BabVanga писал(а):
87289858
_jashur_ писал(а):
86335292Я дико извеняюсь, но меня одного напрягает, что патч на мове?
Нет, ты не единственный кого это напрягает, я закрыл патчер и удалил этот сони вегас на всякий случай
Меня тоже мягко говоря смутило (скорее напугало), особенно открывающаяся в браузере страничка при использовании патчера.
Провел небольшой анализ, решил поделиться со всеми (мало ли я что-то не увидел).
Файл патчера был собран через Inno Setup. Пытаться распаковать будем его через Inno Setup Unpacker (утилиту можно найти на sourceforge).
Команда на "распаковать все":
innounp.exe -x -m -dout "MAGIX VEGAS Pro v20.0 patch.exe"
Далее встречаем интересное сообщение: "Type in a password (empty string to quit)", которое означает, что установщик дополнительно защищен паролем и просто так узнать что внутри не выйдет.
В этом случае можем воспользоваться функцией распаковки только кода, без содержимого архива
innounp.exe -x -m -dout "MAGIX VEGAS Pro v20.0 patch.exe" embedded\CompiledCode.bin
Выгружается одноименный файл. Пока что он тоже нечитабелен и достать из него что-то просто так нельзя. Тут применяем еще одну утилиту Inno Setup Decompiler. Эту утилиту найти уже чуть сложнее. Я брал с гитхаба. Найти можно по запросу:
"Inno Setup Decompiler" "isdsetup.1.5.exe.zip"
Софтина имеет GUI. Нажимаем File->Open compilled code и далее выбираем файлик CompiledCode.bin, который получили на шаге ранее. Получим паскаль код.
В целом можно ковырять код и в самом Inno Setup Decompiler, но можно выгрузить в отдельный файл, так гораздо удобнее. Для этого File>Export Decompiled Code.
Получим файл .pas. В нем уже и будем искать пароль.
Пароль формируется в функции CURPAGECHANGED2 как gvar_5[25]+gvar_5[30]+gvar_5[45]+GETDATETIMESTRING(v_14, v_13, v_12)
gvar_5 - это массив символов от A до z, который задается в функции INITIALIZESETUP2.
В общем пароль тут Zet0. Заодно можно другой код посмотреть. Как раз тут лежит ссылка, открытие которой меня смутило.
Возвращаемся на шаг, где у нас запрашивали пароль, вводим. И получаем содержимое архива, с которым работает инсталлятор и инструкции. Там ресурсы (локализации), 2 dll, nircmd.exe, который выполняет команды в фоне. Сами команды:
скрытый текст
Код:
nircmd inisetval "c:\ProgramData\VEGAS\VEGAS_Pro_20\installation.ini" "Serial" "string" "P3-75354-23984-39776-76863-17635-01404"
nircmd inisetval "c:\ProgramData\VEGAS\VEGAS_Pro_20\installation.ini" "VersionUnlock" "NumberOfStarts" "0"
nircmd inisetval "c:\ProgramData\VEGAS\VEGAS_Pro_20\installation.ini" "VersionUnlock" "DontShowNagBox" "1"
nircmd inisetval "c:\ProgramData\VEGAS\VEGAS_Pro_20\installation.ini" "VersionUnlock" "IsRegisteredUser" "1"
nircmd inisetval "c:\ProgramData\VEGAS\VEGAS_Pro_20\installation.ini" "VersionUnlock" "UserEMail" "uBusHTShXjdIakxgck01PRO5nuh8YfF4BDS17GWS/So3BnxxO66uwQ3meU0PEMwM"
nircmd inisetval "c:\ProgramData\VEGAS\DVD_Architect_Pro_7\installation.ini" "Serial" "string" "P3-77020-98979-63411-51090-66867-08191"
nircmd inisetval "c:\ProgramData\VEGAS\DVD_Architect_Pro_7\installation.ini" "VersionUnlock" "NumberOfStarts" "0"
nircmd inisetval "c:\ProgramData\VEGAS\DVD_Architect_Pro_7\installation.ini" "VersionUnlock" "DontShowNagBox" "1"
nircmd inisetval "c:\ProgramData\VEGAS\DVD_Architect_Pro_7\installation.ini" "VersionUnlock" "IsRegisteredUser" "1"
nircmd inisetval "c:\ProgramData\VEGAS\DVD_Architect_Pro_7\installation.ini" "VersionUnlock" "UserEMail" "uBusHTShXjdIakxgck01PRO5nuh8YfF4BDS17GWS/So3BnxxO66uwQ3meU0PEMwM"
И install_script.iss:
скрытый текст
Код:
[Files]
Source: "{app}\Protein\Protein_x64.4.2.dll"; DestDir: "{app}\Protein"; MinVersion: 0.0,6.01 Service Pack 1; Flags: overwritereadonly ignoreversion
Source: "{app}\vegas200.exe.local\wintrust.dll"; DestDir: "{app}\vegas200.exe.local"; MinVersion: 0.0,6.01 Service Pack 1; Flags: overwritereadonly ignoreversion
Source: "{tmp}\nircmd.cmd"; DestDir: "{tmp}"; MinVersion: 0.0,6.01 Service Pack 1; Flags: deleteafterinstall
Source: "{tmp}\nircmd.exe"; DestDir: "{tmp}"; MinVersion: 0.0,6.01 Service Pack 1; Flags: deleteafterinstall
[Dirs]
Name: "{app}\vegas200.exe.local";
[Registry]
Root: HKLM; Subkey: "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"; ValueName: "DevOverrideEnable"; ValueType: Dword; ValueData: "$1"; MinVersion: 0.0,6.01 Service Pack 1;
[Run]
Filename: "{tmp}\nircmd.cmd"; MinVersion: 0.0,6.01 Service Pack 1;
Лично я не нашел ничего опасного, но код на паскале довольно сложный, возможно что-то пропустил. На поиск пароля потратил n количество времени. Надеюсь кого-то успокоит, кому-то поможет.
