Русский / Russian English / Английский

Сейчас на форуме: ar2r, r0lka (+6 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Крэки, обсуждения —› Нужна помощь в взломе программки ThaiTreiner.Share
Посл.ответ Сообщение

Ранг: 0.1 (гость)
Статус: Участник

Создано: 21 февраля 2005 22:13 New!
Цитата · Личное сообщение · #1

Распаковать получилось, но вот дальше - затык. Похоже проверка на шароварность идет при запуске, но где - не пойму. Подскажите где копать, уже дело принципа.
домашний урл у нее такой: thaitrainer111.com/Progr/THAI-all.EXE


Ранг: 1288.1 (!!!!)
Статус: Модератор

Создано: 21 февраля 2005 22:24 New!
Цитата · Личное сообщение · #2

10.01 MB (10500528 байт)

Ранг: 88.0 (постоянный)
Статус: Участник

Создано: 21 февраля 2005 22:42 New!
Цитата · Личное сообщение · #3

golkanavt пишет:
Подскажите где копать

Где прога ключ из реестра(или из ini-файла) берёт там и ищи.

Ранг: 495.3 (мудрец)
Статус: Участник

Создано: 22 февраля 2005 09:07 · Поправил: Bitfry New!
Цитата · Личное сообщение · #4

Ara пишет:
10.01 MB (10500528 байт)

Thai-Learning-Program with sound
А зачем нам кузнец...

golkanavt
Ты бы exe'шник выложил.

Ранг: 0.1 (гость)
Статус: Участник

Создано: 22 февраля 2005 10:30 New!
Цитата · Личное сообщение · #5

звиняюсь, сейчас будет экзешник.
в том то и дело что не обращается она к реестру, в файлах тоже никаких ключей нет
распакованный exe: diablo.bel.ru/files/_tt111-33.exe
а также в аттаче

{ Атач доступен только для участников форума }

Ранг: 0.1 (гость)
Статус: Участник

Создано: 22 февраля 2005 20:17 New!
Цитата · Личное сообщение · #6

что можете подсказать по следующему коду?
* Possible StringData Ref from Code Obj ->" USER NAME: "
                                  |
:004025EF 68341D4200              push 00421D34
:004025F4 680C5F4200              push 00425F0C
:004025F9 FF1550644200            call dword ptr [00426450]

* Possible StringData Ref from Code Obj ->" NUMBER OF REGISTRATION: "
                                  |
:004025FF 68481D4200              push 00421D48
:00402604 68105F4200              push 00425F10
:00402609 FF1550644200            call dword ptr [00426450]
:0040260F FF35F05E4200            push dword ptr [00425EF0]
:00402615 68145F4200              push 00425F14
:0040261A FF1550644200            call dword ptr [00426450]
в частности, что значит строка:
call dword ptr [00426450]
? мне кажется что это определение глобальных переменных, если можно это так назвать, но как проследить где они в дальнейшем используются? адрес 00426450 находится вне адресного пространства этой программы.

Ранг: 21.3 (новичок)
Статус: Участник

Создано: 22 февраля 2005 20:42 New!
Цитата · Личное сообщение · #7

call dword ptr [00426450] - это значит, что вызывается код,
адрес которого лежит по адресу 426450

Ранг: 21.3 (новичок)
Статус: Участник

Создано: 22 февраля 2005 20:43 New!
Цитата · Личное сообщение · #8

т.е если по адресу 426450h лежат циферки 22h 33h 44h 00h
то вызовется код по адресу 443322h

Ранг: 0.1 (гость)
Статус: Участник

Создано: 22 февраля 2005 22:19 New!
Цитата · Личное сообщение · #9

адрес 00426450 находится вне адресного пространства этой программы.

Ранг: 21.3 (новичок)
Статус: Участник

Создано: 22 февраля 2005 22:29 New!
Цитата · Личное сообщение · #10

golkanavt
то, что windasm по этому адресу ничего не показывает еще ничего не значит, смотри под отладчиком


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 22 февраля 2005 22:34 New!
Цитата · Личное сообщение · #11

golkanavt пишет:
адрес 00426450 находится вне адресного пространства этой программы.

а по твоему адресное пространство программы это секция кода чтоли ? =)))

Ранг: 0.1 (гость)
Статус: Участник

Создано: 23 февраля 2005 08:41 New!
Цитата · Личное сообщение · #12

сайс по этому адресу показывает только какие то вещественные числа с плав. точкой, мне они ни о чем не говорят

Ранг: 495.3 (мудрец)
Статус: Участник

Создано: 23 февраля 2005 10:53 · Поправил: Bitfry New!
Цитата · Личное сообщение · #13

golkanavt пишет:
только какие то вещественные числа с плав. точкой

Глюконавт,
тут exe'шника мало, сколько весит gfawin23.ocx ?
Правка:
Я уже скачал саму прогу.

Ранг: 495.3 (мудрец)
Статус: Участник

Создано: 23 февраля 2005 12:09 New!
Цитата · Личное сообщение · #14

golkanavt Ты ломаешь прогу защищённую Аспром, и ждёшь от неё нормальных адресов. А ты не пробовал посмотреть что там?
 EAX=FFDFFC50   EBX=FFDFF000   ECX=00009272   EDX=00000000   ESI=8054A6A0                                               
EDI=8054A900   EBP=80541F50   ESP=80541F44   EIP=806CEFAA   o d I s z A p C                                            
CS=0008   DS=0023   SS=0010   ES=0023   FS=0030   GS=0000                                                              
─────TT111-33!.data+2450────────────────────────────────────────────── ────────────────────dword─────────────PROT───(0)─
0010:00426450 18067F73  18067F63  1807B8D8  1807B8AC      s..c......м...                                             
0010:00426460 1806CB20  1806CBA0  1806CC20  1806CCD0       ...а... .......                                             
0010:00426470 1806CDA0  1806CDF0  1806CE40  1806CEA0      а.......@...а...                                             
0010:00426480 1806CF00  18043084  18043187  180431DC      ....Д0..З1...1..                                             
0010:00426490 180431F1  1804575B  18045899  180456FB      .1..[W..ЩX...V..                                             
0010:004264A0 1804580D  180432A7  18043209  180432F8      .X..з2...2...2..                                             
0010:004264B0 180431FC  1806CF70  18046D85  18043422      .1..p...Еm.."4..                                             
0010:004264C0 18043505  18043539  1804356D  1804376D      .5..95..m5..m7..                                             
0010:004264D0 180437B5  180437D5  180438FD  18043438      .7...7...8..84..                                             
0010:004264E0 18043498  180678AC  180678F8  1806AF20      Ш4..мx...x.. п..                                             
0010:004264F0 18043791  1804374C  18069BDD  18045350      С7..L7...Ы..PS..                                             
────────────────────────────────────────────────────────────────────── ───────────────────────────────────────────PROT32
0008:18067F73  53                  PUSH      EBX                                                                       
0008:18067F74  56                  PUSH      ESI                                                                       
0008:18067F75  8B742410            MOV       ESI,[ESP+10]                                                              
0008:18067F79  57                  PUSH      EDI                                                                       
0008:18067F7A  8B7C2410            MOV       EDI,[ESP+10]                                                              
0008:18067F7E  8B07                MOV       EAX,[EDI]                                                                 
0008:18067F80  3BC6                CMP       EAX,ESI                                                                   
0008:18067F82  0F84DC000000        JZ        18068064                                                                  
0008:18067F88  85F6                TEST      ESI,ESI                                                                   
0008:18067F8A  0F84C6000000        JZ        18068056                                                                  
0008:18067F90  8B4EFC              MOV       ECX,[ESI-04]                                                              
0008:18067F93  8BD9                MOV       EBX,ECX                                                                   
0008:18067F95  81E3FFFFFF0F        AND       EBX,0FFFFFFF                                                              
0008:18067F9B  85C9                TEST      ECX,ECX                                                                   
0008:18067F9D  7D60                JGE       18067FFF                                                                  
0008:18067F9F  85C0                TEST      EAX,EAX                                                                   
0008:18067FA1  7435                JZ        18067FD8                                                                  
0008:18067FA3  8B48FC              MOV       ECX,[EAX-04]                                                              
0008:18067FA6  83C124              ADD       ECX,24                                                                    
0008:18067FA9  8D5324              LEA       EDX,[EBX+24]                                                              
0008:18067FAC  33CA                XOR       ECX,EDX                                                                   
0008:18067FAE  F7C1E0FFFFFF        TEST      ECX,FFFFFFE0                                                              
0008:18067FB4  7518                JNZ       18067FCE                                                                  
0008:18067FB6  8D4B01              LEA       ECX,[EBX+01]                                                              
0008:18067FB9  8BD1                MOV       EDX,ECX                                                                   
0008:18067FBB  C1E902              SHR       ECX,02                                                                    
0008:18067FBE  8BF8                MOV       EDI,EAX                                                                   
0008:18067FC0  F3A5                REPZ MOVSD                                                                          
0008:18067FC2  8BCA                MOV       ECX,EDX                                                                   
0008:18067FC4  83E103              AND       ECX,03                                                                    
0008:18067FC7  F3A4                REPZ MOVSB                                                                          
0008:18067FC9  8958FC              MOV       [EAX-04],EBX                                                              
0008:18067FCC  EB26                JMP       18067FF4                                                                  
0008:18067FCE  8BC8                MOV       ECX,EAX                                                                   
0008:18067FD0  E8FBF4FFFF          CALL      180674D0                                                                  
0008:18067FD5  832700              AND       DWORD PTR [EDI],00                                                        
0008:18067FD8  8BCB                MOV       ECX,EBX                                                                   
(DISPATCH)-KTEB(8054A6A0)-TID(0000)─GfaWin23!.text+00066F73────────────────────────────────────────────────────────────

Ранг: 0.1 (гость)
Статус: Участник

Создано: 23 февраля 2005 15:47 New!
Цитата · Личное сообщение · #15

от Аспра я ее уже освободил
в аттаче моей мессаги выше именно распакованная версия, над ней и тружусь

Ранг: 0.1 (гость)
Статус: Участник

Создано: 23 февраля 2005 15:48 New!
Цитата · Личное сообщение · #16

GfaWin23.ocx - библиотека для работы со звуком, проверка не в ней

Ранг: 495.3 (мудрец)
Статус: Участник

Создано: 23 февраля 2005 16:13 New!
Цитата · Личное сообщение · #17

golkanavt
Без неё (ocx) прога не грузилась.
golkanavt пишет:
в аттаче моей мессаги выше именно распакованная версия, над ней и тружусь

И я взял этот файлик, и запустил, и получил по call [00426450] именно то, что в мессаге выше.

от Аспра я ее уже освободил
Распаковал, убрал защиту, но адреса то остались уродские - как и положено.

Ранг: 0.1 (гость)
Статус: Участник

Создано: 23 февраля 2005 17:05 New!
Цитата · Личное сообщение · #18

Bitfry
а подскажи, как найти где в коде используются переменные типа
* Possible StringData Ref from Code Obj ->" NUMBER OF REGISTRATION: " ?

Ранг: 0.1 (гость)
Статус: Участник

Создано: 28 февраля 2005 19:51 New!
Цитата · Личное сообщение · #19

похоже пора переносить тему в запросы на взлом. ладно, последняя попытка: мастера, подскажие хоть где там проверка на шарность идет, при запуске или же в глубине, т.е. при попытке запустить урок с номером больше 5? весь код при запуске урока уже перекопал, все подозрительные сравнения и джампы пробовал заменять но с ними прога сразу вываливается в эксепшн
 eXeL@B —› Крэки, обсуждения —› Нужна помощь в взломе программки ThaiTreiner.Share

Видеокурс ВЗЛОМ