| Сейчас на форуме: Slinger (+6 невидимых) |
 |
eXeL@B —› Основной форум —› Статья "Снятие протектора в ReGetDx4.2" |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 15 июля 2006 08:35 · Поправил: PaZZo AmidomaRU BY · Личное сообщение · #1 Ставлю бряк на адрес 004Е05DD жму Ctrl+F11 и через секунду F12.В статье написано что попадаем сюда 00В93F40 А я попадаю на 00B93DCB D1C6 ROL ESI, 1 почему так. --> Статья <-- --> прога <--  |
|
|
Создано: 23 декабря 2006 16:34 · Личное сообщение · #2 И еще в этой статье ни чего не сказано про то что если версия сломана и не убита проверка то иногда место скачаного файла буде file download cracked version или чтото в это роде |
|
|
Создано: 24 декабря 2006 08:22 · Личное сообщение · #3 cadet пишет: Сравниваешь с упакованной прогой. ret - чтоб обращения из других мест тоже ждал облом. Там речь шла про какую-то активацию. теперь понял cadet пишет: 57FCD3 - JNZ 57fd26 меняем на JN 57fd26 - почему у тебя другое незнаю, может версия не та. странно билды у нас одинаковые, а код отличается, изходя из чего ты искал этот адрес, как ты его нашёл? cadet пишет: да совсем забыл еще у меня упало по адресу 6041А8 call [682B80], там было обращение в никуда, а в упакованной на 603FEF, Этот адрес ты в отчёте увидел? ----- Ламер - не профессия :)) |
|
|
Создано: 24 декабря 2006 09:15 · Поправил: cadet · Личное сообщение · #4 aspirin Этот адрес ты в отчёте увидел? - нет, в стеке. странно билды у нас одинаковые, а код отличается - странно, посмотри мой ехе. Может распаковал что-то не так? Я распаковывал, как ты заметил наверное, не по статье. Будет время может распишу по шагам. Cigan - а ты не помнишь, что за статья с двойным дампом? Интересно почитать. |
|
|
Создано: 24 декабря 2006 09:23 · Личное сообщение · #5 cadet пишет: Я распаковывал, как ты заметил наверное, не по статье я тоже. Приведи побольше листинга, тогда будет многое понятно надеюсь. ----- Ламер - не профессия :)) |
|
|
Создано: 24 декабря 2006 09:29 · Личное сообщение · #6 cadet пишет: Может распаковал что-то не так да нет, первый раз регет у меня всё же стартанул и даже без нагов, второй усё 
Так, что я думаю, трабла не в распаковке. ----- Ламер - не профессия :)) |
|
|
Создано: 24 декабря 2006 09:38 · Личное сообщение · #7 у меня вот что, вместо прыжка 0057FCD3 |. 899E 40240000 MOV DWORD PTR DS:[ESI+2440],EBX 0057FCD9 |. 899E 44240000 MOV DWORD PTR DS:[ESI+2444],EBX 0057FCDF |. C786 64240000>MOV DWORD PTR DS:[ESI+2464],529 0057FCE9 |. C786 68240000>MOV DWORD PTR DS:[ESI+2468],1 ----- Ламер - не профессия :)) |
|
|
Создано: 24 декабря 2006 10:11 · Личное сообщение · #8 aspirin У тебя смещение, данные команды у меня находятся по адресу 57FE37. Посчитай разницу. |
|
|
Создано: 24 декабря 2006 10:20 · Личное сообщение · #9 cadet пишет: Cigan - а ты не помнишь, что за статья с двойным дампом? Интересно почитать. Почему не помню? Помню. Только тот сайт прикрыли давно. А вот в атаче сама статья.  259c_24.12.2006_CRACKLAB.rU.tgz - reget.html
|
|
|
Создано: 25 декабря 2006 10:20 · Личное сообщение · #10 cadet большое спасибо за адреса, сам додумался, вообщем заработал он, одно но, если давать ссылку вручную, то вроде нормуль, если же заюзать клавишу закачать с помощью регет, сразу выскакивает наг, регет криво установлен, что может это быть?
----- Ламер - не профессия :)) |
|
|
Создано: 25 декабря 2006 11:12 · Личное сообщение · #11 aspirin А у меня все нормально, а вообще как советовали мудрые товарищи, лучше не распаковывать, а dll править. |
|
|
Создано: 29 декабря 2006 02:21 · Личное сообщение · #12 cadet не добили мы с тобой регет, на руборде говорят, что половина файлов скачивается с блокнотом, что регет крякнут, подскажи, как обойти этот случай. ----- Ламер - не профессия :)) |
|
|
Создано: 29 декабря 2006 02:48 · Поправил: Cigan · Личное сообщение · #13 aspirin пишет: cadet не добили мы с тобой регет, на руборде говорят, что половина файлов скачивается с блокнотом, что регет крякнут, подскажи, как обойти этот случай. А я вам про это говорил, есть там проверка на эту ерунду. |
|
|
Создано: 29 декабря 2006 02:56 · Личное сообщение · #14 aspirin Мне была интересна, только распаковка. А чтобы работала как надо, опытные люди посоветовали править dll и даже ее выложили. Можно конечно посмотреть, но сейчас новый год на носу. Суеты дофига. |
|
|
Создано: 29 декабря 2006 02:58 · Личное сообщение · #15 Cigan пишет: А я вам про это говорил, есть там проверка на эту ерунду. Дело в том, что я поставил после жалобы примерно 10 закачек с разных сайтов, ну нет пока блокнота и всё тут
Может подскажешь что можно качнуть, чтоб появился блокнот и способ, как отловить эту проверку? ----- Ламер - не профессия :)) |
|
|
Создано: 29 декабря 2006 03:00 · Личное сообщение · #16 cadet пишет: Мне была интересна, только распаковка. А чтобы работала как надо, опытные люди посоветовали править dll и даже ее выложили. Я думаю не в ней дело, там есть наверняка скрытая проверка в самом файле. А длл-ки нет там и в природе, даже если ставить бряк на виртуальную секцию, во всяком случае мне пока не удалось её обнаружить. ----- Ламер - не профессия :)) |
|
|
Создано: 29 декабря 2006 03:05 · Личное сообщение · #17 aspirin Читай внимательно топик, если я правильно понял YDS выложил "готовую" dll. Замени и усе или посмотри, что там отредактировали. |
|
|
Создано: 29 декабря 2006 03:45 · Личное сообщение · #18 Да в принципе и ненадо ни чего искать. Просто во время закачек он иногда обращаеться к серверу. Надо отловить это обращение и убить его. З.ы. Покрайне мере так было раньше. |
|
|
Создано: 25 февраля 2007 01:48 · Личное сообщение · #19 Привет! Сейчас ковыряю версию 4.3.275. Прочитал, что тут говорится про Lang.dll. Думаю к новым версиям это не актуально. Такой DLL там нет, а языковые ресурсы встроены в .EXE. У меня OEP = 00620190 Слепил дамп с помощью LordPE. Восстановил импорт с помощью ImportRec 1.6 При запуске, как и следовало ожидать дамп падает  ,
Глянул в Olly : Первое падение здесь : 006201B3 |.8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 006201B6 |.FF15 7CB26400 CALL DWORD PTR DS:[64B27C] <--- ссылка на 0048CE34, котороко в новом EXE уже нет. 006201BC |.33D2 XOR EDX,EDX В родном EXE по этому адресу идёт эмуляция функции GetVersion. Если её заNOPить, то падение происходит в этом участке : 006201E2 |. A3 A4426A00 MOV DWORD PTR DS:[6A42A4],EAX 006201E7 |. 6A 01 PUSH 1 006201E9 |. E8 3E080000 CALL dumped_.00620A2C 006201EE |. 59 POP ECX Вот собсно и всё. Кто нибудь пробовал с новыми версиями разбираться? |
|
|
Создано: 25 февраля 2007 02:45 · Личное сообщение · #20 Phantasmus пишет: Прочитал, что тут говорится про Lang.dll. Думаю к новым версиям это не актуально. Актуально. |
|
|
Создано: 25 февраля 2007 03:32 · Личное сообщение · #21 Phantasmus Да так и есть, но! если надыбать длл то вполне актуально, проверено! P.S. Лично мну инлайн патч делал и также как и с длл всё ок было. |
|
|
Создано: 25 февраля 2007 05:58 · Личное сообщение · #22 Phantasmus ну пересказывать предыдущие ответы, только с обновлёнными адресами тоже не очень актуально. Но дальше ты видимо без подсказок не видишь, если пропатчить эти 2 места, то прога запуститься, но через какое-то время опять закрывается, видимо авторы впервые за столько лет существования проги, всё-таки не поленились сюда забежать и почитать о дырках, кстати не удивлюсь, если и сами дырки искали по приведённым адресам 
Короче через анпак тут я думаю идти будет пользы мало, надо через инлайн, если кто умеет делать инлайн к старому аспру, стукните в личку. ----- Ламер - не профессия :)) |
|
|
Создано: 25 февраля 2007 06:05 · Поправил: Phantasmus · Личное сообщение · #23 aspirin да дело не в пересказывании, я просто с аспром не так давно начал разбираться. А тут как раз повод появился. пробовал я патчить, не запускается  Там много ещё придётся исправлять.
Думал, что в новых версиях с lang.dll не прокатывал... ан нет всё работает 
|
| << . 1 . 2 . |
|
eXeL@B —› Основной форум —› Статья "Снятие протектора в ReGetDx4.2" |
Для печати