-
Автор темы
- #1
Здравствуйте.
Скажу сразу я и близко не реверс инженер и в этой теме я только из-за этой программы.
Вкратце, я собираю образы Windows для собственного использования и не делаю их публичными, так как они не подходят большому кругу лиц (делаю под себя и собственные задачи). В процессе работы наткнулся на установщик одного сборщика, но он имеет защиту от замены файлов install.esd и install.wim, а так же премиум функции, за которые нужно заплатить автору.
Я несколько дней пытался обойти защиту. Удалось обойти защиту кода Generic и UPX, но саму проверку на файл install.esd\install.wim, а так же прем функции — нет.
Возможно, проверка реализована не только в основном файле setup.exe, но и в одноимённом файле в boot.wim.
Ошибка если в autorun.inf не прописан ключ и ник на сайте с премиумом (
Суть в том, что когда я пытаюсь заменить файл install.esd\install.wim (в зависимости от ситуации ли один или другой, двух сразу быть не может), программа выдает ошибку (
Попробую детально описать, с чем столкнулся, насколько смог разобраться.
Скажу сразу я и близко не реверс инженер и в этой теме я только из-за этой программы.
Вкратце, я собираю образы Windows для собственного использования и не делаю их публичными, так как они не подходят большому кругу лиц (делаю под себя и собственные задачи). В процессе работы наткнулся на установщик одного сборщика, но он имеет защиту от замены файлов install.esd и install.wim, а так же премиум функции, за которые нужно заплатить автору.
Я несколько дней пытался обойти защиту. Удалось обойти защиту кода Generic и UPX, но саму проверку на файл install.esd\install.wim, а так же прем функции — нет.
Возможно, проверка реализована не только в основном файле setup.exe, но и в одноимённом файле в boot.wim.
Ошибка если в autorun.inf не прописан ключ и ник на сайте с премиумом (
Пожалуйста, авторизуйтесь для просмотра ссылки.
). С премом есть возможность продолжать использование программы на "живой винде".Суть в том, что когда я пытаюсь заменить файл install.esd\install.wim (в зависимости от ситуации ли один или другой, двух сразу быть не может), программа выдает ошибку (
Пожалуйста, авторизуйтесь для просмотра ссылки.
), связанную с неверной контрольной суммой. Если всё удачно, появляется окно, где нужно ввести имя пользователя, имя ПК и другие данные (
Пожалуйста, авторизуйтесь для просмотра ссылки.
). Я уже подготовил файлы, в которых нет защиты кода (файл setup.exe в корне и одноимённый файл в boot.wim по пути Windows\System32\setup.exe). Эти файлы можно проанализировать в IDA. Я специально положил install.wim на который будет срабатывать защита. Так же хотелось бы заполучить прем функции без ввода ключа и ника на сайте (это как-то взаимосвязанно), а так же убрать ссылкку на сайт разработчика в левом нижнем углу на первом этапе установки (тот же
Пожалуйста, авторизуйтесь для просмотра ссылки.
)Попробую детально описать, с чем столкнулся, насколько смог разобраться.
- По поводу упоминания премиум-аккаунта:
Я так и не нашел упоминаний премиум-аккаунта в коде, несмотря на все попытки.
- Поиск проверок связанных с файлами install.esd\install.wim:
Я нашел упоминания нужных мне файлов (см.Пожалуйста, авторизуйтесь для просмотра ссылки.4 иПожалуйста, авторизуйтесь для просмотра ссылки.5). В этом месте я пытался изменить проверки call sub_571D50 и call sub_598DC0. Конкретно, заменял инструкцию test al, al на mov al, 1 и условный переход jz на jmp. Эти изменения я проводил в разных местах как для install.wim, так и для install.esd. К сожалению, это не дало нужного результата.
На основе увиденного, мне кажется, что программа должна была бы перейти к строке text:00000000008AA7BF, так как именно там я увидел ссылку на сайт разработчика, которая должна быть на первом этапе как я говорил ранее. Именно с этой точки на мой взгляд должна запускаться программа. Я пытался удалить эту ссылку, чтобы она не "мазолила глаза", но тоже не смог это сделать.
- RIP в самом начале программы:
Почему-то IDA показывает RIP на самом начале программы, не доходя до проверок. Я не смог понять, что именно вызывает такую проблему. (См.Пожалуйста, авторизуйтесь для просмотра ссылки.6 иПожалуйста, авторизуйтесь для просмотра ссылки.7).
- Анализ setup.exe в boot.wim (по пути Windows\System32):
Я извлек этот файл из boot.wim для анализа. Данный файл нужен для запуска корневого файла. В нем я также пытался найти следы проверок.
4.1 Проверки на премиум: не обнаружил.
4.2 Упоминания install.esd и install.wim: Я нашел строки с их упоминаниями в коде, но, судя по всему, это не проверки.
Строки, которые нашёл:- text:0000000000C7A89C
- text:0000000000C7A767
- text:0000000000C7A7B6
- text:0000000000C7A86C
(См.Пожалуйста, авторизуйтесь для просмотра ссылки.8 иПожалуйста, авторизуйтесь для просмотра ссылки.9).
- RIP в начале программы: Как и в предыдущем случае, RIP в самом начале программы, не знаю с чем это связано. (См. Пожалуйста, авторизуйтесь для просмотра ссылки.10 иПожалуйста, авторизуйтесь для просмотра ссылки.11).
- Настройки для IDA: Все настройки, которые я использовал для анализа, указаны на Пожалуйста, авторизуйтесь для просмотра ссылки.12,Пожалуйста, авторизуйтесь для просмотра ссылки.3,Пожалуйста, авторизуйтесь для просмотра ссылки.4. Оба exe'шника написаны на Delphi.
Ссылки на Virustotal:
1.Пожалуйста, авторизуйтесь для просмотра ссылки.. По неизвестной мне причине орут 3 НН говноантивируса
2.Пожалуйста, авторизуйтесь для просмотра ссылки.по пути Windows\System32
Пожалуйста, авторизуйтесь для просмотра ссылки.