Боремся с платными jar-архивами

Рунет уже несколько  лет кряду пещрит всевозможными средствами  быстрого обогащения. Одним из подобных способов является использование платных архивов. В принципе, ничего зазорного в использовании подобных инструментов я не вижу, если, конечно, не злоупотреблять этим. Для разработчиков и писателей данный способ является едва ли не единственным средством гарантированного заработка. Пользователь качает контент и на распаковке предлагает купить его отправкой СМС с телефонного номера. Я сам так зарабатывал на своих книгах, беря за них 50 рублей. Очень удобно.

Но когда алчные до чужих денег люди начинают сходить с ума,  назначая за ворованные объекты авторского права суммы от 500  и более рублей, то уж невольно вспомнишь о своей профессии компьютерщика.

Лучше всего вламываются zip-архивы. Гораздо сложнее rar. То взломать все же их можно. Однако, с вашего позволения, я оставлю пока данные архиваторы на следующую статью. А пока займемся тем, что меня удивило –платные java приложения для телефонов.

Мой младший двоюродный брат однажды скачал из сети  игрушку под названием God of War 2. При установке она потребовала отправить СМС на короткий номер. Как программиста, меня заинтересовал способ запаковки.

Итак, что такое jar? Это всего лишь архив, в который собираются все компоненты java приложения. И открыть его можно через WinRar или 7zip.

 Ломаем запороленный jar-архив

Так выглядят внутренности jar-файла

Мы видим набор различных файлов.  Нас интересует файл  aplicationc.class. В нем и находится  алгоритм сравнения введенного кода. Но оставим его пока на потом.  На скриншоте явно бросается в глаза текстовый файл p.txt. Не задумываясь, откроем его.

В нем оказывается всего одна строчка, содержащая набор цифр- 43122. Судя по всему, это и есть наш пароль от архива. Почему я так решил? Пароль должен назначаться человеком, разместившем платный архив.  Данный архиватор весьма примитивен и считывает содержимое данного пароля из текстового файла.

Но не будем рисковать. Вместо этого используем утилиту jad. Для любителей окошек скажу сразу, что она консольная.  Но использовать ее крайне просто.

Что делает эта программа? Она восстанавливает исходный код java class. Т.е. мы будем иметь исходный код самой программы.

Давайте закинем jad в директорию с распакованной игрой. Теперь нажмем сочетание клавиш Win+R, что повлечет за собой запуск окна выполнить (Run). Забъем в его поле CMD и нажмем Enter. Должна появиться консоль с командной строкой.

Введите там команду CD путь с архивом.

Теперь сделайте примерно то же, что и на моем скриншоте:

 Взлом запороленного архива

И нажмите Enter. Jad запустится и пропарсит файл, а в текущей диреткории появится файл aplicationc.jad. Это как раз  и есть интересующие нас сорцы. Для удобства заменим расширение jad на java. Откроем файл либо блокнотом, либо  Notepad++. Это редактор кода с подсветкой. Он бесплатен.

Я использовал Notepad++. Откроем наш файл и сразу же вобьем в поле Найти наши цифры, обнаруженные ранее и жмем кнопку «Искать далее». Редактор тут  же найдет данную строку.

 Взлом  запороленного jar-архива

 

Как видите, в 38 строке есть оператор if, сравнивающий  пароль и устанавливающий true (истину) приложению. Говоря русским языком, это означает, что программе нравится наш пароль.

Со спокойной совестью вводим пароль в окно архиватора и жмет далее. Игра  спокойно установится на телефон. Можно играть J

Файла с паролем может и не быть. Данный архиватор просто очень слабенький. В этом случае нам поможет jad и классы джава из  архива. Там ищем операторы сравнения.

С наилучшими пожеланиями,

                                                                                                                 Вячеслав Головлев


Рубрика: Хакинг

Комментарии

2 коммент. на “Боремся с платными jar-архивами”
  1. некит:

    а где скачать этот jad?

    • Вячеслав "VeGA" Головлев:

      Выложу у себя на блоге в этой статье. Но только чуточку позже. Сейчас нет времени им заниматься

Добавить комментарий

Внимание! Не будут добавляться комментарии в виде откровенного спама или прямого анкора на свои сайты. Все спамеры будут передаваться в базу Akismet

Подтвердите, что Вы не бот — выберите человечка с поднятой рукой: