(Очень возможно, что вопрос глупый)
Есть прога, есть валидный ключик с hw id. хочу подменить в памяти на свой.
Но у меня она при запуске показывает Hardware fingerprint: FFFF-FFFF.
Это мои глюки или армадиллы?

| Сообщение посчитали полезным:

Немного не по теме.... Тоже имел прогу, имел валидный ключ, вместе с ID железа, на котором этот ключ работал..... Менял ID своего железа на то, что было вместе с ключом, а он сволоч не подходит Никто не знает в чем прикол, Арма не очень новая.....

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger Мне кажется ,все делать до запуска надо - дату точно выставить.

| Сообщение посчитали полезным:

То atoll - гхы, пардон, это как это, д запуска.... Если сам процесс армы патчится, т.е. выискивается там значение железа которое он нам сам выдает, а не его место подставляется нужное нам.... Так как ты там говорил на счёт "до запуска"?
И причем здес дату выставить?

-----
The blood swap....

| Сообщение посчитали полезным:

ssx

Может, не втом процессе смотриш?

Johnson Finger

А у тебя, скорей всего, триальный ключик.

| Сообщение посчитали полезным:

Johnson Finger пишет:
Менял ID своего железа на то, что было вместе с ключом, а он сволоч не подходит
видимо плохо менял ;) там вообще разные способы есть проверки ИД, обычный - когда один раз подменяешь, регистрируешь на данный ключ и всё пашет, и какой-то мутный - когда ИД читается несколько раз (включая нажатие кнопки OK при введении ключа), т.е. надо ловить обращения к функции или патчить её, при этом на следующем запуске проги арма заявит мол ключ неверный для данного ИД...

| Сообщение посчитали полезным:

То NIKOLA - а нифига ключи специально были не триальными.... Тестировалось на нескольких прогах....
То Mario555 - сама мерзость в том, что у меня даже ни разу небыло удачного запуска... А то что временно... Это да, есть один троян, небезызвестный Pinch, как раз защищенный армой (какой версией не помню, где-то на харде лежит еще), и в комплекте к нему есть серийник, с указанием параметров железа компа, на котором этот серийник прокатывал, и патч памяти, запустив который (сделан в трейнер генераторе), он патчит память, подставляя там это значение, и серийник с легкостью подходит..... Я же найдя все идентификаторы железа в этом процессе и поменяв их на нужные мне, так и не смог добиться запуска..... Одна прога под армой разбивалась на папу и сына, думал что прикол был в этом, но потом пробовал другую, где такой разбивки небыло, там тоже не проканало.... Хотя есть тут одна идейка... Трейнеры могут бить процесс с определенной частотой, т.е. установка опред значения 200 раз в сек... Думаю что может из-за этого, арама просто не успевает подставить свои....

-----
The blood swap....

| Сообщение посчитали полезным:

какие нафиг трейнеры и лоадеры %) в отладчике это всё делается...

| Сообщение посчитали полезным:

Johnson Finger пишет:
небезызвестный Pinch, как раз защищенный армой

В 2.58 какраз и был триальный ключь.

| Сообщение посчитали полезным:

Mario555
Да зуб даю, что у меня на винте лежит трой, Пинч этот самый, запротекченный армой, а в качестве кряка идет трейнер (знаю наверняка, потому что этот движок, точнее, его дистриб, у меня есть), который запускается, мы вписываем туда значение, которое идет вместе с ключом, на сколько я понял, это параметры железа, он их заменяет, и ключ вставляется с пол-пинка.....

-----
The blood swap....

| Сообщение посчитали полезным:

То NIKOLA - Гм, не знаю.... Может быть.... Блин, но я же не только этот трой дербанил, было еще несколько прог, тоже под армой, и у всех такая фигня.... Ключи не трильные.....
К тому же, даже если и триальный, по идее, даже если и железо совпадет, то по дате он бы все равно не запустился....

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger пишет:
то по дате он бы все равно не запустился

Дата берётся из свойства файла, а не из системы, т.е. наведи курсор на файл и увидеш дату создания файла.

И ещё вариант, в памяти , в основном, встречаются три адреса с фарингопринтом, а в некоторых и пять адресов.

| Сообщение посчитали полезным:

Johnson Finger пишет:
Да зуб даю, что у меня на винте лежит трой, Пинч этот самый, запротекченный армой, а в качестве кряка идет трейнер
я к тому что надо не юзать кем-то написанные лоадеры, а самому находить функцию получающую ИД и подменять значение которое она возвращает, ведь не ко всем прогам тебе в комплекте будут лоадер давать готовый ;)

| Сообщение посчитали полезным:

Вот мой очень простой лоадер (код на С), может пригодится... С тем же пинчом справляется (только надо в исходнике правильные имя-код-hwid поставить и скомпилить, но с последними армами не пробовал, и с CopyMemII не пробовал.

7524_28.04.2006_CRACKLAB.rU.tgz - loader.c

| Сообщение посчитали полезным:

> Да зуб даю, что у меня на винте лежит трой, Пинч этот самый, запротекченный армой

Это не сам пинч, это конфигуратор, который делал скратч и "протектил" его карденой армой, пока всю это карденую ветку не передетектили =)

| Сообщение посчитали полезным:

arnix пишет:
CopyMemII не пробовал

С CopyMemII он не работает, по крайней, мере у меня не работал.

| Сообщение посчитали полезным:

То Mario555 - понял, что и стараюсь делать....
то NIKOLA - ага! Три адреса говоришь? Просто я находил только два....
То DrGolova - да, просто я имел в виду весь этот пакет, с билдером, парсером и исходниками.... Кстати, не в курсе, его кто-нить вообще купил?

-----
The blood swap....

| Сообщение посчитали полезным:

arnix пишет:
Вот мой очень простой лоадер (код на С), может пригодится... С тем же пинчом справляется (только надо в исходнике правильные имя-код-hwid поставить и скомпилить, но с последними армами не пробовал, и с CopyMemII не пробовал.

у той проиг что я смотрел класс окна SRTSmartDlg.{xxxxblablablaxxxx}, так что немного поменять надо.
но! т.к. арма сама неправильно определяет hw id, то искать в памяти ffffffff ничего не даст.

Mario555 пишет:
я к тому что надо не юзать кем-то написанные лоадеры, а самому находить функцию получающую ИД и подменять значение которое она возвращает, ведь не ко всем прогам тебе в комплекте будут лоадер давать готовый ;)

ковырять security.dll нет никакого желания, это даже не заказ - знакомый попросил распаковать. можешь показать как примерно выглядит функция проверки? (ее первичные половые признаки )

| Сообщение посчитали полезным:


.text:008C4090 GetHWID proc near ; CODE XREF: sub_8C5303+74p
.text:008C4090 ; sub_8C5303+89p ...
.text:008C4090
.text:008C4090 arg_0 = byte ptr 8
.text:008C4090 arg_3 = byte ptr 0Bh
.text:008C4090 arg_4 = dword ptr 0Ch
.text:008C4090
.text:008C4090 push ebp
.text:008C4091 mov ebp, esp
.text:008C4093 call sub_8C5270
.text:008C4098 or eax, 0FFFFFFFFh
.text:008C409B test [ebp+arg_0], 1
.text:008C409F jz short loc_8C40AB
.text:008C40A1 push 1
.text:008C40A3 push eax
.text:008C40A4 call sub_8C4125
.text:008C40A9 pop ecx
.text:008C40AA pop ecx
.text:008C40AB
.text:008C40AB loc_8C40AB: ; CODE XREF: GetHWID+Fj
.text:008C40AB test [ebp+arg_0], 2
.text:008C40AF jz short loc_8C40BB
.text:008C40B1 push 1
.text:008C40B3 push eax
.text:008C40B4 call sub_8C4303
.text:008C40B9 pop ecx
.text:008C40BA pop ecx
.text:008C40BB
.text:008C40BB loc_8C40BB: ; CODE XREF: GetHWID+1Fj
.text:008C40BB test [ebp+arg_0], 4
.text:008C40BF jz short loc_8C40C8
.text:008C40C1 push eax
.text:008C40C2 call sub_8C4454
.text:008C40C7 pop ecx
.text:008C40C8
.text:008C40C8 loc_8C40C8: ; CODE XREF: GetHWID+2Fj
.text:008C40C8 test [ebp+arg_0], 8
.text:008C40CC jz short loc_8C40D5
.text:008C40CE push eax
.text:008C40CF call sub_8C44D3
.text:008C40D4 pop ecx
.text:008C40D5
.text:008C40D5 loc_8C40D5: ; CODE XREF: GetHWID+3Cj
.text:008C40D5 test [ebp+arg_0], 10h
.text:008C40D9 jz short loc_8C40E5
.text:008C40DB push 1
.text:008C40DD push eax
.text:008C40DE call sub_8C4570
.text:008C40E3 pop ecx
.text:008C40E4 pop ecx
.text:008C40E5
.text:008C40E5 loc_8C40E5: ; CODE XREF: GetHWID+49j
.text:008C40E5 test [ebp+arg_0], 20h
.text:008C40E9 jz short loc_8C40F5
.text:008C40EB push 1
.text:008C40ED push eax
.text:008C40EE call sub_8C46C4
.text:008C40F3 pop ecx
.text:008C40F4 pop ecx
.text:008C40F5
.text:008C40F5 loc_8C40F5: ; CODE XREF: GetHWID+59j
.text:008C40F5 test [ebp+arg_0], 40h
.text:008C40F9 jz short loc_8C4106
.text:008C40FB push [ebp+arg_4]
.text:008C40FE push eax
.text:008C40FF call sub_8C4C83
.text:008C4104 pop ecx
.text:008C4105 pop ecx
.text:008C4106
.text:008C4106 loc_8C4106: ; CODE XREF: GetHWID+69j
.text:008C4106 test [ebp+arg_0], 80h
.text:008C410A jz short loc_8C4113
.text:008C410C push eax
.text:008C410D call sub_8C51C9
.text:008C4112 pop ecx
.text:008C4113
.text:008C4113 loc_8C4113: ; CODE XREF: GetHWID+7Aj
.text:008C4113 test [ebp+arg_3], 40h
.text:008C4117 jz short loc_8C4123
.text:008C4119 push 0
.text:008C411B push eax
.text:008C411C call sub_8C4570
.text:008C4121 pop ecx
.text:008C4122 pop ecx
.text:008C4123
.text:008C4123 loc_8C4123: ; CODE XREF: GetHWID+87j
.text:008C4123 pop ebp
.text:008C4124 retn
.text:008C4124 GetHWID endp

ищется например по сигне 83 C8 FF F6 45.

| Сообщение посчитали полезным:

Johnson Finger
Там помоему фингер-принт в памяти не только в хексе, не и в деке, то есть
если ищешь FFFF FFFF, то ищи еще и 4.294.967.295
(может я и ошибаюсь)

| Сообщение посчитали полезным:

хм. нашел gethwid, для начала попробовал тупо возвращать 666 - посмотреть что будет. hwid не меняется!
она вызывается тучу раз, и должна возвращать hwid в чистом виде?
перед показом hwid в диалоге "enter key" он немного непрямым образом достается и ксорится

| Сообщение посчитали полезным:

тогда попробуй измени ту функцию которая возвращает окончательное значение перед показом в диалоге (которая ксорит) чтобы она возвращала нужный ид... вообще давно я ид подставлял, может уже и забыл как оно там делалось, но помню что это делалось =)

| Сообщение посчитали полезным:

Была статья на этот счет с двумя процессами, там патчится Winhex-ом нужный процесс с ИД search&replace
по сигнатуре но в обратном потядке т.к в памяти.И все подставляется как нужно.

| Сообщение посчитали полезным:

DrGolova пишет:
Это не сам пинч, это конфигуратор, который делал скратч и "протектил" его карденой армой, пока всю это карденую ветку не передетектили =)
Так если че. билдер (конфигуратор) и парсер это разные весчи, хоть и "протектились" одной армой И делались (делаются) не мной одним. Я чиста по парсеру Да и вообще ф топку ее, WinLicense последний рулит... Хотя после тормозов с некоторыми операциями я вообще парсер обратно фри сделал )

| Сообщение посчитали полезным:

atoll пишет:
Была статья на этот счет с двумя процессами
Если не сложно дайте ссылку.
Спасибо.

| Сообщение посчитали полезным:

вот утилита для подмены HWID

ceb0_02.05.2006_CRACKLAB.rU.tgz - armareg.rar

| Сообщение посчитали полезным:

Federal Сылки нет.BiSHEP пишет:
вот утилита для подмены HWID Заменит все HWID в памяти.

| Сообщение посчитали полезным:

Если генерация HWID будет непостредственно перед проверкой, то ничего не получится.

| Сообщение посчитали полезным:

Federal Почему? ведь генерация HWID и идет перед проверкой .Или имеется ввиду подмена?

| Сообщение посчитали полезным:

Кстати о птичках, вот на этой проге я и прокололся.... Т.е. Аrmareg
Есть мысля просто делать вроде патча памяти, который со скоростью 10 мсек будет патчить в памяти HWID, тогда защита просто не будет успевать подставлять туда свое зачение.... На крайняк, можно и 1 мсек поставить, не сложно......
Работа уже идет......

-----
The blood swap....

| Сообщение посчитали полезным: