eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июня!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› olly и онлайн авторизация
Посл.ответ Сообщение

Ранг: 2.6 (гость)
Статус: Участник

Создано: 22 сентября 2013 17:14 New!
Цитата · Личное сообщение · #1

Здравствуйте,

Есть программа, написанная на дельфи. Для корректной работы программы, она должна пройти авторизацию онлайн. Как обойти эту пакость используя olly?

Что сделано:
1) Программа была запакована Themid'ой, удалось распаковать. Спасибо LCF-AT.
2) Пытался отследить код, отправляющий пакеты на сервер + wireshark. Увы, опыта не хватает.

Надеюсь на конструктивную критику и хоть какие-нибудь советы!

Заранее, Спасибо!

Ранг: 80.8 (постоянный)
Статус: Участник

Создано: 22 сентября 2013 17:26 New!
Цитата · Личное сообщение · #2

Сам файл выложи

Ранг: 2.6 (гость)
Статус: Участник

Создано: 22 сентября 2013 17:40 New!
Цитата · Личное сообщение · #3

http://rghost.ru/48905942

Ранг: 80.8 (постоянный)
Статус: Участник

Создано: 22 сентября 2013 17:46 New!
Цитата · Личное сообщение · #4

erchess
У тебя файл не правильно распакован
Дай тот файл который не запакованный

Ранг: 2.6 (гость)
Статус: Участник

Создано: 22 сентября 2013 17:49 New!
Цитата · Личное сообщение · #5

На winXP все отлично запускается и работает. На win7 не хочет работать.
Вот оригинальная версия:
http://rghost.ru/48906212


Ранг: 468.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 22 сентября 2013 18:13 · Поправил: KingSise New!
Цитата · Личное сообщение · #6

erchess пишет:
2) Пытался отследить код, отправляющий пакеты на сервер + wireshark. Увы, опыта не хватает. Надеюсь на конструктивную критику и хоть какие-нибудь советы!


попробовать поставить бряки на следующие функции пробовал?

WININET.dll:HttpQueryInfoW
WININET.dll:HttpSendRequestW
WININET.dll:HttpAddRequestHeadersW
WININET.dll:HttpOpenRequestW
WININET.dll:InternetConnectW
WININET.dll:InternetOpenW
WININET.dll:InternetReadFile
WININET.dll:FtpGetFileA
WININET.dll:FtpPutFileA
WININET.dll:FtpCommandW
WININET.dll:FtpGetFileW
WININET.dll:FtpPutFileW
WININET.dll:FtpGetFileEx
WININET.dll:FtpPutFileEx
WININET.dll:GopherOpenFileA
urlmon.dll:URLDownloadToFileA
urlmon.dll:URLDownloadToFileW


А вообще твоя программа использует wshockdll/ wshock32.dll

Так что бряки на следующих функциях:
bind, connect, send, recv, WSARecvEx, TransmitFile и так далее

Ранг: 118.0 (ветеран)
Статус: Участник

Создано: 22 сентября 2013 18:18 New!
Цитата · Личное сообщение · #7

Mishar_Hacker
неполучится у тебя наверное распаковать правильно, версия прота одна из самых новых, фиксить макросы и другие фишки заепёшься, лучше лодырь написать или эмуль сервера

Ранг: 80.8 (постоянный)
Статус: Участник

Создано: 22 сентября 2013 18:20 New!
Цитата · Личное сообщение · #8

Jaa
Согласен Вот что я накопал

erchess

oep: 004D57AC

ImpRec
IAT_START: 004F7D10
IAT_END: 004F8800
IAT_SIZE: 00000AF0


Oreans Virtual Machine References, item 8
Address=00539488
Disassembly=JMP zz_SCY.00AD58AB

Oreans Virtual Machine References, item 11
Address=00600E32
Disassembly=JMP zz_SCY.00ADB4A8

Oreans Virtual Machine References, item 7
Address=0052AA6F
Disassembly=JMP zz_SCY.00AD1E54

Oreans Virtual Machine References, item 6
Address=0052A9EF
Disassembly=JMP zz_SCY.00ACCA64

Oreans Virtual Machine References, item 5
Address=0052A6A6
Disassembly=JMP zz_SCY.00AC89D2

Oreans Virtual Machine References, item 4
Address=0052A60D
Disassembly=JMP zz_SCY.00AC59BB

Ранг: 2.6 (гость)
Статус: Участник

Создано: 22 сентября 2013 18:23 New!
Цитата · Личное сообщение · #9

Jaa пишет:
неполучится у тебя наверное распаковать правильно, версия прота одна из самых новых, фиксить макросы и другие фишки заепёшься, лучше лодырь написать или эмуль сервера

Я как то распаковал, на xp все работает, запускается, пакеты отсылает.
Mishar_Hacker пишет:
oep: 004D57AC

ImpRec
IAT_START: 004F7D10
IAT_END: 004F8800
IAT_SIZE: 00000AF0

Да, именно так я и распаковал программу, разве этого не достаточно?

Ранг: 80.8 (постоянный)
Статус: Участник

Создано: 22 сентября 2013 18:29 New!
Цитата · Личное сообщение · #10

erchess
На других компах не будет работать я думаю но я еще учусь если я не прав поправьте меня

Ранг: 2.6 (гость)
Статус: Участник

Создано: 22 сентября 2013 18:32 · Поправил: erchess New!
Цитата · Личное сообщение · #11

KingSise пишет:
А вообще твоя программа использует wshockdll/ wshock32.dll

Так что бряки на следующих функциях:
bind, connect, send, recv, WSARecvEx, TransmitFile и так далее

Поставил бряк на wsock32.socket, после определенного количества итераций дохожу до инструкции sysenter, после выполнения которой wireshark отлавливает пакеты. Как найти сообщение, которое программа отправляет?

Ранг: 80.8 (постоянный)
Статус: Участник

Создано: 22 сентября 2013 18:44 New!
Цитата · Личное сообщение · #12

erchess
Тут не ванги
Думаю не кто помочь не сможет (Тут пинают за такое Сам по себе знаю)
Закрывай тему лучше
Всем спасибо
С Уважением Mishar_Hacker

Ранг: 118.0 (ветеран)
Статус: Участник

Создано: 22 сентября 2013 18:49 New!
Цитата · Личное сообщение · #13

erchess пишет:
Да, именно так я и распаковал программу, разве этого не достаточно?

ты б почитал сначало про Themida/WinLicense подробнее, а потом бы выводы делал (антидамп, макросы и т д)
 eXeL@B —› Вопросы новичков —› olly и онлайн авторизация

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS