eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Помогите снять Obsidium.
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 7.3 (гость)
Статус: Участник

Создано: 9 декабря 2007 22:44 New!
Цитата · Личное сообщение · #1

Привет всем ! В запросах на взлом я оставляла сообщение о программе ServiceMP v3.321 hxxp://www.shark-media.ru/files_2/shark_m/Servicemp.zip
Триал 30 дней. PEiD сказал, что там Obsidium.
В предыдущей версии 3.29 я смогла сделать всё сама, прочитав всего одну статью про IceLicense. Я использовала лоадер который в местах вызова OnTrialExpired и прочих не хороших функциях делал прыжок на код OnRegistered. Найти IceLicense помогла dede.
Что касается этой версии, то вынуждена признать, что эта защита кажется мне очень сильной. Я нашла всего одну статью на хакер.ру, прочитав её поняла, что мои шансы нулевые. Я новичок во всём этом, обратилась сюда в надежде на помощь.
Если кто-то может дать совет или указать на хорошие статьи, которые понятны будут новичку и помогут самостоятельно снять протектор, или ткнуть носом и подсказать пошагово, как сделать самостоятельно – буду очень благодарна.
Так же буду, благодарна, если кто-то даст готовую программу, к тому же знаю, что она уже есть.


Ранг: 88.4 (постоянный)
Статус: Участник

Создано: 11 декабря 2007 19:31 New!
Цитата · Личное сообщение · #2

Maximus
Да я восстанавливаю импорт Импреком он и определяет RestoreLastError. Но не в этом суть я так и не могу не как сделать работаюший дамп. Он падает в самых разных местах и не понятно по какой причине. Вроде всё правильно делаю.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 12 декабря 2007 04:46 New!
Цитата · Личное сообщение · #3

Maximus пишет:
Однако пафка облажался.

Обезьянка прежде чем вякнуть что нить прочит внимательно о чем пишут

Ранг: 7.3 (гость)
Статус: Участник

Создано: 12 декабря 2007 19:22 New!
Цитата · Личное сообщение · #4

Простите за долгое молчание. Для меня это всё ново и работа двигается медленно. С огромным трудом мне удалось разобраться с восстановлением импорта. Так же удалось сделать дамп.
К сожалению, программа не заработала. При загрузке она выдаёт ошибку доступа по адресу 00000000.

Ошибка происходит тут:
00408E4F call 00408E08 ; <jmp.&user32.CreateWindowExA>
Причём первый раз функция отрабатывает правильно, а вот на второй происходит ошибка.

Параметры передаваемые в функцию:

ExtStyle = WS_EX_CONTROLPARENT
Class = "TForm31"
WindowName = "Form31"
Style = WS_POPUP|WS_CLIPSIBLINGS|WS_CLIPCHILDREN
X = 146 (326.)
Y = 187 (391.)
Width = 140 (320.)
Height = F0 (240.)
hParent = 005203C2 ('my3dumped_',class='TApplication')
hMenu = NULL
hInst = 00400000
lParam = NULL


У меня уже не хватает сил и понимания причины ошибки. Я долго её пыталась обойти, но ничего у меня не получается. Помогите мне пожалуйста !

Ссылка на дамп: dump.ru/files/n/n6121887093/


Ранг: 88.4 (постоянный)
Статус: Участник

Создано: 12 декабря 2007 19:41 New!
Цитата · Личное сообщение · #5

Насколько я понял эта ошибка выходит из - за того, что происходит показ нага с надписью незарегистрировано, а это значит что где то до этого происходит вызов API обсидиума.


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 12 декабря 2007 21:22 New!
Цитата · Личное сообщение · #6

У меня ошибка та же. Не пойму в чём дело. Может кто то более квалифицированный подскажет ?
Кстати, KingSise ты же сделал, что там у тебя, как обошел это место ? Если в твоём дампе подправить импорт - эта ошибка тоже присутствует.

Ранг: 260.2 (наставник)
Статус: Участник

Создано: 12 декабря 2007 21:53 New!
Цитата · Личное сообщение · #7

ToBad
выложи дамп..


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 12 декабря 2007 22:13 New!
Цитата · Личное сообщение · #8

sniperZ пишет:
выложи дамп..


amira420.narod.ru/sm.rar

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 13 декабря 2007 05:34 New!
Цитата · Личное сообщение · #9

Yani пишет:
Для меня это всё ново и работа двигается медленно. С огромным трудом мне удалось разобраться с восстановлением импорта. Так же удалось сделать дамп.
К сожалению, программа не заработала. При загрузке она выдаёт ошибку доступа по адресу 00000000.

Нормально все Обсид все же не UPX
1. Посмотри конструкции
push XXXXXXXX
call --jmp dword tr ds:[ в выделеную память]
мусор
push XXXXXXXX
call --jmp dword tr ds:[ в выделеную память]
если есть ,то это покриптованые куски Если есть и сама не разберешься дам скрипт

Ранг: 7.3 (гость)
Статус: Участник

Создано: 13 декабря 2007 14:24 New!
Цитата · Личное сообщение · #10

pavka пишет:
­ Посмотри конструкции

­
­ Искала в коде по маскам:
­ 68 ?? ?? ?? ?? E8
­ 68 ?? ?? ?? ?? EB
­ Ничего подозрительного не нашла.
­ Может тут нет таких мест и дело не в этом ?
­
­ pavka пишет:
­ Если есть и сама не разберешься дам скрипт

­
­ А скрипт найдёт их сам или нужно указывать эти места ?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 13 декабря 2007 14:45 New!
Цитата · Личное сообщение · #11

Yani
Сделай маску 68 ?? ?? ?? ?? FF15 ????????
Yani пишет:
Может тут нет таких мест и дело не в этом ?

Скорей всего в этом ;)
и еще у тебя
0000 012E2084
? 0000 012E2091
? 0000 012E209E
? 0000 012E20AB
? 0000 012E20B8
? 0000 012E20C5
? 0000 012E20D2
? 0000 012E20DF
? 0000 012E20EC
Это видимо апи обсида кроме разделителей и пустышек
Найди все ссылки на них FF25XXXXX и понаставь на них бряки а там смотри по коду где то достачно просто в eax 1 записать где то подсунуть имя ..
Спокойно осмотри код не спеши большую часть сделала остались мелочи

Ранг: 7.3 (гость)
Статус: Участник

Создано: 16 декабря 2007 12:39 New!
Цитата · Личное сообщение · #12

С ошибкой в дампе при инициализации TForm31 (splash) разобраться не удалось. Я ставила бряки на вызовы АПИ функции прота и они происходят уже после. Если топать от оеп то сперва эта ошибка, а потом уже первый вызов АПИ прота. Возможно это из-за неправильного дампа. Может с ресурсами что ? Как этот дамп заставить работать ?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 16 декабря 2007 14:20 New!
Цитата · Личное сообщение · #13

Yani пишет:
Может с ресурсами что ?

Ресурсы можно просто проверить Открыть в любом редакторе и посмотреть ! Хотя если код не пермещен вряд ли ресурсы! Bозможно с импортом выложи трее посмотреть
а на предмет такого кода из самог обсида взял смотрела?
0040291C 68 8F0A0000 PUSH 0A8F
00402921 FF15 E2E06400 CALL DWORD PTR DS:[64E0E2]
00402927 1C B0 SBB AL,0B0
00402929 E8 E4803A0F CALL 0F7AAA12
0040292E 0F0E FEMMS
00402930 215D 13 AND DWORD PTR SS:[EBP+13],EBX
00402933 4E DEC ESI
00402934 F4 HLT ; Privileged command

или
004053DC 68 89140000 PUSH 1489
004053E1 E8 2F1FFAFF CALL 003A7315
004053E6 46 INC ESI
004053E7 11F5 ADC EBP,ESI
004053E9 62A9 DA175B50 BOUND EBP,QWORD PTR DS:[ECX+505B17DA]
004053EF 5B POP EBX
004053F0 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 22 декабря 2007 15:29 New!
Цитата · Личное сообщение · #14

Посмотрел этот файлик мне скрипт выдал вот что кроме импорта:
5f9a64- getreginfo
5f9a6c-getID
5f9a74-getRegistred
5f9a7с-gettrialdays
5f9a8c-gettrialmode
5f9a84 и 5f9a94 - не известные но используются для регистрации (Type10)
Я изменил getregistred на xor eax,eax, inc eax, ret
А gettrialdays на на xor eax,eax, mov ax, 029a, ret
-Получил вечный триал на дампе
Если патчить GetTrialMode на xor eax,eax, inc eax, ret -то получаем Registred to USER и кучу ошибок
при обращении к памяти на 00380000
Можно ли прикрепить этот кусок к дампу или заставить виртуалаллок выделить память ниже
секций файла(в принципе не сложно но будет ли работать?)
И еще небольшая проблемка
при анализе файла олька доходит до секции ресурсов и выдает ошибку нет доступа
даже если поставить мемори фул аксесс
Кто нить может сказать почему это происходит?
И что делать с куском памяти по 00380000?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 22 декабря 2007 16:23 New!
Цитата · Личное сообщение · #15

Nightshade пишет:
И что делать с куском памяти по 00380000?

все что хочешь можешь прицепить к дампу перебив ссылки в секции кода и в куске памяти пересчитай с учетом релокации а лучще восстановить код
Посмотри скорей всего это или покриптованые куски кода
pushxxxxxxxx
call dword ptr ds:[alloc]
или проэмуленые
pushxxxxxxxx
call alloc


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 22 декабря 2007 20:42 · Поправил: Nightshade New!
Цитата · Личное сообщение · #16

VaZeR
0 003AE410 ? 0000 012E18AB -Это FreeResource


Ранг: 88.4 (постоянный)
Статус: Участник

Создано: 22 декабря 2007 21:30 New!
Цитата · Личное сообщение · #17

Nightshade
Спасибо.
при анализе файла олька доходит до секции ресурсов и выдает ошибку нет доступа
это происходит из за того что у тебя дамп не перестроенный. т.е. обсидиум объединил все секции в одну кроме ресурсов и сверху уже приделал свои. У меня дамп перестоиный и я удалил все секции протектора. Он у меня нормально анализируется нет некаких проблем. Те адреса 00380000 это покриптованые куски. Если там дампить то придется дампить не один регион.


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 22 декабря 2007 21:56 New!
Цитата · Личное сообщение · #18

Так и не понял что за кусок лежит по адресу 744382, но если на нем
вписать JMP SHORT 007443F4 то получаем полностью рабочую версию зарегистрированную
на USER и не выдающую ошибок
P S: В старых версиях ServiceMP паковали аспром так вот его было и то сложнее снимать
ИМХО обсидиум лажа по сравнению с апром

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 22 декабря 2007 22:03 New!
Цитата · Личное сообщение · #19

Nightshade пишет:
ИМХО обсидиум лажа по сравнению с апром

с такими опциями как ты снимаешь любой лох снимет за пару секунд прочитав статью БитХака
Есть желания дам тебе прогу покрытую с нормальными опциями сними?


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 23 декабря 2007 00:03 New!
Цитата · Личное сообщение · #20

pavka Если ты можешь снять Обсидиум с такими опциями за пару секунд то чтож не снял?
Обсидиум у меня и самого есть и файл я и сам с любыми опциями накрою.
Аспр я снимал с макс опциями и на изучение этого у меня ушла не одна неделя
А этот файл я расковырял за 3 дня хотя обсидиум ковырял первый раз-
отсюда и такие выводы
А вот то что у меня получилось:
slil.ru/25272791

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 23 декабря 2007 06:52 New!
Цитата · Личное сообщение · #21

Nightshade пишет:
отсюда и такие выводы

Выводы глупые все до одного

Ранг: 3.5 (гость)
Статус: Участник

Создано: 24 декабря 2007 00:09 · Поправил: Deletant New!
Цитата · Личное сообщение · #22

А вот то что у меня получилось:
[url=http://slil.ru/25272791

]http://slil.ru/25272791[/c]
[/url]

Отлично все работает

Ранг: -0.3 (нарушитель)
Статус: Участник

Создано: 7 сентября 2017 02:08 New!
Цитата · Личное сообщение · #23

Выложите пожалуйста кто нибудь рабочую ссылку на кряк или хотя бы подскажите как сделать вечный триал в ServiceMP или ServiceMY, предупреждаю сразу, я полный ноль в этом деле, просто прошерстил весь интернет в поисках лекарства для этих программ, пока не наткнулся на ваш форум! ребята на вас последняя надежда!!! ремонт мобильной техники мое хобби, профессионально этим не занимаюсь, поэтому приобрести сей продукт нет ни смысла ни возможности, буду благодарен всем откликнувшимся за любую помощь!


Ранг: 471.2 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 7 сентября 2017 02:20 · Поправил: plutos New!
Цитата · Личное сообщение · #24

Olejek85 пишет:
я полный ноль в этом деле


значит дорога тебе лежит сюда => https://exelab.ru/f/index.php?action=vthread&forum=2&topic=24716&page=4

кряки здесь не роздают.

| Сообщение посчитали полезным: Gideon Vi



Ранг: 1111.5 (!!!!)
Статус: Участник

Создано: 7 сентября 2017 02:28 New!
Цитата · Личное сообщение · #25

Olejek85 пишет:
ремонт мобильной техники мое хобби, профессионально этим не занимаюсь


так не бывает. Any way, триал обсида чистится trashreg.

| Сообщение посчитали полезным: plutos


Ранг: 70.3 (постоянный)
Статус: Участник

Создано: 7 сентября 2017 03:07 · Поправил: sefkrd New!
Цитата · Личное сообщение · #26

Gideon Vi пишет:
так не бывает

Бывает.. Сам такой.
Программный ремонт, раскирпичивание..

Хотя:
Olejek85 пишет:
профессионально этим не занимаюсь

зачем тогда вам нужен ServiceMP, ServiceMY.
Раз это хобби, и вы возмОжно на этом не зарабатываете - зачем вам учет??


Ранг: 581.6 (!)
Статус: Модератор
Research & Development

Создано: 7 сентября 2017 04:13 New!
Цитата · Личное сообщение · #27

Olejek85
Нарушение п.3 правил форума.
В запросы!

Не стоит убеждать, что программа ServiceMY, работающая с базой данных магазина и имеющая фунционал кассы, предназначенная для автоматизации работы сервис-центра (мастерской) и магазина, нужна исключительно для хобби.
<< . 1 . 2 .
 eXeL@B —› Протекторы —› Помогите снять Obsidium.
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS