Доброго времени суток!

Безуспешно пытаюсь сломать софтину DipTrace 2.0.03 (кста, для предыдущей версии 1.5 лекарства рабочего в сети тоже не нашлось). А конкретно PCB Layout (Pcb.exe).
Вобщем там EXECryptor 2.2.4 навешан, я его снял программой Unpacker Execryptor от RSI (за что ему большое спасибо =))
А вот дальше вобще - труба. Походу частично этот криптор после унпакера остается, т.к. код (мало того, что дельфи) превращен в сплошное мясо (по крайней мере в начале), в ольге нормально удалось запустить только с фантомом.

Траблы следующие:

Бряки на winapi поставить никак не получается, т.е. прога просто вылетает (Process terminated, exit code С0000005). Если в фантомке включить опции драйвера (load driver, hide OllyDbg windows и т.п.), то от подопытной проги получаю:
Инструкция по адресу такому-то обратилась к памяти туда-то. Память не может быть "read".

Как это вобще отлаживать? %)

Далее. В софтине нужно отключить наг-окошко, прогой IDR, я нашел арес его метода FormShow. Его адрес: 4996D8, как ни странно, туда бряк ставится нормально %))
Так вот код этой функи следующий:



как видите, выходим не через ret, прыжком, потому возникает вопрос, как узнать ОТКУДА мы прыгнули на эту функцию (неужели трейсить до посинения )? Единственно, пока, что нарыл это референс отсюда:



Далее такой вопросик по поводу олли (я с ней мало работал, потому не пинайте сильно).
Вот в иде есть такая вещь Search->Text, где можно найти любой текст в листинге (например, "004996D8"), а как это сделать в ольге?

сайт софтины - www.diptrace.com
весит (без библиотек около 11 метров)
к сожалению, залить распакованный эксешник мне ооочень геморойно, т.к. сижу через жопорез

| Сообщение посчитали полезным:

есть же забаненный ключ на ру-борде

| Сообщение посчитали полезным:

вобщем на руборде ключ с ограничениями...
да и вопрос именно во взломе

| Сообщение посчитали полезным:

После анпака остается, вроде, 2 секции криптора и от них весь дальнейший гимор, вместо софтвенных бряков юзай железячные. Да похоже, ты забыл еще про гавнотреды крипторовские, они тоже жизнь отравляют.

| Сообщение посчитали полезным:

Valemox пишет:
Да похоже, ты забыл еще про гавнотреды крипторовские, они тоже жизнь отравляют.
можно по-подробнее, чем они могут напартачить?

| Сообщение посчитали полезным:

alexey_k пишет:
можно по-подробнее, чем они могут напартачить?

Почитай статьи про execryptor и что на этом форуме писал kioresk про execryptor, мало распаковать программу, накрытую execryptor нужно отключить трейды execryptor'а чтобы срабатывали бряки если код выполняется в потоках криптора то бряки не срабатывают.

| Сообщение посчитали полезным:

alexey_k пишет:
можно по-подробнее, чем они могут напартачить?
Я точно не вдавался в подробности, но сдается, чо они крутятся в постоянном цикле со всякими левыми своими проверками (наличие дебагера и т.д.)
Глянул эту прогу, там нету гавнотредов.
Держи анпак (ссыль умерла уже), в одном убрал наг реги (была здесь: 00522994), в другом и тебе его оставил для тренировки (марафет уж сам там наведеш).
-=Hellsing=- пишет:
если код выполняется в потоках криптора то бряки не срабатывают.
Софтвенные бряки по-любасу не будут робить, пока весь гавнокодес не будет убран.

| Сообщение посчитали полезным:

Valemox
Спасибо, за помощь, но у меня взломанная софтина (U_Schemaic.exe) не запускается
вот скрины:



Из отчета:



Где-то я читал, что при восстановлении импорта могут быть проблемы на разных версиях форточек, хотя могу ошибаться...
У меня XP SP2

И еще, если не влом, опиши в двух словах, как ты нашел место проверки зареганности софтины и место, откуда вызывается показ нага?

| Сообщение посчитали полезным:

alexey_k пишет:
Где-то я читал, что при восстановлении импорта могут быть проблемы на разных версиях форточек
Такое часто бывает, особенно на XP Sp2, XP SP3, если импорт не полностью востановлен...

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

> место, откуда вызывается показ нага?
RaiseException().
Кряк детектед

| Сообщение посчитали полезным:

Clerk, это ты про вылет патченной программы?
Вопрос был именно о нахождении адреса, где происходит проверка на регистрацию...

| Сообщение посчитали полезным:

Странно, но запускал тож на XP SP2 и все робит, тоды попозжа выложу дерево импорта, прикрутиш сам.
alexey_k пишет:
как ты нашел место проверки зареганности софтины и место, откуда вызывается показ нага?
DeDe кажет в евентах TForm30 CreateForm - вот сюда и обращается проверка проги на регу.

| Сообщение посчитали полезным:

Ок.
А насчет формы, я отлавливал FormShow, потому как FormCreate вроде как вызывается в самом начале проги, хотя может я чего-то туплю...

| Сообщение посчитали полезным:

alexey_k пишет:
Бряки на winapi поставить никак не получается, т.е. прога просто вылетает

Прот читает первые байты API и сверяет их с CC байтом. Это легко обходится. Просто ставишь бряк на чтение на первые байты функции, запускаешь и трейсишь код. Там проверка кажется одна общая

-----
Research For Food

| Сообщение посчитали полезным:

Да импорт там даже не карёженный и лежит на своём месте такчто можно обойтись и без империка

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

И действительно, ведь Valemox распаковал обе программы, а не работает только патченная импорт тут не при шляпе.
Может там где-то проверка на изменение кода, вобщем вечером посмотрю еще...

| Сообщение посчитали полезным:

попробуй вместо фантома strongod

| Сообщение посчитали полезным:

На всякий выложу импорт (ссыль уже удалена) мож и сгодится
Я х.з. чо он падает у тебя (там в анпаке для нага тока изменен 1 байт с 55 на С3). Мож, как вариант, попробовать и сплэш еще убрать по адресу 00632A5C таким же образом (хотя у мну итак се робит).
Иль пробуй, сам дамп сними и импорт прикрути, а по поводу проверки на изменения кода, то такового там нет.

| Сообщение посчитали полезным:

Valemox пишет:
Иль пробуй, сам дамп сними и импорт прикрути, а по поводу проверки на изменения кода, то такового там нет.
окэ. сейчас по тутору от vnekrilov попробую распаковать вручную, как что получится - отпишусь

| Сообщение посчитали полезным:

alexey_k
Обруби потоки, наг пропадёт

-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет:
Обруби потоки, наг пропадёт
Там же их нету, я ж писал уже (ты не внимателен). Все чисто.

| Сообщение посчитали полезным:

Valemox
Вообще-то я руками всё снимал и проверял, так что не стоит мне говорить что там есть, а чего нету

-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет:
так что не стоит мне говорить что там есть, а чего нету
Ну если так, тоды, значит, я тут все фуфло гоню и нет смысла слушать мой бред.
Тоды помогай парню ты сам, а я уж тоды лесом иду.

| Сообщение посчитали полезным:

Valemox
Да хватит тебе, ни на кого я не наезжаю, просто поправил...
Не надо всё так бдизко к сердцу воспринимать, правда не имел ввиду ничего такого

Ну чтобы отключить наг, достаточно поставить ret по адресу 00932988

-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет:
Ну чтобы отключить наг, достаточно поставить ret по адресу 00932988
Угу, тока у меня дык это по адресу 00522994

| Сообщение посчитали полезным: