среда, 24 апреля 2013 г.

Ломаем VKFucker

На просторах интернета появился, вы не поверите, брут ВКонтакте по цене 320-350 рублей! Какая то несправедливость, придётся вновь покупать этот софт для всех с помощью отладчика.


Инструмент как всегда стандартный.
IDR - Отладчик для Delphi приложений
OllyDBG - Отладчик

Начнём с того что загрузим данный софт (он в конце статьи) в IDR и найдём таймеры:


Автор любит быдлокодить, не ужели трудно использовать 1 или хотя бы динамически создавать раз такое дело? Ну да ладно, нас интересует первый таймер в котором происходит вызов функции по адресу 0061DF6C, а вот её функции:

1. Проверка запущенных снифферов:


И их завершение по средствам PostMessage:


Можно занопить те вызовы функции которые я подчеркнул что бы мы могли спокойно сниффать программу.

2. Самое интересное, проверка лицензии:


Всё начинается с того что автор проверяет к тому ли серверу мы обращаемся или нет, если нет то завершаем программу. Запишем адрес перехода (0061E105), он нам понадобиться чуть позже. Идём дальше в то место где собственно происходит проверка:


Тут всё очевидно, заNOPить условный переход над той строкой которую я выделил, но нет, мы поступим иначе! Помните тот адрес который записали? Вот с него мы и будем переходить на ту строку которую я выделил! Делается это просто (с помощью пробела вызывается данное окно):




В него вводим "JMP 0061E1EE", жмём assemble и получаем:


После чего сохраняем получившиеся изменения (как я делал в предидущих статьях)

Пробуем запустить:


Отлично! Но вам не кажется что эта надпись какая то одинокая? Давайте её изменим...

Первое что нужно сделать - найти самую длинную и не нужную (не используемую) строку, неиспользуемой у нас стала строка со ссылкой на проверку лицензии, которая находится по адресу 61E708


Жмём пробел и во втором поле пишем любой текст не более 40 символов! Обратите внимание что в конец строки необходимо добавить нулевой байт (HEX: 00)


Строка готова, теперь смотрим где происходит присваивание слова "Лицензия":


Меняем значение которое я обвёл на адрес вашей строки в ресурсах (делается это в OllyDbg):


Сохраняем данные изменения и запускаем программу:


Отлично! Теперь мы можем наслаждаться нашей именной лицензией на данный софт, которую, хочу заметить, мы купили с помощью отладчика за 10 минут.

Автору хочу сказать что подобные высерки программы стоят на порядок меньше с учётом того что её покупают много пользователей.
А те кто купил данный продукт только зря выкинули деньги, ведь есть куча аналогов (правда в виде разных программ) которые являются бесплатными и работают не чуть не хуже этого.


16 комментариев:

  1. ничего, что программе уже 3 года?

    ОтветитьУдалить
    Ответы
    1. FacePalm -_-

      Удалить
    2. Мне как бы всё равно, главное пашет (сам не тестил).

      Удалить
  2. Ответы
    1. Ну и? Я просто рассказал как ломается подобный софт, да, некоторые функции не пашут т.к. софт старый, но тем не менее для общего развития полезно почитать.

      Удалить
  3. Не работает что то, но все равно спасибо за инфу

    ОтветитьУдалить
  4. А еслиб со снифферами отладчики закрывались или сама программа закрывалась при открытом отладчике тогда как?

    ОтветитьУдалить
    Ответы
    1. http://ru.wikipedia.org/wiki/SoftICE

      Программа разработана для управления процессами на низком уровне Windows, причем таким образом, чтобы операционная система не распознавала работу отладчика.

      Ещё вопросы?

      Удалить
  5. Анонимный23 июня 2013 г., 5:05

    VanS, у тебя есть для IDR базы знаний kb2011.bin, kb2012.bin?

    ОтветитьУдалить
    Ответы
    1. Есть, достались по-блату, но делится не хочу =)

      Удалить
    2. Анонимный23 июня 2013 г., 21:03

      Скачал архив, но там имена файлов syskb2011.bin и syskb2012.bin. В чем разница от kb2011.bin, kb2012.bin?

      Удалить
    3. Анонимный23 июня 2013 г., 21:09

      Все, нашел еще один архив. В нем все есть, собрано IDR 29-12-2012. Не ожидал VanS от тебя такой жадности!

      Удалить
    4. 1. Разница в том что первый для XE1 а второй для XE2
      2. Я не жадный, просто не хочу сливать в паблик что бы школота переломала весь софт раньше меня.

      Удалить
    5. Анонимный24 июня 2013 г., 18:41

      Неправильно задал вопрос. В архиве который скачал, все базы знаний. У некоторых имена начинаются с kb, у других с syskb. Вопрос, в чем разница например между kb2011.bin и syskb2011.bin?

      Удалить
  6. Анонимный16 июля 2013 г., 19:26

    Ты знаеш как взломать страницу в контакте по ID?
    Нужна твоя помощь?
    Ответь пожалейста.

    ОтветитьУдалить