Прога запускается в Demo и ругается на отсутствие Hardlock (он может быть как LPT, так и USB; см. аттач)
Ехешник чем-то запакован. PEid 0.94 пишет: Guardant Stealth aka Novex Dongle *
Чё за зверь? На сколько у него серьезная защита: типа криптованые куски с ключем в HardLock, или просто if password=

Пакер этот вроде успешно снимается. Но непонятно, как прога узнает о наличии/отсутствии ключа, т.е. какое АПИ ей для этого предоставляет пакер?

PS
С прогой идут дрова для общения с ключом. Вот, к примеру:

File Version Information :
Company Name : Aktiv Co.
File Description : Guardant Stealth/Net I/II USB Dongle Device Driver for Windows 98/Me/2000/XP/2003
File Version : 4.85
Internal Name : nvkeyusb
Legal Copyright : Copyright (c) 2000-05 Aktiv Co.
Original Filename : nvkeyusb.sys


PPS [добавлено позднее]
Почитал я об этих ключах, но ситуацию это ни чуть не прояснило (хотя надежд на if password поубавилось )


4839_10.05.2006_CRACKLAB.rU.tgz - StalkerHL.gif"

| Сообщение посчитали полезным:

Hellspawn пишет:
может кто поделиться сигнами для сабжа?
и ссылочкой на прогу с этим чудом, может плагин состряпую...

Само это чудо я выкладывал выше (аттач Guardant API.7z)
Прога (5.2 M): _http://stalker.astrologer.ru/RUS/V2/setup.exe
К донглу привязан только экзюшник. Вот он, распакованый (326 K; pass: api) http://www.mooload.com/new/file.php?file=files/270506/1148760970/Stalker.rar

PS
А для кого плугин то? Для Оли?

| Сообщение посчитали полезным:

0xy пишет:
А для кого плугин то? Для Оли?

посмотрим... просто давно хотел коючами заняться...

з.ы. а аттач битый какой-то качается... сделай ещё разок

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

может кто поделиться сигнами для сабжа?

я кажется уже писал на этом форуме что сигнатуры сделать проблематично, т.к. все меняется от версии к версии из-за jmp-вермишели

| Сообщение посчитали полезным:

Hellspawn пишет:
а аттач битый какой-то качается... сделай ещё разок
Да ладно, подох -- и бог с ним! Там был всего лишь листинг АПИ и того экзюшника, что лежит в моем предыдущем посте (адреса 1000--EF8E).
Ну и, парочка точек входа Вот оны:
A571 == SetMode
AB46 == Check
B7C8 == переходник на Check (так вызывается Check в защищенной dll. Почему -- хз. Возможно, афтор проги -- большой знаток Гварданта И поэтому защитил ее единым Check-ом )

C5EC == ХЗ! (маразм, о котором я писал: похоже на FindNext)
EE7D == Саавсем ХЗ Процедура написана "откытым текстом" (без джампов). Однако я счел ее Гвардантовской, т.к.:
- встречается она во всех защищенных модулях (и всегда сразу после "явного" АПИ),
- на нее идут Call из тех же мест проги, где проверяется Check,
- она сама обращается в АПИ по адресу C5EC.
Очень грубо можно предположить, что это TransformEX (которого нет в сигнах infern0)

Важные материалы по теме: Статья infern0 http://xtin.km.ru/view.shtml?id=153 и официальный тулмуд Гварданта http://ssx.nm.ru/GuardantAPI.chm (спасибо ssx)

ssx пишет:
я кажется уже писал на этом форуме что сигнатуры сделать проблематично, т.к. все меняется от версии к версии из-за jmp-вермишели
Я имел в виду сигны в стиле infern0, т.е. джампы разгребаем ручками
2 ssx
Кстати, а call тоже могут быть звеньями jmp-вермешели?

| Сообщение посчитали полезным:

0xy:
Кстати, а call тоже могут быть звеньями jmp-вермешели?
не помню уже, и под рукой нет посмотреть. но если, например, есть call, а потом сразу стек восстанавливается - значит это не call, а jmp

| Сообщение посчитали полезным:

0xy пишет:
TransformEX (которого нет в сигнах infern0)
Ex отличатется от обычного только одним mov al, ... в середине (точно счас не скажу)

| Сообщение посчитали полезным:

Ну а такая сигна АПИ кому-нить знакома?

40C5EC push ebp
mov ebp,esp
push ebx,ecx,edx,esi,edi,ds,es
call 40bc86
| CMP WORD PTR DS:[],544E
| JNZ
| ....
cmp ax,0
jnz

| Сообщение посчитали полезным:

а что мешает взять .lib из sdk и самому разобраться какая это функция?

| Сообщение посчитали полезным:

ssx пишет:
а что мешает взять .lib из sdk и самому разобраться какая это функция?
Отсутствие сабжа в хозяйстве...

| Сообщение посчитали полезным:

пост infern0 на ru-board:
для желающих скачать мастер-комплект гварданта версии 5, доступный с 27.04.2006 - вот список файлов:

hттp://update.guardant.ru/dk5/version
hттp://update.guardant.ru/dk5/gsoftupd.cnt
hттp://update.guardant.ru/dk5/setup.ini
hттp://update.guardant.ru/dk5/autoprot.pak
hттp://update.guardant.ru/dk5/com.pak
hттp://update.guardant.ru/dk5/doc.pak
hттp://update.guardant.ru/dk5/drivers.pak
hттp://update.guardant.ru/dk5/grddiag.pak
hттp://update.guardant.ru/dk5/gsoftupd.pak
hттp://update.guardant.ru/dk5/guardant.pak
hттp://update.guardant.ru/dk5/lib.pak
hттp://update.guardant.ru/dk5/samples.pak
hттp://update.guardant.ru/dk5/setup.pak
hттp://update.guardant.ru/dk5/uninst.pak
hттp://update.guardant.ru/dk5/use_gf.pak
hттp://update.guardant.ru/dk5/use_gn.pak
hттp://update.guardant.ru/dk5/use_gs.pak
hттp://update.guardant.ru/dk5/util_loc.pak
hттp://update.guardant.ru/dk5/util_rem.pak
hттp://update.guardant.ru/dk5/wizard.pak

также потребуется setup.exe от старой версии.

| Сообщение посчитали полезным:

ssx пишет:
также потребуется setup.exe от старой версии.
В задаче очередное неизвестное
Какой-то setup.exe я нарыл в тех краях, где статья infern0 обитает. Но он матерится, типа: "невозможно обновить ПО Гварданта, т.к. оно не установлено". Видать, это не тот setup

ЗЫ
А чем можно распаковать этот .pak?
.

| Сообщение посчитали полезным:

0xy
Попробуй этот сетап, кидай его в папку с pak

Кстати, а как конверт 4.46 снимается?

1e58_31.05.2006_CRACKLAB.rU.tgz - setup.zip

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

YoriCH пишет:
а как конверт 4.46 снимается?
Если прога хоть как-нить запустилась--элементарно А если нет--тады йой, м.б. и не как
Еще мон поробовать тулзу infern0

А setup вроде подошел, но у меня чёт падает и ни фига не ставит

| Сообщение посчитали полезным:

0xy пишет:
Если прога хоть как-нить запустилась--элементарно А если нет--тады йой, м.б. и не как
Еще мон поробовать тулзу infern0
Прога при запуске требует ключ, а от infern0 делает, пишет, что 4.46, но с ошибкой и импорт не восстанавливает.

Посмотри, может из этого, что сработает.
3 разных версий сетапа http://rapidshare.de/files/21825820/setup.rar.html

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

YoriCH пишет:
Прога при запуске требует ключ
Если ключ требует именно прога -- шансы хорошие
А с импортом и у меня были непонятки: при распаковке руками и тулзой были небольшие отличия. Похоже, что часть импорта без ключа так и не расшифровывается. Хотя Гуру в один голос твердят, что если уж конверт снялся, то полностью
Впрочем, у меня оба дампа оказались рабочие, и я забил на это дело... Затем нашел и пропатчил nskCheck, и прога сдалась
К сожалению, я вовсе не располагаю ни какой инфой о возможностях конверта... Надеюсь, setup прокатит

ЗЫ
Если прога до 10 метров -- дай линку, погляжу. И сам ехешник куда-нить выложи: может остальное и не понадобится (а то тануть долго)

| Сообщение посчитали полезным:

0xy пишет:
А с импортом и у меня были непонятки: при распаковке руками и тулзой были небольшие отличия. Похоже, что часть импорта без ключа так и не расшифровывается. Хотя Гуру в один голос твердят, что если уж конверт снялся, то полностью
Это как полностью, если не рабочий, без импорта - вообще его нет?

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

Не могу поставить МастерКомплект 5
Сначала ставлю МК4, затем накатываю МК5 с новыми файлами и старым exeшником - он предлагает извлеч pak-файлы - извлекает примерно до половины - и останавливается на users manual part 2.pdf
с сообщением "невозможно создать дирректорию для установки"
может у меня какой-то pak битый ?
кто-нибудь может написать размеры или crc файлов МК5? или может еще чем поможет?

| Сообщение посчитали полезным:

Между тем, тема до сих пор актуальна.
Да, воевать с АПИ мне понравилось (и даже получилось!)
Но вот попалась мне прога с конвертом 4.46, и сижу я над ней, как дурак
Ребят, крякеры на форуме есть, а? Хоть тутор какай подкиньте, плииз! Надо же как-то с этой заразой расправиться (без ключа, естесстно)

| Сообщение посчитали полезным:

Вудмана посети и CrackZ почитай.

| Сообщение посчитали полезным:

rC пишет:
Вудмана посети и CrackZ почитай.
Чет я туплю... Это где??

| Сообщение посчитали полезным:

это тут woodmann.com/crackz/

тока про гвардант он ничего не писал

| Сообщение посчитали полезным:

Ну да: "правда, то только не в лотерею, а в преферанс..., и не жигули, а три рубля"

ssx пишет:
тока про гвардант он ничего не писал
А кто писал?

| Сообщение посчитали полезным:

0xy пишет:
А кто писал?

тока infern0

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

Дык про 4.46 он вроде не писал

| Сообщение посчитали полезным:

А то что не писал он - додумывай сам

| Сообщение посчитали полезным:

Ну, бля, как додумаю--сразу в паблик выложу!

ps
И все дружно задрожали и написали тутор

pps
А если серьёзно, хоть муль под 9x ктот могёт подкинуть?

| Сообщение посчитали полезным:

Hi, All!

Прога запакована FSG 2.0, конвертом Guardant и похоже ORiEN до кучи
FSG снялся без проблем,
теперь очередь стала за конвертом.
Ни ключа, ни эмуля нет (используется трансформ, есть дамп, но дескриптор пока еще не вычислил)
Ищу OEP - тут вопрос к знающим:
Если я обхожу вызов InitProtApp из novex.dll (кстати! где можно почитать про эту бяку? в МК ничего не нашлось)

00B6091B push 1
00B6091D push [ebp+var_C] ; магическое значение
00B60920 mov ecx, [ebp+var_10]
00B60923 call dword ptr [ecx+28h] ; Вызов InitProtApp

далее она пытается заменить C3 в конце старта на E9,

00B60926 mov eax, offset byte_40A37B ;
00B6092B add eax, [ebp+var_8]
00B6092E mov [ebp+var_4], eax ; адрес конца ф.
00B60931 mov edx, [ebp+var_4]
00B60934 mov byte ptr [edx], 0E9h ; меняет на "недопереход" (или опять неправильно?)
00B60937 inc [ebp+var_4] ; дальше видимо хотелось бы поменять и смещение
00B6093A mov ecx, [ebp+var_C]
00B6093D mov eax, [ecx+5FCh]
00B60943 mov edx, [ebp+var_4]
00B60946 add edx, 4
00B60949 sub eax, edx
00B6094B mov ecx, [ebp+var_4]
00B6094E mov [ecx], eax
00B60950 call ...
00B60955 popa
00B60956 mov esp, ebp
00B60958 pop ebp
00B60959 retn ; отсюда меняем


но видимо смещение для перехода должно было вернуться из InitProtApp через память после [ebp+var_C]?

00B6093A mov ecx, [ebp+var_C]
00B6093D mov eax, [ecx+5FCh] ; в моем случае там 0

и в конечном случае получается:

00B60950 call ...
00B60955 popa
00B60956 mov esp, ebp
00B60958 pop ebp

00B60959 E9 A2 F6 49 FF jmp near ptr 0 ; <--- засада!

Никто не сталкивался? Как лечить?

| Сообщение посчитали полезным:

AlCr0
OEP можно найти в структуре SAAT. infern0 ее описание постил сто лет тому назад на ренг.ру

| Сообщение посчитали полезным:

...и я не понял, ты конверт снял, или надеешься просто поменять oep и думаешь что все заработает?

| Сообщение посчитали полезным:

OEP можно найти в структуре SAAT. infern0 ее описание постил сто лет тому назад
В том то и дело, что сто лет тому описанию.
На данном примере оно не работает
Возможно дело в навешанных протах, возможно структура изменилась?

... и я не понял, ты конверт снял
Вот и снимаю...

или надеешься просто поменять oep и думаешь что все заработает?
Не думаю, конечно, но...
а что!? - было бы здорово

сижу вот разбираю, подправляю исходники,
настраиваю на поиск структуры и полей, а не тупое "поехали!... ой! это не то!"

вопрос кстати был по работе функции InitProtApp...
Насколько я понимаю только ей и нужна эта структура?
можно, конечно, ее всю протрэйсить - но пока что лень скакать по скрамблам

| Сообщение посчитали полезным: