Reversing IDA 4.01 Watermarked protection scheme
Written by Tsehp
Введение |
Прежде всего я должен предупредить Вас: не ошибитесь в моих истинных намерениях. Основной целью статьи было исследование системы защиты этого замечательного инструмента, а не помощь в его распространении по Сети.
Nolan Blender обнаружил, что IDA 4.01 встраивает Ваши регистрационные данные в базы .IDB точно так же, как они вставлялись в .ASM и .LST; этого можно избежать, если Вы измените IDA.KEY и IDA.WLL. Я научился удалить все водяные знаки в IDA 4.01 и после их полного удаления описанным в данной статье методом выполнил побайтное сравнение созданных баз .IDB с аналогичными же базами, созданными моей лицензионной копией IDA, где все водяные знаки сохранены. В результате не было обнаружено НИКАКИХ РАЗЛИЧИЙ, так что, если Вы захотите воспользоваться моими советами, Ваша частная информация может оказаться в полной безопасности.
Для выполнения этой работы Вам понадобится обычная копия IDA 4.01, которая содержит внутри себя многочисленные водяные знаки. В данной статье я не раскрою Вам всех секретов, поэтому кое-что из них в программе все же останется. Этот инструмент является обязательным орудием любого серьезного исследователя, и он должен развиваться авторами, а они заслуживают тех денег, которых эта программа стоит.
С чем же мы будем иметь дело? Ваше регистрационное имя в зашифрованном виде помещается в IDA.KEY, и IDA постоянно использует его для проверки легальности выполнения тех или иных функций. Часть секций данных всех ее *.W32 модулей зашифрованы уникальным ключом, сгенерированным специально для Вашей копии программы, это же справедливо для основной библиотеки IDA.WLL и всех загрузчиков *.LDW. Остальная часть программы не изменяется.
Необходимые инструменты |
Softice 4.01
Nt_Icedump 1.6
Procdump 1.6.2
Шестнадцатеричный редактор с возможностью побитного сравнения файлов (hex workshop)
Одна лицензионная копия IDA 4.01 (для выполнения этого исследования) или 2 лицензионные копии для проверки наличия водяных знаков.
URL/FTP исследуемой программы |