где счетчик хранится? хе. по regmon-у ничего не находится ;)

| Сообщение посчитали полезным:

Где счётчик не знаю, но вот тулза:
TrialReset 2.1
Что нового:
-Added support for ExeCryptor 2.x
-Added support for TrialCreator 2.x
-Update support for Armadillo 4.10
-Fixed some Win9x Bug
-Minor bug fixes

rapidshare.de/files/1407432/Trial.Reset.2.1.NhT.rar.html

| Сообщение посчитали полезным:

Какая версия ?Можно патч сделать.

| Сообщение посчитали полезным:

не знаю какая версия..
запатчил я ее тоже, но скажем так не очень красиво:
нашел, что юзает он ключики FirstRun и LastRun, ну oep я переправил на свой код, который каждый раз при запуске эти надписи переименовывает, так что прога ломится на несуществующие ключи и соотв. работает столько скольно нужно, но меня терзают смутные сомнения, что реестр будет сильно загаживаться этими левыми ключами

| Сообщение посчитали полезным:

Говорят на форуме ехетулзов для TrialReset исходники были.
Можно там и глянуть что и как она ищет.

| Сообщение посчитали полезным:

WELL
Кинь на мыло триал-резет, please. bit-hack@mail.ru

| Сообщение посчитали полезным:

Nitrogen пишет:
нашел, что юзает он ключики FirstRun и LastRun, ну oep я переправил на свой код, который каждый раз при запуске эти надписи переименовывает, так что прога ломится на несуществующие ключи и соотв. работает столько скольно нужно, но меня терзают смутные сомнения, что реестр будет сильно загаживаться этими левыми ключами
А может лучше удалять ключики, если не из проги, то можно скрипт написать, используя Sign 0f Misery.
Или я не понял что да как...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS
а ты знаешь где они лежат? кабы я знал, так я бы exe так и правил

| Сообщение посчитали полезным:

Nitrogen пишет:
ну oep я переправил на свой код, который каждый раз при запуске эти надписи переименовывает, так что прога ломится на несуществующие ключи и соотв. работает столько скольно нужно
А как же ты их переименовываешь, если не знаешь, где они находятся?

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Bit-hack пишет:
Кинь на мыло триал-резет, please. bit-hack@mail.ru
Я ж ссылку на рапидшару дал
WELL пишет:
rapidshare.de/files/1407432/Trial.Reset.2.1.NhT.rar.html

| Сообщение посчитали полезным:

ValdiS
я меняю имена ключиков в самом exe

call        GetTickCount ;kernel32

mov         [009A3895],eax

push        006

pop         ecx

mov         edi,0009A1941 ;'astRun'

nop

nop

nop

nop

mov         eax,000000023

xor         ebx,ebx

imul        edx,d,[ebx][009A3895],008088405

inc         edx

mov         [009A3895],edx

mul         edx

mov         eax,edx

mov         al,[eax][009BA5DE]

mov         [edi],al

dec         al

mov         [edi][-54],al

inc         edi

nop

loop       .0009A38AF

| Сообщение посчитали полезным:

Nitrogen
А пробовал поставить бряки на открытие ключей реестра или сравнение

WELL
А что по этой ссылке искать? Открывается просто страничка с рекламой.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS
ты сам пробывал в сабжевой колбасе разбираться?

| Сообщение посчитали полезным:

ValdiS
Нажми кнопку Free на странице.

| Сообщение посчитали полезным:

Fallen Angel пишет:
Нажми кнопку Free на странице
Спасибо

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Чё вы блин ...вот атач

5ec3_Trial.Reset.2.1.NhT.rar

| Сообщение посчитали полезным:

total uninstall 4.60
trashreg с trialreset отдыхают
добавлять мусора в реестр тоже не хочется
есть что-нить новое по этому поводу?

| Сообщение посчитали полезным:

r99
Есть неплохой способ посмотреть куда прога пишет в реестр - грузишься с LiveCD, запускаешь regedit и делаешь экспорт всего реестра в файл, потом запускаешь прогу и экспортруешь весь реестр в другой файл, затем сравниваешь эти 2 файла в тотал коммандере - сразу видно, чего и куда прога пишет в реестре Но это, разумеется, если распаковщик от RSI не помогает

| Сообщение посчитали полезным:

r99,

в таких случаях помогает VMware и Ashampoo Uninstaller, которым сравниваются 2 снимка системы — до и после запуска программы.

Если автор сам ничего не намутил и использует API криптора, то скорее всего создается ключ в CLSID\{...}\InProcServer32. Хотя может и не так, просто когда ковырял CSE Html Validator, он там ключ создавал помимо своих проверок и стадартного Shell Extensions\Approved\{...}.

Посмотри, может так и окажется, если что помучай в IDA консольную часть криптора по строке "inprocserver" и такое место (из версии 2.4.1):

0046E410 sub_46E410 proc near ; CODE XREF: EXECryptor_SecureWrite+39p
0046E410 ; EXECryptor_SecureRead+39p
0046E410 ; DATA XREF: ProtectFile+2473o
0046E410
0046E410 var_14 = dword ptr -14h
0046E410 var_10 = dword ptr -10h
0046E410 var_C = dword ptr -0Ch
0046E410 var_5 = byte ptr -5
0046E410 var_4 = dword ptr -4
0046E410
0046E410 push ebp
0046E411 mov ebp, esp
0046E413 add esp, 0FFFFFFECh
0046E416 push ebx
0046E417 mov [ebp-5], dl
0046E41A mov [ebp-4], eax
0046E41D cmp byte ptr [ebp-5], 0
0046E421 jz short loc_46E464
0046E421
0046E423 mov eax, [ebp-4]
0046E426 mov byte ptr [eax], 'C'
0046E429 inc dword ptr [ebp-4]
0046E42C mov eax, [ebp-4]
0046E42F mov byte ptr [eax], 'L'
0046E432 inc dword ptr [ebp-4]
0046E435 mov eax, [ebp-4]
0046E438 mov byte ptr [eax], 'S'
0046E43B inc dword ptr [ebp-4]
0046E43E mov eax, [ebp-4]
0046E441 mov byte ptr [eax], 'I'
0046E444 inc dword ptr [ebp-4]
0046E447 mov eax, [ebp-4]
0046E44A mov byte ptr [eax], 'D'
0046E44D inc dword ptr [ebp-4]
0046E450 mov eax, [ebp-4]
0046E453 mov byte ptr [eax], ''
0046E456 inc dword ptr [ebp-4]
0046E459 mov eax, [ebp-4]
0046E45C mov byte ptr [eax], '{'
0046E45F inc dword ptr [ebp-4]
0046E462 jmp short loc_46E47E
0046E462
0046E464 ; ---------------------------------------------------------------------- -----
0046E464
0046E464 loc_46E464: ; CODE XREF: sub_46E410+11j
0046E464 mov eax, offset aSoftwareMicros ; "SOFTWARE\Microsoft\Windows\CurrentVersi"...
0046E469 mov edx, [ebp-4]
0046E46C call DecodeString
0046E46C
0046E471 jmp short loc_46E476

Сам бы тоже поковырял, но со временем туго.

| Сообщение посчитали полезным:

r99 пишет:
total uninstall 4.60
А не своих файлах он хранит ?

| Сообщение посчитали полезным:

спасибо

| Сообщение посчитали полезным:

pavka пишет:
А не своих файлах он хранит ?
В своих.
Он даже в реестр ничего не пишет оп поводу триала.
c:\Documents and Settings\CurUser\Local Settings\Application Data\Martau\Total Uninstall 4\ - тут
и в папке с программой проверяет файлы по поводу триала.

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

триалы которые были связаны с файлами - я исправил
но остался EC триал - проверяется через манипуляцию в ветке HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System]..SystemBiosVersion

| Сообщение посчитали полезным:

ExeCryptor создает в реестре триальный ключ в этой подветке:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
Он не открывается стандартным просмотрщиком реестра regedit'ом, однако его можно просмотреть при помощи RTKF, последней версии.

-----
Программист SkyNet

| Сообщение посчитали полезным:

r99 пишет:
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System]..SystemBiosVersion
а он не для генерации триальных ключей их использует SystemBiosVersion SystemBiosDate

| Сообщение посчитали полезным:

r99,

SystemBiosVersion всегда использовался для расчета hwid'а (он же хранит версию биоса). Каким образом через него дату триала проверить то?

| Сообщение посчитали полезным:

SystemBiosDate - сброс счетчика запусков
а SystemBiosVersion - сброс даты триальности

но каждый такой сброс (то есть изменение значения ключа) приводит к генерации нового ключа
типа
[HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A69E14A8-5FE9-0AC4-9875-0D63810FA822}*]

"aa"=bin:6a,61,66,65,6d,66,69,63,64,6b,61,6b,6e,6d,6c,6c,66,6a,66,6b,0 0,eb,

то есть к мусору в реестре

| Сообщение посчитали полезным:

r99
Если идет речь про стандартную схему триала то:
1. FrenFolio пишет:
ExeCryptor создает в реестре триальный ключ в этой подветке:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
Он не открывается стандартным просмотрщиком реестра regedit'ом, однако его можно просмотреть при помощи RTKF, последней версии.
2. Что бы сбросить триал БЕЗ лишнего мусора нужно:
Maximus пишет:
bp ZwQueryValueKey (trace while not be ExeCryptor trial key(этот ключ можно определить по его названию в стеке, а название можно посмотреть с помощью трашрега))
after RET18 trace to
CMP DWORD PTR DS:[EAX+4],0
and replace this
cmp eax,eax
то есть проще говоря криптор будет думать что ключ читается из реестра с ошибкой, и каждый раз будет туда писать новое значение.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

bp ZwQueryValueKey это хорошо - но туда еще добраться надо

| Сообщение посчитали полезным:

r99,

наконец понял, что ты имел ввиду под «добавлением мусора» и «проверяется через манипуляцию в ветке... SystemBiosVersion», а ты о стандартом триале говоришь.

А я то думал, что ты встретил новый алгоритм проверки триала именно по SystemBiosVersion, напишите же иногда...

Если тебе интересны подробности алгоритма — посмотри в IDA консольную часть криптора 2.4.1:

0046D654 GetHardwareID_HDD
0046D780 GetHardwareID_CPU
0046DC9C GetHardwareID_BIOS

Через хрефы выйдешь на генерацию триального ключа.

| Сообщение посчитали полезным: