Ставлю бряк на адрес 004Е05DD жму Ctrl+F11 и через секунду F12.В статье написано что попадаем сюда 00В93F40 А я попадаю на 00B93DCB D1C6 ROL ESI, 1
почему так.
--> Статья <--
--> прога <--

| Сообщение посчитали полезным:

В статье написано На сегодня, 05.03.2006, это последняя версия данной проги.
А сегодня уже июль. Версия обновилась(точнее билд). Попадаем мы на самом деле не на конкретный адрес, а на на цикл, который JNZ заканчивается. В марте в цикле была команда ROL EBP, 1 - теперь ROL ESI, 1 Адреса сдвинулись, возможно что и версия аспра другая. Скорее всего статья не расчитана на новичков.

| Сообщение посчитали полезным:

Да, вот это я упчстил. Спасибо

| Сообщение посчитали полезным:

Добрый день, уважаемые!

Прочитал статью - очень занятная! Решил сам попробовать....что самое удивительное, большинство из того, что там написано я смог не только понять, но и повторить (с асмом и дебаггерами я немного знаком :s5. Проблемы начались после восстановления импорта. После Нажатия на "FixDump" в ImportREC, создается файл reget_.exe (естественно для фикса я указал снятый ранее дамп, а не саму прогу как может показаться :s5. Так вот не снятый дамп, не пофиксиная версия просто не хотят запускатся, выдовая ошибку 0х0000001С. В IDA Pro тоже не дебажатся, выдавая ту же ошибку при запуске.
Вопрос: где я напортачил и куда копать?

| Сообщение посчитали полезным:

Да, интересная софтина. Распаковал по-своему. Если ОЕР вычислять из 40000, тогда прога падает, стрипак же 50000 берёт, самое интересное что прога запускается и говорит, что не активирована, после этого даже родной пакованный айл отказывается запускаться. Я думаю, что эта тема не для ньюби. Переносите её в крэки или основной форум.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

ОЕР вышел такой: 00216880.
падаю тут:
00716880 > 8CD1 MOV CX,SS
00716882 8C8CD1 8C8CD18C MOV WORD PTR DS:[ECX+EDX*8+8CD18C8C],CS

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

там аспр же.. удобнее всего заинлайнить.... даже универсальный патч мона сделать ;)
aspirin
тему перенес..

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix пишет:
там аспр же.. удобнее всего заинлайнить....
инлайн аспра ещё ни разу не делал, если можно, поподробнее.
lord_Phoenix пишет:
даже универсальный патч мона сделать ;)
любопытно, но пока сижу на этом исключении и сдвинуться дальше не выходит.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Насколько я помню, там проверка фиксится в либе lang.dll.

| Сообщение посчитали полезным:

PaZZo AmidomaRU BY
Оч. неплохая статейка))

| Сообщение посчитали полезным:

stahh пишет:
Насколько я помню, там проверка фиксится в либе lang.dll
Это было бы хорошо, но там нет такой библы, поэтому я в полнейшем тупике. + какая-то тупость тут, надо вычитать имадж баз 50000 вместо привычных 40000, иначе наг.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Обращение действительно идёт к библе lang.dll, но мне непонятно, почему её нет в папке даже в момент обращения.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

это языковый модуль. возьми от старой версии..

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix зачем делать проверку на распакованность в мифической библе? Мне кажется это отвлекающий манёвр, там что-то ещё.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

А у меня OEP=616870

| Сообщение посчитали полезным:

cadet Нормальное явление, это же аспр, можно считать что ОЕР у нас одинаковый, другое дело с этой мифической длл

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

возьми старую длл и посмотри. патчить удобнее именно через нее

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Я сейчас дошел до того, что у меня прога хочет письмо отправить вот такого содержания:

You can add here some additional info to help us fix this bug (please describe the situation causes this error),
please write in English or in Russian:

| Сообщение посчитали полезным:

cadet пишет:
Я сейчас дошел до того, что у меня прога хочет письмо отправить вот такого содержания:
меня эти письма уже достали немного, я заюзал даже чужой кряк, он написал, что всё ок, но прога всё также отчётиться, всё-таки непонятно с этой библой, откуда прога её саму читает, если в папке нету?

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

прога проверяет есть ли она, и если есть, то читает из нее "языковые" ресурсы..

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

aspirin

Почему нет в папке? У меня лежит. И как сказал lord_Phoenix , там вся проверка и не одна...

| Сообщение посчитали полезным:

Уря !!! Запустил

| Сообщение посчитали полезным:

cadet пишет:
Почему нет в папке? У меня лежит
Что ха херня, почему-то у меня она не лежит.
cadet пишет:
И как сказал lord_Phoenix , там вся проверка и не одна...
Если до конца отломаешь, дай примерные адреса или в личку кинь, просто проги с такой защитой ещё ни разу не ломал, очень заинтересовался, быть может в скором будущем статью напишу.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

http://exelab.ru/f/action=vthread&forum=1&topic=5334

| Сообщение посчитали полезным:

YDS видал, там ProTeuS травки какой-то сильной накурился, 2-ой аспр приплёл
Не, это всё не то, там даже библы нужной нет в папке

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

aspirin
Готовый lang.dll от sanniassin. Для исследования

f40d_23.12.2006_CRACKLAB.rU.tgz - lang.dll

| Сообщение посчитали полезным:

aspirin

Прожку скачал по ссылке в начале топика. Я только аспр снял с проверками. Саму защиту не смотрел.
адреса у меня такие 604179-ret, 57fcd3 - jn, 6038b1 - nop (может можно и проще, я пока не смотрел).
YDS - дал ссылку на топик, там саму защиту вроде разобрали, вечером почитаю.

| Сообщение посчитали полезным:

cadet не понял я твоего способа
cadet пишет:
604179-ret
это ты уже поменял или что, зачем вначале процедуры делать рет?
cadet пишет:
57fcd3 - jn
У меня на этом месте происходит какая-то операция с едх, и куда ведёт прыжок?
cadet пишет:
6038b1 - nop
А этим ты что делаешь?
P.S. Объясни если не трудно свои действия.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Способ простой. Запускаешь прогу и смотришь где упал. Дальше думаешь из-за чего.
Сравниваешь с упакованной прогой. ret - чтоб обращения из других мест тоже ждал облом. Там речь шла про какую-то активацию.
57FCD3 - JNZ 57fd26 меняем на JN 57fd26 - почему у тебя другое незнаю, может версия не та.
6038b1 - nop там помоему call занопил
да совсем забыл еще у меня упало по адресу 6041А8 call [682B80], там было обращение в никуда, а в упакованной на 603FEF, поправил. Вроде ничего не забыл. Сразу скажу дело было ночью, плохо помню.
Если не разберешься, в понедельник пробегусь, может все можно и проще сделать, я ее даже не тестил.

Дамп снимал олей
импорт импек+плагины aspr1.23 и 1.22

P.S. У меня версия 4.2.0.264

5E379b je 005e3867 на jmp 005e3867 и триал исчез.

| Сообщение посчитали полезным:

Народ че вы мучаетесь была хорошая статья как распаковать регет. Дамп там надо 2 раза делать. А регистрация нужно изменить один байт.

| Сообщение посчитали полезным: