Сейчас на форуме: Magister Yoda, subword (+9 невидимых)

 eXeL@B —› Основной форум —› _TEXT_HA
Посл.ответ Сообщение


Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

 Создано: 25 октября 2008 19:10 · Поправил: mak
· Личное сообщение · #1

Есть прога , пайд и ди показывают Nothing found * , есть секции текст рдата дата _TEXT_HA и ресурсы. По поводу _TEXT_HA сказали что это хасп ...опыта в нем мало , но что то там как то не так. Если запустить прогу чистяком сразу с оеп идет Визуал С нэт едиции. Есть лицензионный ключ , длина ключа 100 байт , срок закончился недавно. С этим ключем все работало , и ничего более не требовало. Ключ представляет из себя БИН файл. К чему может иметь отношение секция _TEXT_HA ? Похоже она имеет отношение к проверке ключа.

а вот начало проги
Code:
  1. 0045D04F: E824090000               CALL 0045D978
  2. 0045D054: E9D9FCFFFF               JMP 0045CD32
  3. 0045D059: CC                       INT 3 
  4. 0045D05A: FF25CC064800             JMP [004806CC] ; ?terminate@@YAXXZ
  5. 0045D060: FF25D0064800             JMP [004806D0] ; _wsplitpath
  6. 0045D066: FF25D4064800             JMP [004806D4] ; freopen
  7. 0045D06C: FF25D8064800             JMP [004806D8] ; __iob_func
  8. 0045D072: FF25DC064800             JMP [004806DC] ; _itoa_s
  9. 0045D078: FF25E0064800             JMP [004806E0] ; atol
  10. 0045D07E: FF25E4064800             JMP [004806E4] ; strtok
  11. 0045D084: FF25E8064800             JMP [004806E8] ; strcpy_s
  12. 0045D08A: FF25EC064800             JMP [004806EC] ; fprintf
  13. 0045D090: FF25F0064800             JMP [004806F0] ; fputs
  14. 0045D096: FF25F4064800             JMP [004806F4] ; free
  15. 0045D09C: FF25F8064800             JMP [004806F8] ; fclose
  16. 0045D0A2: FF25FC064800             JMP [004806FC] ; fgets
  17. 0045D0A8: FF2500074800             JMP [00480700] ; malloc
  18. 0045D0AE: FF2504074800             JMP [00480704] ; fopen
  19. 0045D0B4: FF2508074800             JMP [00480708] ; memset
  20. 0045D0BA: FF250C074800             JMP [0048070C] ; sprintf
  21. 0045D0C0: FF2510074800             JMP [00480710] ; exit
  22. 0045D0C6: FF2514074800             JMP [00480714] ; strcat_s
  23. 0045D0CC: FF2518074800             JMP [00480718] ; strtoul
  24. 0045D0D2: FF251C074800             JMP [0048071C] ; calloc
  25. 0045D0D8: FF2520074800             JMP [00480720] ; strncpy_s
  26. 0045D0DE: FF2524074800             JMP [00480724] ; strchr
  27. 0045D0E4: FF2528074800             JMP [00480728] ; sprintf_s
  28. 0045D0EA: FF252C074800             JMP [0048072C] ; wcsncpy_s
  29. 0045D0F0: FF2530074800             JMP [00480730] ; wcscpy_s
  30. 0045D0F6: FF2534074800             JMP [00480734] ; strncmp
  31. 0045D0FC: FF742410                 PUSH [ESP+10]
  32. 0045D100: FF742410                 PUSH [ESP+10]
  33. 0045D104: FF742410                 PUSH [ESP+10]
  34. 0045D108: FF742410                 PUSH [ESP+10]
  35. 0045D10C: 68A4CB4500               PUSH 0045CBA4
  36. 0045D111: 6888964A00               PUSH 004A9688
  37. 0045D116: E8F1080000               CALL 0045DA0C
  38. 0045D11B: 83C418                   ADD ESP, 00000018
  39. 0045D11E: C3                       RET 
  40. 0045D11F: CC                       INT 3 
  41. 0045D120: FF2538074800             JMP [00480738] ; _wsplitpath_s
  42. 0045D126: FF253C074800             JMP [0048073C] ; vswprintf_s
  43. 0045D12C: FF2540074800             JMP [00480740] ; isspace
  44. 0045D132: FF2544074800             JMP [00480744] ; __RTDynamicCast
  45. 0045D138: CC                       INT 3 
  46. 0045D139: CC                       INT 3 
  47. 0045D13A: CC                       INT 3 
  48. 0045D13B: CC                       INT 3 
  49. 0045D13C: CC                       INT 3 
  50. 0045D13D: CC                       INT 3 
  51. 0045D13E: CC                       INT 3 
  52. 0045D13F: CC                       INT 3 
  53. 0045D140: 80F940                   CMP CL, 40
  54. 0045D143: 7315                     JNB 45D15A
  55. 0045D145: 80F920                   CMP CL, 20


-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

Ранг: 106.6 (ветеран), 7thx
Активность: 0.040.02
Статус: Участник

 Создано: 25 октября 2008 19:53
· Личное сообщение · #2

ехе б показал...



Ранг: 34.8 (посетитель)
Активность: 0.010
Статус: Участник

 Создано: 25 октября 2008 20:15 · Поправил: lobs
· Личное сообщение · #3

mak
ты знаеш что выкладывай минимальный комплект для запуска глянем я когдато прилично помучался с хасповой прогой тоже ключ просила постоянно занопили просьбу мягко говоря.... так что выкладывай.. то что выложил ты начало проги мало что даст...




Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

 Создано: 25 октября 2008 20:36
· Личное сообщение · #4

еслиб было б все так просто , я бы сразу выложил. К чему может иметь отношение секция _TEXT_HA кроме хаспа ? Может быть подстава ? ... Ни какой туториал не подоешл под данный ехе. Вообще сверху ничем не покрыто.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

Ранг: 159.1 (ветеран), 7thx
Активность: 0.130
Статус: Участник

 Создано: 25 октября 2008 20:41
· Личное сообщение · #5

mak
Много есть протекторов,которые умеют морфить/vm'ить участки кода,помеченные маркерами,при этом не пакуя код в конверт.



Ранг: 106.6 (ветеран), 7thx
Активность: 0.040.02
Статус: Участник

 Создано: 25 октября 2008 20:43
· Личное сообщение · #6

Может и подстава - я вообще не видел не разу такой секции у прог с Хаспом - только в давних туторах ее вспоминали. В коце концов посавь дрова Хаспа, запусти монитор Торо или Сатарона и саму программу. Если логи пойдут - стало быть Хасп.



Ранг: 397.0 (мудрец), 179thx
Активность: 0.170.1
Статус: Участник

 Создано: 26 октября 2008 10:29
· Личное сообщение · #7

mak пишет:
_TEXT_HA

встречается в демонах FLEXlm/Macrovision с 7ой лил 8ой версии и выше...

-----
...или ты работаешь хорошо, или ты работаешь много...


Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

 Создано: 26 октября 2008 13:40
· Личное сообщение · #8

BfoX интересно , приложение серверное кстати.


Я запустил Toro Aladdin Dongles Monitor и почему то сервак вообще даже запускаться не хочет. Никакой реакции , закрывается и все. Поставил фильтр юсб еще.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

Ранг: 123.0 (ветеран), 10thx
Активность: 0.060
Статус: Участник

 Создано: 26 октября 2008 13:43
· Личное сообщение · #9

Прогу в студию. Мы не гадалки тут.

-----
.[ rE! p0w4 ].

Ранг: 106.6 (ветеран), 7thx
Активность: 0.040.02
Статус: Участник

 Создано: 26 октября 2008 13:55
· Личное сообщение · #10

mak
Ну если на самом ехе криптора нет - поищи банально слово HASP внутри. В API оно встречается



Ранг: 397.0 (мудрец), 179thx
Активность: 0.170.1
Статус: Участник

 Создано: 26 октября 2008 14:33
· Личное сообщение · #11

mak

если у тебя еще и файло лицензии есть, то очень похоже на FLEXlm демона. Поищи внутри exe SIGN, Ceticom, FLEXlm, FEATURE, SERVER

-----
...или ты работаешь хорошо, или ты работаешь много...

Ранг: 106.6 (ветеран), 7thx
Активность: 0.040.02
Статус: Участник

 Создано: 26 октября 2008 14:37
· Личное сообщение · #12

BfoX
А разве у FLEX-а есть лицензии в виде bin файла, как mak сказал?



Ранг: 397.0 (мудрец), 179thx
Активность: 0.170.1
Статус: Участник

 Создано: 26 октября 2008 14:39
· Личное сообщение · #13

digger70

вроде нет, хотя кто его знает что там могли начудить...

-----
...или ты работаешь хорошо, или ты работаешь много...


Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

 Создано: 26 октября 2008 15:51
· Личное сообщение · #14

digger70 вот что нарыл , в коде есть aHasput16_dll db 'HASPUT16.DLL',0

Code:
  1. _TEXT_HA:005C5418                                         ; sub_468781+16Do ...
  2. _TEXT_HA:005C5419                 db    0
  3. _TEXT_HA:005C541A                 db    0
  4. _TEXT_HA:005C541B                 db    0
  5. _TEXT_HA:005C541C aHasput16_dll   db 'HASPUT16.DLL',0     ; DATA XREF: sub_468781+135o
  6. _TEXT_HA:005C541C                                         ; sub_468781+184o
  7. _TEXT_HA:005C5429 aNetapi32_dll   db 'NETAPI32.DLL',0     ; DATA XREF: .text:loc_468233o
  8. _TEXT_HA:005C5436 aNetbios        db 'Netbios',0          ; DATA XREF: .text:0046824Bo
  9. _TEXT_HA:005C543E dword_5C543E    dd 0                    ; DATA XREF: .text:0046821Dr
  10. _TEXT_HA:005C543E                                         ; .text:00468226o ...
  11. _TEXT_HA:005C5442 aWsock32_dll    db 'wsock32.dll',0      ; DATA XREF: .text:loc_468378o
  12. _TEXT_HA:005C544E unk_5C544E      db    0                 ; DATA XREF: .text:0046838Eo
  13. _TEXT_HA:005C544E                                         ; .text:0046839Do ...
  14. _TEXT_HA:005C544F                 db    0
  15. _TEXT_HA:005C5450                 db    0
  16. _TEXT_HA:005C5451                 db    0
  17. _TEXT_HA:005C5452 unk_5C5452      db    0                 ; DATA XREF: .text:00468182o
  18. _TEXT_HA:005C5452                                         ; .text:0046819Do
  19. _TEXT_HA:005C5453                 db    0
  20. _TEXT_HA:005C5454                 db    0
  21. _TEXT_HA:005C5455                 db    0
  22. _TEXT_HA:005C5456                 db    0
  23. _TEXT_HA:005C5457                 db    0
  24. _TEXT_HA:005C5458                 db    0
  25. _TEXT_HA:005C5459                 db    0
  26. _TEXT_HA:005C545A aWsastartup     db 'WSAStartup',0       ; DATA XREF: .text:00468396o
  27. _TEXT_HA:005C5465 dword_5C5465    dd 0                    ; DATA XREF: .text:00468371r


BfoX проверил на все строки , нету совпадений.

Ultras я не просил гадать , если человек разбирается он может удаленно дать совет делай так. По поводу выкладывания отписал выше

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

Ранг: 106.6 (ветеран), 7thx
Активность: 0.040.02
Статус: Участник

 Создано: 26 октября 2008 16:27
· Личное сообщение · #15

mak
Ну вот - довольно четкий признак не очень свежего API от HASP4



Ранг: 123.0 (ветеран), 10thx
Активность: 0.060
Статус: Участник

 Создано: 26 октября 2008 19:28 · Поправил: Ultras
· Личное сообщение · #16

mak, тогда ищи в проге переходы в _TEXT_HA. В процессе работы проги значит идут вызовы АПИ хаспа, тебе надо только их найти эти места. Скорее всего это будут IsHasp() и другие...
А вообще мне попадались проги, где если нету файла лицензии, проверяется донгл, и наоборот.
Так что может хасп там вообще не используется ;)

ЗЫ Если работаешь в вирт. машине, поставь там дату на любую из периода "когда всё работало" и проверь как оно работает.

-----
.[ rE! p0w4 ].


Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

 Создано: 26 октября 2008 19:43
· Личное сообщение · #17

в процессе работы _TEXT_HA вообще не используется поставил туда бряки. Лицензионный файл удалил , и изменгений никаких. Все тоже самое. С датой попробую. Сэнкс !

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

Ранг: 106.6 (ветеран), 7thx
Активность: 0.040.02
Статус: Участник

 Создано: 26 октября 2008 20:10
· Личное сообщение · #18

Поищи вот такой примерно кусок в коде и посмотри, вызывается ли он.
Code:
  2. CODE:004C99BB                 mov     esi, offset dword_9286BE
  3. CODE:004C99C0                 cmp     dword ptr [esi], 0FFFFFFFFh
  4. CODE:004C99C3                 jnz     loc_4C9B82
  5. CODE:004C99C9                 mov     eax, offset aKernel32_dll ; "KERNEL32.DLL"
  6. CODE:004C99CE                 push    eax             ; lpModuleName
  7. CODE:004C99CF                 call    GetModuleHandleA_1_0
  8. CODE:004C99D4                 mov     esi, offset dword_928118
  9. CODE:004C99D9                 mov     [esi], eax
  10. CODE:004C99DB                 mov     eax, offset aUser32_dll ; "USER32.DLL"
  11. CODE:004C99E0                 push    eax             ; lpModuleName
  12. CODE:004C99E1                 call    GetModuleHandleA_1_0



 eXeL@B —› Основной форум —› _TEXT_HA
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати