Изощренные методы проверки даты

Попалась мне програмка, точнее комплекс, стоимостью 9млн рубликов защита которой основана на хешах.
Состоит примерно из 15 модулей, в файле с лицензией есть хеш для каждого модуля. Место, где прога насилует хеши я нашел, а разбираться долго... ладно отошел немного от топика.
Как я понял прога получает текущую дату, хеширует и сравнивает с тем, что в файле. Но никак не могу отловить то место, где эта дата получается. Функции типа getsystemtime, gettickcount, filetimetosystemtime не использует.
Есть фарианты, что она берет дату из реестра или дату изменения какого-нть файла, но это тоже не то... А может и напрямую с нтдлл работает (главный модуль в виде сервиса).
Хотелось бы обсудить кто с какими проверками сталкивался.

 

можно получить дату из переменной окружения %DATE%

 

PIMAGE_FILE_HEADER->TimeDateStamp;

 

KiNDeR
А %DATE% динамически обновляется или только при загрузке?

nester7
По-моему это немного не то, ты имеешь в виду PE заголовок?

All
Возможно ли получение даты из сервиса (драйвера) напрямую из биос, т.е. в обход системных библиотек? Как можно отловить это? Или можно, например, выдрать часть кода из kernel32.dll (GetSystemTime) и ntdll и работать с ядром чтобы получить дату? Как еще можно ее получить не затрагивая железо?
Может есть универсальный метод отловить гада? У меня есть вариант попробовать использовать Windbg (ненавижу его). В нем есть замечательный плагин по слежению за АПИ вызовами на удаленной машине. Сегодня попробую и напишу.

 

скорее динамически, т.к. у меня комп не вырубается уже 211 суток, а скрипты с использованием %DATE% работают нормально...

 

gloomyraven

Не стыкуется - если ты понял, что происходит, то почему не можешь понять - где это происходит? Интуиция?

 

crypto
Смотри: Понять защиту можно как ты сказал интуитивно. Ведь есть файл с хешами, который читается при старте сервиса, есть дата... Если дату менять, то сервис не грузится (найти место где именно он не грузиться почти нереально, там видимо неявные проверки). Я нашел место, где открывается файл с лицензиями(ловится элементарно на CreateFileA). Недалеко от этого места есть функция, которая в цикле берет каждую из 15 хешей и производит с ними математические операции. Разбираться с чем именно сравниваются эти хеши можно, но долго, я думаю есть более простой способ. И этот способ заключается в нахождении места, где получается дата.

 

KiNDeR
Можешь описать поподробнее схему получения даты через %DATE%. Я имею в виду с точки зрения системы, т.е. какие ф-ии используются, где что хранится?

 

ну самый очевидный способ это:

Код (Text):

1. GetEnvironmentVariable(lpBUFFER, "DATE", sizeof.lpBUFFER)

 

gloomyraven
Место считывания даты может быть, например, зашифровано в тех кусках кода, которые ты не смотрел. Это можно выяснить, если либо подебужить файл до умопомрачения, либо дизасмить его в IDA и понять общую идею (такие куски довольно быстро определяются).
ЗЫ
Там не технология FlexLM случайно используется?

 

crypto
Насчет флехЛМ не знаю, но если дизасмить, то многое не показывается, наверное шифрованный...

Выкидываю ехешник, кому не лень посмотреть. Файл с лицензиями называется "licenses".
http://webfile.ru/1557883
пароль: 12345

 

Думаю решение лежит на поверхности... не стоило так глубоко копать, я уж собирался ставить хуки на нативАПИ. Нашел место, где вроде че-то с датами делается. Посмотрел импорт: MSVCRT.DLL!localtime и еще пара похожих ф-ий. Только пока не могу найти документацию по ф-иям из MSVCRT... Никто не знает?

 

И разве эта библиотека не использует kernel32?

 

Пардон по поводу глупого вопроса о MSVCRT нашел все в MSDN`е Но что-то мне не верится, что в продукте ТАКОЙ стоимости могли тупо проверять дату с использованием run time dll... без шифрования и защиты от отладки...

 

gloomyraven

Я бы тебе мог привести пример дорогого комплекса (скажем, стартовая цена за 1 лицензию 250 килобаксов), который можно было без труда либо кракнуть, либо сгенерить лицензию. Так что, не бери в голову, иногда вся эта безумная математика и обилие кода висит на одной-двух соплях, которые разработчики просто не могут себе представить (они же в код не залазят )))))

 

crypto
В принципе согласен с тобой, что если делают такой дорогой софт, то не для публичного использования, а для того, чтобы впарить его какой-нибудь компании на заказ и все. И защита у такого ПО будет условной...

 

думаю, что если нет больше предложений по сабжу кроме переменных окружения и стандартных функций, то тему можно и закрыть...

 

хм... посетила мысль... по мотивам башорга... создать файл, и посмотреть дату создания. Это в первом приближении, для повышенной замороченности дату создания файла можно смотреть не предназначенными для этого API, а вручную открыть раздел как файл, проанализировать бутсектор и т.д, добраться до каталога - ну, короче, вручную. Не уверен, что для НТФС это будет просто, но для фат16/32 - вполне реализуемо за короткий срок, и при этом никаких апи, связанных с датой, употребляться не будет, только CreateFile и ReadFile.

 

еще например можно смотреть дату изменения файла какого-нить (например pagefile.sys).

 

Stariy

Эта мысль боян.