Набор статей и руководств по дизассемблеру IDA


1. Защита IDA.KEY - часть 3



001B:1007786A  C605B4EE091007           MOV     BYTE PTR [1009EEB4],07


001B:10077871  C7054488081001000000     MOV     DWORD PTR [10088844],00000001


001B:1007787B  8BC3                     MOV     EAX,EBX

Если теперь выполнить "d esi", то получите Вашу регистрационную информацию.  Первая задача теперь состоит в том, чтобы поместить в IDA.KEY несколько байтов FF, чтобы удалить из него Ваши персональные данные.  Вы обнаружите соответствующие байты, виденные Вами ранее после выхода из readfile api, все остальные байты - не используются.  Этот участок кода вызывается до 5 раз, пока IDA все не расшифрует.  Для того, чтобы заставить IDA работать без "правильного "ключа", необходимо сделать 3 исправления.  Они приведены ниже.

Первый участок исправлений в  IDA.WLL

.text:1006A34E         jz      short loc_0_1006A36B


.text:1006A350         mov     eax, [eax+8]


.text:1006A353         mov     edx, dword_0_1009AA62


.text:1006A359         cmp     edx, 20h


.text:1006A35C         jge     short loc_0_1006A376 <- исправить на 'jmp'


.text:1006A35E         mov     ecx, edx


.text:1006A360         mov     edx, 1


.text:1006A365         shl     edx, cl


.text:1006A367         test    edx, eax




Начало  Назад  Вперед