Скины для Delphi проектов.
Демо верссия при запуске выводит два MessageBox'a о том что используется в программе демо версия,
я "занопил" все выводы MessageBox'a, все равно не получается!

Случайно увидел типа CreateFileA(00466F79: "\\.\ICEDUMP", C0000000, 00000003, 00000000, 00000003, 00000080, 00000000) returns: FFFFFFFF в kerberos, может из-за этого я не могу найти в чем проблема дизассемблирую IDA 4.1.5(там кроме ida ещё куча всего понаставлена, типа regmon, softice и тд)
(если в процессах есть delphi32.exe, то сообщения не выводятся! но в дизассемблерном коде ни слова о Process32Next и тд..., хотя в листинге kerberos они есть)

(в крякинге новичек, два крякми только сломал)

| Сообщение посчитали полезным:

rmf пишет:
Демо верссия при запуске выводит два MessageBox'a
Хм, уже много раз писалось, что дельфи не юзает MessageBox, нопить их делу не поможет. В дельфи юзается инструкции вида ShowMessage('Message');
Попробуй поискать строки, которые в мессаге выводятся... Юзай DeDe.

| Сообщение посчитали полезным:

Нету таких строк!, может зашифрованны???

ShowMessage('Message'), а где здесь указать какую иконку использовать, какие кнопки???
Как же это так, не использует MessageBox???

Кстати, размер исполняемого файла после компиляции больше мегабайта...
Было бы меньше, может легче нашел бы!

| Сообщение посчитали полезным:

Да уловок куча что-бы не вызывать MessageBox, например просто нормальное окно.
Попробуй поставить bp ShowWindow в ольке. Потом выходи обратно в код проги и трейсь с F8 до вечного цикла. После этого нажимаешь "Execute until return", заходишь обратно в прогу и нажимаешь ОК. Должно брякнутся. А вот после этого нажимаешь F8 и смотришь что выше. Какие прышки можно поправить что-бы не вызывать Call из которого мы вышли. Если нет ничего интересного то выходи и из этого Call-a и смотри там что выше.

| Сообщение посчитали полезным:

rmf пишет:
ShowMessage('Message'), а где здесь указать какую иконку использовать, какие кнопки???
Ну это я к примеру сказал. ХЗ что там юзается, если ты юзаешь дельфовые компоненты, то должен сам знать, как вызвать мессаги различные. MessageDlg, к примеру.

| Сообщение посчитали полезным:

rep0A
Проделал, начинает дизассемблировать user32.dll

Ara
А чё тогда в списках импорта появляется MessageBoxA, если вызываешь её???

| Сообщение посчитали полезным:

rmf пишет:
А чё тогда в списках импорта появляется MessageBoxA, если вызываешь её???
Если уж тебе очень хочется, чтоб это был MessageBoxA, то поставь на нее бряк и посмотри, так ли это.

| Сообщение посчитали полезным:

rmf пишет:
Проделал, начинает дизассемблировать user32.dll
А ты попробуй это с олли сделать. Или олька начинает дизасемблить user32.dll ???

| Сообщение посчитали полезным:

Ara
Блин... ставится, все работает!

rep0A
Я это с Olly делал...

| Сообщение посчитали полезным:

rmf
На сколько я помню в предидущей версии китайцы юзали какую-то гадость под названием dcu protector. Забавно было порытся, а мессаги они вроде они с помощью сишных dll выводили шутники

| Сообщение посчитали полезным:

Fallen Angel
А что за Сишные dll, есть названия ф-ций, и можно их поставить на BPX ???

| Сообщение посчитали полезным:

rmf пишет:
есть названия ф-ций
Там не названия, там номеры.

| Сообщение посчитали полезным:

А где можно посматреть какие номера что значат?
кстати, в списках импорта никаких номерных ф-ций нету!

| Сообщение посчитали полезным:

Номерные функции есть, если прога юзает MFC.

| Сообщение посчитали полезным:

да нет. не юзает она mfc...

Есть ещё какие то идеи??? Как программа прячет названия ф-ций от списка импортов...
можно вообще как то сделать чтобы нельзя было одну какуюто ф-цию вызывать???

Кстати, программа при запуске раз 20 вызывает Process32Next, вроде нельзя незаметить, при пошаговом выполнении, но ничего такого не вижу... в чем дело?

| Сообщение посчитали полезным:

rmf
Честно говоря, давно я в нем ковырялся уже и не помню че творил, но сломался он легко .... А тебе нужна именно последняя версия, ведь есть 5.6 с исходниками ?

| Сообщение посчитали полезным:

rmf
Видно меня глючит, но скачать прогу я не как не могу.
Дай плз полный адрес.

| Сообщение посчитали полезным:

Патч одним байтом ! ищи текст "This is a trial version of SUISkin!" в exe-шнике
Вот ща кавырну dcu-хи (это более итересно чем патчить каждый exe ) а там посмотрим ....

| Сообщение посчитали полезным:

Вот кусок из IDA но адреса для каждой EXE наверно разные

; __fastcall Suiskinusing::initialization(void)
.text:0040DA10 public @Suiskinusing@initialization$qqrv
.text:0040DA10 @Suiskinusing@initialization$qqrv proc near ; DATA XREF: .text:00401212o
.text:0040DA10 push ebp
.text:0040DA11 mov ebp, esp
.text:0040DA13 sub dword_4E685C, 1
.text:0040DA1A jnb short loc_40DA30
.text:0040DA1C mov eax, off_4E636C
.text:0040DA21 cmp dword ptr [eax], 0FFFFFFFFh
.text:0040DA24 jnz short loc_40DA30
.text:0040DA26 mov eax, offset _str_This_is_a_trial.Text
.text:0040DA2B call @Dialogs@ShowMessage$qqrx17System@AnsiString ; Dialogs::ShowMessage(System::AnsiString)
.text:0040DA30
.text:0040DA30 loc_40DA30: ; CODE XREF: Suiskinusing::initialization(void)+Aj
.text:0040DA30 ; Suiskinusing::initialization(void)+14j
.text:0040DA30 pop ebp
.text:0040DA31 retn
.text:0040DA31 @Suiskinusing@initialization$qqrv endp
.text:0040DA31
.text:0040DA31 ; ---------------------------------------------------------------------- -----
.text:0040DA32 align 4
.text:0040DA34 _str_This_is_a_trial dd 0FFFFFFFFh ; _top
.text:0040DA34 ; DATA XREF: Suiskinusing::initialization(void)+16o
.text:0040DA34 dd 193 ; Len
.text:0040DA34 db 'This is a trial version of SUISkin! If you like the componen'; Text
.text:0040DA34 db 't, register it please.',0Dh,'You can get all source code and'; Text
.text:0040DA34 db ' life-time free upgrade.',0Dh,0Dh,'http://www.sunisoft.com/s'; Text
.text:0040DA34 db 'uiskin/',0Dh,'support@sunisoft.com',0; Text
.text:0040DAFE align 10h

| Сообщение посчитали полезным:

Ну вообщем поимел я её !
у меня builder 6.0
ищем файл suiskinc6.lib в директории BCB60\projects\lib (или где он там у тебя)
этот библия линкуется с проектом если там есть этот SUISkin
ищем в нем строку "This is a trial version of SUISkin!"
чуть выше есть последовательность байт 55 8B EC 83 - это начало процед. проверки
ну и вместо 55 -> C3 !

Вот оно счастье !

успехов

| Сообщение посчитали полезным:

мдаа.... в Дельфях всё совсем не так
посмотрим что можно сделать....

| Сообщение посчитали полезным:

ну вообщем так...
Для Delphi 7.0
находим файл SUISkinUsing.dcu - лежит откуда устанавливал пакет \Source\delphi7\...
открываем его в Hiew, ищем последовательность байт ( 01 0F 83 BE 4A 00 00 60 )
выше на 6 байт есть последовательность ( 83 2D xx xx xx xx) xx - может быть любое
меняем 83 -> C3 сохраняем. НАГ в
Такая-же бойда есть в файле suiskind7.bpl который лежит в DELPHI\PROJECT\BPL\ я по началу там махнул думая что при линковке DELPHI его цепляет и обламался ... почемуто у меня он ищет этот dcu а если его нет матерится .... ну незнаю.. (просто дальше разбиратся влом).

Удачи.

| Сообщение посчитали полезным:

Fallen Angel
Нет, не именно эту версию! а где можно достать её???

rep0A
www.sunisoft.net/download/suipacktrial_delphi.zip вот, всё скачивается!

xDriver
Нету там вообще таких строк!!! и delphi у меня!
Слушай, а у тебя какая версия SuiSkin??? у меня вообще нету таких файлов
SUISkinUsing.dcu и suiskind7.bpl!
Кстати! А как ты узнал что именно эти байты нужно патчить? по какому признаку??? там же ни строк, ничего!
Блин... не везёт мне в крякинге...

| Сообщение посчитали полезным:

rmf

Я брал с их сайта www.sunisoft.net/download/suiskintrial.zip

Кстати! А как ты узнал что именно эти байты нужно патчить? по какому признаку??? там же ни строк, ничего!

Это байты - начало процедуры которая выводить НАГ
ставим там просто RET первым байтом

| Сообщение посчитали полезным:

xDriver
Скачал ещё раз, думал может обновился, нету таких файлов!!!

Кстати, там появилась поддержка delphi 9.0, и там в suipublic.dcu сообщение открытым текстом, а в этих нету.
Попробовал устаночить, не получилось...

| Сообщение посчитали полезным:

xDriver
SuiSkin??? это ещё что??? этож другой компонент!
я про
www.sunisoft.net/download/suipacktrial_delphi.zip писал.

Это байты - начало процедуры которая выводить НАГ

ставим там просто RET первым байтом

А как ты узнал что это начало процедуры???

| Сообщение посчитали полезным:

Да промахнулся то скины а это VCL копмпоненты от этой-же фирмы .... (а какая хрен разницато в конечном итоге ?) скачал, посмотрел, похоже тоже самое .... фирма-то одна
завтра ковырну тогда выложу что получилось ... (убегаю я)

| Сообщение посчитали полезным:

Ок. Спасибо что взялся помочь!

Кстати, не втему, а как ты dcu в ida открыл? Все таки мне хочется чтобы не взломали её мне, а чтоб я сам...

| Сообщение посчитали полезным:

rmf пишет:
www.sunisoft.net/download/suipacktrial_delphi.zip вот, всё скачивается!
Хм, скачал, а версия 5.5.

| Сообщение посчитали полезным:

rep0A
Блин... все время какая то фигня с этим пакетом...
странно... у меня 5.7 - это я сегодня скачал, а неделю назад скачал, было 5.2

Fallen Angel
Да, щас тоже DcuProtector какойто...

| Сообщение посчитали полезным: