Пример взлома: SourceFormatX

Ara (ara@clteam.net)

Спецвыпуск: Хакер, номер #057, стр. 057-052-1

Взлом программ с невероятно гадкой системой защиты

Порой встречаются программы, которые как только заметят, что их ломают, начинают делать разные очень неприятные вещи. Ты только представь, каково будет удивление хакера, если при очередном взломе он вдруг лишится всех бесценных данных на своем жестком диске. Впрочем, вряд ли будет только удивление - тут и разрыдаться можно ;). Ниже будет рассказано, что я предпринял, когда наткнулся на подобную программу, как ломал ее, с какими трудностями столкнулся. Надеюсь, тебе будет полезно посмотреть, как другие крэкеры воюют с софтом. Enjoy!

Однажды на форуме cracklab.ru кто-то попросил меня помочь cо взломом программы SourceFormatX версии 2.56, использующейся при форматировании исходных кодов. Она постоянно выводила NAG-окно с предложением зарегистрироваться, и все самые интересные функции форматирования исходников в ней были недоступны. В тот момент я был свободен и взялся посмотреть на защиту. После некоторых манипуляций, проведенных в отладчике, у меня вдруг стала самопроизвольно открываться папка "Мои документы". Уже открылось примерно 50 окон, прежде чем мне удалось убить процесс. И тут я с удивлением обнаружил, что не могу запустить ни одну программу на своей машине, а иконки на рабочем столе стали однообразно стандартными. Работали только программы, которые были запущены. Моя система умерла.

Тотчас на IRC-канале cracklab'a я попросил сообщить на форуме о таком поведении программы, чтобы другие были осторожны при ее взломе. И все равно некоторых постигла та же учесть. Видимо, поэтому программа и осталась невзломанной - немногие захотели рисковать своей системой.

И вот через некоторое время, вооружившись необходимыми утилитами, я снова вернулся к этой злосчастной программе, чтобы, наконец, разобраться с ней и поделиться опытом с тобой. Несомненно, имея под рукой статьи подобного рода, тебе будет легче постигнуть трудную, но увлекательную науку взлома программ.

Инструментарий

Для работы нам будут необходимы следующие инструменты: отладчик OllyDbg, желательно последней версии с набором плагинов к нему (CommandLine или CommandBar, OllyDump), ImportREConstructor 1.6 Final и PEiD. Также рекомендую замечательную утилиту ShadowUser, найти ее не составит труда. Она отменяет ВСЕ изменения в системе, сделанные после перезагрузки. С ее помощью мы будем защищать системы от краха. В процессе взлома мне приходилось много раз видеть, как погибает моя ОС, но благодаря ShadowUser при перезапуске все возвращалось на свои места. Пользоваться ей очень легко: нужно кликнуть мышью в трее на ее значке и выбрать режим Enable. Программа попросит перезагрузку, на которую нужно согласиться, и после рестарта она загрузится уже активной. Теперь, чтобы мы ни делали, все изменения при следующем запуске системы будут возвращены на прежние места. Я проверял ее так: удалил несколько папок с диска С, прописал один файл нулями и очистил корзину. Потом деактивировал программу точно таким же образом (правым кликом) и убедился, что все стоит на своих местах. Итак, защита работает, активируем ее снова и приступаем к работе.