Обнаружил сёдня у себя на харде, но злобный наг достал просто
[ссылка] hxxp://hellspawn.nm.ru/tmp/setup.exe
[размер] 1.16мб
[запакована] ASPack 2.12 + PECompact 1.xx

интересно взломать самому программа не для новичка...
уже насколько часов бъюсь, вот что нарыл:
-куча int 3 в коде
-проверка на бряки
-проверка crc
-издебаггер презент
заставить работать расспакованную пока не удалось...
собственно в это и интерес, ну теперь к коду:

oep 0043DDE3
...
004011E2 |. 3941 04 CMP DWORD PTR DS:[ECX+4],EAX
004011E5 |. 74 3F JE SHORT 00401226 // одна из проверок
...
проверки зарегенности имеют вид CMP DWORD PTR DS:[REG32_1+4],REG32_2
их там не много, но меня убивает, что она отключает хардварные бряки

проверку крк вроде нашёл, ща настряпую лоадер...
Прога интересная, советую посмотреть

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

0043C461 FF15 F4724400 call dword ptr ds:[4472F4] ; kernel32.CreateThread
0043C467 85C0 test eax,eax
0043C469 75 1C jnz short DebugApi.0043C487
0043C46B FF15 54724400 call dword ptr ds:[447254] ; ntdll.RtlGetLastWin32Error
0043C471 8BF8 mov edi,eax
0043C473 56 push esi
0043C474 E8 A6FCFFFF call DebugApi.0043C11F
0043C479 85FF test edi,edi
0043C47B 59 pop ecx
0043C47C 74 07 je short DebugApi.0043C485
Похоже что здесь!

| Сообщение посчитали полезным:

достали меня эти потоки, а ты распаковывать не пробывал?

один упёртый фрагмент кода
00420E76 - начало
00422276 - конец
1400 - размер
+ ещё упёрта процедура
CALL 00430B2C
+ надо занопить некоторые вызовы CALL 0043B8E0 - который ещё пишет на их место...
+ тулзу которая пихает дамы от пе-тулз куда надо

з.ы. вот ещё что нашёл

Local calls from 00420C8E, 00420F9E, 004210A8, 00423B55, 00423D4D, 00423D6F

004210D2 $ 55 PUSH EBP
004210D3 . 8BEC MOV EBP,ESP
004210D5 . 81EC 00010000 SUB ESP,100
004210DB . 53 PUSH EBX
004210DC . 56 PUSH ESI
004210DD . 57 PUSH EDI
004210DE . 68 00010000 PUSH 100
004210E3 . FF35 4C724400 PUSH DWORD PTR DS:[<&kernel32.ExitProcess>]
004210E9 . 8D85 00FFFFFF LEA EAX,DWORD PTR SS:[EBP-100]
004210EF . 50 PUSH EAX
004210F0 . E8 EBA70100 CALL 0043B8E0
004210F5 . 83C4 0C ADD ESP,0C
004210F8 . 6A 00 PUSH 0
004210FA . 6A 00 PUSH 0
004210FC . 6A 00 PUSH 0
004210FE . 6A FF PUSH -1
00421100 . 6A 00 PUSH 0
00421102 . 6A 00 PUSH 0
00421104 .- FF65 08 JMP DWORD PTR SS:[EBP+8]
00421107 . 5F POP EDI
00421108 . 5E POP ESI
00421109 . 5B POP EBX
0042110A . C9 LEAVE
0042110B . C3 RETN


Medsft пишет:
Правда для довольно старой версии но судя по вашим описаниям ничего не изменилось. Исходников нет. Забыл давно было.

а чем нам это поможет?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Не там точно потоки
Threads
Ident Entry Data block Last error Status Priority User time System time
00000104 7C810856 7FFDB000 ERROR_SUCCESS (00000000) Active 32 + 0 0.0000 s 0.0000 s
00000A3C 00472001 7FFDF000 ERROR_NOT_ENOUGH_MEMORY (00000008) Active 32 + 0 0.0901 s 0.0801 s
00000AC0 7C810856 7FFDE000 ERROR_SUCCESS (00000000) Active 32 + 0 19.1875 s 0.0100 s
00000BE8 7C810856 7FFDC000 ERROR_ENVVAR_NOT_FOUND (000000CB) Active 32 + 0 0.0100 s 0.0000 s
00000FE0 7C810856 7FFDD000 ERROR_SUCCESS (00000000) Active 32 + 0 0.1902 s 0.0000 s
И все
0012F560 0043C48B |ThreadFunction = DebugApi.0043C48B

| Сообщение посчитали полезным:

всё она почти повержана, проверь на своей винде..
[отредактировано]
1) 00423E6E .^ 0F84 0DFFFFFF JE 00423D81 // - проверка какой-то суммы 1
2) 0043CE80 <> 8B4424 0C MOV EAX,DWORD PTR SS:[ESP+C] // проверка крк
3) 00423D45 . /74 0F JE SHORT 00423D56 // - проверка какой-то суммы 2
00423D67 . /74 0C JE SHORT 00423D75 // - проверка какой-то суммы 3
4) 00420F96 . /74 0C JE SHORT 00420FA4 // - странный прыг он выполняется только когда
прога не изменена и не введён левый с.н.
5) - ? 004210D2 <> $ 55 PUSH EBP // - процедура выхода из проги при несовпадении какой-либо крк, можно вбить в начало тупо ret вроде работает!
С зависание разобрался, проверку крк надо было пропатчить более аккуратно, вообщем прога
взломана осталось с инлайном разобраться... Там 2 пакера висят муторно будет...
[/отредактировано]
и ещё pavka, можно смело ставить бряку суда 004317D8, прерваться
снять бряку дойти до рет, и почти все процедуры будут расшифрованны!

з.ы. хоть кто-нибудь ещё попробуйте прогу) вот вам крекми выше среднего!
а то ломать всякие элементарные зищиты мы мастера

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
а смысл? просто поставь галку в exceptions - ignore int3
дык я ставил сначала долбаную галку, нихрена. Там надо было настроить ОллиАдвансед, там ета долбаная прога юзаеть какието натив фии, ща сделал, всё нормуль.

Кста пипл, нихто не пробовл стрипнуть гнилые секции пакеров? Там после унпака какието секции странные, почему-то 2 .rsrc? Или там всё как обычно?

| Сообщение посчитали полезным:

Luminescent пишет:
Кста пипл, нихто не пробовл стрипнуть гнилые секции пакеров? Там после унпака какието секции странные, почему-то 2 .rsrc? Или там всё как обычно?

просто переименовали) там не всё так просто... тебе удалось дамп запустить?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
тебе удалось дамп запустить?
"Удалось" Сначала прога вроде грузится, типа появляется сплеш, я чето трейсил, трейсил... там етих инт3 долбаных туева туча я сначала не врубился, т.к. eip улетал кудато в е%еня, потом вроде разобрался,
стал лепить бряки на SEH обработчек етих инт3 (ето ваще правильно?).

Потом прочтал чё вы тут написали, пропатчил, таже фигня

и на 004210D2 у меня не PUSH EBP, код у меня другой! может я не всё декриптонул или зафиксил? Наверно всётаки я чёто не так сделал

| Сообщение посчитали полезным:

Не вылетает! Все это керенские деньги!

| Сообщение посчитали полезным:

pavka пишет:
Не вылетает! Все это керенские деньги!

какие деньги?
з.ы. может набросаешь инлайн?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Так не чего пока набрасывать! Она все равно падает! Любые правки приводят к одному итогу
ds:[00000000]=?? ;(

| Сообщение посчитали полезным:

Да потому что там ничего не изменилось ( при первоначальном осмотре :s11
rapidshare.de/files/24538435/debugapispy.zip.html -вот это самая версия. Но тока лоадер берите по старой ссылке.

| Сообщение посчитали полезным:

pavka - хз, может ты не так пропатчил, вот попробуй я набросал лоадер, гонял мин 15 всё ок,
тока с рег. особо не разбирался, просто пропачил наг, чтобы проверить все глюки...

Medsft - лоадер всосал всё таки они что-то поменяли)

d7e5_30.06.2006_CRACKLAB.rU.tgz - loader.exe

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Прошу прощения вот еще одна рабочая версия 2.3.60 и лоадер к ней (сравните что изменилось по моему тока адреса)
rapidshare.de/files/24545481/debugpro.zip.html

| Сообщение посчитали полезным:

Исходников нет (Повторяю). Даже не помню че он там пачит

| Сообщение посчитали полезным:

Hellspawn
Сначала месагебох какой то выбрасывает 123 это твой ? потом запускается вроде !

| Сообщение посчитали полезным:

да мой) для проверки, значит всё записалось...
ну если ещё на**** не найду, будет релиз... а ты говоришь инлайнить нечего?
могу список дать что править, намутишь инлайн?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Не я сам ее доковыряю Тем более там все равно разбиратся проверкой регистрации нужно!

| Сообщение посчитали полезным:

давай, там в пошифрованной части нах-ся инфа о истекшем триале,
ща буду ловить а чтоб безболезненно ставить бряки, тут 00423E6E вбиваем jmp
а тут 004210D2 ret (тока когда расшифруется)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Слушай а у меня не слетает регистрация после ребута!

| Сообщение посчитали полезным:

хм.. да там что-то с ИД не так, т.е. он у меня после ребута другой а после второго запуска норм
всё, интересно от чего генерится?
кстати для облегчения наших мук набацал скриптик, отключает все проверки (которые нашёл)


24e7_30.06.2006_CRACKLAB.rU.tgz - Anti - Auto Debug.txt

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Вот вроде бы и все. Специально не стал подчищать код (вдруг кому захочется посмотреть, сравнить)
rapidshare.de/files/26405498/DEBUGAPISPY_3.0_undefence.rar.html

| Сообщение посчитали полезным:

Кейгенить надо эту софту, а не патчить ;)
Меньше геморроя будет, поверьте...

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным:

Ultras
очевидно, что в данном случае у Hellspawn & pavka интерес спортивный ;)))
грамотная распаковка в данном случае, возможно, не проще ключегена, в этом, видимо, её прелесть ;)

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter, всё может быть ;) Каждому своё

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным:

Может Кейгенить и проще Но ребята что ее писали видимо с юмором и вариант что они подсунут еще пару фейковых ключиков не исключен! Так что разбирать в любом случае нужно особо тщательно!

| Сообщение посчитали полезным:

Medsft
Через секунд 20-30 молча слетает

| Сообщение посчитали полезным:

Fallen Angel
У Hellspawnа рабочий лоадер можно спокойно использовать!

| Сообщение посчитали полезным:

Вероятно пропустил еще одну проверку
Но выход усть.
В оле ищешь WaitSingleObject CMP eax, xxx .после него если не сделать джамп идут разного рода проверки в частности считается контрольная сумма и наличие ВРМ так-что выход очевиден.
Ultras`у
Здесь по ходу не релиз делают а только изучают защиту (по крайней мере я так думаю), а потому файла представлена не причесанная (отключена защита по DRX, антидамп, BP, checksum) чтобы можно было посмотреть че да как. Алгоритм генерации ключа например

| Сообщение посчитали полезным:

вижу хоть кто-то взялся за неё... приятно

Jupiter пишет:
очевидно, что в данном случае у Hellspawn & pavka интерес спортивный ;)))

ты прав, меня эта прога просто привела в ярость вот поэтому я за неё и взялся...
вообщем всё пашет, может ещё с ключиком поколдую.. вот собрался писать статью
по её исследованию, ведь там есть несколько очень интересных моментов
и прога, мягко сказать не для новичка...

Fallen Angel пишет:
Через секунд 20-30 молча слетает

чел пропустил ещё одну проверочку там не сложно, лови ExitProcess (насколько я помню)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Fallen Angel пишет:
Через секунд 20-30 молча слетает

чел пропустил ещё одну проверочку там не сложно, лови ExitProcess (насколько я помню)

Я бы назвал такой подход не совсем верным поскольку exitprocess является финалом работы защиты а сам механизм защиты спрятан за "исключениями" причем на другой странице так что проследить последовательность up-реверсинга порой бывает трудно (в данной проге) мой же подход с ловлей waitforsingleobject
cmp eax,xxx
jnz xxx modify jmp является стандартом для прогера данного продукта который он не нарушает с 2003 года и момента появления проги на рынке . И опять же по моим наблюдениям после релиза патча 2003 года афтор усложнил именно выходы на конечные точки проги типа exitprocess, reboot. Ну это конечно не все есть там еще пара вкусностей так что статья думаю выйдет поучительная.

| Сообщение посчитали полезным: