Dr4k3 Posted December 18, 2006 Report Share Posted December 18, 2006 O (foarte)scurta descriere a VPAGE.VPAGE este un editor HTML. Este destul de cool, se pot face multe chestiute interesante in el, in fine, dar nu asta conteaza. Pe noi ne intereseaza metoda de protectie pe care o foloseste. Dupa 30 de zile dupa prima pornire, programul nu va mai lucra.Metoda de protectie: Scrierea in Windows Registry a 2 chei secrete, in care se tin informatiile despre data curenta si data instalarii programului.Unelte utilizate:WinExpose Registry - varianta Shareware, crackuiala in lectia urmatoare Volcov Commander sau Norton Commander Regedit poate fi gasit in directorul Windows de pe sistemul tau. --------------------------------------------------------------------------------BackGround:Cand instalam si pornim programul prima data, ne apare o fereastra, care tipa: "This version will expirein 30 days" cu 2 butonase injositoare: Oksi Buy. Peste 30 de zile va apare o ferestruica: "This version has expired" cu alte doua butonase injositoare: Bye si Buy.Bine, pentru a nu astepta 30 de zile pana cand expira, am procedat (logic) foarte simplu: am schimbat data sistemuluicu 31 de zile inainte. Ok, acum incepe partea interesanta: Ne apare un mesaj, care spune ca am incercat sa pacalimprogramul si programul este 'disabled' (in adevar nu este disabled - vom vedea mai tarziu). Bine, am zis eu, haisa pornesc Soft-Ice - ul si sa incerc sa - i scot bataia asta de joc. Insa, peste putin timp de crackuiala si patchuialaam inteles ca ar trebui gasita alta metoda (problema era ca mi se bloca de fiecare data cand il patchuiam si nuprea aveam timp sa ma frec cu el). Asa ca l-am deinstalat si am uitat de el pentru putin timp.Cand am gasit ceva timp liber si l-am instalat la loc, mi-a aparut acelasi mesaj stupid: Versiunea este expirata...Cum, pisici, de unde stie? Este clar. A lasat o urma dupa deinstalare pe harddisk.Aceasta urma poate fi lasata in doua locuri: intr-un fisier in vre-un director, sau in Windows Registry. Pentrua putea gasi ce anume a lasat nenorocitul pe harddisk, am apelat la programul WinExpose Registry (metoda de crackuialacu SoftIce a caruia va aparea in timpul cel mai scurt). WinExpose Registry este un tool foarte bun pentru un cracker care incearca sa vada ce se intampla in sistem (ce chei a registry-ului se acceseaza, ce fisiere se deschid, ce date se citesc samd). Apropos, daca nu ai habar ce inseamna Registry, citesteaici.WinExpose Registry este cool, desigur, dar este incomplet: nu are functie directa de salvarea log- fisierului. Ei, dar aceasta nu este o problema. Va explic putin mai jos, cum salvam intr-un fisier tot cese intampla.Cu WinExpose Registry am facut trei fisiere log:1. La instalarea VPAGE pe un calculator (pe care nu a mai fost instalat)2. La pornirea VPAGE-ului prima data.3. La pornirea VPAGE-ului cu data schimbata.Am gasit cheile care se creaza la prima pornire, am vazut ce scrie si ce citeste si am aflat metoda de verificare.Totul bine si frumos, programul lucreaza si nu mai am probleme,dar Cum am facut aceste lucruri. Ei bine, hai sa incepem, pas cu pas.Pasul 0: Niste configurari: Intra in Volcov Commander (VC)si creaza urmatoarele directoare:C:VP_CRKINSTALL - aici vom salva fisierul log creat la instalarea VPAGE.C:VP_CRKRUN_OK - fisierul log creat la prima pornire.C:VP_CRKRUN_BAD - fisierul log creat la pornirea cu data din sistem schimbata.C:VP_CRKRUN_OA - fisierul log creat la pornirea cu data restaurataPasul 1: Inceputul: Porneste WinExpose Registry (WE).Te va intreba, 'Do you want to create a New Trace file?', apasa pe Yes. Astfel vom incepe sa inregistram toate accesarile la registry care se intampla in sistem.Pasul 2: Instalarea: Fara a inchide WE, porneste programul de instalare VisualPage si instaleaza VPage pe sistemul tau. Dupa ce s-a terminat instalarea, schimba-te in WE (Alt-Tab) si oprestetrace-ul (meniul View/Suspend Trace, sau apasa pe palma roza:). Intra in VC si copiaza din directoriul WE (ar trebuisa fie C:Program FilesWinExpose Registry) fisierul trace~1.wxr (trace.wxr95) in directorul C:VP_CRKINSTALL.Pasul 3: Pornirea: Porneste WE si creaza un nou fisier de trace. Fara a inchideWE, porneste programul VPAGE instalat. Cand apare fereastra cu mesajul 'This version will expire...' schimba-tein WE si opreste trace-ul. Apasa OK si iesi din VPAGE. Copiaza fisierul trace.wxr95 in directorul C:VP_CRKRUN_OK.Astfel vom avea logul a tot ce s-a intamplat in registry cand programul a pornit normal.Pasul 4: Incercarea: Schimba data de sistem cu 31 de zile in viitor. In WEcreaza un fisier de trace nou. Fara a inchide WE porneste VPAGE. Iti apare un mesaj care iti spune ca perioadade evaluare a expirat. Schimba-te in WE si opreste traceul. Copiaza trace.wxr95 in C:VP_CRKRUN_BAD. Apasa Bye.Acum schimba data de sistem inapoi. Repeta pasul 4 cu data normala si ai sa vezi ca in log de mesajul de expirareiti va apare un mesaj, care spune ca ai incercat sa 'overcome the time-limitation of this version' sau o tampeniede genul asta. Copiaza fisierul trace.wxr95 in C:VP_CRKRUN_OA.Pasul 5: Analiza: Hai sa vedem ce am facut pana acum. Raspuns: Pana acumam creat niste fisiere idioate log pe care le-am copiat in diferite directorii. Nu chiar. Acum avem toate accesarileVPAGE la registry. Problema noastra este sa gasim in ce cheie se scrie data sau ceva de genul acesta. Daca acumam incerca sa reinstalam VPAGE, vom vedea ca mesajul de eroare nu dispare...Daca ne uitam in directorul VP_CRKINSTALL vom vedea ca el creaza mai multe chei (treci peste accesarile luiExplorer la registry de la inceputul fisierului, pana ajungi la lucrarile lui_ins0432 (programul de instalare)).Vom vedea ca _ins0432 a creat mai multe chei, dintre care cea mai importanta esteLOCALSoftwareSymantecVisual Page - ce interesant!In general, procedura de creare a unei chei este: Citeste ceva din cheia XXX.Daca cheia nu a fost gasita ---> Creaza cheia XXX (functia CreateKey)Deci, pentru a gasi cheile noi create, va trebui sa cautam functia CreateKey.Ignoreaza toate cheile create in legatura cu setarile internet, sistemului, ODBC samd. Pe noi ne intereseaza sagasim ceva FOARTE straniu. Aceasta inseamna o denumire de cheie de genul 'FirstDate' (in cazul ideal) sau o denumirede cheie FOARTE stranie de genul '{126de-2132f-0000-90000...}. Deci...Hai sa vedem ce avem acolo: Pornim regedit (startRun...regedit.exe) si intram pe cheia HKEY_LOCAL_MACHINESoftwareSymantecVisualPage.Vedem: 2.0 si Application. Intrand pe Application vedem ceva interesant: Registered 0x0000.Insa, daca incercam sa-i schimbam valoarea si pornim VPAGE nu se intampla nimic. Mai cautant prin fisierul lognu mai gasim nimic interesant, decat niste setari a proprietatilor programului samd.Hai atunci sa vedem ce face VPAGE la prima pornire. Deschidem fisierul din C:VP_CRKRUN_OK. La inceput sunt nisteaccesari neinteresante ale Explorer... hai sa mergem la capatul fisierului (ce a facut cu registry inainte sa nearate mesajul de expirare). Urcand putin in sus gasim niste inregistrari foarte interesante:-----------------------------------------------------------------------Vpage Opens the specified registry key [Not Found ][[OpenKey ]]ROOTCLSID{136C3F90-F0F4-11d1-BD45-00C04F93168B}-----------------------------------------------------------------------Vpage Creates/Opens the specified registry key [[CreateKey ]]ROOTCLSID{136C3F90-F0F4-11d1-BD45-00C04F93168B}Result HKEY= 0xC11BDE30-----------------------------------------------------------------------Vpage Opens the specified registry key [Not Found ][[OpenKey ]]ROOTCLSID{136C3F90-F0F4-11d1-BD45-00C04F93168B}MiscStatus -----------------------------------------------------------------------Vpage Creates/Opens the specified registry key [[CreateKey ]]ROOTCLSID{136C3F90-F0F4-11d1-BD45-00C04F93168B}MiscStatusResult HKEY= 0xCAFF1C44-----------------------------------------------------------------------Vpage Closes a previously opened key [[CloseKey ]]0xC11BDE30-----------------------------------------------------------------------Interesant... Ce inseamna ROOTCLSID{136C3F90-F0F4-11d1-BD45-00C04F93168B}MiscStatus?Hai sa vedem mai departe:-----------------------------------------------------------------------Vpage Opens the specified registry key [Not Found ][[OpenKey ]]ROOTCLSID{B0DB41E0-F0F4-11d1-BD45-00C04F93168B} ************* Alta cheie interesanta-----------------------------------------------------------------------Vpage Creates/Opens the specified registry key [[CreateKey ]]ROOTCLSID{B0DB41E0-F0F4-11d1-BD45-00C04F93168B}Result HKEY= 0xC11BDE30-----------------------------------------------------------------------Vpage Opens the specified registry key [Not Found ][[OpenKey ]]ROOTCLSID{B0DB41E0-F0F4-11d1-BD45-00C04F93168B}MiscStatus ************** Acelasi dubios MiscStatus...-----------------------------------------------------------------------Vpage Creates/Opens the specified registry key [[CreateKey ]]ROOTCLSID{B0DB41E0-F0F4-11d1-BD45-00C04F93168B}MiscStatusResult HKEY= 0xC11D2ED4-----------------------------------------------------------------------Vpage Closes a previously opened key [[CloseKey ]]0xC11BDE30-----------------------------------------------------------------------Vpage Sets the value and name for a Key [[setValueEx ]]ROOTCLSID{136C3F90-F0F4-11d1-BD45-00C04F93168B}MiscStatusValue: "938723249" ************** Scrie valoarea 938723249-----------------------------------------------------------------------Vpage Sets the value and name for a Key [[setValueEx ]]ROOTCLSID{B0DB41E0-F0F4-11d1-BD45-00C04F93168B}MiscStatus ************** Scrie valoarea 938723250Value: "938723250"-----------------------------------------------------------------------Vpage Closes a previously opened key [[CloseKey ]]ROOTCLSID{136C3F90-F0F4-11d1-BD45-00C04F93168B}MiscStatus-----------------------------------------------------------------------Vpage Closes a previously opened key [[CloseKey ]]ROOTCLSID{B0DB41E0-F0F4-11d1-BD45-00C04F93168B}MiscStatus-----------------------------------------------------------------------Vpage Retrieves the value for a key [Not Found ][[QueryValEx ]]0xC11D345CD:VPAGEVPage.ini -----------------------------------------------------------------------Hmm... Hai sa vedem ce se intampla cu aceste chei cand am executat programul cu data schimbata. Deschidem fisierulC:VP_CRKRUN_BAD. Cautam stringul: '{136C3F90'Gasim imediat urmatoarea poveste:Vpage Retrieves the value for a key [[QueryValEx ]]ROOTCLSID{136C3F90-F0F4-11d1-BD45-00C04F93168B}MiscStatusValue: "938723249"-----------------------------------------------------------------------Vpage Retrieves the value for a key [[QueryValEx ]]ROOTCLSID{B0DB41E0-F0F4-11d1-BD45-00C04F93168B}MiscStatusValue: "938725459"-----------------------------------------------------------------------Interesant: Valoarea in B0DB41E0... s-a schimbat, pe cand cea din 136C3F90 este aceeasi...Aceste doua chei sunt prea interesante. Hai sa vedem in registry ce se intampla cu ele (cu regedit!)... Pornindprogramul de fiecare data, vom vedea ca valoare din B0DB41E0 se modifica (cu unu), iar acea din 136C3F90 este aceeasi.Interesant. Hai sa vedem ce se intampla cu aceste doua chei dupa dezinstalarea programului. Normal ar trebui caun program sa-si stearga toate cheile din registry. Daca aceste doua chei ar fi indiciul pentru VPAGE ca a maifost instalat pe sistem, inseamna ca problema este ca si rezolvata.Pasul 6: Apropierea: Dezinstaleaza VPAGE-ul. Porneste Regedit (daca nu il aipornit) si incearca sa gasesti aceste doua chei acolo. Ca sa vezi: Cheile sunt acolo!!! Hai sa le stergem frumusel...ReinstalamVPAGE... Executam... Si.. MERGE! Nu mai spune ca am incercat sa-l pacalim ci ne spune ca mai avem 30 dezile pana la expirare.Pasul 7: Finalizarea: Bine, dar totusi cum o facem sa nu expire? Ok. Schimbadata sistemului cu 2 zile inainte. Porneste VPAGE. Intra in regedit si examineaza cheia {B0DB41E0...}. Ai observatschimbarea. Schimba data sistemului inapoi. Porneste Vpage. Iti va spune ca ai incercat sa-l pacalesti. Acum ***momentul crucial*** Scrie in cheia {136C3F90...} valoarea din {B0Db41E0...} minus 1. Candvei porni programul iti va spune ca mai ai 30 de zile pana la expirare. BINGO! Am gasit solutia.Deci pentru a evita expirarea, totul ce trebuie sa facem este sa scriem(cand VPAGE a expirat) in prima cheie valoarea cheii a doua minus 1. Si gata. Se poate scrie si un program careface chestia asta automat, dar hei, go ahead! Quote Link to comment Share on other sites More sharing options...
