Набор статей и руководств по дизассемблеру IDA

             

Reversing IDA 4.01 Watermarked protection scheme


Written by Tsehp

Введение

Прежде всего я должен предупредить Вас: не ошибитесь в моих истинных намерениях. Основной целью статьи было исследование системы защиты этого замечательного инструмента, а не помощь в его распространении по Сети.

Nolan Blender обнаружил, что IDA 4.01 встраивает Ваши регистрационные данные в базы .IDB точно так же, как они вставлялись в .ASM и .LST; этого можно избежать, если Вы измените IDA.KEY и IDA.WLL.  Я научился удалить все водяные знаки в IDA 4.01 и после их полного удаления описанным в данной статье методом выполнил побайтное сравнение созданных баз .IDB с аналогичными же базами, созданными моей лицензионной копией IDA, где все водяные знаки сохранены.  В результате не было обнаружено НИКАКИХ РАЗЛИЧИЙ, так что, если Вы захотите воспользоваться моими советами, Ваша частная информация может оказаться в полной безопасности.

Для выполнения этой работы Вам понадобится обычная копия IDA 4.01, которая содержит внутри себя многочисленные водяные знаки.  В данной статье я не раскрою Вам всех секретов, поэтому кое-что из них в программе все же останется.  Этот инструмент является обязательным орудием любого серьезного исследователя, и он должен развиваться авторами, а они заслуживают тех денег, которых эта программа стоит.

С чем же мы будем иметь дело?  Ваше регистрационное имя в зашифрованном виде помещается в IDA.KEY, и IDA постоянно использует его для проверки легальности выполнения тех или иных функций.  Часть секций данных всех ее *.W32 модулей зашифрованы уникальным ключом, сгенерированным специально для Вашей копии программы, это же справедливо для основной библиотеки IDA.WLL и всех загрузчиков *.LDW.  Остальная часть программы не изменяется.
 
 

Необходимые инструменты

Softice 4.01
Nt_Icedump 1.6
Procdump 1.6.2
Шестнадцатеричный редактор с возможностью побитного сравнения файлов (hex workshop)
Одна лицензионная копия IDA 4.01 (для выполнения этого исследования) или 2 лицензионные копии для проверки наличия водяных знаков.
 
 

URL/FTP исследуемой программы

<

Содержание раздела