Может быть кто реализует сабж?

Суть – это программа для учета трафика, написана на Дельфи, триал 25 запусков, покрыта Экзекриптором 2.1. Страничка загрузки: http://www.mironovlab.ru/download.php http://www.mironovlab.ru/download.php (1,2 Мбайта).

Предыдущие версии я патчил (последнюю v10.0 – совместно с PE_Kill , за что ему особый респект). Там было достаточно убрать нагскрин. В нынешней (вышла вчера) аффтар, проявил маниакальной желание защититься и на каждую кнопку в меню понатыкал проверок регистрации. Вычислять и патчить все проверки стало тоскливо. Хотя наг убирается просто (делаем MOV BYTE PTR DS:[4D13D8],1 – патч, убирающий наг выложил тут: [url=http://slil.ru/22743438.
]http://slil.ru/22743438.
[/url]

В ассме, особенно в плане расковыривания алгоритма генерации ключей, я пока зеленый самовар. Но, судя по всем предыдущим версия сабжа, алгоритм там несложный. Регистрационный код, состоящий из 15 цифр, формируется по «ID оборудования» - 7-ми значному числу, которое появляется в наг окне.
Вводимый код (цифра кода), начинает считываться в таком месте:

004B4D34 8A01 MOV AL,BYTE PTR DS:[ECX]
004B4D36 2C 08 SUB AL,8
004B4D38 74 0D JE SHORT StatistX.004B4D47
004B4D3A 2C 26 SUB AL,26
004B4D3C 74 09 JE SHORT StatistX.004B4D47
004B4D3E 04 FE ADD AL,0FE
004B4D40 2C 0A SUB AL,0A
004B4D42 72 03 JB SHORT StatistX.004B4D47
004B4D44 C601 00 MOV BYTE PTR DS:[ECX],0
004B4D47 C3 RETN

[DELETE]

Кто-нибудь возьмется?

| Сообщение посчитали полезным:

Энтузиазма пока не видно. Может быть кто поможет саму процедуру проверки на регистрацию пропатчиваением пофиксить ;) Два дня уже ковыряюсь - безуспешно

| Сообщение посчитали полезным:

Хм .. А какой тебе энтузиазм ? Там не все так просто ! Там снимать криптор надо а патчи это херня!

| Сообщение посчитали полезным:

pavka пишет:
Там снимать криптор надо
Если ты под этим имеешь ввиду распаковку, то IMHO, как раз это будет не нужной тратой времени.

pavka пишет: а патчи это херня!
Как раз и нет. Инлайн на подобных Экзекриптору или Аспру протах более надежное решение, чем распаковка или, тем более, лодырь. Это IMHO основано на опыте лечения предыдущих версий сабжа.

А что там не так просто, так поэтому я и создал этот топик.

| Сообщение посчитали полезным:

В этой проге однозначно только снимать криптор! Полноценно ты его не пропатчишь! Ну по крайне мере если бы смог то не создавал бы топик о регистрации!

| Сообщение посчитали полезным:

Ёпт, там ещё и вмпротект'ом обработанные процедуры есть.

| Сообщение посчитали полезным:

Там проверка может быть полностью крипторовская. И чего ты будешь патчить? А судя по адресам где проходит проверка - так оно и есть. И не факт, что даже если распакуешь-сможешь поломать. Я с одной такой защитой столкнулся. Отломал проверку - пропал кусок рабочего кода.

| Сообщение посчитали полезным:

stahh пишет:
Там проверка может быть полностью крипторовская.

Протектор только для упаковки.

| Сообщение посчитали полезным:

Похоже там в этих процедурах вся фигня с проверкой целостности сода!

| Сообщение посчитали полезным:

Сам криптор вроде снялся без проблем.. ,а вот довести до ума похоже тяжко будет!

| Сообщение посчитали полезным:

NIKOLA пишет:
Протектор только для упаковки.

Именно! И с проверкой CRC в этой версии нет таких заморочек, какие были в 10.0 - подтверждение в моем первом посте, где есть ссылка на инлайн, убирающий нагскрин (работает без проблем с целостностью).
Триал там повязан на параметре HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SVCHOST. Если его удалить, то 25 запусков восстанавливаются. Если занопить переход по адресу .0043B098 - тогда разбаниваются все меню, кроме Статистика.. и Лимит..
Нет, ковырять прот тут не к чему, нужно просто найти место проверок и пропатчивать их инлайном.

| Сообщение посчитали полезным:

stahh пишет:
Там проверка может быть полностью крипторовская

Это не так.

| Сообщение посчитали полезным:

YDS
Не знаю что там патчишь, но все эта фигня! После того как считывается рег номер попадаешь вот в это место
0054A764 68 E15A1834 PUSH 34185AE1
0054A769 ^ E9 5DFEFFFF JMP StatistX.0054A5CB
0054A76E 30F8 XOR AL,BH
0054A770 07 POP ES ; Modification of segment register
0054A771 4A DEC EDX
0054A772 9C PUSHFD
0054A773 F7D8 NEG EAX
0054A775 49 DEC ECX
0054A776 F7D2 NOT EDX
0054A778 48 DEC EAX
0054A779 F7D8 NEG EAX
0054A77B 05 A7150BBB ADD EAX,BB0B15A7
0054A780 F7D9 NEG ECX
0054A782 813424 15080000 XOR DWORD PTR SS:[ESP],815
0054A789 8D89 99E77F93 LEA ECX,DWORD PTR DS:[ECX+937FE799]
0054A78F 0FC9 BSWAP ECX
0054A791 0FCA BSWAP EDX
0054A793 81F3 1E2E86D8 XOR EBX,D8862E1E
0054A799 C1CA 0D ROR EDX,0D
0054A79C 46 INC ESI
0054A79D C1C9 07 ROR ECX,7
0054A7A0 F7DA NEG EDX
0054A7A2 4D DEC EBP
0054A7A3 F7DD NEG EBP
0054A7A5 42 INC EDX
0054A7A6 8D9B 00D254C1 LEA EBX,DWORD PTR DS:[EBX+C154D200]
0054A7AC C1C5 05 ROL EBP,5
0054A7AF C1CA 1E ROR EDX,1E
0054A7B2 F7DB NEG EBX
0054A7B4 F7D6 NOT ESI
0054A7B6 0FCE BSWAP ESI
0054A7B8 F7D3 NOT EBX
0054A7BA 46 INC ESI
0054A7BB 81F5 58951197 XOR EBP,97119558
и так далее ....
флаг тебе в руки и пропатчивай инлаином

| Сообщение посчитали полезным:

pavka пишет:
После того как считывается рег номер попадаешь вот в это место

..и дальше что? Зачем туда лезь-то? Результат проверки возвращается в первый байт dword-а вида: 008В4000, следующий за ним dword (для поиска по сигнатуре) = ??FEFFFF. Соответственно, нужно поправить 008В4000 на 018В4000 и наг убран. Другие проверки очень похоже, что фиксятся по аналогии - только их оч.нудно вычислять из-за мусора прота и его длинных пустых циклов.

pavka пишет:
флаг тебе в руки и пропатчивай инлаином
Вот, Фома неверующий _http://slil.ru/22684289 - инлайн-патч версии 10.0.60.1160, саму эту версию для изучения можно взять тут: _http://rapidshare.de/files/19507892/StatistXP10.exe.html. Там тоже ExeCryptor 2.1. Вся лишь разница в том, что была одна проверка - при выводе нагскрина, а в версии 10.1 - несколько.

Нет, если есть другие варианты, давайте. Ведь главное тут - результат Склоняю низко голову перед тем, кто его добьется первым И спасибо вам, что проявили к сабжу интерес .

| Сообщение посчитали полезным:

YDS пишет:
Триал там повязан на параметре HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SVCHOST

Совсем не триал в 10.1. Попробуй записать туда единицу и запусти прогу.

| Сообщение посчитали полезным:

На сколько я разобрался в этой проге ID для регистрации генерируется на базе даты БИОСа материнской платы, а может и не только. В OllyDbg исследование затрудняется только такого рода вставками как LOCK INT3, LOCK INT1 между двумя командами JMP. Количество запусков у проги ограничивается 25-ю и, как я понимаю, 25 - это количество включений/выключений копьютера, а не запуска самой программы? А вместо кейгена не проще ли сделать лаунчер, который бы при запуске проги выдирал сгенерированный ID, искал его положение в памяти, а рядом находил сгенерированный программой правильный ключик. В посте YDS как раз упоминается заветный участок. После ввода правильного ключика прога благодарит за регистрацию, но при последующем закрытии/запуске что-то идёт не так и прога считает, что она не зарегена. Может разработчик чего перемудрил с защитой?

| Сообщение посчитали полезным:

YDS Зачем туда лезь-то?
А как ты сбираешься разобратся с генерацией номера?

Я не знаю что там было в других версиях мне это совершенно не интересно! Но в этой все твои предложения полная фигня!
Типа Если занопить переход по адресу .0043B098 - тогда разбаниваются все меню, кроме Статистика.. и Лимит..
Убрать наг и прочие это не проблема! А проблема что после модификации прога будет периодичиский
падать вот тут
0040458C /$ 50 PUSH EAX ; /ExitCode
0040458D \. E8 06CDFFFF CALL <JMP.&kernel32.ExitThread> ; \ExitThread
00404592 . C3 RETN
00404593 90 NOP
00404594 $ 8B10 MOV EDX,DWORD PTR DS:[EAX]
00404596 . 85D2 TEST EDX,EDX
00404598 . 74 1C JE SHORT UStatist.004045B6
0040459A . C700 00000000 MOV DWORD PTR DS:[EAX],0
004045A0 . 8B4A F8 MOV ECX,DWORD PTR DS:[EDX-8]
004045A3 . 49 DEC ECX

| Сообщение посчитали полезным:

pavka пишет:
Убрать наг и прочие это не проблема! А проблема что после модификации прога будет периодичиский
падать вот тут

_http://slil.ru/22743438 - не падает, однако
Извини, но хотелось бы от тебя конструктивных предложений, а не возгласов, что все что я тут говорю - полный бред. Мне, по крайней мере, хоть наг удалось убрать.

YuraseK пишет:
25 - это количество включений/выключений копьютера
25 - это количество подключений к Интернет

YuraseK пишет:
После ввода правильного ключика прога благодарит за регистрацию
В принципе, да. Вычисляется он как ID оборудования * 2212. Это первое, что пытался делать. Но, дело в том, что например у себя я регистрации после этого не получаю. Кроме того на форумах те. кто это пробовал, говорят, что после 3-4-5 запусков, прога все равно потребует регистрации + при такой регистрации, например, не сохраняются Настройки программы. Сильно смущает также то, что поле для ввода правильного регистрационного кода 15-ти значное.

| Сообщение посчитали полезным:

YDS
занопить переход по адресу .0043B098? Даже обсуждать нет смысла!

| Сообщение посчитали полезным:

pavka Если ты про CRC, то это не так сложно, как ты думаешь. По той ссылке, что YDS давал лежит патч, кторорый убивает все проверки CRC (я сам в этом участвовал, так что поверь).

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

pavka

Я все-таки понять не могу, ЧЕГО ТЫ ПРЕДЛАГАЕШЬ СДЕЛАТЬ? КОНКРЕТНО!

| Сообщение посчитали полезным:

YDS
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SVCHOST - это не триал ибо он проверятся и при построении заблокированых окон. и его удаление не возвращает 25 запусков.
Ксати почему при установке железных бряков заблокированые окна становятся активны?

| Сообщение посчитали полезным:

Уговорили! .......Хм Wrong filesize увы !
PE_Kill
Возможно ты и решил эту проблему , я не говорю что это не возможно Но товаришь твой предлагает
такие решения что даже не понять а как патч может работать? Что он вообще патчит?
Ну и на сладкое с форума где YDS как я понял за главного крякера
Palomino
Патч для StatistXP v10.0.60.1160 от PE_Kill & YDS глюкавый. Возвращаешь оригинальный файл - ошибки пропадают.
Опять же вопрос если ты решил проблему CRC что помешало тебе выложить ободраный от криптора
ехе!

| Сообщение посчитали полезным:

DenX пишет:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SVCHOST - это не триал ибо он проверятся и при построении заблокированых окон. и его удаление не возвращает 25 запусков.

А если еще снести HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\CommonMedi a Оба этих ключика используются при проверке на регистрацию, и, да, при открытии заблокированных окошек. Но простое их удаление проблему, конечно, не решает.
Таки считаю, что нужно искать место в памяти, куда возвращается результат проверки на регистрацию и патчить его.

| Сообщение посчитали полезным:

pavka пишет:
Опять же вопрос если ты решил проблему CRC что помешало тебе выложить ободраный от криптора
ехе!
Ибо много вызовов криптора, настроеного на текущие адреса. Поэтому прога падает, а восстанавливать код было лень.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

pavka пишет:
Ну и на сладкое с форума где YDS как я понял за главного крякера
Palomino
Патч для StatistXP v10.0.60.1160 от PE_Kill & YDS глюкавый. Возвращаешь оригинальный файл - ошибки пропадают.

Дальше форум почитай.. Кстати этот кряк был выложен не только там, и нареканий ни от кого больше не поступало.

pavka пишет:
Опять же вопрос если ты решил проблему CRC что помешало тебе выложить ободраный от криптора
ехе!
Да ё, маё! КРИПТОР НИКТО НЕ ОБДИРАЛ, так как это просто не нужно было делать. Как не нужно делать и тут.
Ей Богу, ну кончай флудить. Если можешь чего предложить по делу, давай предлагай, иначе все твои тут выступления впустую.

| Сообщение посчитали полезным:

YDS
Ты читай внимательно я не к тебе обращаюсь, и твои ответы мне совершенно не нужны!

| Сообщение посчитали полезным:

Есть предложения не переходить на личности, а выложить всем свои варианты решения и решение спорных вопросов. Коль уж дается ответ типа " Даже обсуждать нет смысла", то желательно это прокомментировать кусочком кода и почему именно нет смысла.

| Сообщение посчитали полезным:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\CommonMedi a - отвечает только за триал(удалям и получаем 25 запусков)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SVCHOST - отвечает за активацию окон. Причём с ним ничего не понятно. Я с этим параметром поигрался теперь окна ативны но перед их выводом выдаёт File to data SVHOST.

| Сообщение посчитали полезным:

Похоже действительно дискуссия тупиковая

0043B089 |. E8 C699FCFF CALL UStatist.00404A54
0043B08E |. 50 PUSH EAX ; |ValueName
0043B08F |. 8B43 04 MOV EAX,DWORD PTR DS:[EBX+4] ; |
0043B092 |. 50 PUSH EAX ; |hKey
0043B093 |. E8 80B8FCFF CALL <JMP.&advapi32.RegQueryValueExA> ; \RegQueryValueExA
0043B098 |. 85C0 TEST EAX,EAX
0043B09A |. 74 24 JE SHORT UStatist.0043B0C0
Там считывается систимбиосдата, рег номер .... для чего тут нопить ?
А решение либо разобрать процедуру генерации номера либо с CRC разобратся!

| Сообщение посчитали полезным: