Привет всем!

Подскажите, пожалуйста, как действовать при таких условиях:
прога при рег. спрашивает имя и регкод, я ввожу, нажимаю Ок,
и прога просто закрывается. И всё что я вводил, она тупо
записывает в реестр. Похоже при следующем запуске, она
проверяет эти данные. Как в таких случаях быть, как найти
проверку в проге?

| Сообщение посчитали полезным:

лови апи RegCreateKeyA, RegQueryValueExA, а дальше дело техники

| Сообщение посчитали полезным:

можно еще не дать ей закрыться- брякнуться на ExitProcess (кажется так) а потом глянуть чего там она такого делала c ключом...

| Сообщение посчитали полезным:

IvanStepkin пишет:
Похоже при следующем запуске, она
проверяет эти данные.
Схожий принцип во Flashget. Почитай статейку с сайта по его регистрации, авось поможет........

| Сообщение посчитали полезным:

EGOiST пишет:
лови апи RegCreateKeyA, RegQueryValueExA

При установке точки, айс чего-то ругается "Symbol not defined", и как теперь?

И если ловить эти функции, то они же происходять десятки раз за секунду, даже если ничего не делать ручками (видел это в регмоне). Наверное надо указать от какой программы их ловить! Где это выставить, подскажите, плиз!!

| Сообщение посчитали полезным:

Не уж то никто не может подсказать!


| Сообщение посчитали полезным:

надо было в айсе раскомментировать в dat-файле экспорт.

| Сообщение посчитали полезным:

IvanStepkin
грузишь таргет в OllyDbg, жмякаешь правой кнопой > Search for > All intermodular calls. Находишь RegQueryValue > правой кнопой > Set breakpoint on every call. Запускаешь таргет и скипаешь все бряки кроме нужного тебе (это узнаешь когда функции будут передаваться нужное тебе имя параметра и ключ реестра..)

| Сообщение посчитали полезным:

2 Baron_Gede: А можно, поподробней про dat-файл! Где он? В дире айса я его не нашёл!

| Сообщение посчитали полезным:

в каталоге с айсом должен быть по любому. (У нас на форуме тоже кто-то мучился...)
---
Если проблемы с айсом у тебя - попробуй Olly, как тебе посоветовали выше...

| Сообщение посчитали полезным:

Baron_Gede пишет:
в каталоге с айсом должен быть по любому
Это если 4.05, в остальных в \WINDOWS\system32\drivers\winice.dat

| Сообщение посчитали полезным:

2 Baron_Gede: Olly как-то мне ещё не понятна, где там и что!

2 Ara: Спасиб, нашёл файл и в нём заком. вот это:
; WINICE.DAT
; (SystemRoot\System32\Drivers\WINICE.DAT)
; for use with SoftICE for Windows NT (versions 3.0 and greater)
;
; ***** Examples of export symbols that can be included *****
; Change the path to the appropriate drive and directory
; EXP=\SystemRoot\System32\hal.dll
; EXP=\SystemRoot\System32\ntoskrnl.exe
; EXP=\SystemRoot\System32\ntdll.dll
; EXP=\SystemRoot\System32\kernel32.dll
; EXP=\SystemRoot\System32\user32.dll
; EXP=\SystemRoot\System32\csrsrv.dll
; EXP=\SystemRoot\System32\basesrv.dll
; EXP=\SystemRoot\System32\winsrv.dll

А что разком.? Или просто всё?

| Сообщение посчитали полезным:

IvanStepkin пишет:
И если ловить эти функции, то они же происходять десятки раз за секунду
Прочитай для начала раздел для новичков. Команда ADDR в айсе выводит список процессов, и она же назначает процесс текущим.
IvanStepkin пишет:
А что разком.? Или просто всё?
Да бред это всё, если конечно у тебя НЕ:
Айс 4.05,
кусочек из DriverStudio 2.7,
или ещё какая вырезка из DS.
Если так то открой все EXP'ы, но это может не помочь .

Ставь на чисто полную DS 3.2 (она есть на int3 весит 200Mb), или пользуйся пока Olly, может для твоих задач её и хватит, если ты не хочешь изучать что происходит после команды sysenter/syscall и т.п. то Olly будет лучше в смысле удобнее и быстрее.

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

Ну что ж поставил Айс из DS 3.2. Но для начала: запускаю Айс, мышка и клава отрубаются, только действует Ctrl+D. И при запуске он в этом чёрном окне что-то пишет про ненайденную таблицу симболов (sysmbol). Подскажите, плиз?

| Сообщение посчитали полезным:

IvanStepkin пишет:
Ну что ж поставил Айс из DS 3.2
Айс из DS 3.2 - звучит странно. Если ты опять взял ВЫРЕЗКУ, то осталось только Windows 3.1 поверх всего этого поставить.
Допустим ты поставил ПОЛНУЮ DS3.2.
Начисто?
Если ты ставил вырезки, то унинстал не поможет.
Попробуй прочистить реестр, я недавно занимался похожей ерундой.
http://www.exelab.ru/f/action=vthread&forum=1&topic=1636&p age=1

А вообще слово начисто в моём понимании значит винды переставить.
Сразу после установки XP SP1 (говорят даже SP2) и минимальных дров типа видео и т.д. должно заработать. Если конечно у тебя не супер-пупер навороченное железо. Или может ты винды на диск Ё: ставишь .

ЗЫ Ну почему три раза в неделю находятся такие специалисты, у которых Айс не работает, а в поиске не хотят ответ посмотреть.

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

Кароче нада фсё форматить к едрене фене и валить в монастырь... Говоря проще, по биовормовски, -беспе*ды в пи*ду Тряхому*ие чтобы не разводить - надо фсё форматить. Фсё... И токо так спасётися.
А если серьёзно - у меня такой же глюк был под w2k3 и не могогла очистка...

| Сообщение посчитали полезным:

Bitfry пишет:
Айс из DS 3.2 - звучит странно

Почему странно, сам же советовал ставить DS3.2, я его и поставил, в составе которого Ice.

Ладно, с Ice'ом перешёл на OllyDbg (по началу ничего не получалось, я писал об этом выше, а сейчас немного освоился).

Не могу найти место сверки рег.кодов, вот листинг того места, по-моему, где начинается самое интересненькое:

77DC1A19 50 PUSH EAX ; в EAX оказывается введённый мною пароль
77DC1A1A FF75 74 PUSH DWORD PTR SS:[EBP+74]
77DC1A1D E8 D0FCFFFF CALL <JMP.&ntdll.memmove> ; Прыгает на 77DC16F2

........

77DC16F2 - FF25 1012DC77 JMP DWORD PTR DS:[<&ntdll.memmove>] ; А от сюда на 77FA3ED0

........

77FA3ED0 55 PUSH EBP
77FA3ED1 8BEC MOV EBP,ESP
77FA3ED3 57 PUSH EDI
77FA3ED4 56 PUSH ESI
77FA3ED5 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C]
77FA3ED8 8B4D 10 MOV ECX,DWORD PTR SS:[EBP+10]
77FA3EDB 8B7D 08 MOV EDI,DWORD PTR SS:[EBP+8]
77FA3EDE 8BC1 MOV EAX,ECX
77FA3EE0 8BD1 MOV EDX,ECX
77FA3EE2 03C6 ADD EAX,ESI
77FA3EE4 3BFE CMP EDI,ESI ; К этому моменту в ESI оказывается введённый мною пароль
; А в EDI что-то, но не верный пароль (пробовал это вводить)
77FA3EE6 76 08 JBE SHORT ntdll.77FA3EF0 ; Они были НЕ РАВНЫ, и этот переход не выполнится
; А дальше и не понятно что!
77FA3EE8 3BF8 CMP EDI,EAX
77FA3EEA 0F82 78010000 JB ntdll.77FA4068
77FA3EF0 F7C7 03000000 TEST EDI,3
77FA3EF6 75 14 JNZ SHORT ntdll.77FA3F0C
77FA3EF8 C1E9 02 SHR ECX,2
77FA3EFB 83E2 03 AND EDX,3
77FA3EFE 83F9 08 CMP ECX,8
77FA3F01 72 29 JB SHORT ntdll.77FA3F2C
77FA3F03 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI]
77FA3F05 FF2495 1840FA77 JMP DWORD PTR DS:[EDX*4+77FA4018]
77FA3F0C 8BC7 MOV EAX,EDI
77FA3F0E BA 03000000 MOV EDX,3
77FA3F13 83E9 04 SUB ECX,4
77FA3F16 72 0C JB SHORT ntdll.77FA3F24
77FA3F18 83E0 03 AND EAX,3
77FA3F1B 03C8 ADD ECX,EAX
77FA3F1D FF2485 303FFA77 JMP DWORD PTR DS:[EAX*4+77FA3F30]
77FA3F24 FF248D 2840FA77 JMP DWORD PTR DS:[ECX*4+77FA4028]
77FA3F2B 90 NOP
77FA3F2C FF248D AC3FFA77 JMP DWORD PTR DS:[ECX*4+77FA3FAC]
77FA3F33 90 NOP
77FA3F34 40 INC EAX
77FA3F35 3F AAS
77FA3F36 FA CLI
77FA3F37 77 6C JA SHORT ntdll.77FA3FA5
77FA3F39 3F AAS
77FA3F3A FA CLI
77FA3F3B ^ 77 90 JA SHORT ntdll.77FA3ECD
77FA3F3D 3F AAS
77FA3F3E FA CLI
77FA3F3F 77 23 JA SHORT ntdll.77FA3F64
77FA3F41 D18A 0688078A ROR DWORD PTR DS:[EDX+8A078806],1
77FA3F47 46 INC ESI
77FA3F48 0188 47018A46 ADD DWORD PTR DS:[EAX+468A0147],ECX
77FA3F4E 02C1 ADD AL,CL
77FA3F50 - E9 02884702 JMP 7A41C757
77FA3F55 83C6 03 ADD ESI,3
77FA3F58 83C7 03 ADD EDI,3
77FA3F5B 83F9 08 CMP ECX,8
77FA3F5E ^ 72 CC JB SHORT ntdll.77FA3F2C
77FA3F60 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI]
77FA3F62 FF2495 1840FA77 JMP DWORD PTR DS:[EDX*4+77FA4018]
77FA3F69 8D49 00 LEA ECX,DWORD PTR DS:[ECX]
77FA3F6C 23D1 AND EDX,ECX
77FA3F6E 8A06 MOV AL,BYTE PTR DS:[ESI]
77FA3F70 8807 MOV BYTE PTR DS:[EDI],AL
77FA3F72 8A46 01 MOV AL,BYTE PTR DS:[ESI+1]
77FA3F75 C1E9 02 SHR ECX,2
77FA3F78 8847 01 MOV BYTE PTR DS:[EDI+1],AL
77FA3F7B 83C6 02 ADD ESI,2
77FA3F7E 83C7 02 ADD EDI,2
77FA3F81 83F9 08 CMP ECX,8
77FA3F84 ^ 72 A6 JB SHORT ntdll.77FA3F2C
77FA3F86 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI]
77FA3F88 FF2495 1840FA77 JMP DWORD PTR DS:[EDX*4+77FA4018]
77FA3F8F 90 NOP
77FA3F90 23D1 AND EDX,ECX
77FA3F92 8A06 MOV AL,BYTE PTR DS:[ESI]
77FA3F94 8807 MOV BYTE PTR DS:[EDI],AL
77FA3F96 46 INC ESI
77FA3F97 C1E9 02 SHR ECX,2
77FA3F9A 47 INC EDI
77FA3F9B 83F9 08 CMP ECX,8
77FA3F9E ^ 72 8C JB SHORT ntdll.77FA3F2C
77FA3FA0 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI]
77FA3FA2 FF2495 1840FA77 JMP DWORD PTR DS:[EDX*4+77FA4018]
77FA3FA9 8D49 00 LEA ECX,DWORD PTR DS:[ECX]
77FA3FAC 0F40FA CMOVO EDI,EDX
77FA3FAF ^ 77 FC JA SHORT ntdll.77FA3FAD
77FA3FB1 3F AAS
77FA3FB2 FA CLI
77FA3FB3 ^ 77 F4 JA SHORT ntdll.77FA3FA9
77FA3FB5 3F AAS
77FA3FB6 FA CLI
77FA3FB7 ^ 77 EC JA SHORT ntdll.77FA3FA5
77FA3FB9 3F AAS
77FA3FBA FA CLI
77FA3FBB ^ 77 E4 JA SHORT ntdll.77FA3FA1
77FA3FBD 3F AAS
77FA3FBE FA CLI
77FA3FBF ^ 77 DC JA SHORT ntdll.77FA3F9D
77FA3FC1 3F AAS
77FA3FC2 FA CLI
77FA3FC3 ^ 77 D4 JA SHORT ntdll.77FA3F99
77FA3FC5 3F AAS
77FA3FC6 FA CLI
77FA3FC7 ^ 77 CC JA SHORT ntdll.77FA3F95
77FA3FC9 3F AAS
77FA3FCA FA CLI
77FA3FCB ^ 77 8B JA SHORT ntdll.77FA3F58
77FA3FCD 44 INC ESP
77FA3FCE 8EE4 MOV FS,SP
77FA3FD0 89448F E4 MOV DWORD PTR DS:[EDI+ECX*4-1C],EAX
77FA3FD4 8B448E E8 MOV EAX,DWORD PTR DS:[ESI+ECX*4-18]
77FA3FD8 89448F E8 MOV DWORD PTR DS:[EDI+ECX*4-18],EAX
77FA3FDC 8B448E EC MOV EAX,DWORD PTR DS:[ESI+ECX*4-14]
77FA3FE0 89448F EC MOV DWORD PTR DS:[EDI+ECX*4-14],EAX
77FA3FE4 8B448E F0 MOV EAX,DWORD PTR DS:[ESI+ECX*4-10]
77FA3FE8 89448F F0 MOV DWORD PTR DS:[EDI+ECX*4-10],EAX
77FA3FEC 8B448E F4 MOV EAX,DWORD PTR DS:[ESI+ECX*4-C]
77FA3FF0 89448F F4 MOV DWORD PTR DS:[EDI+ECX*4-C],EAX
77FA3FF4 8B448E F8 MOV EAX,DWORD PTR DS:[ESI+ECX*4-8]
77FA3FF8 89448F F8 MOV DWORD PTR DS:[EDI+ECX*4-8],EAX
77FA3FFC 8B448E FC MOV EAX,DWORD PTR DS:[ESI+ECX*4-4]
77FA4000 89448F FC MOV DWORD PTR DS:[EDI+ECX*4-4],EAX
77FA4004 8D048D 00000000 LEA EAX,DWORD PTR DS:[ECX*4]
77FA400B 03F0 ADD ESI,EAX
77FA400D 03F8 ADD EDI,EAX
77FA400F FF2495 1840FA77 JMP DWORD PTR DS:[EDX*4+77FA4018]
77FA4016 8BFF MOV EDI,EDI
77FA4018 2840 FA SUB BYTE PTR DS:[EAX-6],AL
77FA401B 77 30 JA SHORT ntdll.77FA404D
77FA401D 40 INC EAX
77FA401E FA CLI
77FA401F 77 3C JA SHORT ntdll.77FA405D
77FA4021 40 INC EAX
77FA4022 FA CLI
77FA4023 77 50 JA SHORT ntdll.77FA4075
77FA4025 40 INC EAX
77FA4026 FA CLI
77FA4027 ^ 77 8B JA SHORT ntdll.77FA3FB4
77FA4029 45 INC EBP
77FA402A 085E 5F OR BYTE PTR DS:[ESI+5F],BL
77FA402D C9 LEAVE
77FA402E C3 RETN

Так что подскажите, пожалуйста, где искать, только не сразу полное решение выкладывайте, а по шагам подсказывайте (только так можно научиться).

А вот сама прога, если я с листингом неправильно что-то, не так пошёл: http://allfiles.ru/storage/13a70fc1bdfd7ba7a2117a68cdecd194/rmconverte r.exe http://allfiles.ru/storage/13a70fc1bdfd7ba7a2117a68cdecd194/rmconverter.exe 2,9МБайта!

| Сообщение посчитали полезным:

IvanStepkin пишет:
; А в EDI что-то, но не верный пароль (пробовал это вводить)

Как смотрел? Там должны быть шестнадцетиричные и десятиричные значения.

ЗЫ Эх, листинг маловат!

-----
TBR

| Сообщение посчитали полезным:

Это ntdll.dll, ищи лучше в коде проги...

| Сообщение посчитали полезным:

Grey пишет:
Как смотрел? Там должны быть шестнадцетиричные и десятиричные значения.

Да там было шестнадцатиричное значение, я его перевёл в 10-ное и испробовал в качестве пароля - не подошло (у меня было EDI=0012D2C8, перевёл с помощью проги получилось 1233608, кстати правильно ли я перевёл?).

Ara пишет:
Это ntdll.dll, ищи лучше в коде проги...

Можно поподробней, а то ничего непонятно, причём ntdll.dll?

| Сообщение посчитали полезным:

IvanStepkin пишет:
ничего непонятно, причём ntdll.dll?
Ну откуда я знаю, причем тут она - ты ж кусок ее листинга выложил...

| Сообщение посчитали полезным:

IvanStepkin пишет:
правильно ли я перевёл
перевёл с помощью проги

правильно.
у тя чо, calc.exe нет?

-----
TBR

| Сообщение посчитали полезным:

IvanStepkin пишет:
у меня было EDI=0012D2C8
Это больше похоже на адрес стека, чем на пароль...

| Сообщение посчитали полезным:

Так может кто-нибудь саму прогу посмотрит и скажет что-нибудь по точнее!

| Сообщение посчитали полезным:

IvanStepkin
Завтра посмотрю.

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

IvanStepkin
Если я не промахнулся,то копай отсюда:
webfile.ru/209520

| Сообщение посчитали полезным:

Ruller пишет:
Если я не промахнулся,то копай отсюда

Нет, к сожалению я ничего не накопал!


Кто уже нашёл? Вопросик такой: так проверку ловить при вводе пароля или когда прога берёт введённый пароль из реестра?

| Сообщение посчитали полезным:

Если поменять команду по адресу 40EEBA (была jnz, стала jz), то получишь вечный триал. Ну а дальше сам кокай, так интересней, если не выйдет, через недельку напиши .
ЗЫ Вход я, как почти всегда, нашёл через бряк на RegQueryValueEx.

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

Да, посмотрел, чего ты тут написал, и решил добавить.
После бряка нужно выполнить API и смотреть что будет после закрытия ключа.
Рекомендую делать патч. Ну а если собрался подбирать ключ, то для начала введи что-нибудь вроде:
1234-5678-9123-4567-8912
И приготовься к интересным оборотам команд ассемблера (Потому что V С++ это вам не Delphi).

-----
Всем привет, я вернулся

| Сообщение посчитали полезным: