Flaredance Firework Screensaver после Armadillo.

Сейчас на форуме: Slinger, Rio (+4 невидимых)

Посл.ответ	Сообщение
DenX Ранг: 30.7 (посетитель) Активность: 0.01↘0 Статус: Участник	Создано: 16 июля 2006 20:13 · Личное сообщение · #1 Пытаюсь сломать Flaredance Firework Screensaver. www.firework-screensaver.com/flaredance_setup.exe 2.4 Mb. Запакован Armadillo 3.78 - 4.xx и защита на апи армы.Распаковал dilloDie 1.4 (1.5 не распаковывает). Пытался распаковать вручную - разделил процессы и до OEP дошёл с помощью скрипта. Code Spliting и IAT Ilimination восстановил с помощью ArmInline, но когда вписал OEP (4302BC) в ImpRec Он мне выдал что OEP не верный. Но вопрос не по распаковке. Посмотрел статьи и узнал что арма проверяет регистрацию через GetEnvironmentVariableA. Поставил на неё бряк и остановился здесь 00444A9B 8B35 1C117400 MOV ESI,DWORD PTR DS:[<&KERNEL32.GetEnvi>; kernel32.GetEnvironmentVariableA 00444AA1 68 00010000 PUSH 100 00444AA6 68 208E4800 PUSH flardanc.00488E20 00444AAB 68 087B4700 PUSH flardanc.00477B08 ; ASCII "EXPIRED" 00444AB0 8BE9 MOV EBP,ECX 00444AB2 FFD6 CALL ESI 00444AB4 F7D8 NEG EAX 00444AB6 68 00010000 PUSH 100 00444ABB 1BC0 SBB EAX,EAX 00444ABD 68 208E4800 PUSH flardanc.00488E20 00444AC2 25 208E4800 AND EAX,488E20 00444AC7 68 1C7C4700 PUSH flardanc.00477C1C ; ASCII "CERTIFICATE" 00444ACC 0F95C3 SETNE BL 00444ACF FFD6 CALL ESI 00444AD1 85C0 TEST EAX,EAX 00444AD3 75 0C JNZ SHORT flardanc.00444AE1 00444AD5 C745 20 04000000 MOV DWORD PTR SS:[EBP+20],4 00444ADC E9 BA000000 JMP flardanc.00444B9B 00444AE1 68 287C4700 PUSH flardanc.00477C28 ; ASCII "TRIAL" 00444AE6 68 208E4800 PUSH flardanc.00488E20 00444AEB E8 6D93FEFF CALL flardanc.0042DE5D 00444AF0 83C4 08 ADD ESP,8 00444AF3 85C0 TEST EAX,EAX 00444AF5 75 12 JNZ SHORT flardanc.00444B09 00444AF7 F6DB NEG BL 00444AF9 1BDB SBB EBX,EBX 00444AFB 83E3 03 AND EBX,3 00444AFE 83C3 01 ADD EBX,1 00444B01 895D 20 MOV DWORD PTR SS:[EBP+20],EBX 00444B04 E9 92000000 JMP flardanc.00444B9B 00444B09 68 307C4700 PUSH flardanc.00477C30 ; ASCII "TRIAL_REG" 00444B0E 68 208E4800 PUSH flardanc.00488E20 00444B13 E8 4593FEFF CALL flardanc.0042DE5D 00444B18 83C4 08 ADD ESP,8 00444B1B 85C0 TEST EAX,EAX 00444B1D 75 0F JNZ SHORT flardanc.00444B2E 00444B1F F6DB NEG BL 00444B21 1BDB SBB EBX,EBX 00444B23 83E3 06 AND EBX,6 00444B26 83C3 02 ADD EBX,2 00444B29 895D 20 MOV DWORD PTR SS:[EBP+20],EBX 00444B2C EB 6D JMP SHORT flardanc.00444B9B 00444B2E 68 3C7C4700 PUSH flardanc.00477C3C ; ASCII "FAKE" 00444B33 68 208E4800 PUSH flardanc.00488E20 00444B38 E8 2093FEFF CALL flardanc.0042DE5D 00444B3D 83C4 08 ADD ESP,8 00444B40 85C0 TEST EAX,EAX 00444B42 75 15 JNZ SHORT flardanc.00444B59 00444B44 F6DB NEG BL 00444B46 1BDB SBB EBX,EBX 00444B48 81E3 20FFFFFF AND EBX,FFFFFF20 00444B4E 81C3 00010000 ADD EBX,100 00444B54 895D 20 MOV DWORD PTR SS:[EBP+20],EBX 00444B57 EB 42 JMP SHORT flardanc.00444B9B 00444B59 68 447C4700 PUSH flardanc.00477C44 ; ASCII "FULL_TMP" 00444B5E 68 208E4800 PUSH flardanc.00488E20 00444B63 E8 F592FEFF CALL flardanc.0042DE5D 00444B68 83C4 08 ADD ESP,8 00444B6B 85C0 TEST EAX,EAX 00444B6D 75 0F JNZ SHORT flardanc.00444B7E 00444B6F F6DB NEG BL 00444B71 1BDB SBB EBX,EBX 00444B73 83E3 D0 AND EBX,FFFFFFD0 00444B76 83C3 40 ADD EBX,40 00444B79 895D 20 MOV DWORD PTR SS:[EBP+20],EBX 00444B7C EB 1D JMP SHORT flardanc.00444B9B 00444B7E 68 507C4700 PUSH flardanc.00477C50 ; ASCII "FULL" 00444B83 68 208E4800 PUSH flardanc.00488E20 00444B88 E8 D092FEFF CALL flardanc.0042DE5D 00444B8D 83C4 08 ADD ESP,8 00444B90 85C0 TEST EAX,EAX 00444B92 75 07 JNZ SHORT flardanc.00444B9B 00444B94 C745 20 80000000 MOV DWORD PTR SS:[EBP+20],80 00444B9B 68 00010000 PUSH 100 00444BA0 68 208E4800 PUSH flardanc.00488E20 00444BA5 68 587C4700 PUSH flardanc.00477C58 ; ASCII "DAYS_EVAL" 00444BAA FFD6 CALL ESI 00444BAC 85C0 TEST EAX,EAX 00444BAE 74 0D JE SHORT flardanc.00444BBD 00444BB0 68 208E4800 PUSH flardanc.00488E20 00444BB5 E8 0D94FEFF CALL flardanc.0042DFC7 00444BBA 83C4 04 ADD ESP,4 00444BBD 68 00010000 PUSH 100 00444BC2 68 208E4800 PUSH flardanc.00488E20 00444BC7 68 FC7A4700 PUSH flardanc.00477AFC ; ASCII "DAYSLEFT" 00444BCC 8945 28 MOV DWORD PTR SS:[EBP+28],EAX 00444BCF FFD6 CALL ESI 00444BD1 85C0 TEST EAX,EAX 00444BD3 75 05 JNZ SHORT flardanc.00444BDA 00444BD5 83C8 FF OR EAX,FFFFFFFF 00444BD8 EB 0D JMP SHORT flardanc.00444BE7 00444BDA 68 208E4800 PUSH flardanc.00488E20 00444BDF E8 E393FEFF CALL flardanc.0042DFC7 00444BE4 83C4 04 ADD ESP,4 00444BE7 68 00010000 PUSH 100 00444BEC 68 208E4800 PUSH flardanc.00488E20 00444BF1 68 F07A4700 PUSH flardanc.00477AF0 ; ASCII "USERNAME" 00444BF6 8945 24 MOV DWORD PTR SS:[EBP+24],EAX 00444BF9 FFD6 CALL ESI 00444BFB F7D8 NEG EAX 00444BFD 1BC0 SBB EAX,EAX 00444BFF 25 208E4800 AND EAX,488E20 00444C04 8D5D 2C LEA EBX,DWORD PTR SS:[EBP+2C] 00444C07 75 04 JNZ SHORT flardanc.00444C0D 00444C09 33C9 XOR ECX,ECX 00444C0B EB 10 JMP SHORT flardanc.00444C1D 00444C0D 8BC8 MOV ECX,EAX 00444C0F 8D79 01 LEA EDI,DWORD PTR DS:[ECX+1] 00444C12 8A11 MOV DL,BYTE PTR DS:[ECX] 00444C14 83C1 01 ADD ECX,1 00444C17 84D2 TEST DL,DL 00444C19 ^75 F7 JNZ SHORT flardanc.00444C12 00444C1B 2BCF SUB ECX,EDI 00444C1D 50 PUSH EAX 00444C1E 8BF9 MOV EDI,ECX 00444C20 8BC3 MOV EAX,EBX 00444C22 E8 09E7FBFF CALL flardanc.00403330 00444C27 68 00010000 PUSH 100 00444C2C 68 208E4800 PUSH flardanc.00488E20 00444C31 68 E87A4700 PUSH flardanc.00477AE8 ; ASCII "USERKEY" 00444C36 FFD6 CALL ESI 00444C38 F7D8 NEG EAX 00444C3A 1BC0 SBB EAX,EAX 00444C3C 25 208E4800 AND EAX,488E20 00444C41 8D75 30 LEA ESI,DWORD PTR SS:[EBP+30] 00444C44 75 04 JNZ SHORT flardanc.00444C4A Правильно ли я понимаю что для регистрации надо в USERNAME и USERKEY надо запихать какието значения?

Z0oMiK Ранг: 299.6 (наставник) Активность: 0.3↘0 Статус: Участник Armadillo Killer	Создано: 16 июля 2006 20:15 · Поправил: Z0oMiK · Личное сообщение · #2 DenX А ты IAT Elimination пофиксил ? Тем более сначало надо опции смотерть Debug-Blocker CopyMem-II Enable Import Table Elimination Enable Strategic Code Splicing Enable Memory-Patching Protections
DenX Ранг: 30.7 (посетитель) Активность: 0.01↘0 Статус: Участник	Создано: 16 июля 2006 20:22 · Поправил: DenX · Личное сообщение · #3 Z0oMiK Я же написал что с помощью ArmInline пофиксил и Code Spliting и IAT Ilimination. Да и если импорт был просто кривой он бы просто не востановился. А мне импрек пишет что OEP не верный. // Добавлено И опции я смотрел до распаковки только что это меняет? - OEP что по скрипту, что после DilloDie одно и то же.
NIKOLA Ранг: 500.6 (!), 7thx Активность: 0.26↘0 Статус: Участник	Создано: 16 июля 2006 20:33 · Личное сообщение · #4 DenX Я заепался разбиратся в твоём коде. Сделай так: 1. Для Оли есть плагин асмтуклипбоард, воспользуйся им или кнопочкой код. 2.Отредактируй свой пост. 3. Хотелось бs увидеть всю функцию от push ebp до ret, если она большая, лучше приатач.
Z0oMiK Ранг: 299.6 (наставник) Активность: 0.3↘0 Статус: Участник Armadillo Killer	Создано: 16 июля 2006 20:36 · Поправил: Z0oMiK · Личное сообщение · #5 DenX Вот тебе распакованый EXE ... Все работает не знаю че у тебя не получается uploadport.com/request/?fid=U3U53 ЗЫ : EXE переименуй обратно в SCR
DenX Ранг: 30.7 (посетитель) Активность: 0.01↘0 Статус: Участник	Создано: 16 июля 2006 20:45 · Личное сообщение · #6 Z0oMiK Распакованый файл у меня и так есть. Меня больше регистрация интересует. Ксати твой экзешник я скачать не могу сервер какоето имя и пароль требует. Лучше напиши какое OEP и как ты на него попал.
Z0oMiK Ранг: 299.6 (наставник) Активность: 0.3↘0 Статус: Участник Armadillo Killer	Создано: 16 июля 2006 20:59 · Личное сообщение · #7 DenX пишет: Лучше напиши какое OEP и как ты на него попал. Читай статьи ... я не раз делал туторы ..... DenX пишет: Меня больше регистрация интересует. Какая регистрация ? после снятия армы ни какой регистрации не требует
DenX Ранг: 30.7 (посетитель) Активность: 0.01↘0 Статус: Участник	Создано: 16 июля 2006 21:09 · Личное сообщение · #8 Z0oMiK Если у тебя OEP как у меня 4302BC, то я не знаю как ты востановил импорт ибо у меня ImpRec орёт что оно не правильное.
Rascal Ранг: 260.9 (наставник) Активность: 0.12↘0 Статус: Участник John Smith	Создано: 16 июля 2006 22:15 · Личное сообщение · #9 DenX Покажи прыг на апи call [TRATATA] и что находится по адресу TRATATA ----- Недостаточно только получить знания:надо найти им приложение
DenX Ранг: 30.7 (посетитель) Активность: 0.01↘0 Статус: Участник	Создано: 16 июля 2006 22:17 · Личное сообщение · #10 Z0oMiK пишет: Какая регистрация ? после снятия армы ни какой регистрации не требует Ты хоть свой файл запускал - через минуту вылезет надпись что триал кончился. А при вызове параметров (Панель управления-->Экран-->Заставка--> Параметры) вылезет наг. Ксати если 00444AD3 75 0C JNZ SHORT flardanc.00444AE1 сделать безусловным то получится вечный триал (при работе скринсейвера никаких надписей выплывать не будет).
Z0oMiK Ранг: 299.6 (наставник) Активность: 0.3↘0 Статус: Участник Armadillo Killer	Создано: 16 июля 2006 22:46 · Поправил: Z0oMiK · Личное сообщение · #11 DenX Естественно запускал я тебе залил свой распакованый епт! ЗЫ: Сливай тогда от сюда slil.ru/22928601
PE_Kill Ранг: 793.4 (! !), 568thx Активность: 0.74↘0 Статус: Участник Шаман	Создано: 17 июля 2006 10:26 · Личное сообщение · #12 DenX пишет: но когда вписал OEP (4302BC) в ImpRec Он мне выдал что OEP не верный. Бу га га, про ImageBase слышал? ----- Yann Tiersen best and do not fuck
DenX Ранг: 30.7 (посетитель) Активность: 0.01↘0 Статус: Участник	Создано: 17 июля 2006 17:56 · Личное сообщение · #13 PE_Kill Смешная шутка. Естественно я вычитал ImageBase и вписывал в импрек 302BC.
Z0oMiK Ранг: 299.6 (наставник) Активность: 0.3↘0 Статус: Участник Armadillo Killer	Создано: 17 июля 2006 18:17 · Личное сообщение · #14 PE_Kill Да он просто криво удалил Code Spilsing и IAT Elimination + там CopyMem II в этом его и проблема
DenX Ранг: 30.7 (посетитель) Активность: 0.01↘0 Статус: Участник	Создано: 17 июля 2006 19:01 · Личное сообщение · #15 Проблема была в ArmInline. Воспользовался версией 0.7 (до этого пробовал 0.95) и всё стало нормально. Z0oMiK Но твой файл у меня всё равно просит регистрацию.

Для печати