Хочу я в общем заломать данную порогу, но не получаеццо...

Порога эта для для восстановления USB Flash Drive...

Скачать можно тут www.filerecoverytools.com/download/f_recovery_sd.zip

Порога сама по себе небольшая, меньше метра, запакована аспром, написана на дэлфи... Снимается стрипером... Ограничения состоит в том, что порога ничего на диск не сохраняет...


кусок события при нажетии на кнопочку зарегить:

|
00497B8C E803CEF6FF call 00404994
00497B91 50 push eax

|
00497B92 E8BD34FFFF call 0048B054
00497B97 84C0 test al, al
00497B99 7462 jz 00497BFD
00497B9B 6A40 push $40

* Possible String Reference to: 'Registration'
|
00497B9D 68407C4900 push $00497C40

* Possible String Reference to: 'Thank you for your registration!'
|
00497BA2 68507C4900 push $00497C50
00497BA7 8BC3 mov eax, ebx

Отсюда (00497B97 84C0 test al, al ) видно, что в ал должна быть единичка...

можно конечно зайти в процедуру, подпатчить.... получить сообщения что бы якобы зарегены, но это мало что даст, не хочет файлы записывать на диск...

Если кликнуть на кнопочку старт (начать сканирование) то в событии есть еще одна проверка на зарегинность:

00496953 E8B447FFFF call 0048B10C
00496958 84C0 test al, al
0049695A 7422 jz 0049697E


Тут нам тоже нужно еденичку получить... Получили. Но данные не сохраняет...

Может кто с программкой поможет? Я однозначно где то туплю, чувствую что рядом хожу, но истенную проверку найти не могу...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise
а что других прог для восстановления данных не существует?
вот например Handy Recovery весит гдето метра 2, восстанавливает с hdd, usb, ищет потерянные разделы, быстро работает... и ломается легко

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler, да я так, поиграться просто взял... Мне еще ни разу ничено с СД восстанавливать не приходилось...

Смотрел порогу то?

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Памарел... (не дай бог комунить эту прогу купить )

Вопщема процедура проверки у мня туд:

0048B10C /$ 53 PUSH EBX
0048B10D |. 33DB XOR EBX,EBX
0048B10F |. 833D 50C14A00>CMP DWORD PTR DS:[4AC150],0
0048B116 |. 74 26 JE SHORT _f_recov.0048B13E
0048B118 |. 833D 54C14A00>CMP DWORD PTR DS:[4AC154],0
0048B11F |. 74 1D JE SHORT _f_recov.0048B13E
0048B121 |. A1 50C14A00 MOV EAX,DWORD PTR DS:[4AC150]
0048B126 |. E8 6998F7FF CALL _f_recov.00404994
0048B12B |. 50 PUSH EAX
0048B12C |. A1 54C14A00 MOV EAX,DWORD PTR DS:[4AC154]
0048B131 |. E8 5E98F7FF CALL _f_recov.00404994
0048B136 |. 50 PUSH EAX ; |hModule
0048B137 |. E8 10FFFFFF CALL <JMP.&kernel32.GetProcAddress> ; \GetProcAddress
0048B13C |. 8BD8 MOV EBX,EAX
0048B13E |> 8BC3 MOV EAX,EBX
0048B140 |. 5B POP EBX
0048B141 \. C3 RETN

Я первые 2 строчки заменил на:

mov al, 1
retn


После этого она мне даже в окне написала что зарегана, но файлы так и не восстанавливает сволочь

Кстати она их во время сканирования или после должна восстанавливать?

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler пишет:
0048B13C |. 8BD8 MOV EBX,EAX
0048B13E |> 8BC3 MOV EAX,EBX


| Сообщение посчитали полезным:

ну не я ж ее писал
делфи - сила!

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler пишет:
Кстати она их во время сканирования или после должна восстанавливать?

Дык, поидее не восстанавливает, покрайней мере ни один бряк на

K:CreateFileA
K:CreateFileW
K:OpenFile
K:OpenFileMappingA
K:OpenFileMappingW
K:CopyFileA
K:CopyFileW
K:CopyFileExA
K:CopyFileExW
K:MoveFileA
K:MoveFileW
K:MoveFileExA
K:MoveFileExW
K:DeleteFileA
K:DeleteFileW

Не сработал... Один раз случайно какой то переход поменял выше или ниже этого 00496DA2 адресса, брякнулся на создании файла в %temp%

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

depler пишет:
Я первые 2 строчки заменил на:

mov al, 1
retn

Ну это я еще в первом посте писал, менял правда вот так (привычка):

xor al,al
inc al
ret

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise
У мня бряки на CreateFileA срабатывают тока когда он поиск начинает.
Может там ф-я самим аспром нденить зашифрована? хотя ниче не заметил

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler, не, аспром там ничего не пошифрованно...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise
Я так прям мельком прогу глянул:
KingSise пишет:
00497B8C E803CEF6FF call 00404994
00497B91 50 push eax
00497B92 E8BD34FFFF call 0048B054
00497B97 84C0 test al, al
00497B99 7462 jz 00497BFD <---------------если переход не работает,то ключ принимается и заносится в реестр


KingSise пишет:
00496953 E8B447FFFF call 0048B10C
00496958 84C0 test al, al
0049695A 7422 jz 0049697E <--------- а это срабатывает не только при нажатии на кнопку старт,но и при запуске проги.
Вообщем стандартная конструкция наебалова проги.Первой функой заставляем её принять ключ,а второй даём ей "понять" что ключ считываемый при запуске правильный.Впринципе всё должно работать.Я понимаю,что ты это и без меня знаешь и клоню к тому,что надо ждать окончания сканирования.Походу прога после полного сканирования будет восстанавливать файлы.Я подождал 10 минут и забил на неё.

| Сообщение посчитали полезным:

Djeck пишет:
Я подождал 10 минут и забил на неё

Я реально ждал, файлы она не восстанавливает... Она вообще ничего не делает, ищет себе что то.... У меня с цыфровиком карточка шла, на 16 Мб, вобщем я ее не юзал никогда, а вот сеячас пригодилась, т.к. маленикая, ждать недолго... Так вот, порога и там 6 фоток нашла!

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise ты знаешь чё сделай.Ставь бряк на FindFirstFileA,запускай сканирование,прога на каждом найденном файле будет тормозиться вот здесь:
00408FA2 |. 50 PUSH EAX ; |FileName
00408FA3 |. E8 B4DBFFFF CALL <JMP.&kernel32.FindFirstFileA> ; \FindFirstFileA
00408FA8 |. 83F8 FF CMP EAX,-1
00408FAB 74 34 JE SHORT _f_recov.00408FE1
00408FAD |. 50 PUSH EAX ; /hSearch
00408FAE |. E8 91DBFFFF CALL <JMP.&kernel32.FindClose> ; \FindClose
00408FB3 |. F685 B4FEFFFF>TEST BYTE PTR SS:[EBP-14C],10
00408FBA |. 75 25 JNZ SHORT _f_recov.00408FE1
00408FBC |. 8D45 F4 LEA EAX,DWORD PTR SS:[EBP-C]
00408FBF |. 50 PUSH EAX ; /pLocalFileTime
00408FC0 |. 8D85 C8FEFFFF LEA EAX,DWORD PTR SS:[EBP-138] ; |
00408FC6 |. 50 PUSH EAX ; |pFileTime
00408FC7 |. E8 70DBFFFF CALL <JMP.&kernel32.FileTimeToLocalFileT>; \FileTimeToLocalFileTime
00408FCC |. 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4]
00408FCF |. 50 PUSH EAX ; /pDOSTime
00408FD0 |. 8D45 FE LEA EAX,DWORD PTR SS:[EBP-2] ; |
00408FD3 |. 50 PUSH EAX ; |pDOSDate
00408FD4 |. 8D45 F4 LEA EAX,DWORD PTR SS:[EBP-C] ; |
00408FD7 |. 50 PUSH EAX ; |pFileTime
00408FD8 |. E8 57DBFFFF CALL <JMP.&kernel32.FileTimeToDosDateTim>; \FileTimeToDosDateTime
00408FDD |. 85C0 TEST EAX,EAX
00408FDF |. 75 07 JNZ SHORT _f_recov.00408FE8
00408FE1 |> C745 FC FFFFF>MOV DWORD PTR SS:[EBP-4],-1
00408FE8 |> 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
00408FEB |. 5B POP EBX
00408FEC |. 8BE5 MOV ESP,EBP
00408FEE |. 5D POP EBP
00408FEF \. C3 RETN
По RETN выйдешь сюда:
00496D8A . 84C0 TEST AL,AL
00496D8C 74 03 JE SHORT _f_recov.00496D91
00496D8E . FF45 E4 INC DWORD PTR SS:[EBP-1C]
00496D91 > 84C0 TEST AL,AL
00496D93 74 09 JE SHORT _f_recov.00496D9E
00496D95 . 817D E4 A0860>CMP DWORD PTR SS:[EBP-1C],186A0
00496D9C ^ 7E B8 JLE SHORT _f_recov.00496D56
00496D9E > 84C0 TEST AL,AL
00496DA0 74 39 JE SHORT _f_recov.00496DDB
00496DA2 . 6A 00 PUSH 0 ; /Arg1 = 00000000
00496DA4 . 8D45 84 LEA EAX,DWORD PTR SS:[EBP-7C] ; |
00496DA7 . 50 PUSH EAX ; |/Arg1
00496DA8 . 8B45 C0 MOV EAX,DWORD PTR SS:[EBP-40] ; ||
00496DAB . 8945 94 MOV DWORD PTR SS:[EBP-6C],EAX ; ||
00496DAE . C645 98 0B MOV BYTE PTR SS:[EBP-68],0B ; ||
00496DB2 . 8D55 94 LEA EDX,DWORD PTR SS:[EBP-6C] ; ||
00496DB5 . 33C9 XOR ECX,ECX ; ||
00496DB7 . B8 1C714900 MOV EAX,_f_recov.0049711C ; ||ASCII "File %s already exists. Do you want to overwrite it?"
00496DBC . E8 C32DF7FF CALL _f_recov.00409B84 ; |\_f_recov.00409B84
00496DC1 . 8B45 84 MOV EAX,DWORD PTR SS:[EBP-7C] ; |
00496DC4 . 66:8B0D 54714>MOV CX,WORD PTR DS:[497154] ; |
00496DCB . B2 03 MOV DL,3 ; |
00496DCD . E8 1E9AFAFF CALL _f_recov.004407F0 ; \_f_recov.004407F0
00496DD2 . 83F8 07 CMP EAX,7
00496DD5 . 75 04 JNZ SHORT _f_recov.00496DDB
00496DD7 . C645 B9 00 MOV BYTE PTR SS:[EBP-47],0
00496DDB > 807D B9 00 CMP BYTE PTR SS:[EBP-47],0
00496DDF 74 52 JE SHORT _f_recov.00496E33
00496DE1 . E9 53000000 JMP _f_recov.00496E39
Вообщем как я понял-эта шняга находит файл с расширением bmp,jpeg и проверяет не существует ли такой файл на диске.Если существует то спрашивает перезаписать или нет.Потом смотрит закончено ли сканирование или нет.Если да,то останавливаемся,если сканирование не закончено,то всё начинается по кругу.Теперь думаем:допустим прога находит картинку.Нах она спрашивает:"Файл существует,перезаписать?".Наверное до этого она где-то должна сохранять найденные файлы.Впринципе этот кусок не очень большой я примерно нашёл нужный переходик,но меня вот чё смутило-обрати внимание скоко там нулей.меня это немного смущает.
KingSise пишет:
Она вообще ничего не делает, ищет себе что то
Может быть это муляж?Ну как пустые обвёртки от шоколадок в магазине

| Сообщение посчитали полезным:

Djeck пишет:
Нах она спрашивает:"Файл существует,перезаписать?".

с этим я тоже экспеременитровал... Однако без результатно... Незаписываеццо...

Djeck пишет:
Может быть это муляж?Ну как пустые обвёртки от шоколадок в магазине
Очень похоже на правду... Но зачем тогда такой изврат с регистрацией, проверкой?

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Посмотрели с битом.
KingSise пишет:
depler, не, аспром там ничего не пошифрованно...
откуда такая уверенность ?
00498159 2950 F4 SUB DWORD PTR [EAX-C], EDX
- а это что?

В общем без ключа там нечего делать.

| Сообщение посчитали полезным:

А можно узнать, как определять, пошифровано аспром что-нибудь или нет?

| Сообщение посчитали полезным:

tempread пишет:
А можно узнать, как определять, пошифровано аспром что-нибудь или нет?
я не искал такого метода, но самый простой, это находим переход на апи аспра, а далее просматриваем ссылки на остальные переходы, рядом стоящие и то, что возле них, например после такой ссылки, как в данном случае, будит переход через закриптованный код.

| Сообщение посчитали полезным:

tempread пишет:
как определять, пошифровано аспром что-нибудь или нет?
В общем случае--потрейсить аспр и посмотреть, пытается ли он что-то расшифровывать

| Сообщение посчитали полезным:

ev1l_4
+1
Обычно начало процедуры нормальное,где то 5-6 инструкций,потом условный,ниже либо вызов,либо прыжок в код протектора,остальной код в гавно.
0048B13C |. 8BD8 MOV EBX,EAX
0048B13E |> 8BC3 MOV EAX,EBX
На статикноп похоже.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

KingSise пишет:
Очень похоже на правду... Но зачем тогда такой изврат с регистрацией, проверкой?
Но можеть быть автор просто вырезал функу восстановления,а регистрацию не стал.Мне кажется восстановления там нету,всё уже перерыл.Хотя может и аспр прикалывается

| Сообщение посчитали полезным:

Решил поискать релиз на download-crack-serial.com...
Нашол... Скачал... И упал под стол

--> crack <-- http://download-crack-serial.com/software-crack.php?id=103096

Could you make a crack for these software? Please i need your help.


Видать никто так и не заломал... А программка все же хорошая, но покупать влом... Уж очень интересно что за фоты на обсалютно новой карточке...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Bronco
ev1l_4
Искать проще всего так: берёте анпакер.ехе после стриппа, пихаете в иду, переходите на GetProcAddress и ищите референсы, осматриваете место вызова, если GetProcAddress идёт сравнение и ещё одна функа, а после неё "непонятный код", то без ключа ничего не сделать. Будет хоть какой-нибудь ключ, будет анпак.

| Сообщение посчитали полезным:

004981DA 50 PUSH EAX
004981DB E8 742EFFFF CALL f_recove.0048B054 <- CheckKeyAndDecrypt
004981E0 A1 E0C14A00 MOV EAX,DWORD PTR DS:[4AC1E0]
...
aspr api
0048B044 $- FF25 F4D84A00 JMP DWORD PTR DS:[<GetRegistrationInformation>]
0048B04A 8BC0 MOV EAX,EAX
0048B04C $- FF25 F0D84A00 JMP DWORD PTR DS:[<CheckKey>]
0048B052 8BC0 MOV EAX,EAX
0048B054 $- FF25 ECD84A00 JMP DWORD PTR DS:[<CheckKeyAndDecrypt>]
0048B05A 8BC0 MOV EAX,EAX
0048B05C .- FF25 E8D84A00 JMP DWORD PTR DS:[<GetModeInformation>]
0048B062 8BC0 MOV EAX,EAX
0048B064 $- FF25 E4D84A00 JMP DWORD PTR DS:[<GetHardwareID>]

вливайтесь) помоему без ключа ничё не сделаешь

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

0044D71C $- E9 525C0B00 JMP f_recove.00503373
ниже идет покриптованный кусок, так что Hellspawn прав...

| Сообщение посчитали полезным:

если аспирин ASProtect_SKE но не выше ASProtect_SKE_2.3.05.14_beta - можно восстановить ЕС (достаточно быстро ) и соответственно получить декриптовку куска/кусков кода, те. получить полностью функциональную программу.
восстановить ЕС можно через содержимое Т-структуры, а потом - лоадером поправить необходимое.

| Сообщение посчитали полезным:

DMD пишет:
можно восстановить ЕС (достаточно быстро ) и соответственно получить декриптовку куска/кусков кода, те. получить полностью функциональную программу.
восстановить ЕС можно через содержимое Т-структуры, а потом - лоадером поправить необходимое.
А у самого нет желания сделать задуманное?
DMD просто эта прога имхо того не стоит

| Сообщение посчитали полезным:

>>>А программка все же хорошая, но покупать влом...

MediaUndelete 2.0
www.filerecoverytools.com/mediaundelete/

MediaUndelete объединяет в себе все утилиты этого производителя!

RapidShare (Setup+EXE, на случай если меняли дистриб):
_http://rapidshare.com/files/65282646/mediaundelete.2.0.full.incl.cracked.exe-rev.rar.html

Cracked.EXE Only:
_http://www.revenge-crew.com/page=archive&letter=m
MediaUndelete 2.0 - 2006.02.06 - Cracked.EXE - lord_Phoenix

| Сообщение посчитали полезным:

Mercyful пишет:
RapidShare (Setup+EXE, на случай если меняли дистриб):
_http://rapidshare.com/files/65282646/mediaundelete.2.0.full.incl.crac ked.exe-rev.rar.html

Находит что то, но ничего не восстанавливает, как впринцепе и стоило ожидать...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

В программе LikeRusXp была та же самая ситуация, когда не сохранялись данные. Причина была в том, что, при вводе регистрационного кода, дополнительно раскриптовывалась часть кода, связанная с сохранением данных. Без ключа - это просто мусорный код. Одним из вариантов решения этой проблемы - дописать свой код, для реализации функции сохранения данных.

| Сообщение посчитали полезным:

KingSise
согласен странно, что нам не писали по поводу неработоспособности релиза...
возможно вопрос решится другим путём ;)

DMD
там не ске...

| Сообщение посчитали полезным: