Скачал игру Маленькие бомберы возвращаются v.1.7 http://www.alawar.ru/download/LittleBombersRus.exe http://www.alawar.ru/download/LittleBombersRus.exe 3.36 Mb. На ней ASProtect 1.22 - 1.23 Beta 21. Распаковал стриппером (если вручную то дамп снимаю, спёртые байты нахожу, а с импортом проблемы). Но зареганой она себя не считает. Если распакованную прогу запустить под отладчиком то второй раз без перезагрузки винды она не запуститься. Но эту процедуру я нашёл занопил прыжок по адресу 00493586 и теперь она всегда запускается. Через Searsh All referenced text string нашёл надпись Registered to ставил на неё бряк но он не срабатывает. Поэтому никак не могу найти процедуру аспровой проверки имени. Может кто подскажет как её доломать?

| Сообщение посчитали полезным:

DenX
Вобщем тебе нужно сначала было поймать API аспра, которое получает имя юзера (типа GetUserName, я уж не помню точное название). Выглядит она так:

00484454 55 PUSH EBP
00484455 8BEC MOV EBP,ESP
00484457 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8]
0048445A A3 883B4A00 MOV DWORD PTR DS:[4A3B88],EAX
0048445F 5D POP EBP
00484460 C2 0400 RETN 4

По адресу 4A3B88 должен лежать УКАЗАТЕЛЬ на имя юзера. Поэтому ищи пустое место (я взял 004A4140), пиши туда своё имя. Ну а по адресу 4A3B88 прописывай адрес имени.

| Сообщение посчитали полезным:

Игруха "Умный грузчик" от того же Алавара. -->6.5метров<-- http://www.alawar.ru/download/CleverLoaderRus.exe
В Импреке делаю трэйс с помощью плагов (Asprotect 1.23, Asprotect 1.22), но все равно остаются несколько Invalid функций. Делаю Cut thunk's по ним, таблица импорта принимает нормальный вид. Прилепляю её к дампу, прога падает в CALL'е который обращается к невыделенному участку памяти.
Вопрос: вроде таже версия аспра что в Electra и Brave Gnom's, однако снять аспр теми же методами не получается. В чем причина?

PS: Честно говоря небольшой спец в распаковке аспра, поэтому прошу сильно не пинать за вопросы такого типа.
Спертые байты:
-------------------------------------------------------------
00BE4952 55 PUSH EBP
00BE4953 8BEC MOV EBP,ESP
00BE4955 83C4 F4 ADD ESP,-0C
00BE4958 B8 545E4600 MOV EAX,465E54
00BE495D 68 B75F4600 PUSH 465FB7
-------------------------------------------------------------
OEP - 00465FA7
-------------------------------------------------------------

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

[EXE]_cutor пишет:
прога падает в CALL'е который обращается к невыделенному участку памяти
Это как раз апи аспра, они ищут рег данные по тем адресам в памяти, которые были выделены аспром при запуске протекченной и сохранились в дампе. Теперь от них отталкиваясь очень легко найти все проверки, а вообще можно и проще - меняем эти адреса в дампе на свободный участок памяти, пишем туда имя, не забыв последний байт сделать 0х00 и если прогамер не утруждался прога будет зареганой(это если именно данные читаются), если ж именно апи, то тоже не сложно

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

Ara.
Спасибо! Всё получилось.

| Сообщение посчитали полезным:

DenX
Ну коль ты эту игру взялся ломать, может знаешь\помнишь аналогичную под ДОС? Особо важна поддержка сети.

| Сообщение посчитали полезным:

Ara
К сожалению не знаю.
[EXE]_cutor
OEP там 00465FAC и в спёртых байтах последний PUSH не нужен (их там 11).

| Сообщение посчитали полезным:

Ara ты пишешь:
Поэтому ищи пустое место (я взял 004A4140), пиши туда своё имя. Ну а по адресу 4A3B88 прописывай адрес имени.

А как ты нашел пустое место и с помощью какой программы добавил значение

| Сообщение посчитали полезным:

Drakosha пишет:
А как ты нашел пустое место
Обычно в конце каждой секции есть неиспользуемое место, нули.

Drakosha пишет:
с помощью какой программы добавил значение
OllyDbg.

| Сообщение посчитали полезным:

Кстати, никто так и не ответил толком каким образом распаковать гаму "Умный грузчик".
Стриппер его не берет (нерабочий файл на выходе), а ручками - проблемы с импортом возникают.
Кто-нибудь пытался снять с этой проги аспр вручную???
Расскажите как обойти проблему с IAT.

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

Для "грузчика" есть кряк в Инете.Если надо,могу прислать по мылу.Там 300 КБ по-моему.

| Сообщение посчитали полезным:

да не, пасиб. Мне нужно понять логику самого процесса.
Если мне нужен был кряк я б его и сам поискал

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

[EXE]_cutor
Скачал, посмотрел. Прикольная игруха.
В аттаче импорт для импрека, stolen bytes и скрипт для выхода на последний эксепшин. Дамп снимешь, как и в электре (его размер - 2 334 720 байт). Регистрацию пока не смотрел.

a34c_CUBEPUSH.rar.zip

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

[EXE]_cutor
Странно но у меня его и стриппер нормально распаковывает. А вот с регистрацией я не могу разобраться.

| Сообщение посчитали полезным:

Если stripper не распаковывает,значит удаляется вместе с Аспром часть кода.
Кстати,на alawar.ru есть две игрухи "бешеные вещи" и "братья драконы-2"
Так вот там Стриппер виснет когда начинается "TRACING..."
Делаем дамп,а затем на DZA PAtcher стряпаем лоадер.И всё.
Иногда распаковывать нет смысла.ИМХО!

| Сообщение посчитали полезным:

ValdiS
а ты пробовал этот импорт прилепить к дампу, чтобы он работал? В принципе все что ты запаковал в архив все это у меня уже есть, сам дошел .
Проблема в другом. После того как цепляю свой импорт к дампу, появляется куча АПИ которые "плюют в небо". Как это исправить? Может не в том месте сдампил? (дампил на temp OEP, сразу после краденых байт в секции кода)
PS кстати попробовал в импрек загрузить твой импорт и прилепить его к своему дампу, нифига не выходит, invalid IAT.
DenX пишет:
Странно но у меня его и стриппер нормально распаковывает
я распаковывал stripper v.2.11. Файл нерабочий.
2.07 я качал, скачались 2 DLL. Тока непонятно куда их кинуть. Самими DLL распаковывать не будешь. Или архив битый пришёл и там EXE не хватает?

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

У меня импорт ValdiSa нормально цепляется к дампу и всё работает только при закрытии игры выскакивает Acces Volation по адресу 00403BCF. Кстати хотелось бы узнать как нашли импорт. Я в какойто статье читал что в прогах на делфи первая вызываемая функция GetModuleHandleA и стоя на OEP надо найти её и дальше будет идти импорт но в Умном загрузчике это не проходит.

| Сообщение посчитали полезным:

Есть игра Метаморфозы (Metamorphis 1.5) и есть для нее Кейген но он выдает ошибку 200
Последний раз я запускал его где-то год назад и тогда он работал, качал заново из нета и все-равно таже история

Если кто сможет его запустить выложите сюда имя и пароль.

d97f_Metamorphs_1.5.zip.zip

| Сообщение посчитали полезным:

[EXE]_cutor пишет:
там EXE не хватает?
Да у тебя архив битый.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

[EXE]_cutor пишет:
а ты пробовал этот импорт прилепить к дампу, чтобы он работал?
Конечно, непроверенных данных я бы не отправлял. Работает на ура.

[EXE]_cutor пишет:
Может не в том месте сдампил? (дампил на temp OEP, сразу после краденых байт в секции кода)
Все правильно, как брякнулся так и дампь. Я же писал, как дамп снимешь, как и в электре (его размер - 2 334 720 байт).

DenX пишет:
только при закрытии игры выскакивает Acces Volation по адресу 00403BCF
Хороший вопрос... Здесь необходимо имя, на кого зарегистрирована программа:
- ищешь свободное место и вписываешь свое имя (я взял адрес - 4661B0), сохраняешь изменения;
- переходишь на адрес 45d4e5, ставишь бряк, перезапускаешь программу;
- после ее запуска выбираешь пункт меню "Информация", 4-ю страницу, срабатывает бряк;
0045D4DC . 8D45 C0 LEA EAX,DWORD PTR SS:[EBP-40]
0045D4DF . 8B15 08FF4800 MOV EDX,DWORD PTR DS:[48FF08] ; CUBEPUSH.00467AA4
0045D4E5 . 8B12 MOV EDX,DWORD PTR DS:[EDX] ; бряк
0045D4E7 . E8 DC66FAFF CALL CUBEPUSH.00403BC8
0045D4EC . 8B4D C0 MOV ECX,DWORD PTR SS:[EBP-40]
- меняешь содержимое [00467AA4] = 3e3861 на [00467AA4] = 4661B0, сохраняешь изменения;
- перезапускаешь программу.
Программа больше падать не будет, но есть одна проблемка: игра не считает себе зарегистрированной все равно. Нужно еще посмотреть. А с распаковкой все.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

мой Вопрос снят

| Сообщение посчитали полезным:

Шарк, кстати, в сети есть патчик который отбрабатывает проги с ошибкой 200, у меня несколько раз помогал.

| Сообщение посчитали полезным:

DenX пишет:
Кстати хотелось бы узнать как нашли импорт.
Сам кстати с этим вопросом помучался вначале, потом прочел статью.
Импорт без труда находится импреком. OEP 00065FAC -> IAT Autosearch. Потом, САМОЕ ВАЖНОЕ -
выставляешь вручную в поле Size размер импорта около 600, т.к. после нажатия кнопки IAT Autosearch его размер, у меня, автоматически устанавливался в "C1" (вроде бы, точно не помню, но знаю что подозрительно маленький). Запускаешь Get import. Появились куча нераспознанных функций. Дальше трассируешь их с помощью плагинов для аспра. Но остаются все равно около 10 invalid function's. В какой то статье прочитал что эти адреса - фиктивные. Аспр попросту загаживает с их помощью таблицу импорта. Делаешь по ним "Cut Thunk's" - импорт принимает нормальный вид. Вот правда дамп у меня так и не заработал. Пришлось закачивать снова stripper 2.07 и распаковывать им.

PS вопрос возник - при нажатии IAT Autosearch автоматически выставляется левый размер импорта (меньше реального). Это происходит потому что вставлена фиктивная функция, вследствие чего импорт разбит на куски ???

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

[EXE]_cutor пишет:
Вот правда дамп у меня так и не заработал
А какой размер дампа у тебя получается? И после LordPE и PETools не работает?
В аттаче мои настройки LordPE. Кстати, что с регистрацией? Разобрался?


7271_LordPE.PNG.zip

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
какой размер дампа у тебя получается?
дампил тремя тулзами: Lord PE, PE Tool's, плаг Olly Dump.
У всех трех размер дампа 2 334 720 байт. Почему отказывается работать - ХЗ.
Кстати поначалу стриппер 2.11 не хотел отдирать аспр от бомберов. Неверную ОЕР находил.
После 3-ей попытки почему то распаковал нормально ???
Никакие настройки не трогал.
Да вобще шняга какая то. Прям щас сижу импреком восстанавливаю импорт у грузчика - находит практичесик все АПИ. Пару дней назад находил максимум штук 40.

Регистрацию пока не смотрел. На выходных, если будет время.
PS настройки у Лорда те же самые, только всякие register shell extension's поснимал. Не люблю в контекстном меню лишнего.

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

блин че то аттач не цепляется к предыдущему посту
Вот мой импорт.

d032_%E8%EC%EF%EE%F0%F2.txt.zip

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

[EXE]_cutor
А у тебя какая операционка? Я работаю под XP Pro SP2 (это я к тому, почему мой импорт не вешается у тебя).

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

[EXE]_cutor
Сравнил свой импорт с твоим. У тебя в kernel32.dll, user32.dll, ... определено намного меньше функций. Видимо поэтому и падает. Попробуй в импреке подставить параметры, как у меня OEP: 00065FAC, IATRVA: 0012D100, IATSize: 00000700 Думаю, что должно помочь...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

кстати посмотрел немного регистратор.ехе.
Если введен верный серийник, прога записывает его в 2 ветки реестра (ключ реестра "Key") и кнопка снизу меняется на "запустить игру".
чтобы регистратор писАл в реестр нужно поменять джамп JE 00405F8F по адресу 00405F79.
Выше него, видать находятся процедуры генерации и проверки серийника.
Скорее всего, кроме изменения указателя на рег имя в самой игре, нужно будет посмотреть что она мутит с реестром.

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

[EXE]_cutor
регистратор не проверяет ключ!!!
введи ему:
adasdasdasdadasdasdasdadasdasdasdadasdasdasdadas
dasdasdadasdasdasdadasdasdasd
adasdasdasdadasdasdasdadasdasdasd
adasdasdasdadasdasdasdadasdasdasdadasdasdasd= (чтобы равно было в конце)
и он напишет "спасибо"

| Сообщение посчитали полезным: