Вобщем есть програмка, наз. Hrefer, скачать можно тут: gwsoft.ahteam.org/foruma/tools.php?action=attach&f=6&t=83&id=1

Вести примерно 1 Мб, сжата ASpack-ом...

При запуске появляется окошко, с просьбой ввест код... Сам код проверяется в цыкле, начало находится по этому адрессу: 0053FDE4 ; timer


От окошка избавиться легко: нопим колл по адресу 53FEFA или 0053FF22 - Меняем JE на JMP...

Это вобщем найти было не трудно, но меня интересует как найти правильный ключ... Сам ID вроде как зависит от пути к программе...

И вот еще одна фишка:

Вот начало процедуры создания формы:
0053FC94 > 55 PUSH EBP ; FormCreate


далее стоит обратить на вот эти каллы (интересные цыфры в регистре):
0053FCC0 |. E8 73ECFEFF CALL unpacked.0052E938
0053FCF6 |. E8 E9F3FEFF CALL unpacked.0052F0E4
0053FD0F |. E8 24DDFEFF CALL unpacked.0052DA38


Если зайти во второй калл, то стоя на адрессе:
0052F245 |. 8B45 E0 MOV EAX, [LOCAL.8]
в стеке можно увидеть:
Stack SS:[0012FDC8]=018A8514, (ASCII "{26B7B178-1EF3-4916-8E10-3CA1396A09AE}")
0012FDCC 018A83B4 ASCII "118"

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:


У вас нет достаточных прав чтобы скачивать файлы из закрытого раздела.
Вы хотите получить доступ к форуму - Файлы помощи?
Возможные причины:
Неправильный пароль
Неправильное имя пользователя
Незарегистрированный пользователь


Давать, так прямые ссылки

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

мож не будем спамерам-то помогать?

| Сообщение посчитали полезным:

да уж народ требует прямые линки!!! хм, а что такого интересного в Stack SS:[0012FDC8]=018A8514, (ASCII "{26B7B178-1EF3-4916-8E10-3CA1396A09AE}")
0012FDCC 018A83B4 ASCII "118" помоему либо формирование в реестре либо считывание из реестра данных подробней нужно смотреть прогу. и вобще зачем эта прога!?

| Сообщение посчитали полезным:

Немного ошибся, вообщето она должна быть прямая, т.е. пряммо на аттач поста. Сейчас перезалью куда-нибудь...
Вот прямая ссылка:
gwsoft.ahteam.org/pics/hrefer.zip

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Av0id, програмой я пользоваться однозначно не буду, незачем.. Да и к тому же я не спамер... Просто интересна защита, исключительно для себя... Поскольку подфорума с ограниченным доступом (куда спамеров не пускают:s1 нет, пришлось запостить сюда...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise
ТАм вроде в архиве ключ лежал под другой ID ты не знаешь он валидный?

| Сообщение посчитали полезным:

RSI, думаю что да, но не уверен...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise
Просто я искал проверку и не особо получилось, поэтому я подумал а что если пропатчить функцию генерации ID под тот что в ключе

| Сообщение посчитали полезным:

Кста я заметил:
0052F352 |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
0052F355 |. 05 98010000 ADD EAX,198 -> в EAX адрес ячейки памяти
0052F35A E8 4158EDFF CALL _hrefer.00404BA0 -> заносим в этот адрес 0
0052F35F |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
0052F362 |. 05 9C010000 ADD EAX,19C
0052F367 E8 3458EDFF CALL _hrefer.00404BA0 -> тож самое
0052F36C |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]

Вот если вместо этих 2-х функции вбить mov byte ptr ds:[eax],1 - тогда сообщения о вводе ключа тоже не будет

P.S. Но я не смог найти место где в них может заносится 1

| Сообщение посчитали полезным:

KingSise
Пиздец, да этот вонючий спамерский софт 50$ стоит. Сколько ж тебе за его взлом предложили? 5-15wmz ?

KingSise пишет:
Просто интересна защита, исключительно для себя...
Да ты что? Тебе интересно менять JE на JMP ? Или нопить call? Да что тут говорить - "Ветеран"

| Сообщение посчитали полезным:

КингСайз, потом же тебе же этим гвоном спамить будут.
seeq +1

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

seeq,Maximus
прекращаем флудить, или помогите или промолчите, хот я тоже против спамеров..
seeq пишет:
Да ты что? Тебе интересно менять JE на JMP ? Или нопить call? Да что тут говорить - "Ветеран"
тема едет к новичкам..

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

seeq пишет:
Да ты что? Тебе интересно менять JE на JMP ? Или нопить call?

Не интересна, это я и сам сделал (читай пераый пост). Мне интересно было ключ найти...

lord_Phoenix пишет:
тема едет к новичкам..

Дык, JE на JMP я в первом посте поменял. А вот новечки серийник врятли сгенерят, так что наверное напрасно сбда тему кинули...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

seeq пишет:
Пиздец, да этот вонючий спамерский софт 50$ стоит. Сколько ж тебе за его взлом предложили? 5-15wmz ?
Нисколько мне не платили, патч делается за минуту, нопом одного калла... Читайте пожалуйста внимательно первый пост! Мне интересен имменно алгаритм генерации ключа...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise мне интерестно...После смены je... Программа работала? А то я не могу понять...Я както пытался закейгенить...Нт в какую тоже...Пропатчил также...Но она виснет..Проц забивает и все... Думаю сеть слабая...Деал все таки.. Мне интерестно помогает патч или нет?

| Сообщение посчитали полезным:

Я её тоже пытался натянуть...ниполучилось.
Там после патча при запуске, она проверяет cmp[eax+F8], 64 и после неверного значения входит в беск. цикл.
Похоже это защита...

=D

| Сообщение посчитали полезным:

KingSise
тему вернул в осн.форум, но врядли кто-то захочет браться за спамерский софт

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

прога вообще странная какая-то
В общем если поставить бряк на адрес 005406AF до запуска проги и после попадания на него нажать F9, то прога запустится с голимым сообщением.
А если при попадании на этот бряк нажать F8, то прога запустится(сразу же ) без формы активации! Это глюки такие что-ли.?

П.П.С. в ольку грузил анпакнутый exe.

| Сообщение посчитали полезным:

Electrod, тоже это заметил... Похоже на глюк, или?

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

lord_Phoenix Да это не спамерский софт, это довесок к нему. А сама прога собирает форумы, борды, гостевухи. Мало ли для чего может понадопиться. Я вот скачаю, на всяк случай.
И наверняка глючная, потому как все проги этого аффтара - глючные. Будете ковырять - смотрите, чтоб треды не вышли из лимита, а то Поэтому ошибка если вылазит - лучше не трогать.

| Сообщение посчитали полезным:

sniperZ пишет:
проверяет cmp[eax+F8], 64 и после неверного значения входит в беск. цикл

Мне кадется что это всеже не проверка, а глюк или недоработка в программе... Да и вообще у меня какимто образом программа выполняется каждый раз по разному, закономерность я пока не выявил... Или зашита там реальная стоит... Вобщем

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным: