Народ, ктонить ломал под Симбиан проги ? Искал в инете, инфы вообще неоказалось, так мелочи которые не помогут при взломе. Интересует вот что:
1) Чем ломать.
2) Какая нибудь инфа.

Всем откликнувшимся спасибо.

-----
~ the Power Of Reversing team ~

| Сообщение посчитали полезным:

попробуй переименовать фейковый вариант плпвариант, и также поменяй импорт в апп-файле.
хотя если целостность проверяется, тогда это не поможет

| Сообщение посчитали полезным:

[wl]
Не могу, вот именно из-за проверки целостности ничего вообще изменить не могу. Если изменяю хотя бы бит - прога запускается, получает нужный IMEI и даже работает некоторое время, но потом сваливается по какой-то неопределённой закономерности.
Причём, я не понимаю, зачем давать проге запуститься, если узнать о модификации можно при запуске? Хотя, тогда было бы проще найти место проверки.
Западло ещё и в том, что для лицензирования используется криптография - просто так не откейгенишь.

| Сообщение посчитали полезным:

просмтри все вызовы RFile::Open, найдешь, где апп открывается, и подставь туда имя оригинального файла, скопировав заранее оригинал рядом и поменяв имя. ну чтобы запускалась ломанная прога, а проверяла она оригинальную

| Сообщение посчитали полезным:

Честно говоря, я даже как-то эту возможность исключил - пробовал сразу же после запуска менять ломанный и оригинал местами.
В итоге получил такую картину:
Запускаю оригинал - работает, подменяю .app - работает, но через некоторое время вылетает
Запускаю правленый - работает, но вылетает, подменяю .app - всё-равно через некоторое время вылетает
Перебрал RFile::Open, всего 5 штук. Если смотреть по окружаещему коду, то следов проверки не видно. В самой проге явно не упоминается об .app файле, поэтому начал перебирать, откуда она может узнать о себе. Нашёл у неё импорт CQikApplication::AppFullName(), он является методом одного из классов, объект которого инициализируется один раз - при запуске программы, после чего запихивается в регистр. Дальше проследить за вызовом этого метода не знаю как, слишком много попутного кода.
Такое ощущение, что я уже просто запутался - никогда не мог бы подумать, что в этой проге есть такой коварный механизм.
В общем, без файла на руках сложно наверное что-то сказать. Выкладываю сабж, если кто поможет хоть чем-нибудь, буду очень признателен
h__p://rapidsha re.com/files/357408598/confuse.rar
Пример лицензии, под которую всё делается, могу отправить в личку.

Пробовал брать её с Handango - деньги ушли, а в замен ничего не пришло. В тех. поддержке отписались, что уже не поддерживают этот продукт, а на Handango он размещён "по ошибке". Деньги так и не вернули. Свинство вообще.

| Сообщение посчитали полезным:

спецы, подскажите, на какие hex-значения мне поменять, чтобы вот эти условные переходы выполнялись при неправильном значении сравниваемых данных:
BGE loc_1000CD9C (hex-0D0000AA)

BEQ loc_1000CE44 (hex-1B00000A)

BEQ loc_1000CEC8 (hex-1E00000A)

| Сообщение посчитали полезным:

ну так, если не ошибаюсь, то первый же вызов RFile::Open как раз и вызывается CQikApplication::AppFullName()

.text:10003F38 BL CEikAppUi::Application(void)
.text:10003F3C MOV R1, R0
.text:10003F40 LDR R3, [R1]
.text:10003F44 ADD R4, SP, #0x224+var_21C
.text:10003F48 MOV R0, R4
.text:10003F4C LDR R12, [R3,#0x20] ; <<<<<<------------ AppFullName()
.text:10003F50 MOV LR, PC
.text:10003F54 BX R12

Итого, перед вызовом BX R12, у нас в R0 находится TFileName&, а в R1 - указатель на Application.
Лучше всего подменить имя файла в длл PLPVARIANT, то есть заменить BX R12 на BL PlpVariant::GetMachineIdL(TBuf<128> &)
но нужно как-то различить, где эту функцию вызывает программа, а где мы. Лучший способ - записать в R1 какой-то магического значение, например 0xDEADC0DE, а из длл уже смотреть, если R1 не равен этому значению, значит вызывает функцию сама программа, и подставлять фальшивый IMEI, а иначе скопировать имя оригинального файла

что-то типа:

EXPORT_C TInt fakeGetMAchineIdL(TBuf<128> & imei, TInt magic)
{
if(magic == 0xDEADCODE)
{
imei.Copy(_L("c:\fake.app"));
}
else
{
imei.Copy(_L("12345446456456456456"));
}
}

записать в R1 значение 0xDEADCODE можно, выкинув нафиг код по получению адреса функции App::AppFullName();. Если не получается, то можно что-то покороче, типа 0x1234


надеюсь объяснил не слишком путано?

| Сообщение посчитали полезным:

shustrik пишет:
на какие значения мне поменять вот эти условные переходы

первый - не знаю, можно попробовать B
два последних - B

| Сообщение посчитали полезным:

B - это хорошо, а как это в хексе выглядет? как его высчитывать? К примеру BGE loc_1000CD9C - это в хексе 0D0000AA (меняется последние две буквы...)... как высчитывается какие именно вбивать?


Then briefly this is the situation..
original ASM:
BEQ loc_10021410
original bytecode:
07 00 00 0A
original binary:
|0... ...32|
|----signed 24 offset----|cond|-B-|L|
|000001110000000000000000|0000|101|0|
Also this time it's enough to change the cond value to 1100
new binary:
|0... ...32|
|----signed 24 offset----|cond|-B-|L|
|000001110000000000000000|1110|101|0|
new bytecode:
07 00 00 EA

the patch number 2 becomes the following:
ASM
old: BEQ loc_10021410
new: B loc_10021410
bytecode:
old: 07 00 00 0A
new: 07 00 00 EA


А как в моем случае? или подскажите как вычисляется (или находится) вот эта эти строки |0... ...32|
|----signed 24 offset----|cond|-B-|L|
|000001110000000000000000|1110|101|0|

| Сообщение посчитали полезным:

нужно именно инвертировать или просто всегда переходить?
если инвертировать, тогда
BEQ -> BNE
.text:100074F4 01 00 00 1A BNE loc_10007500

B:
text:100074FC 00 00 00 EA B loc_10007504

обратную для BGE не знаю

---

меняешь последние две цифры, первые 6 не трогаешь.

[0..32] - это битовое педставление числа, то есть, к примеру в Hex выглядит как
01 00 00 1A

а в битовом представлении:
0000.0001.0000.0000.0000.0000.0001.1010

| Сообщение посчитали полезным:

[wl] пишет:
обратную для BGE не знаю
А не BLE случайно?
intelliwiki.kylesblog.com/index.php/BLE

| Сообщение посчитали полезным:

[wl]
Спасибо за подсказку, сейчас буду пробовать. Как закончу - отпишусь.
shustrik
Обратная для BGE (Branch if Great or Equal), наверное, BLT (Branch if Less Than):


Вот вся таблица условий из даташита от Атмела:


| Сообщение посчитали полезным:

to shustrik
Если ломаешь сделай безусловный нах тебе с условием. И заюзай msdn там по опкодам всё есть.
TolyaN3z пишет:
Обратная для BGE (Branch if Great or Equal), наверное, BLT (Branch if Less Than):
это вообще нето.
TolyaN3z пишет:
Вот вся таблица условий из даташита от Атмела:
А это тут нах?

| Сообщение посчитали полезным:

matrix пишет:
это вообще нето.
Да ладно, почему?
matrix пишет:
А это тут нах?
Чтобы наглядно посмотреть, что и чему соответствует, или это был риторический вопрос?

| Сообщение посчитали полезным:

TolyaN3z пишет:
Да ладно, почему?
Потому что вот ответ: s0l пишет:
А не BLE случайно?

TolyaN3z пишет:
Чтобы наглядно посмотреть, что и чему соответствует, или это был риторический вопрос? :
а ну если наглядно тогда ладно.

| Сообщение посчитали полезным:

вообще-то BLE это не противоположное BGE

если в математических знаках записать

BGE: >=
BLE: <=
а должно быть строго меньше (<) то есть BLT.

(x>=y) <=> !(x<y)

| Сообщение посчитали полезным:

matrix пишет:
Потому что вот ответ: s0l пишет:
А не BLE случайно?
Если под обратностью имеется ввиду, что выполнится только одно из условий, то этот ответ неправильный, т.к. обе команды (BGE и BLE) будут выполнены, если операнды равны.

| Сообщение посчитали полезным:

[wl] пишет:
вообще-то BLE это не противоположное BGE
Где это вы увидели что я такое написал?

BGE error
"Спасибо за регистрацию"
error
"Неверный код"

BLE error
"Спасибо за регистрацию"
error
"Неверный код"

Ну и какой из них получит регистрацию?

| Сообщение посчитали полезным:

если сравниваемые значения одинаковы, то на error перейдет в обоих случаях. Как это не может быть понятно? это же первый класс церковно-приходской школы.

Подобная небрежность обычно ведет к тому, что у половины пользователей кряк не работает

| Сообщение посчитали полезным:

[wl] пишет:
а должно быть строго меньше (<) то есть BLT.
А подумайте что же произойдёт если в этом случае x<y значения будут равны . Куда будет прыжок? Получается что и BLT не подходит. Пока мы не узнаем поподробней думаю можно прикратить дискуссию. Чуть ниже я написал почему.

BLT error
"НЕВЕРНЫЙ КОД"
error
"СПАСИБО ЗА РЕГИСТРАЦИЮ"

[wl] пишет:
если сравниваемые значения одинаковы
Это и так ясно.
Ну дык а я же откуда знаю какие там значения у него я ж не медиум, думаю что и вы тоже .

shustrik пишет:
чтобы вот эти условные переходы выполнялись при неправильном значении сравниваемых данных:
Повторюсь если ломаешь то ставь безусловный. Если нет давай инфы побольше.

| Сообщение посчитали полезным:

Да я вижу Вы, умник, не уймётесь:
matrix пишет:
[wl] пишет:
вообще-то BLE это не противоположное BGE
Где это вы увидели что я такое написал?
вот здесь:
matrix пишет:
TolyaN3z пишет:
Обратная для BGE (Branch if Great or Equal), наверное, BLT (Branch if Less Than):
это вообще нето.
matrix пишет:
TolyaN3z пишет:
Да ладно, почему?
Потому что вот ответ: s0l пишет:
А не BLE случайно?
Мы говорим о взаимоисключающих условиях, и в данном случае моё утверждение правильно, т.к. BGE и BLT перекрывают все возможные варианты и одновременно исключают друг друга, что позволяет выполнить только один "прыжок" при любом результате сравнения, а не оба. А вот Вы утверждаете, что это "вообще не то", будьте добры отвечать за свои слова. 5-ый класс математики, стыдно должно быть за чушь, которую несёте.
matrix пишет:
А подумайте что же произойдёт если в этом случае x<y значения будут равны . Куда будет прыжок?
Так для этого и есть BGE, разве это непонятно?
Ещё наглым образом спрашиваете, зачем таблицу условий вывесил, оказывается, Вам бы её изучить не помешало.

| Сообщение посчитали полезным:

[wl]
В общем, твоя идея сработала. Огромное спасибо!
Пришлось создавать на основе выделенного сегмента стэка переменную типа TBuf<128>, чтоб моя функция могла с ней нормально работать. Подозреваю, что можно было принудительно привести её к нужному типу, проверять не стал. В итоге получился код:

Для "магического числа" взял небольшое значение 0xEE, т.к. в "реальном" вызове там всегда 0x80.
Реализация функции "стандартная":

Единственное, что хотел узнать, это каким образом правильно определить метод который вызывается у объекта?
[wl] пишет:

Code:

1. .text:10003F38 BL CEikAppUi::Application(void)
2. .text:10003F3C MOV R1, R0
3. .text:10003F40 LDR R3, [R1]
4. ...
5. .text:10003F4C LDR R12, [R3,#0x20] ; <<<<<<------------ AppFullName()

Я так понял, что:
R3 - адрес объекта класса.
#0x20 - это смещение до метода в структуре класса (dword_1002237C)
В принципе, можно ещё компилить свой код и смотреть, но структурировать весь процесс в голове было бы куда проще. Есть какае-то чтиво на эту тему?

| Сообщение посчитали полезным:

Друзья, как хорошо, что вы отозвались!!!
Переходы в оригинале такие:

CMP R4, R3
BGE loc_1000CD9

CMP R2, R3
BEQ loc_1000CE44

CMP R8, #0
BEQ loc_1000CEC8


Я первый поменял на BNE, второй и третий на B, вроде бы сработало! Посмотрю на днях не будет ли глюков. [wl] пишет: нужно именно инвертировать или просто всегда переходить?
Я ломал прогу, нужно было гнать прогу при проверке зарегистрированности, связанной с IMEY. Как проверю, отпишусь

| Сообщение посчитали полезным:

shustrik
Чтобы понять, на что тебе нужно заменить данные условные переходы, нужно проанализировать код, который выполняется перед и после них (при выполнении и невыполнении условия). Можно, конечно, что называется "ткнуть пальцем в небо" и угадать, но попробуй сначала проанализировать сам, почитай туториалы, которые скидывали в эту тему - вопрос выбора правильного условного или безусловного перехода отпадёт сам собой - это не такая сложная задача. Основной же задачей является поиск уязвимого места, которое приведёт к правильной регистрации.

Вообще, хотелось бы оформить хоть какую-нибудь шапку для темы, собрать все тулзы, туториалы и крякми, чтобы можно было быстро и удобно получить нужный ответ не плодя дубли. Такое возможно и что для этого нужно?

| Сообщение посчитали полезным:

Спасиб TolyaN3z, действительно не хватает именно такой шапки! (я даже из Arteam статьи покачал по s60v1-2 и переводил сократом . Ничего, прорвемся!

| Сообщение посчитали полезным:

TolyaN3z, считается по виртуальным функциям класса.


| Сообщение посчитали полезным:

Вот поэтапная проверка.
При первой проверке мы должны попасть именно на вторую, из второго в третью, и тогда все ОК:


Я все пробовал менять на разные значения в Hiew, потом открывал файл в Ida и смотрел в графическом отображении, получилось, что все нужно поменять на B.

Спасибо, что направили мысли в нужное русло!!!

| Сообщение посчитали полезным:

похоже, что первая проверка проверяет длину некой строки с каким-то значением

| Сообщение посчитали полезным:

to shustrik
Ну с этим вроде разобрались.

TolyaN3z пишет:
Чтобы понять, на что тебе нужно заменить данные условные переходы, нужно проанализировать код, который выполняется перед и после них (при выполнении и невыполнении условия). Можно, конечно, что называется "ткнуть пальцем в небо" и угадать
Ну дык я так и сказал в последнем своём посте, а то получается что мы угадывали и угадали. Я же имел ввиду именно данную ситуацию и попытался в ней разобраться. К тому же я уже говорил что если ломаешь ставь безусловный, ведь в любом случае будут сравниваться неверные данные.
P.S: Ивиняюсь если кого-то обидел. Я этого не делал специально.

| Сообщение посчитали полезным:

matrix
ну ведешь себя довольно вызывающе, есть причины? выложи список своих кряков (конкретно под симбиан, конечно же)
Поясню дополнительно, это не для измерения длины пиписек, просто оценить уровень

| Сообщение посчитали полезным:

Ребята, поскажите, как в ида найти нужное hex-значение? Есть 2 файла (один взломан, другой оригинал), через total commander сравнил оба файла, а теперь хочу посмотреть на сами функции, которые были изменены..... или подскажите, чем можно глянуть

| Сообщение посчитали полезным: