собственно второй день трейсю прогу-декомпиль файлов скриптового языка, прога консольная на входе получает имя файла, который необходимо декомпилить, на выходе декомпилированый файл, прикол в том что она имеет ограничение восстанавливает 2/3 первой функции, для остальных функций выводит только переменные:

к примеру после декомпилирования такого примера:

double gd4C = 999.0;

int start()
{
gd4C = gd4C + 1;
gd4C = gd4C + 2;
gd4C = gd4C + gd4C;
}

получаешь:

// ex4 file id: 8303DD3B

#property library

double gd4C = 999.0;

int start()
{

/* !!! block begin */
gd4C = (gd4C + 1.0);
gd4C = (gd4C + 2.0);
// demo limitation, visit site to get FULL decompiler version
}

накопал функцию в которой происходит декомпиляция: 004294DA, а дальше тупик... как найти место в котором определяется что уже 2/3 и дальше не декомпилировать?

вот программка(распакованая, в конце падает, но файл создается)
rapidshare.com/files/127655041/dumped_.rar (~800кб)

в аттаче компилированный пример(исходник которого выше)

8f86_07.07.2008_CRACKLAB.rU.tgz - compiled.rar

| Сообщение посчитали полезным:

Насчёт работать-хз, но запустилась нормально. Импорт восстановлю, может, как время появится, сейчас некогда смотреть.

| Сообщение посчитали полезным:

а у меня на одном компе запускается и вылетает, а на другом вот что: http://www.radikal.ru

| Сообщение посчитали полезным:

это похоже на ситуацию с экзекриптором
я просто зациклил прогу на OEP и сдампил и больше ничего

7c80b529 ---getmodulehandlea

rapidshare.de/files/40461619/171.zip.html - оригинал

| Сообщение посчитали полезным:

вообще странная прога. Даже скачанная с сайта демо-версия говорит на любой файл - error loading ex4 file: 22

интересно, че за ошибка такая - 22?

| Сообщение посчитали полезным:

Взял последнюю демку с сайта, распакованную положил сюда rapidshare.com/files/144950525/ex4_to_mq4_demo_unp.rar.html Импорт восстановлен весь, КРОМЕ того, что накрыт ВМ (по этой причине на винде отличной от хр сп2 может упасть). ВМ, соответственно, тоже на месте.
З.Ы. В каком-то топике я уже это анпакал...

| Сообщение посчитали полезным:

вторые сутки долблюсь на рапидшару....

| Сообщение посчитали полезным:

narod.ru/disk/2589706000/ex4_to_mq4_demo_unp.rar.html

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

http://www.radikal.ru

Пробовал на первом и третьем сервиспаке - второго, как на зло, нету сейчас.

| Сообщение посчитали полезным:

кто-нить может выложить просто сдампленную на OEP не на xp sp2?
хочу сравнить

| Сообщение посчитали полезным:

http://ifolder.ru/8415994 http://ifolder.ru/8415994 - анпак последней демоверсии
на XP sp2,sp3 работает
под wine - запускается но неработает полностью - какой то глюк остался

| Сообщение посчитали полезным:

Привет всем.

Сюда slil.ru/26238330 залил архив (~12Мб), в нем следующие файлы:

1) ex4_to_mq4 (4.0.217.1).exe - это декомпилятор для старой версии файлов *.ex4
2) ex4_to_mq4 (4.0.218.3).exe - это декомпилятор для новой версии файлов *.ex4
3) Moving Average (217 build).ex4 - это пример файла для декомпилятора 217 версии
4) Moving Average (218 build).ex4 - это пример файла для декомпилятора 218 версии
5) EX4 to MQ4 Loader (for 217 build).exe - это лоадер, который видимо подпихивает код лицензии, в декомпилятор 217 билда и это позволяет декомпилировать файл *.ex4 целиком. Без него декомпилируется, только первая функция, в остальные подставляется фраза ...тыры пыры не помню какая...

Проблема в том, что лоадер не работает с 218 билдом. Можно ли исправить лоадер для работы с 218 билдом или скажите какая функция отслеживается лоадером. И почему когда я загружаю лоадер в олю он сразу запускается.

Сорри за ламерские вопросы, просто я только начал разбираться с этой тематикой, а очень на надо.

| Сообщение посчитали полезным:

Doni
.NET Reflector тебе в помощь. Смотри функу SearchMem(), WriteMem().

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Рефлектор скачал, запустил, посмотрел. Для начала обнаружил, что в лоадере проверка версии декомпилятора заканчивается версией 4.0.217.2. Сразу возник вопрос, рефлектор позволяет менять код программы или чем-то другим нужно пользоваться?

| Сообщение посчитали полезным:

Doni
Хреново смотрел! Для начала нужно словить момент и заморозить тред. Этот момент наступает когда в декомпиле появляется надпись PREPARE:100% или ANALYSE:0%. Читает лоадер текст из окна декомпиля посредством посылки сообщения WM_GETTEXT. В новой версии (218) изменен интерфейс что естественно сказалось (наверника преднамерено) невозможностью чтения текста данным методом. Так что возможно лоадер и сработал бы и на этой версии если бы он знал когда ему продолжить работу.
Рефлектор это декомпиль, а не компилятор! Так что править ничего не получится. Либо пиши заново лоадер по аналогии с декомпилироваными кусками, либо связывайся с автором лоадера.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Угум, не досмотрел. Будем копать. Попробую написать новый лоадер, буду надеяться, что расчет лицензии не изменился.
Попутно возник вопрос. Разработчики декомпилятора предлагают за 99$ версию которая декомпилирует только один файл, разъясните мне неразумному, как можно защитить программу так, чтобы она декомпилировала только один файл? Всегда же можно установить прогу на чистый комп и декомпилировать еще раз. Непонимаю.

| Сообщение посчитали полезным:

К Рефлетору есть плагин Reflexil. Можно менять IL код без перекомпиляции. Ведь IL код - это обычный байт код. Возможно потребуется в конце переподписать сборку. Reflexil это предложит или самому можно.
Рекомендую сначала на сайте автора Рефлексила посмотреть пример его использования.

- Reflexil is able to manipulate IL code and save the modified assemblies to disk.
- Reflexil also supports 'on the fly' C#/VB.NET code injection.

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным:

Doni пишет:
как можно защитить программу так, чтобы она декомпилировала только один файл?

Она декомпилирует не один файл на одной машине, а декомпилирует конкретный файл с определенным ID, а на какой машине и сколько раз именно этот файл не имеет значения. Но цена за один файл .

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Так это получается, что разработчикам нужно послать файл, чтобы они скомпилировали под него программу и прислали обратно?

| Сообщение посчитали полезным:

Doni пишет:
что разработчикам нужно послать файл

запускаешь демо, и в выходном файле видишь АйДи

// ex4 file id: AC5C8211

посылаешь АйДи, платишь бабосы и получаешь ключ с которым данный файл полностью декомпилируется

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Наткнулся на такой кусок кода:


private void GetPages()
{
this.GetSysInfo();
this.TargetHandle = OpenProcess(0x1f0fff, 1, (uint) this.Target.Id);
ulong num = (ulong) (((long) this.Target.MainModule.BaseAddress) + this.Target.MainModule.ModuleMemorySize);
ulong baseAddress = (ulong) ((long) this.Target.Modules[1].BaseAddress);

........
}


Пишу не под C# .NET и возник вопрос, какую WinApi функцию юзать, чтобы получить BaseAddress и ModuleMemorySize. И чем различаются this.Target.MainModule.BaseAddress и this.Target.Modules[1].BaseAddress это не одно и тоже?

| Сообщение посчитали полезным:

А в данном случае лучше писать на C#. Я всегда стараюсь писать на том, на чем написана прога,
кроме VB и прочей хрени конечно. И писать тебе будет проще.
Рипай код да попдправляй чутка. И проблем нету в сопоставлении функций из разных языков.

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным:

Не получается, видимо алгоритм расчета лицензии изменился. В 4.0.217.1 получилось притормозить поток декомпилятора и подпихнуть лицензию с нажатия кнопки, а в 4.0.218.3 фигвам.

| Сообщение посчитали полезным:

Doni
гуглить надо а не лоадеры переделывать
ifolder.ru/8624164

| Сообщение посчитали полезным:

Товарищ, огромное Вам человеческое СПАСИБО!

| Сообщение посчитали полезным: