Прокомментируйте пожалуйста мои наблюдения.
Вначале работает абсолютно норамльно, но когда начинает дампировать файл виснет. Ждал в течении 40 минут, ничего. Может быть DeDe некоректно работает с файлами большого размера?
Заранее спасибо

| Сообщение посчитали полезным:

Demrak
Посмотри внимательно на размер секций в памяти, есть некоторые "умные" протекторы, которые засирают память выделяя под секции от 10 до 100Мб
тогда и дампить будет долго...

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Протектор - ASPack 2.12 -> Alexey Solodovnikov.
Секция .code в дампе занимает 4 689 920 байт, наверное это "засранная" секция, а каким образом ее можно вычистить?

| Сообщение посчитали полезным:

Demrak
это не страшно, должно быть нормально

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Проанализировал KryptoAnalyzer'ом он там нашел 13 сигнатур,
BASE64 - 2 штуки
BLOWFISH: Sbox 2
CRC32 - 2 штуки
CRC32b
DES
RIJNDAEL (AES)
RIPEMD-320
SQUARE [SD]
SQUARE [TE]
TWOFISH [8x8]
-----------------------
М-да, теперь наврядли я эту программку вообще поломаю. Абидно. Посоветуете может что-нибудь, оч хорошая программка но просит 65$. Если кому интересно finecrosser.com/

| Сообщение посчитали полезным:

Demrak
Большая сильно,почти 9 мб! А DeDe может виснуть на старых борландовких версиях да и много еще почему! Сигны то же еще не очем не говорят! Без DeDe навалом инструментов чего сразу руки опускать!

| Сообщение посчитали полезным:

Demrak пишет:
Проанализировал KryptoAnalyzer'ом он там нашел 13 сигнатур

Ни о чем не говорит. Скорее всего подключена одна из распостраненных крипто-библиотек (часто их можно найти в исходниках) и использован какой-либо один/два алгоритма (ex: SHA-1 + Blowfish). Распакуй и анализируй в IDA. exe2dpr все еще хорош для старых версий Delphi.

Размер некритичен - дизассемблировал Delphi'ские проги и под 100 Mb (только ждать долго приходится).

Используй CC (СryptoChecker) для получения всех текстовых строк из кода (включая зашифрованные - if any).

| Сообщение посчитали полезным:

В распакованном файле Peid определяет как Delphi 6.0 or 7.0. Еще вопрос, есть ли унифицированные методы взлома дельфи програм? Пока для меня не важна красота взлома, нужна просто полная или хотя-бы частичная функциональность.

| Сообщение посчитали полезным:

Еще один вопрос. Программа проверяет правильность серийника при загрузке, но зачем она по три раза прогоняет имя, мыло и сер.номер через RegQueryValuEx?

| Сообщение посчитали полезным:

Demrak пишет:
Еще один вопрос. Программа проверяет правильность серийника при загрузке, но зачем она по три раза прогоняет имя, мыло и сер.номер через RegQueryValuEx?

Ну проверяет валидность, и пишет/читает в реестр, скорее всего 2 записи делает, для запутывания, а одну реально считывает и проверяет.

| Сообщение посчитали полезным:

Как я понимаю в Дельфях есть стандартная структура проверки валидности сер.номера?
cmp EAX, EAX
jnz FFFFFF / К примеру.
Можно ли опираясь на эти данные провести поиск подобных структур?

| Сообщение посчитали полезным:

Demrak пишет:
Как я понимаю в Дельфях есть стандартная структура проверки валидности сер.номера?
cmp EAX, EAX
jnz FFFFFF / К примеру.
Можно ли опираясь на эти данные провести поиск подобных структур?

Ога и получишь примерно несколько сотен "подобных структур" в крякми... и несколько миллионов в средней проге написаной на VCL...

| Сообщение посчитали полезным:

Неее, стандартная, это вот:
cmp eax,'Valid Serial Number'
jnz 'Меня не наипешь!'

| Сообщение посчитали полезным:

Demrak пишет:
Ждал в течении 40 минут, ничего
DeDe дампит в режиме отладки. Скорее всего там антиотладочный прием применен.
Кстати необязательно распаковывать - DeDe 3.50 прекрасно дампит, прицепляясь к задачке -
а она уже "распакована" Короче, если еще не расхотел сломать - читай про антиотладочные
приемы, ищи и отключай "ловушки".
+++++++++++++++++++++++++++
Олля рулит - подцепился к "зациклившемуся" DeDe и ,тюкая "дойти до ret" , вышел
на цикл где eax проверяется на !=0. Потюкал и плюнул - присвоил не 0.
DeDe - ожил - все нашел, Паскаль есть. Куда слать ?

| Сообщение посчитали полезным:

tundra37 пишет:
Куда слать ?

Ты про что?

| Сообщение посчитали полезным:

NIKOLA пишет:
>tundra37 пишет:
>Куда слать ?
Ты про что?
Очевидно отчёт DeDe о проделанной работе. То есть он хочет послать результаты, видимо.

| Сообщение посчитали полезным:

NullSession пишет:
То есть он хочет послать результаты, видимо.
Естественно! Я увлекался кроссвордами, но деньги на их составлении зарабатывать не буду
Просто решил поднять свою квалификацию в области "кракания". Китайцы конечно молодцы,
но иногда приходится и самому доделывать

| Сообщение посчитали полезным:

Если вдруг кому то будет интересно посмотреть на БД этой проги, то...
В папке Data файлы с БД
Тип БД: ABSOLUTE DATABASE www.componentace.com/bde_replacement_database_delphi_absolute_database.htm
пароли от БД:
galina911
mila033

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Hello and nice to find you.

I know this is a very old thread but I would like to know if anyone by any chance has figured out how to bypass the registration limits of this program. I have done some research in the past days but since this is not my field I am still struggling to find a way to actually use the program with all features enabled.
I have found that there is a registry write [HKEY_CURRENT_USER\Software\fc\TfmAbout] where there are some saved values which are hard coded as well (thanks to olly dbg). The info are
as****04@mail.ru
BEL2-R32R-KEL2
but I cannot register with these info.
Plus, as HEX suggests, I have found the password (galina911) of the database but all I need is a pattern to generate keys or at least make a trick like change JE to JNZ to bypass the limitation.
PS I tried the FineCrosser version 2.4.4.1034

Thank you and have a good day.

| Сообщение посчитали полезным: