Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 мая!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

   

GPcH Помогите с реверсингом Вот, один знакомый попросил помочь.


GPcH Помогите с реверсингом Вот, один знакомый попросил помочь.
Вообще прога нужна для поиска картинок в сети (каких прошу самим догадаться
Распаковывается встроенным в PEiD автораспаковщиком (в плагинах)
kanal пишет несколько шифроалгоритмов: base64, blowfish и т.д.
При изменении проги та выводит «General Error» на сплэш скрине,
вилдимо проверяется изменение секции кода, изменение остальных секций на
запуск проги не влияет.

Прога: Extreme Picture Finder
Скачать можно здесь (1Mb): http://www.exisoftware.co...hp/PictureFinderSetup.exe
Русификатор: http://www.exisoftware.co..._finder/lang/ru_setup.exe
Плагин для поиска более интересных картинок: http://www.exisoftware.co...hp/AdultPicturesSetup.exe

Кто чем поможет? Очень нужна ваша помощь - не могу найти обработчик CRC или ему подобный

PS: Прога написана на Delphi 7
DZmey :: GPcH пишет:
цитата:
Прога написана на Delphi


Если Делфи то ДеДе

Styx :: GPcH
Она хорошо ловится на hmemcpy. Я её правда не доломал, тока заставил признавать любой пасс когда триал кончился, т.е. каждый раз пасс ввдишь когда прога загружается.

Nitrogen :: ломал.
слышал, что в последних версиях была динамическая криптовка кусков кода.. не смотрел

WELL :: Nitrogen пишет:
цитата:
слышал, что в последних версиях была динамическая криптовка кусков кода


Круто видать проги такого рода защищают...

Ara :: Запакован кажется UPX’ом. По адресу 4b63d4 (в распакованном виде)-проверка введенного кода.Пишешь в HIEW’e
mov al,1
ret;
вводишь код и ВСЕ!Правда код придется при каждом запуске вводить.
Дальше лень копать-поздно!!

GPcH :: Ara пишет:
цитата:
Запакован кажется UPX’ом. По адресу 4b63d4 (в распакованном виде)-проверка введенного кода.Пишешь в HIEW’e
mov al,1
ret;
вводишь код и ВСЕ!Правда код придется при каждом запуске вводить.
Дальше лень копать-поздно!!


Спасибо огромное. Если не трудно - поясни, как ты до этой процы дошел и почему ее CRC не проверяется прогой.
Также, если не влом, посоветуй, где дальше копать? Хотя я думаю моему знакомому и этого хватить! Нечего веселые пикчуры с инета сливать, пора и ковер стирать ему после этих просмотров!

Styx :: GPcH
Я cделал как Ara и ловил на hmemcpy

Ara :: GPcH пишет:
цитата:
Если не трудно - поясни, как ты до этой процы дошел и почему ее CRC не проверяется прогой.
Также, если не влом, посоветуй, где дальше копать?


Как дошел до процедуры проверки кода:открыл распакованную прогу в Оле и смотрел Search for-›All referenced text strings
Попалась строка ASCII «MLT_REGISTER_THANK_YOU» - похоже, говорит спасибо за регистрацию.Загружается эта строка по адресу 519DD3.
Но так как у нас неверный код, на нее мы не попадем, а попадем чуть ниже, где ASCII «MLT_INVALID_KEY_GET_NEW1»
А попадаем отсюда-519D39
Смотрим:00519D32 CALL Dumped_.004B63D4 ‹-- Процедура проверки кода
00519D37 TEST AL,AL
00519D39 JE Dumped_.00519E05
Дальше я уже писал. А насчет CRC я что-то не понял - пакованная прога сразу запускается, а распакованная-просит регистрацию и все.
И почему-то пишут версии разные. Может это и есть из-за распаковки - веть размер файла поменялся.

Что дальше-сам сейчас копать буду - интересно стало. Я ее где-то в пол-четвертого ночи (утра) сегодня скачал, сразу посмотрел и что сразу нашел - написал.
Пока все это писал, посмотрел, что патченная прога записывает код в реестр, при перезапуске считывыет и проверяет, но не той процедурой, которую патчили, а какой-то другой.
Вот ее-то и надо найти и сделать с ней тоже самое. И еще с версиями интересно!!
Напиши в форум,что сам раскопал.

Ara :: Надо быстрее прогу добить, а то я сейчас увидел крякми№4 БэдГая, нужно попробывать на зуб...

Ara :: Распакованная прога код с реестра даже и не берет-вот тебе и CRC!

Mafia32 :: Вообщем, вот все, что я разрыл по этой проге.

1) при загрузке прога думает по поводу:
a) писать ли в caption’e окна про unreg. Это убирается заменой по адресу 50BA52 jnz на jz.
б) писать ли во вкладке «About», что она unreg и скока там осталось и вообще считать ли лимит. Это убирается так: на 511225 jnz на jz.
2) Теперь насчет ввода серийника. Выше кто-то писал, что там что-то патчить надо и т.п. У меня при патче адрес другой был. Я патчил здесь:
4B6625 - B801000000, короче mov eax,1. Можно и так, как писал Ara. Одно и то же.
После всех проделанных манипуляций получаем прогу, которая принимает любой СН. Trial снят. Но во вкладке About есть пункт «Order» и «Register». Можно ввести CH в этот пункт регистрации и нас поблагодорят за регистрацию и пункты пропадут. Во вкладке информации кнопок регистрации и заказа нет - они пропали после пункта 1. Но вот проблема:
окно информации пусто. Это потому, что в реестре о нас никакой инфы нет. Вот надо это отловить и вписать куда надо. Я этим щас занимаюсь. На этом и на убирании пункта «Register» взлом будет закончен.

GPcH :: Mafia32 пишет:
цитата:
Вообщем, вот все, что я разрыл по этой проге.

1) при загрузке прога думает по поводу:
a) писать ли в caption’e окна про unreg. Это убирается заменой по адресу 50BA52 jnz на jz.
б) писать ли во вкладке «About», что она unreg и скока там осталось и вообще считать ли лимит. Это убирается так: на 511225 jnz на jz.
2) Теперь насчет ввода серийника. Выше кто-то писал, что там что-то патчить надо и т.п. У меня при патче адрес другой был. Я патчил здесь:
4B6625 - B801000000, короче mov eax,1. Можно и так, как писал Ara. Одно и то же.
После всех проделанных манипуляций получаем прогу, которая принимает любой СН. Trial снят. Но во вкладке About есть пункт «Order» и «Register». Можно ввести CH в этот пункт регистрации и нас поблагодорят за регистрацию и пункты пропадут. Во вкладке информации кнопок регистрации и заказа нет - они пропали после пункта 1. Но вот проблема:
окно информации пусто. Это потому, что в реестре о нас никакой инфы нет. Вот надо это отловить и вписать куда надо. Я этим щас занимаюсь. На этом и на убирании пункта «Register» взлом будет закончен.


Спасибо огромное за помощь. Дай о себе знать, если доломаешь. У меня сейчас времени вообще в обрез, а то бы сам доделал

GPcH :: Mafia32 пишет:
цитата:
Вообщем, вот все, что я разрыл по этой проге.


Ничего не получилось с About’ом?

Mafia32 :: GPcH

Сейчас пока забросил ее. Через некоторое время опять возьму и уж до конца доделаю, а сейчас просто времени нет.






   
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS