Непонятки с прогой Geozem - alexug.narod.ru - прога для межевальщиков.

Последний сериал который к ней проходил год назад - для версии 5.76

Сейчас на сайте версия 6.10, и номер естественно, не катит. Кстати

перестал он катить с версии 5.85. Сам номер - 090909094F2A453F5A374735

Запакована аспаком. Написана на Delphi 4.
Теперь о грустном. Замучался я лазить по ней, и выяснил пока следующее:

Заставить ее слопать номер можно, и везде она пишет "версия Pro", НО!

Не включаются пункты меню и кнопки на печать и сохранение, то бишь

прога не поломата. У меня жуткое подозрение что тут задействованы SEH,

но убей не могу в olly отловить это. Вот например процедура, после которой

ежели в eax 0 - Pro версия, -1 - Demo, 1 - Standart, 2 - Lite




При нормальном исполнении в eax _всегда_ -1...
Вопрос к спецам: как отловить в ОЛЕ эту хрень (мож кто посмотрит?),

то бишь проверку валидности номера, включения пунктов печати и сохранения,

или на крайний случай обьяснил бы как пропатчить чтоб они включились.

А мож кто и кейген написать сможет?;)))

Прога полезная, многим бы пригодилась.

| Сообщение посчитали полезным:

Jiffa Ну DeDe для чего вообще ?

| Сообщение посчитали полезным:

вот смотри чего у меня вышло -> серийник почти такой же тока в конце 11111 добавилось откуда то
Первый серийник такой -> 090909094F2A453F5A37473511111

Чуть ниже сгенерились такие циферки -> 94F2A453F5A37473
Вводил в поле

Name : Z0oMiK[TLG]

RegCode : 1234567890
Вот еще очень интересное место



проверка введенного Fake RegCode
прога еще работает с реестром ->
ASCII "SOFTWARE\GEOZEM"

ASCII "regname" - Имя

ASCII "REG" - Папка где создаются ключи regkod , regname , first , last

ASCII "regkod" - Рег КОД

ASCII "REG" - Папка где создаются ключи regkod , regname , first , last

ASCII "regon" - Походу дела включает регистрацию

ASCII "regoff" - Походу дела выключает регистрацию

ASCII "days" - Кол-во дней

ASCII "first" - хз

ASCII "last" - хз

ASCII "prosr" - хз
Выглядит так



Заметил еще это
005AE9EC=Geozem_e.005AE9EC (ASCII ": Pro version")

005AEA04=Geozem_e.005AEA04 (ASCII ": Lite version")

005AEA1C=Geozem_e.005AEA1C (ASCII ": Standard version")
Прога юзает еще BASE64 table так что учти
В самом EXE есть странные папочки

<BAD ID>13072

Й
MYFOLDER

LISTK
1023

<BAD ID>15982
Вроде пока все
689e_Geozem.png

| Сообщение посчитали полезным:

Z0oMiK

004DBE84 |> /8D45 F0 /LEA EAX,DWORD PTR SS:[EBP-10] --------begin

004DBEA2 |.^\75 E0 \JNZ SHORT Geozem_e.004DBE84 ----------end

я думаю это шифровка и расшифровка пароля "regkod"="ИЕ·Г°ЕДВ·Д°ВЖЕЖВ

| Сообщение посчитали полезным:

Balthasar_magus Незнаю незнаю щас эту прогу лгянет Rush и все .... если взялся Rush это точно прога Cracked .......
потом выскажется что так и как там

| Сообщение посчитали полезным:

Блин да там ломать нечего. Код в открытом виде в памяти валялся во всех версиях, которые я раньше ломал.
Вряд ли что-то изменилось.

| Сообщение посчитали полезным:

В версии 5.86 такой был: 090909094F2A453F5A374735

| Сообщение посчитали полезным:

Z0oMiK пишет:
если взялся Rush это точно прога Cracked
Могу подкинуть несколько прог, чтоб они стали Cracked ))) [сорри за оффтоп]

| Сообщение посчитали полезным:

Ara пишет:
Могу подкинуть несколько прог, чтоб они стали Cracked )))
Это... Я типа того же написать хотел

| Сообщение посчитали полезным:

2Zoomik:
>Первый серийник такой -> 090909094F2A453F5A37473511111
>Чуть ниже сгенерились такие циферки -> 94F2A453F5A37473

2-е - это подстрока из 1й строки

>Вот еще очень интересное место
>
>004DBE84 |> /8D45 F0 /LEA EAX,DWORD PTR SS:[EBP-10]
>...
>проверка введенного Fake RegCode

Не, это как заметил Balthasar_magus расшифровка серийника
взятого из реестра в стэк.

2WELL:
>Блин да там ломать нечего. Код в открытом виде в памяти валялся во всех версиях, которые я раньше >ломал.
>Вряд ли что-то изменилось

А ты глянь, просто интересу ради. Изменилось.

Кто-ньть еще чего нарыл? Или посоветует чего дельного?
Так что вопрос пока открыт, прога неломата, все межевальщики хором рыдают ;)))

| Сообщение посчитали полезным:

Ну что, никто так эту прогу и не лягнет?;(
У меня уже ступор какой-то, никаких новых идей. Нужная же прога!

| Сообщение посчитали полезным:

Jiffa



копай от сюдова




дальше там будет "regcod"

| Сообщение посчитали полезным:

Balthasar_magus пишет:
копай от сюдова
CODE:005AE1B5 lea eax, [ebp-8]
CODE:005AE1B8 push eax
CODE:005AE1B9 mov ecx, offset aRegname_0 ; "regname"
CODE:005AE1BE mov edx, offset off_5AE498
CODE:005AE1C3 mov eax, esi

дальше там будет "regcod"

Чёт я там его не заметил А ты?

| Сообщение посчитали полезным:

WELL

дак это только начало проверки из Regedit.

| Сообщение посчитали полезным:

WELL

004DBEA4 MOV EAX,DWORD PTR SS:[EBP-8] bpx на это место

в дампе ctrl+g = 00B72380. Там будет выше и ниже различные коды
(например 090909094F2A453F5A374735 )
я вот че думаю там есть функция шифровки и расшифровки строки, дак может эти коды где то в файле
зашифрованные
Вот так выглдядит 090909094F2A453F5A374735 в зашифрованном виде (˜‘˜‘˜‘˜‘њољйњќ›оќй)

| Сообщение посчитали полезным:

version 5.76
name: любое
serial: 090909094F2A453F5A374735

version 5.75
name: любое
serial:fdgdfgdf4D28473D58357217

00B72380 вот поэтому адрессу находятся эти ключи. Это по ходу дела
черный список рег. ключей для версии 6.10

Кстати как я уже писал по аддресу "00B72380" и ниже находятся интересные
ключики('may be')

| Сообщение посчитали полезным:

И еще нашел.

по аддресу 16ed2a - 16f08a находятся шифрованные ключи. Потом при загрузке проги они расшиф. по аддресу "00B72380"

| Сообщение посчитали полезным:

2Balthasar_magus:

Ставлю бряк на
004DBEA4 MOV EAX,DWORD PTR SS:[EBP-8]

или как оля пишет:
004DBEA4 |> \8B45 F8 MOV EAX,[LOCAL.2]

На ctrl-g в дампе ввожу 00B72380 - оля говорит:
No memory on the specified adress ;(

Иду сюда: 16ed2a
0016ED2A AD BA 0D F0 AD BA 0D F0 >-є.р-є.р-є.р-є.р
0016ED3A AD BA 0D F0 AD BA 0D F0 >-є.р-є.р-є......
0016ED4A 00 00 30 EE 16 00 FF FF >..0о.яяяя......
0016ED5A 00 00 00 00 00 00 00 00 >..........
...x.
0016ED6A 00 00 00 00 00 00 00 00 >...........р-є.р
0016ED7A AD BA 0D F0 AD BA 0D F0 >-є.р-є.р-є?н..
0016ED8A 00 00 00 00 00 00 00 00 >................
0016ED9A 00 00 00 00 00 00 00 00 >..........
....р
0016EDAA AD BA 0D F0 AD BA 0D F0 >-є.р-є.р-є.р-є.р
0016EDBA AD BA 0D F0 AD BA 00 00 >-є.р-є.........р
0016EDCA AD BA 0D F0 AD BA 0D F0 >-є.р-є.р-є.р-є.р
0016EDDA AD BA 0D F0 AD BA EC ED >-є.р-ємн......

Это оно? Зашифрованные номерки?
Ставлю на первый байт breakpoint on access - не срабатывает.

| Сообщение посчитали полезным:

1) 005AE1DE MOV ECX,Geozem.005AE4A4 bpx here

2) ctrl+g "00B72220"

3) с 00B72220 по 00B72B20 будут расличные коды,
там будут и "090909094F2A453F5A374735" и "ILoveRev77127D07620F482D (ver 5.75) и
еще много всяких ключиков

а на счет 16ed2a там где то в начале программы надо смотреть

пример
{
ЫAAABAAYAAAYAAAхAAAssyqzq„‚u„szuwt„vztuxtrwNK§ҐЁҐ§ЁҐ§u…
syuxt…vytvrvxzNKЉЌ°·¦“¦·xxrsx…qxwsq‡s‡utNK§ҐЁҐ§ЁҐ§u…syuxt…
vytvxsrxNKЉЌ°·¦“¦·xxrsx…qxwsq‡uys…NKqzqzqzqzu‡s‚uvt‡v‚
txuxtvvwrxr…qutѓv†truѓs†utquwrNK†v„vѓ…ѓutzv„ttuzs„urqwwtN
Ksvxt…uxstzv„ttuzs„urqwwtNK…u„‡
}

вот эта байда через WinHex (offset 1EF690)

| Сообщение посчитали полезным:

>вот эта байда через WinHex (offset 1EF690)
ага, нашел байду - 00619E90
>ctrl+g "00B72220"
Ну не хочет оля у меня туда ходить... То ж самое - No memory on the specified aadress...
Что за хрень такая? Это ты в оле делаешь? Файл распакован?
И вообще мы говорим про версию 6.10?;)))

| Сообщение посчитали полезным:

Jiffa

1) 005AE1DE MOV ECX,Geozem.005AE4A4 здесь ставь бряк

ctrl+g "00B72220

версия 6.10, тоже распакованая

попробуй поставь на 00619E9 или 16ed2a (бряк на memory)

| Сообщение посчитали полезным:

Jiffa

вот еще файл с пассами (через winhex)

6f01_pwd.zip

| Сообщение посчитали полезным:

Кто-нибудь ломал версию 6.45 ?
Вроде защита осталась та же, только печать и сохранение это не включает. А списки заблокированных ключей кто-нибудь находил в этой версии ? Вообще кто то разобрался с версией выше 6 ? На руборде тоже тишина. Поверить не могу, неужели автор написал такую защиту, что никто не может до сих пор разобраться ??? Последний разговор был 6 декабря 2005.

CODE:0054C408 push ebp
CODE:0054C409 mov ebp, esp
CODE:0054C40B push ebx
CODE:0054C40C xor eax, eax
CODE:0054C40E push ebp
CODE:0054C40F push offset loc_54C42B
CODE:0054C414 push dword ptr fs:[eax]
CODE:0054C417 mov fs:[eax], esp
CODE:0054C41A or ebx, 0FFFFFFFFh
CODE:0054C41D xor eax, eax
CODE:0054C41F pop edx
CODE:0054C420 pop ecx
CODE:0054C421 pop ecx
CODE:0054C422 mov fs:[eax], edx
CODE:0054C425 push offset loc_54C432
CODE:0054C42A
CODE:0054C42A locret_54C42A: ; CODE XREF: CODE:0054C430j
CODE:0054C42A retn
CODE:0054C42B ; ---------------------------------------------------------------------- -----
CODE:0054C42B
CODE:0054C42B loc_54C42B: ; DATA XREF: CODE:0054C40Fo
CODE:0054C42B jmp sub_404F24
CODE:0054C430 ; ---------------------------------------------------------------------- -----
CODE:0054C430 jmp short locret_54C42A
CODE:0054C432 ; ---------------------------------------------------------------------- -----
CODE:0054C432
CODE:0054C432 loc_54C432: ; DATA XREF: CODE:0054C425o
CODE:0054C432 mov eax, ebx
CODE:0054C434 pop ebx
CODE:0054C435 pop ebp
CODE:0054C436 retn


| Сообщение посчитали полезным:

Так никто и не довел дело до конца?
008d3808 - обработка на нажатие кнопки Активировать.
Правда мне она ничего особо не дала. Как читается текст из компонентов Edit и где сравнивается Key пока остается загадкой.

| Сообщение посчитали полезным:

Итак.. версия Geozem 6.68
Инфу о ключах хранит в реестре -> HKEY_CURRENT_USER\Software\Geozem\REG
Ключи вводятся в меню Справка -> о программе, далее жмем Регистрация.
Проверка ключей осуществляется после нажатия на кнопку ОК (008D2090).
Но проверка идет на в обработчике этой кнопки, а, такое ощущение, что в обработчике событий главной формы.
Чтение из едитов осуществляется в функции 0092А774, ближе к концу, вызывая функции 008D3408 и 008D3544.
Если в поле "Регистрационный ключ" ввести standard или lite, нажать ОК, а потом снова открыть О программе, то загаловок главного окна сменится на "Standard Demo" или "Lite Demo" соответственно, но в реестр ничего не пишется и после перезапуска в шапке опять "Demo".

| Сообщение посчитали полезным:

В функции 0092А774 дизейблятся некоторые части меню, в том числе и Сохранить как...
Можно чтобы они не дизейблились, но работать они всё равно не будут.

| Сообщение посчитали полезным:

а ссылку мона? посмотрел бы если время будет.

| Сообщение посчитали полезным:

Вот это, наверное (не скачивал): h**p://geozem.com/files/geozem_full.zip

| Сообщение посчитали полезным:

Ссылка на программу geozem.com/files/geozem_full.zip

| Сообщение посчитали полезным:

008D2C8F и 008D2CDA идет вызов (проверка?) введенных ключей и хар.ид компа при вызове диалога О программе. (008D3674)

| Сообщение посчитали полезным: