Ок, подумал я, сейчас скачаем и посмотрим что из себя представляет эта база и как они вымогают смс. Тут уже включился спортивный интерес.
Для начала, размер архива оказался всего 311Мб, что меня немного насторожило, но если почитать на сайте, то можно сделать вывод, тут только ФИО, телефоны и адреса без паспортных данных. Ну и может оно пожато так круто.
Итак, архив скачан, развернут и экзешник запущен в сандбоксе. Что же мы видим, а сразу вот такое окно с просьбой ввести свой номер телефона:
Чтож не хочет программа работать по хорошему, будем использовать подход по плохому.
Первое, что делаем, это смотрим на PE заголовок каким нибудь анализатором, в поисках протекторов, так как такие мошенники любят накладывать что нибуть типа ASPack.
Запускаем StudPE подгружаем экзешник и идем в раздел Signatures. И видим следующую картинку:
Чтож, это упрощает работу.
Теперь нам нужен декомпиллер Delphi и называется он Dede, скачать его можно например отсюда.
Запускаем dede и натравливаем его на исполняемый фаил phone-a.exe. Соглашаемся со всеми анализаторами и смиренно ждем пока идет анализ.
В итоге мы видим следующую картину:
Идем в раздел Procedures. Форм немного так что можно их просто просмотреть глазами.
Необходимая кнопка нашлась, форме под названием TForm3 и обработчик этой кнопки назывался Button1Click.
Теперь пора запустить отладчик и посмотреть как обрабатывается нажатие кнопки.
Запускаем IDA, загружаем туда исполняемый фаил phone-a.exe. Нажимаем кнопочку G(от слова GOTO) и вводим туда адрес, который мы нашли выше.
Оказываемся именно тот код, который мы видели в dede. Ставим туда бряпоинт и нажимем F9. Программа без проблем запускается, введем в поле "Регистрационный ключ" что нибудь типа 1234567890 нажмем "Зарегистрироваться" и тут же выполнение программы остановится на брякпоинте.
BINGO!
Потрассируем немножко, чтобы поймать окошко в котором напишут, что Регистрационный ключ не верен. И это не заставит себя ждать, немного ниже будет виден call и вилка и если она идет по зеленой ветке, то появляется окошко с уведомлением об неправильном ключе.
Проверим, перезапустим программу, зайдем в "Меню" и нажмем "Регистрация", должно показатся что то типа такого:
А никак не генерится, введеные в окно данные просто сравниваются с числом 98287, это и есть статичный "Регистрационный ключ", если удалить фаил Auth.dat и снова запустить программу, то она попросит снова зарегистрироваться, если ввести цифры 98287, то регистрация будет успешна.
Вот и вся защита для вымогания смс.
В любом случае я сделал вывод, что программа "Сотовый телефонный справочник Мегафона" не рабочий и является фейком, на сайте указанно, что последнее обновление баз данных был 8 января 2013 года, но пройдясь по всем номерам моих знакомых которые на мегафоне, не было ни одного совпадения, а я проверил порядка 30 номеров. Скорей всего остальные базы данных Мтс, Билайн и т.д., так же фейковые, мне просто проверять уже лень. Весь развод расчитан на обычных не сведующих пользователей. Размер базы данных подобран так, чтобы и качать его было несложно.
Надеюсь моя инфа защитит ваши кошельки от мошенников такого типа.
По больше бы таких "разборов полета". Грац bearchik !
ОтветитьУдалитьДа не вопрос, не люблю такие разводы, была бы программа рабочая, в принципе адекватных денег не особа жалко, а когда развод идет, то на это есть пролетарский деббагер и дизассемблер :)
ОтветитьУдалитьСлушай, не мог бы ты написать автобиографический пост? Думаю всем читателям твоего блога, да и мне в том числе хочется узнать по больше о тебе =). Где работаешь? Асм это хобби или работа? Какие языки еще знаешь? Ну и т.д.
ОтветитьУдалитьЯ подумаю на эту тему, но не уверен, что это стоит целого поста. Пробьет меня на философию и размышления по какому либо поводу, заодно вставлю часть своей биографии.
ОтветитьУдалить