Устранение защиты Acunetix Web Wulnerability scanner 7

Discussion in 'Реверсинг' started by neprovad, 11 Dec 2010.

Thread Status:
Not open for further replies.
  1. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    Закрыто продолжение темы тут:
    http://forum.antichat.net/thread290490.html


    Пришло время посмотреть защиту 7 версии замечательной программы. Предыдущий универсальный кряк более не подходит и с этим надо что-то делать. Приступим:
    грузим wvs.exe в IDA Pro.
    Спустя некоторое время находим - инициализация защитных функций путем создания экземпляра класса TActivation_Safe. имена переменным даны для небольшой наглядности.
    Code:
    CODE:006BD88A                 mov     eax, TActivation_Safe
    CODE:006BD88F                 call    sub_6BCA5C
    CODE:006BD894                 mov     ds:tactivation, eax
    
    Внутри sub_6BCA5C находится код, который будет нас интересовать в первую очередь - инициализация переменных отвечающих за регистрацию. Комментариями указаны значения переменных которые должны быть вместо существующих чтобы программа стала считать себя зарегистрированной.
    Code:
    CODE:006BCA6C 8B F0                             mov     esi, eax
    CODE:006BCA6E C6 46 04 00                       mov     byte ptr [esi+4], 0 ; 1
    CODE:006BCA72 C7 46 10 64 00 00+                mov     dword ptr [esi+10h], 64h ; 0
    
    Проследим что будет дальше с этими переменными в esi+4 и esi+10. Ставим на их адреса hw точки останова. Причем ставим на запись, мало ли где защита попытается их изменить. Срабатывает тут:
    Code:
    CODE:006BD195                 mov     eax, [ebp+var_4]
    
    Смотрим код выше
    Code:
    CODE:006BD104                 mov     edx, offset aWvse ; "WVSE"
    CODE:006BD109                 call    @System@@LStrCmp$qqrv ; System::__linkproc__ LStrCmp(void)
    CODE:006BD10E                 jnz     short loc_6BD11D
    CODE:006BD110                 mov     eax, [ebp+var_4]
    CODE:006BD113                 xor     edx, edx
    CODE:006BD115                 mov     [eax+10h], edx
    
    Видим WVSE, путем несложных логических заключений понимаем что проверяется уровень лицензии. По адресу eax+10 записывается 0, становится понятно почему выше речь шла о замене переменной именно на 0, это уровень лицензии Enterprise. Удаляем переход 6BD10E. После изменений программа ругается на поврежденность. Бряк на MessageBoxA даст результат
    Code:
    CODE:00461728                 call    MessageBoxA
    
    Смотрим выше причину (проверка контрольной суммы образа exe в памяти) и меняем переход на безусловный
    Code:
    CODE:00461701                 jz      short loc_461763
    
    Во время работы может досаждать сообщение о том что работает отладчик. Бряк на IsDebuggerPresent выводит нас на функцию с булевым результатом. Меняем переход 009F1087 на безусловный.
    Code:
    CODE:009F1080                 call    sub_9EF2E4
    CODE:009F1085                 test    al, al
    CODE:009F1087                 jz      short loc_9F10AF
    CODE:009F1089                 push    0
    CODE:009F108B                 mov     cx, word_9F18B8
    CODE:009F1092                 xor     edx, edx
    CODE:009F1094                 mov     eax, offset aDebuggerDetectedTh ; "Debugger detected! The application will"...
    CODE:009F1099                 call    @Dialogs@MessageDlg
    
    Вот и все, защита повержена.
    Абсолютно идентично (кроме поиска отладчиков) разбирается защита у модуля ve.exe и reporter.exe
    p.s. адреса указаны для версии wvs.exe с md5=CF8EF812EC5A304EC799ADB7162B781C
    доступ в закрытую часть сайта acunetix.com
    user:acunetixwvsfullv7 pass:AkfhkJS1B83qAZPA
    Удачи в RE!

    UPDATE:
    В ходе тестирования выявился баг - появление активации если не было в реестре определенных данных. Как следствие сброс флага активации. Исправляем переход jz на безусловный и флаг активации выставленный ранее нами в 1 в данном месте уже не сбросится:
    Code:
    CODE:006BD0F5                 jz      short loc_6BD0FE
    CODE:006BD0F7                 mov     eax, [ebp+var_4]
    CODE:006BD0FA                 mov     byte ptr [eax+4], 0
    
     
    #1 neprovad, 11 Dec 2010
    Last edited by a moderator: 25 Aug 2011
    16 people like this.
  2. 547

    547 Active Member

    Joined:
    11 Oct 2009
    Messages:
    216
    Likes Received:
    105
    Reputations:
    50
    а почему именно ida pro использовал? почему не ollydbg?
     
  3. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    интерактивность + сигнатуры
     
  4. Karantin

    Karantin Elder - Старейшина

    Joined:
    21 Dec 2007
    Messages:
    330
    Likes Received:
    146
    Reputations:
    24
    На последнем билде не работает.

    Version 7.0
    Build 20110406
     
  5. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    Как раз на последнем и тестировалось, на всякий случай напомню что тут речь не о демо версии.
    2011_04_06_01_webvulnscan7.exe md5=4EE259F61F85FCFE09B54F5A9BA02733
     
  6. ficrowns

    ficrowns Member

    Joined:
    25 Mar 2009
    Messages:
    43
    Likes Received:
    5
    Reputations:
    4
    а после этого она нормально обновляется?
     
  7. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    Достаточно запустить программу и увидеть все воочию
     
    1 person likes this.
  8. ubi

    ubi Elder - Старейшина

    Joined:
    25 Dec 2009
    Messages:
    308
    Likes Received:
    76
    Reputations:
    19
    Не могу с офф сайта скачать последнюю версию, может кто выложит?

    2011_04_06_01_webvulnscan7.exe md5=4EE259F61F85FCFE09B54F5A9BA02733
     
  9. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    по ссылкам -курите ветку форума о пятой версии
    И доступ в закрытую часть сайта acunetix.com
    user:acunetixwvsfullv7 pass:AkfhkJS1B83qAZPA
     
    1 person likes this.
  10. Karantin

    Karantin Elder - Старейшина

    Joined:
    21 Dec 2007
    Messages:
    330
    Likes Received:
    146
    Reputations:
    24
    http://www.acunetix.com/download/fullver7/2011_04_06_01_webvulnscan7.exe

    последний билд, кряк пашет, tnx neprovad
     
    1 person likes this.
  11. bl4ck

    bl4ck New Member

    Joined:
    4 Apr 2011
    Messages:
    29
    Likes Received:
    3
    Reputations:
    0
    перезалейте пожайлуста кряк
     
  12. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    паттерны для патча

    Code:
    что ищем - что пишем
    75,0D,8B,45,FC,33,D2,89,50,10 - 90,90,8B,45,FC,33,D2,89,50,10;
    74,07,8B,45,FC,C6,40,04,00,8B,45,FC,8B,40,14,BA - EB,07,8B,45,FC,C6,40,04,00,8B,45,FC,8B,40,14,BA;
    03,45,F0,8B,55,F8,3B,42,58,74 - 03,45,F0,8B,55,F8,3B,42,58,EB;
    8B,DA,8B,F0,C6,46,04,00,C7,46,10,64,00,00,00,C7 - 8B,DA,8B,F0,C6,46,04,01,C7,46,10,00,00,00,00,C7;
    
     
    1 person likes this.
  13. tmt0086

    tmt0086 New Member

    Joined:
    14 May 2011
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    А может кто выложить файлы отредактированые? Спасибо
     
  14. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    А кто вам мешает самостоятельно отредактировать? информация для размышления есть в теме - дерзайте.
     
  15. tmt0086

    tmt0086 New Member

    Joined:
    14 May 2011
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Я понимаю, что вы понимаете дизассемблеры.. Но я увы нет (но попробовал :D ) вместо ida pro я поставил ollydbg (и им файл даже открыть не могу wvs.exe) И из-за этого я попросил выложить файлы отредактированые.. Дизассемблерская среда сложная для меня(

    //Устное предупреждение. Тут не варезник
     
    #15 tmt0086, 21 May 2011
    Last edited by a moderator: 21 May 2011
  16. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    tmt0086, статус новичка не дает вам какого-то особого права ссылаться на свое незнание темы, читайте, разбирайтесь, задавайте вопросы по теме. На грамотные вопросы всегда найдутся желающие ответить, а на "сложная для меня" будут только негативные эмоции. Начните с малого, например цикл статей "крекинг с нуля"
    http://wasm.ru/series.php?sid=17
     
    2 people like this.
  17. tmt0086

    tmt0086 New Member

    Joined:
    14 May 2011
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Спасибо за темку, буду учиться =)
     
  18. PabloPicasso

    PabloPicasso Banned

    Joined:
    2 Jan 2010
    Messages:
    88
    Likes Received:
    32
    Reputations:
    16
    спасибо, последнюю тоже патчит :)
    линк: http://www.acunetix.com/download/fullver7/2011_05_18_01_webvulnscan7.exe
     
    #18 PabloPicasso, 23 May 2011
    Last edited: 23 May 2011
    1 person likes this.
  19. sn0w

    sn0w Статус пользователя:

    Joined:
    26 Jul 2005
    Messages:
    1,023
    Likes Received:
    1,309
    Reputations:
    327
    да хрень там защита, онж даже не запротекчен, по сему - антидебаг - дельта по gettickcount, еще crc модулей, элементарно бряк на мессагебокс
     
  20. sn0w

    sn0w Статус пользователя:

    Joined:
    26 Jul 2005
    Messages:
    1,023
    Likes Received:
    1,309
    Reputations:
    327
    потому что не пакнута и удобно кроссреференсами пользоваться
     
Thread Status:
Not open for further replies.