вот один забавный прием взлома.
1) прогоняем программу через трейсер, вводим правильный параль (не окончена дата триала)
2) прогоняем программу через трейсер, вводим _не_правильный параль (окончена дата триала)
3) получаем два лога трейсера, которые в чем-то схожи, а в чем-то различны

методика взлома сводится к поиску различий:

* решение для "богатых"
===================
берем любой coverage-инструмент
(например, плагин для ида, www.hexblog.com/2006/03/coverage_analyzer.html)
или numega coverage или другие инструменты для измерения покрытия.
сравниваем покрытие до и после оконочания триала,
делаем выводы, мотаем на ус.

* решение для "бедных"
==================
берем ollybdg, грузим программу (допустим demo-simple.exe),
говорим debug -> open or clear trace,
view -> run trace;
F10 -> log to file;
CTRL-11,
и дождавшись "enter password" вводим _не_ правильный прароль типа fuck off

теперь нажимаем Ctrl-F2 для рестарта дебагера,
говорим view -> run trace;
F10 -> clore file
F10 -> log to file;
CTRL-11,
и дождавшись "enter password" вводим правильный прароль типа nezumi
говорим view -> run trace;
F10 -> clore file

ок. мы получили два файла,
пусть это будет 1.log и 2.log.

* как сравнивать файлы
==================
берем утилиту windiff (входит в ms vc и еще хрен знает куда),
выбираем файлы, говорим [expand]
и жем F8 для поиска изменнений. вот, смотрите, что мы нашли:
(см. аттач). это и есть тот условный переход, который рулит ;)))


в отсуствии windiff (ну что за срань?! юниховый diff намного лучше)
с некоторой черезжопицей файлы можно сравнивтаь и FC.EXE.

а вообеще, но "науке" надо написать несложную программу,
которая берет EIP адреса, пройдеденные файлови ложит их в базу
(для ускорения поиска можно использовать двоичное дерево),
а затем показывает какие адреса _НЕ_ совпадают в обоих файлах.

вот такой прием взлома. мыщъх пользуется им уже давно,
но не видел, чтобы он был где-то описан, вот и решил описать.

критика, замечания, дополнения - только приветствуются





ff2b_08.04.2006_CRACKLAB.rU.tgz

| Сообщение посчитали полезным:

n1kto пишет:
в ольке, если память не изменяет есть возможность открючить запись лога при трейсе из определенных мест.

Ага, путем ручного выделения требуемых мест, а это опять ручная работа
Хотя Олли на автомате мог бы выкидывать из лога хотя бы циклы c префиксом rep

| Сообщение посчитали полезным:

Asterix пишет:
Ага, путем ручного выделения требуемых мест, а это опять ручная работа
Хотя Олли на автомате мог бы выкидывать из лога хотя бы циклы c префиксом rep

исключительно для уважаемого сЭра
tools -> debugging options -> Trace -> Always trace over string commands

;)

| Сообщение посчитали полезным:

наврал! не tools а otions! ;)

| Сообщение посчитали полезным:

n1kto
самое интересное что я обращал внимание на эту опцию, но не уловил смысла, был невнимателен %)

| Сообщение посчитали полезным:

Asterix пишет:
самое интересное что я обращал внимание на эту опцию, но не уловил смысла, был невнимателен
Хороший топик получился, открыли инструмент заново.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS
Ага, только я раньше вообще не использовал трассировку, считая это бесполезным занятием в большинстве случаев, поэтому как-то не обращал внимание на возможности Olly в этой области =)

| Сообщение посчитали полезным:

Asterix
А я начинал писать прогу для анализа логов да так и забросил. Видимо пора заняться опять.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
Видимо пора заняться опять.

Вот это весьма разумная мысль. Но от нее будет толк, когда выложишь результат сюда.

| Сообщение посчитали полезным:

Да, все новое - хорошо забытое старое ;)
Обсуждаемый метод использовал еще в 1996 г. Solar Designer (для DOS),
прога зовется Jump Tracer, прилагается

3d8d_17.04.2006_CRACKLAB.rU.tgz - JTRACE12.RAR

| Сообщение посчитали полезным:

Jiffa пишет:
Да, все новое - хорошо забытое старое ;)
Обсуждаемый метод использовал еще в 1996 г. Solar Designer (для DOS)

помнится, кто-то писал еще типа трейсера, тоже на переходы, но попозже, году в 98.

на мой взгляд все проще: trace -> grep -> sort (?) -> winmerge ;)

| Сообщение посчитали полезным:

а чего тема заглохла, все пишут сво трэйсеры или ушли в подполье ?

Asterix
и на этот случай есть опция Пометить DLL как системную, так что Olly рулит
Скажи где эта опция ?

Hellspawn
у меня пару лет назад были подобные мысли
может не много не в тему, писал я как то скриптик для олли (дабы изучить ODbgScript)
понадобилось мне отследить все обращения к одной комманде...
(find reference не помогало...) ну вот и написал для своего использования...
+там есть неск. полезных фич... может кому будет полезно...
надо поставить бряк и не много помучить прогу, в папке появится лог...

Расскажи как пользоваться твоим скриптом
что есть Starting, geting address... и Geting max count...

вот интересный, но надеюсь пока глючный скрипт: --> ollyscript tracer <--

| Сообщение посчитали полезным:

dantist пишет:
а чего тема заглохла, все пишут сво трэйсеры или ушли в подполье ?
а что по ней еще писать? помоему и так всё ясно

dantist пишет:
Скажи где эта опция ?
ALT-E, на модуле правой кнопкой

| Сообщение посчитали полезным:

dantist пишет:
Starting, geting address... и Geting max count...

гы, как давно это было... ну собственно адресс за которым следить и
кол-во оьбращений которые нужно отследить

-----
[nice coder and reverser]

| Сообщение посчитали полезным: