| Сейчас на форуме: subword, rtsgreg1989, zds, _MBK_ (+6 невидимых) |
 |
eXeL@B —› Основной форум —› Обойти проверку звукового файла при запуске программы |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 17 ноября 2007 23:55 · Личное сообщение · #1 Господа!!! Имеется некая телефонная программа, одной из функций которой является то, что когда осуществлен дозвон до предприятия, т.е. берется трубка, производится проигрывание некого аудиофайла hiwave.msg. Стала задача изменить этот звуковой файл!!! Точнее заменить его с другой аудиоинформацией. Однако простой заменой файла задача не решилась. Программа выдает сообщение: файл отсутствует либо неверный формат. Даже попытка изменения «в ручную» любого байта в этом звуковом файле приводит к выводу сообщения об ошибке. Складывается впечатление, что программа осуществляет некую проверку файла по какому-либо критерию (контрольная сумма, или еще что-то на уровне байтов) Посоветуйте, что можно предпринять!!!! Программа написана в Дельфи, ничем не запакована. Попробовал декомпилировать DeDe, но коды выдаются в ассемблеровском виде. Та же ситуация при декомпилировании в De Decompiler Lite. Я вообще не знаю ассемблер. Попробовал дезассемблировать в OllyDbg. Результат: проследил переходы и заметил, что в некий момент дезассемблер перешел к файлу или модуль (не понял точно, но в заголовке окна показано:CPU – main thread, module ntdll) ntdll.dll и остановился на строке с командой RETN (C3)… Подскажите, что можно сделать? Может быть есть некая программа, которая позволит мне крайне простым способом сделать нечто, что обойдет этот переход и продолжит работать программе. И при всем этом перекомпилировать в новый файл!!! Заранее благодарю!!! И приношу извенения, если разместил не в той ветке (опыта нет работы на сайте)  |
|
|
Создано: 18 ноября 2007 00:13 · Личное сообщение · #2 Что за программа? Может ссылку? |
|
|
Создано: 18 ноября 2007 00:26 · Личное сообщение · #3 Listopad пишет: Программа написана в Дельфи, ничем не запакована. Попробовал декомпилировать DeDe, но коды выдаются в ассемблеровском виде. Та же ситуация при декомпилировании в De Decompiler Lite. До паскаля вам ни одна программа файл не декомпилирует... Listopad пишет: Я вообще не знаю ассемблер Тогда вам сюда ----- Я ещё не волшебник, я только учусь... |
|
|
Создано: 18 ноября 2007 05:17 · Личное сообщение · #4 Listopad если бы был хоть какойто опыт, то ставь бряк на CreateFileA, далее лови проверку файла (тот или не тот) и ставь безусловный переход.. если опыта даже такого нету.. то либо выкладывай програмку если смилостивяца модераторы, либо в запросы на взлом, т.к. это он и есть.. |
|
|
Создано: 18 ноября 2007 06:31 · Личное сообщение · #5 Assass1n пишет: До паскаля вам ни одна программа файл не декомпилирует... +1 Listopadзачем после каждого предложения по три восклицательных знака ставить? Мы не глухие, все прекрасно слышем. Listopad пишет: что можно сделать? Может быть есть некая программа, которая позволит мне крайне простым способом сделать нечто Как я понял, вам не помощь в исследовании нужна, а готовое решение. Тогда вы промахнулись малость, вам нужно было --> сюда <--, а еслиб еще и немного wmz предложили, то результат, думаю, уже бы был.... ----- -=истина где-то рядом=- |
|
|
Создано: 18 ноября 2007 11:24 · Личное сообщение · #6 Listopad Имя програмы и пример файла. Если прога для записи телефоных переговоров, то можно попытаться поговорить с автором, чтобы он дал пустой файл. Хотя это незаконно и скорее всего не даст. |
|
|
Создано: 18 ноября 2007 12:50 · Личное сообщение · #7 Добрый день!!! Спасибо за отзывы... 1. На счет декомпилирования до кода Паскаля... Нашел ссылку и даже скачал лайт версии De Decompiler Lite (http://www.de-decompiler.com/). Там предлагается версия Pro и скриншоты показаны до кода паскаля... Что можете сказать по данному поводу? Интересно Ваше мнение... Если это так, то может скинемся 
2. КингСайз!!! На сколько я понял моя стилистика (!!!) не нарушает правила форума и мне бы не хотелось менять свой стиль (наработанный многолетним стажем). когда мне бы хотелось заострить на чем-либо внимание. Если Вам не нравиться это, то добавьте пунк в Правила и забаньте меня... 3. К сожалению у меня действительно нет большого опыта по вскрытию программ, в основном мои успехи были достигнуты в области взлома программ FoxPro и Access, но там я пользовался декомпиляторами и некими другими приспособлениями. Скорее всего мне действительно нужна помощь в исследовании, т.к. хочу понять алгоритм проверки этого момента, когда даже изменение одного байта в звуковом файле блокирует работу программы. 4. А насчет WMZ... Так может быть и надо была на этом заострить внимание, а не на триплете знаков!!! Это сколько и как? Может в личку или на почту? Я это буду приветсвовать...
5. Может все-таки посоветуете, какой лучше программкой отследить эти переходы и как поставить этот безусловный перезод? И каким образом можно эти переходы закрепить и в последующем создать новый EXE? Только, если это не сложно, то на уровне "чайника" 
6. АСД!!! Конечно не даст!!! Я даже пока не хочу озвучивать эту программу, т.к. автор отслеживает ситуацию. Когда на WASM.RU форуме взломали его предыдущую версию, то тутже вышла новая версия с уже исправлениями, которые я озвучил в своем топике. Поэтому, чтоб не спужнуть, может лучше в личке и по почте?
выложить здесь программку, так оня 50 Мегов занимает в установочном варианте. Поэтому если не сложно, то посоветуйте какой программой воспользоваться и поэксперементировать, но чтобы создать новый EXE или напрямую внести эти изменения? Сейчас смог добится с помощью Ресторатора2007 изменить кое-каие параметры в формах, однако почему-то эти параметры не сохраняются и приходится при новой загрузке программы в ручную восстанавливать эти параметры. Сложилось впечатление, что где-то при загрузке программы идет проверка всех "застолбленных" условий загрузки. Поэтому сейчас хотелось бы исследовать алгоритм проверки, может получиться внести изменения в звуковой файл (так я взломал программу ФоксПро, написав под нее кейген, изучив алгоритм проверки вводимого ключа)... Прилагаю скриншот с того сайта по декомпилированию Delphi файла  d8d1_18.11.2007_CRACKLAB.rU.tgz - de_decompiler_4.png
|
|
|
Создано: 18 ноября 2007 13:07 · Личное сообщение · #8 Listopad пишет: 6. АСД!!! Конечно не даст!!! Я даже пока не хочу озвучивать эту программу, т.к. автор отслеживает ситуацию. Когда на WASM.RU форуме взломали его предыдущую версию, то тутже вышла новая версия с уже исправлениями, которые я озвучил в своем топике. Поэтому, чтоб не спужнуть, может лучше в личке и по почте? скинь в личку название, и где скачать ----- Nothing just happens. You choose it to happen. |
|
|
Создано: 18 ноября 2007 13:15 · Поправил: SergX · Личное сообщение · #9 Listopad пишет: Стала задача изменить этот звуковой файл!!! Точнее заменить его с другой аудиоинформацией. Однако простой заменой файла задача не решилась. Программа выдает сообщение: файл отсутствует либо неверный формат. Может просто действительно не верный формат ? В середине hiwave.msg точно wav ? Ты можешь его чем то кроме этой проги слушать ? Может там нет никакой проверки, просто ты ей какой то кривой файл тыкаешь... Даже если hiwave.msg это wav. То не факт что прога может тупо любой wav воспроизводить. Могёт быть что там заюзан какой-то тупой юнит который играет wav без компрессии или только с какой-то конкретной компрессией и битрейтом. |
|
|
Создано: 18 ноября 2007 13:42 · Личное сообщение · #10 SergX!!! Это обычный wav-файл (а может и необычный) с расширением MSG. Проигрывается любым проигрывателем!!! Я взял и заменил в этом файле блок данных звука на символ Asc(126), который в стандартах звуковых файлах отвечает за сигнал с нулевой амплитудой (молчание). Файл в проигрывателях действительно замолчал, но и заблокировал программу. Сложилось впечатление, что программа проверяет по-байтно состояние файла (XOR-ит, вычисляет контрольную сумму или есчё що-нибудь)... |
|
|
Создано: 18 ноября 2007 13:45 · Личное сообщение · #11 Если файл не большой, то выложи куда-то. |
|
|
Создано: 18 ноября 2007 14:11 · Личное сообщение · #12 Listopad небось банальная crc юзаеца, тебе уже предложили помощь, пиши им в личку прогу, где взять и т.д. |
|
|
Создано: 18 ноября 2007 15:27 · Личное сообщение · #13 Вот-вот!!! наверно это и есть - проверка CRC... Только для кого она банальная, а для меня страх пробивает
А какой общий алгоритм проверки CRC. Подскажите, т.е. что с чем складывается и т.д. 
|
|
|
Создано: 18 ноября 2007 15:38 · Личное сообщение · #14 На сайте поищи... уже несколько раз поднимали тему http://exelab.ru/f/action=vthread&forum=6&topic=10116 ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 18 ноября 2007 16:46 · Личное сообщение · #15 Прогнал сейчас эти звуковые файлы через WinHex... Действительно при изменении 1 байта CRC32 резко меняется... Попробовал пройтись по этим ссылкам... практически все не рабочие, но попробую найти... |
|
|
Создано: 18 ноября 2007 17:59 · Личное сообщение · #16 Господа!!! Попробовал Peid через плуги установить CRC, но этот плугин восстанавливает только EXE. Какая есть прога для дописки байтов, чтобы установить новый нужный CRC? И все-таки подскажите есть ли программа для перекомпилирования EXE после изменения кодов ассемблера? Не критикуйте за не корректно поставленный вопрос... Может быть проще, как тут было сказано установить этот безусловный переход и перекомпилировать (внести изменения в оригинал) файл? |
|
|
Создано: 18 ноября 2007 18:10 · Поправил: KingSise · Личное сообщение · #17 Listopad пишет: чтобы установить новый нужный CRC Peid - plugin - CRC32 ///add Советую воспользоваться также Krypto ANALyzer (тоже plugin от PEiD) ----- -=истина где-то рядом=- |
|
|
Создано: 18 ноября 2007 19:04 · Личное сообщение · #18 Listopad пишет: И все-таки подскажите есть ли программа для перекомпилирования EXE после изменения кодов ассемблера? Не критикуйте за не корректно поставленный вопрос... не надо ничего перекомпилировать т.к. ты меняешь именно коды в ехе файле (например с помощью OllyDbg), надо только сохранить файл. Listopad пишет: Может быть проще, как тут было сказано установить этот безусловный переход и перекомпилировать (внести изменения в оригинал) файл? может. но без проги тебе ето никто не скажет. |
|
|
Создано: 18 ноября 2007 19:27 · Личное сообщение · #19 Попробуй так: 1. Узнай CRC32 оригинального звукового файла. 2. С помощью OllyDBG наиди в исполняемом файле программы этот CRC32, как константу. 3. Поменяй звуковой файл как тебе надо и узнай его CRC32. 4. Измени в программе значение CRC32 оригинального файла на то CRC32, что ты нашёл в пункте 3. 5. Сохрани изменения в файле программы. Может, поможет... |
|
|
Создано: 18 ноября 2007 21:03 · Личное сообщение · #20 Очередной некомпетентный вопрос...
?artobstrel95 пишет: 2. С помощью OllyDBG наиди в исполняемом файле программы этот CRC32, как константу. А как может выглядить в OllyDBG эта константа, т.е. как может выглядить этот код в ассемблере? в OllyDBG так много дополнительных окон, где мне это можно отследить |
|
|
Создано: 18 ноября 2007 21:13 · Личное сообщение · #21 Listopad, давай заливай порогу в обмменник и ссылку в личку. Не мучай народ. ----- -=истина где-то рядом=- |
|
|
Создано: 18 ноября 2007 21:29 · Личное сообщение · #22 artobstrel95 Предположение о том, что там проверяется CRC32 файла является лишь предположением. почему не MD5 или SHA? Так что статический способ не покатит, и Listopad никто вам без ссылки дельного совета не даст. Так что KingSise пишет: давай заливай порогу в обмменник и ссылку в личку. Не мучай народ. А лучше минимальный комплект ----- Я ещё не волшебник, я только учусь... |
|
|
Создано: 18 ноября 2007 23:03 · Личное сообщение · #23 Хорошо, я попробую залить, только вот еще плохо ориентируюсь на этом форуме... Куда слить и что это за "обменник". Кроме того, сам отдельный главный экзешник в архиве занимает 900 кб + 2 звуковых файла по 200 кб. Достаточно ли этого? Ведь остальной пакет - 50 Мб...? А сейчас пожалуйста вот на это: Отследит я моменты и заметил, что идет следующая последовательность команд: 00610059 Test Al, Al
Если звуковой файл нормальный, то трассировка идет дальше, если же звуковой файл ненормальный, то перенаправляет на блок, где формируется сообщение об ошибке и на вылет… Подскажите мне пожалуйста, как мне в OLLYDbg 1.08b проигнорировать этот переход, т.к. до этого адреса программа ведет себя абсолютно одинаково (при любом звуковом файле)… Т.е. как мне изменить этот переход, точнее сделать нечто, чтобы трассировка прошла дальше игнорируя этим переходом. Какими инструментами, меню, мышью мне поработать, чтобы изменить этот XXXXX.0061013D??? И самое главное, как эти изменения сохранить в этом файле. А вдруг получиться?
|
|
|
Создано: 18 ноября 2007 23:16 · Поправил: Vovan666 · Личное сообщение · #24 je поменяй на jne, тогда он должен ругаться на нормальный и не ругаться на ненормальный файл. Заменить можно в самой оле правая кн. мыши->Copy to Executable->All modifications->Copy All->В появившемся окне пр.кн.мыши->Save File |
|
|
Создано: 18 ноября 2007 23:46 · Поправил: Evol · Личное сообщение · #25 а лучше занопить (nop) чтоб не ругался ни на нормальный, ни на ненормальный
и еще, пользуйся OllyDbg 1.10
|
|
|
Создано: 19 ноября 2007 02:16 · Личное сообщение · #26 Господа!!! Всем огромное спасибо!!! Файл пропатчил! Все получилось и вроде даже работает!!! CRC не понадобился... Прогу ставлю на тестирование, если в течение недели не будет сбоев, то сообщу!!! Еще раз ВСЕМ благодарен за стойкость и терпимость в отношение моих вопросов. Всем удачи!!! Ну и меня поздравьте, все-таки моя 5 взломанная программа и 1-ая не база данных
|
|
|
Создано: 19 ноября 2007 06:08 · Личное сообщение · #27 Господа!!! Еще один совет!!! Как можно отслеживать трассировку кодов в OllyDbg, когда основная форма уже запущена, а мне нужно отследить переходы в случае, если я открываю в проге другие окна, нажимаю кнопки и т.д.? Например, как отследить переход по кодам, в случае, если я в открытом приложении выбираю меню "Help" -> "About"? Еще раз Всех благодарю |
|
|
Создано: 19 ноября 2007 09:41 · Личное сообщение · #28 Используй связку OllyDbg и DeDe 3.50 (Декомпилятор для Delphi программ) http://exelab.ru/download.php?action=get&n=NTA= |
|
|
Создано: 19 ноября 2007 12:42 · Личное сообщение · #29 Listopad пишет: Как можно отслеживать трассировку кодов в OllyDbg, когда основная форма уже запущена, а мне нужно отследить переходы в случае, если я открываю в проге другие окна, нажимаю кнопки и т.д.? Геморно это, но также моно попробывать заюзать MSBP, к тому же их можно логировать, хотя для каждого отдельного срабатывания на том или ином сообщении при желании просмотреть все нюансы кода придется прикладывать руки. [оффтоп] Кстати, че такие тормоза с отправкой сообщений и открытием страниц? |
|
|
Создано: 19 ноября 2007 13:44 · Личное сообщение · #30 Listopad пишет: Подскажите мне пожалуйста, как мне в OLLYDbg 1.08b проигнорировать этот переход Помоему в основном форуме этой теме делать нечного. Listopad пишет: Куда слить и что это за "обменник" rapidshare-com (до 100 Мб) ----- -=истина где-то рядом=- |
| . 1 . 2 . >> |
|
eXeL@B —› Основной форум —› Обойти проверку звукового файла при запуске программы |
Для печати