь смело жмем Ctrl+F2, и программа перезагрузится.
Жмем F9.
Снова вводим в форму наше имя и пароль.
Теперь программа остановится на процедуре с генерацией ключа (кто хочет - может нажать F7 и посмотреть алгоритм генерации, а потом сделать кейген).
Жмем F8. И смотрим окно стека:
IMAGE http://i48.fastpic.ru/big/2013/0617/8a/5f20bcee59d7886eeb164e65a8ced98a.jpg

Правильный пароль записан в первой строчке (кто бы мог подумать ).
Вводим его в программу и она зарегистрируется.
Но, я уже обещал вам поржать над разрабами.
Спорим никто не приметил этот кусок:
IMAGE http://i46.fastpic.ru/big/2013/0617/86/714a52a90d28a6404c0eefbb19eddd86.jpg

В реестр пишется имя, на которое зарегана программа.
Идем в реестр.
Раздел HKEY_CURRENT_USER\Software\Microsoft\Secret\BFM
И наблюдаем там такое:
IMAGE http://i46.fastpic.ru/big/2013/0617/a7/3fe3d9c5ab785eb9eacddb7e2de864a7.jpg

Путем исследования я установил, что:
FirsDate - дата начала триала, т.е можно сбросить триал.
RegName - имя, на кого зарегистрирована прога.
Попробуйте поменять имя, на любое другое и посмотрите на кого регнута программа:
IMAGE http://i48.fastpic.ru/big/2013/0617/72/90280e83071450779b1788476acd3572.jpg

Дальше - больше. Ключ вообще не нужен.
Просто ставим программу, идем в реестр, создаем параметр RegName (путь указан выше), и пишем там свое имя.
Огромный PROFIT!!!11
Вывод: "На Деда Мороза надейся, но и сам не плошай".
Разрабы понадеялись на AsPack, а сами допустили огромный Fail.
Спасибо за внимание.