Исследую программулину --> 450 kb, скачать <--

И не могу понять как генерируется ID и на каком этапе (окошко, которое появляется при открытии файла)

до чего дошел:

это условие, где программулина решает показывать или не показывать окошко для ввода лицензии


а это само события показа этой формы:
004B1728 > A1 4C855F00 MOV EAX,DWORD PTR DS:[0x5F854C] ; FormCreateSpl


вот еще одна интересная функция (начало)

004B087C /. 55 PUSH EBP

Там идет считывание имя компа, путь к папке винды, путь к тэмпу...

и эти данные действительно влияют на ID, но вот где он генерируется полностью, я пока не нашел и вот как раз в этом не помощь бы не помешала.

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным: repz83

Ключ имхо
BSS:005F80AC KEY dd ?

по перекрестным ссылкам видно, что он инициализируется в функции о которой и писалось

KingSise пишет:
004B087C /. 55 PUSH EBPТам идет считывание имя компа, путь к папке винды, путь к тэмпу...

а используется тут и ниже

CODE:004A4627 mov bl, 1Ah
CODE:004A4629 mov eax, ds:KEY
CODE:004A462E call StrLen
CODE:004A4633 test eax, eax
CODE:004A4635 jle short loc_4A464A
CODE:004A4637 mov esi, 1
CODE:004A463C
CODE:004A463C next:
CODE:004A463C mov edx, ds:KEY
CODE:004A4642 xor bl, [edx+esi-1]
CODE:004A4646 inc esi
CODE:004A4647 dec eax
CODE:004A4648 jnz short next

вот тут сравнивается при чтении из ИНИ файла

CODE:004B11C7 mov eax, [ebp+var_10]
CODE:004B11CA mov edx, ds:ptrKEY
CODE:004B11D0 mov edx, [edx]
CODE:004B11D2 call @System@@LStrCmp$qqrv

с многообещающим сообщением

CODE:004B1328 db 'Вы используете ключ, предназначенный для другого компьютера.',0Dh,0Ah
CODE:004B1328 db 'Для воспроизведения видео на этом компьютере нужен новый ключ.',0

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

типа я должен сам выбрать почему видео не проигрывается
KingSise пишет:
Там идет считывание имя компа, путь к папке винды, путь к тэмпу...
Все одну структуру(struct) все склывается

| Сообщение посчитали полезным:

OKOB пишет:
а используется тут и ниже

Так и есть, если менять значение дворда, то ключик однозначно меняется.

004A4651 > MOV EAX, DWORD PTR DS:[0x5F80C4]

вопрос только в том, как прописать свой ключик.




у мну если выставить значение дВорда, id как на картинке ниже.




Причем ХХХУУУ :> ХХХ - отвечает за правую часть, УУУ - за левую

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise пишет:
И не могу понять как генерируется ID и на каком этапе (окошко, которое появляется при открытии файла)
/*49BB05*/ CALL 0049BB05; \CreateFileA(C:\WINDOWS)
/*49BB3A*/ CALL 00406768; \GetFileTime(C:\WINDOWS) получаем qdword и ложим его по адрессу 005F80BC.
/*4A458D*/ MOV EAX,5F80BC=======>начало процедуры преоброзования значения по адрессу 005F80BC.
/*4A4600*/ MOV [5F80C4],EDX=====>ложим dword по адрессу 005F80D4.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Если речь идет о подмене номера лицензии, то в диалоге он отображается в виде картинки, при формировании изображения происходит псевдотрансляция по таблице.

Алгоритм полностью разобрал и в прицепе на питоне (в коментариях адреса переменных), выбирай сам, что и когда будешь подменять.

Скорее всего по адресу 0x005F80D8 в твоем случае реальные значения будут 0,6,2,0,1,9

59bd_13.04.2013_EXELAB.rU.tgz - kg.py

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

В вышеприведенном генераторе лицензий таблица трансляции

tbl = ['3', '1', '8', '5', '4', '7', '0', '2', '9', '6']

была получена экспериментальным путем (в читабельном виде не хранится) и оставалось ощущение, что может она не совсем верна.

Поэтому копнув глубже нашел битовый массив BW картинки с таблицей.

Питоновский скрипт делает из этого битового массива BMPшку.





Вот такая хитро у автора программы

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: DimitarSerg, KingSise, repz83, Coderess

Как ни странно, но в моем случае код не совпал

| Сообщение посчитали полезным:

OKOB пишет:
В вышеприведенном генераторе лицензий таблица трансляции

tbl = ['3','1','8','5','4','7','0','2','9','6']

была получена экспериментальным путем (в читабельном виде не хранится) и оставалось ощущение, что может она не совсем верна.

Ваш кейген выдает 348 633, а программа 448 193

| Сообщение посчитали полезным:

OKOB пишет:
В вышеприведенном генераторе лицензий таблица трансляции tbl = ['3','1','8','5','4','7','0','2','9','6']

Так и есть, все почти верно, кейген работать будет, но была допущена маленькая неточность, имя компа используется еще раз, и еще до помещения значения в [0x5F80C4] Поэтому если поместить кзначение, которое сгенерирует кейген (не смотря на то, что оно верное), ID все еще будет другим.

Я поступил чуть проще, и да, я знаю, это не тру подход:


-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise пишет:
но была допущена маленькая неточность, имя компа используется еще раз, и еще до помещения значения в [0x5F80C4]

По перекрестным ссылкам этого не видно, но нашлась проблема в другом.

Было использовано получение времени создания каталога
ctime = os.path.getctime(winpath)

и его преобразование в "файловое время" которое использует сам мелкософт

http://msdn.microsoft.com/en-us/library/windows/desktop/ms724228(v=vs.85).aspx



ttime = long((ctime*10000000)+116444736000000000)
ZZ1 = (ttime&0xFFFFFFFF)
ZZ2 = ((ttime>>32)&0xFFFFFFFF)

и это не всегда дает верный результат .

Если вывернуться и вызвать из кернела GetFileTime



то результат будет другим.

a4be_17.04.2013_EXELAB.rU.tgz - kg.py

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: KingSise, repz83

А как же быть с отслеживанием запущенных процессов?

| Сообщение посчитали полезным:

Зачем, если вопрос-ответ правильный)

| Сообщение посчитали полезным:

Если предыдущие собеседники еще живы, прошу, вернитесь к обсуждению.

Может за последний год у вас появились новые идеи?

| Сообщение посчитали полезным:

Видимо нет.

| Сообщение посчитали полезным:

Хочу допилить свой эмуль до автоматизма. (т.е имея 1 ключ можно юзать на всех компах).

Суть просьбы такова. Создать любой запротекченный ролик и валидный ключик. На компе для которого создан ключ сгенерить конфиг программкой -> этой.И кинуть его мне(Имя файла Config.0).

Добавлено спустя 3 часа 11 минут
Для тех у кого хром лочит -> https://www.virustotal.com/ru/file/97d2cbc699d30eb495c5a6c923cab3e9c4f54d8889eddce82056ad1edc4a423d/analysis/

| Сообщение посчитали полезным:

to vovanre:

vovanre пишет:
Хочу допилить свой эмуль до автоматизма. (т.е имея 1 ключ можно юзать на всех компах).

У Вас получилось?

| Сообщение посчитали полезным:

repz83 пишет:
У Вас получилось?
Дело заглохло, просто негде было потестить.

| Сообщение посчитали полезным:

vovanre насколько я помню.. там видио стрим аес-ом покриптован. не имея валидной пары я хз как ты его расшифровывать собрался.. а вот клонировать на др. комп.. достаточно просто.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Да, клонировать мне удалось. Алгоритм генерации весьма не хитрый. Кейген не делал, просто статично прописал номер "нужной, рабочей" лицензии и люди запускают курсы с любых компов.

Если кому интересно, пишите в ЛС. Дам ссылку на файл, как вариант должен и с вашими курсами работать.

P.S. Интересно другое, как генерировать ключи самому и каким способом зашифровано видео в этом файле.

| Сообщение посчитали полезным:

Переснять не выйдет.

| Сообщение посчитали полезным:

а вот у меня на некоторых компах, точнее с определенными графическими адаптерами видео тупо не запускается. Оригинальное и с ключом. Ну да и хрен с ним.

З.Ы. В других более поздних версиях схема подмены ID точно такая же.

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

З.Ы. В других более поздних версиях схема подмены ID точно такая же.

Нет я уже смотрел и нужно новую писать, в новой всё по другому сделано.

| Сообщение посчитали полезным:

valedator пишет:
Вот мы писали програмку для старой версии 2013 года. Всё просто подставляешь номер плеера и номер плавающий и через програмку запускаешь плеер.
Смотреть можно на любой машине. А вот чтобы переснять нужно всё запукать на вирталке а снимать на основной любой прогой.
--> Link <--
А ничего, что в заголовке лоадера написано RSI ? Насколько я знаю, то он был членом команты tPORt и не такой безграмотный как Вы.
valedator пишет:
Уже начали изучаем
Еще язык подучите, на котором излагаете мысли свои, а то читать противно.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownproject
Да этот "валедатор" походу барыга-перекупщик, заплатил спецу (RSI) за инструмент и на нём деньги делает.

valedator
ты зае*ал со своей рекламой в ветке Взлом SecureBook

| Сообщение посчитали полезным:

упс

| Сообщение посчитали полезным:

Здравствуйте, господа! Сабж обновился, текущая версия 3+
Нужен для исследований валидный ключ (ну и пример защищённого видео) - в л.с.

| Сообщение посчитали полезным:

Поддерживаю запрос.
С благодарностью приму для исследования также сам uvfPlayer версии старше 3.10.0.237.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Плеер - 3.1.0.145
Есть видео и рабочая пара - может кто помочь ?

| Сообщение посчитали полезным:

попробуем, оставляй ссылку на пакет ☺

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным: