Всем привет
Понадобилось как-то срочно сваять chm-руководство, скачал пару инструментов. Один из которых этот.
Платный. 25 баксов. Другой фриварный, но возможностей на борядок больше... Сваять файл - то сваял, но злость на эту контору осталась, тем более что кряков в сети нет.
И так. Теперь к делу.

Вот сама прога
--> abee chm ebook Creator <-- http://abeetech.com/chm-ebook-creator/download.php
Весит 2 метра. Как я понял вся программа - э то один ехе-файл, все остальное мусор. И при удалении, по прежнему работает.

Полез в отладчик - а в проге дрянь какая-то антиотладочная стоит. При чем патчи и плагины к Олли не помогают. Сисер и айс так же детектятся. Посмотрел под Peid-м, а он не распознает на чем написанна и чем закриптованна. Бля.
Присутствуют лишние 2 секции с рандомным именем, которых быть не должно. Вероятно протектор.
Самое обидное, что ему нужен либо ключ в реестре, либо ключ-файл, потому как пароль вводить нигде не нужно.

Теперь вопрос:
Это не запрос на взлом. Нужно просто подтолкнуть в нужную сторону. Хотя бы расскажите, чем упакованна и у кого какие будут идеи?
заранее благодарен

| Сообщение посчитали полезным:

XuMuK пишет:
Вот сама прога
--> abee chm ebook Creator <--

такого сайта нету))) 404..

про защиту предположу, ехекруптор

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Да нет, ссылка живая, но качать лениво. Согласен, что, скорее всего, экзекриптор.

-----
SaNX

| Сообщение посчитали полезным:

XuMuK

Выложи ЕХЕ на www.dump.ru http://www.dump.ru

SaNX

У меня ссылка тоже дохлая

-----
Research For Food

| Сообщение посчитали полезным:

daFix
Щас еще раз проверил, тоже уже не открывается! ХЗ, чо такое!

-----
SaNX

| Сообщение посчитали полезным:

http://abeetech.look4soft.com/ChmMakerProSetup_v1_9_5.exe http://abeetech.look4soft.com/ChmMakerProSetup_v1_9_5.exe

Не криптор ! Дельфи не могу вспомнить предпоследняя секция
JCLDEBUG
где то попадалась такая фигня

| Сообщение посчитали полезным:

Понял мужики
Но у меня на дамп что-то не грузит
Вот на рапиде

--> <a href="http://rapidshare.com/files/26987181/ChmCreator.rar.html" target="_new">http://rapidshare.com/files/26987181/ChmCreator.rar.html http://rapidshare.com/files/26987181/ChmCreator.rar.html <--</a>

985 кб

| Сообщение посчитали полезным:

> где то попадалась такая фигня
это просто пакованый zlib'ом мапфайл... юзается JCL Library для отлова эксепшнов....

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Хм я не ту прогу скачал ;) Ну да ладно они все наверняка по одному принципу ! Прога не пакованая оеп
просто выставляешь
0053A87C > 55 PUSH EBP
0053A87D 8BEC MOV EBP,ESP
0053A87F 83C4 F0 ADD ESP,-10
0053A882 B8 CCA35300 MOV EAX,ChmMaker.0053A3CC
0053A887 E8 2CCAECFF CALL ChmMaker.004072B8
0053A88C A1 8CD45300 MOV EAX,DWORD PTR DS:[53D48C]
0053A891 8B00 MOV EAX,DWORD PTR DS:[EAX]
0053A893 E8 C463F2FF CALL ChmMaker.00460C5C
0053A898 A1 4CD35300 MOV EAX,DWORD PTR DS:[53D34C]
0053A89D 8338 00 CMP DWORD PTR DS:[EAX],0
В ольке спокойно дебажится , взлом наверное тягомотный скорей всего будет так как проверка уходит в такие места
00610239 /E0 78 LOOPDNE SHORT 006102B3
0061023B |E1 03 LOOPDE SHORT 00610240
0061023D |0001 ADD BYTE PTR DS:[ECX],AL
0061023F |0090 5D67BC70 ADD BYTE PTR DS:[EAX+70BC675D],DL
00610245 |085CE1 01 OR BYTE PTR DS:[ECX+1],BL
00610249 |0040 00 ADD BYTE PTR DS:[EAX],AL
0061024C |F8 CLC
0061024D |55 PUSH EBP
0061024E |5E POP ESI
0061024F |E1 08 LOOPDE SHORT 00610259
00610251 |E0 78 LOOPDNE SHORT 006102CB
00610253 |E1 03 LOOPDE SHORT 00610258
00610255 |0001 ADD BYTE PTR DS:[ECX],AL
00610257 |0048 5A ADD BYTE PTR DS:[EAX+5A],CL
0061025A |67:BC 70085CE1 MOV ESP,E15C0870 ; Superfluous prefix
00610260 |0100 ADD DWORD PTR DS:[EAX],EAX
00610262 |44 INC ESP
00610263 |0068 38 ADD BYTE PTR DS:[EAX+38],CH
00610266 |5F POP EDI
00610267 |E1 00 LOOPDE SHORT 00610269
00610269 |0000 ADD BYTE PTR DS:[EAX],AL
0061026B |0010 ADD BYTE PTR DS:[EAX],DL
0061026D |0002 ADD BYTE PTR DS:[EDX],AL
0061026F |0090 9566BC38 ADD BYTE PTR DS:[EAX+38BC6695],DL
00610275 |58 POP EAX
00610276 |2C E2 SUB AL,0E2
00610278 |0100 ADD DWORD PTR DS:[EAX],EAX
0061027A |3000 XOR BYTE PTR DS:[EAX],AL
0061027C |98 CWDE
0061027D |7F 5F JG SHORT 006102DE
0061027F |E1 00 LOOPDE SHORT 00610281
00610281 |0000 ADD BYTE PTR DS:[EAX],AL
00610283 |0010 ADD BYTE PTR DS:[EAX],DL
00610285 |0002 ADD BYTE PTR DS:[EDX],AL
00610287 |00C0 ADD AL,AL
00610289 |FF66 BC JMP DWORD PTR DS:[ESI-44]
0061028C |3858 2C CMP BYTE PTR DS:[EAX+2C],BL
0061028F |E2 01 LOOPD SHORT 00610292
00610291 |003D 00E8A894 ADD BYTE PTR DS:[94A8E800],BH
00610297 |E1 00 LOOPDE SHORT 00610299
00610299 |BA 5EE10300 MOV EDX,3E15E
0061029E |0200 ADD AL,BYTE PTR DS:[EAX]
006102A0 |E8 069DBC78 CALL 791D9FAB
006102A5 |A5 MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI]
006102A6 |83E1 01 AND ECX,1
006102A9 |0002 ADD BYTE PTR DS:[EDX],AL
006102AB |0090 E687E100 ADD BYTE PTR DS:[EAX+E187E6],DL
006102B1 |BA 5EE10300 MOV EDX,3E15E
006102B6 0200 ADD AL,BYTE PTR DS:[EAX]
006102B8 1808 SBB BYTE PTR DS:[EAX],CL
006102BA 9D POPFD
006102BB BC 78A583E1 MOV ESP,E183A578
006102C0 0100 ADD DWORD PTR DS:[EAX],EAX
006102C2 0100 ADD DWORD PTR DS:[EAX],EAX
006102C4 A0 3D1EE190 MOV AL,BYTE PTR DS:[90E11E3D]
006102C9 B4 24 MOV AH,24
006102CB E2 03 LOOPD SHORT 006102D0
006102CD 007A 00 ADD BYTE PTR DS:[EDX],BH
006102D0 40 INC EAX
006102D1 099D BC78A583 OR DWORD PTR SS:[EBP+83A578BC],EBX

| Сообщение посчитали полезным:

rapidshare.com/files/26990736/ChmCreator.7z.html
вот
ссылка с либой hha.dll

| Сообщение посчитали полезным:

pavka
хм
так ведь код судя по виду шифрованный....
а вот по поводу антиотладки

00584F8B 68 76B65700 PUSH Creator.0057B676
00584F90 ^E9 E1DBFEFF JMP Creator.00572B76
00584F95 13F1 ADC ESI,ECX
00584F97 68 8ABCF840 PUSH 40F8BC8A
00584F9C C1C6 0E ROL ESI,0E
00584F9F ^E9 85E1FFFF JMP Creator.00583129
00584FA4 68 01000080 PUSH 80000001
00584FA9 E8 F351FFFF CALL Creator.0057A1A1
00584FAE 64:CC INT3 ; Superfluous prefix
00584FB0 ^E9 52FCFFFF JMP Creator.00584C07
00584FB5 8BD0 MOV EDX,EAX
00584FB7 C1E5 09 SHL EBP,9
00584FBA ^E9 1D42FFFF JMP Creator.005791DC
00584FBF 0BDF OR EBX,EDI
00584FC1 9C PUSHFD
00584FC2 -E9 42EE0800 JMP Creator.00613E09
00584FC7 C606 8B MOV BYTE PTR DS:[ESI],8B

тут отладчики, включая айс падают

| Сообщение посчитали полезным:

pavka пишет:
Не криптор !

и все-таки в Abee chm ebook creator, похоже гавнопрот сидит, правда версия какая-то оригнальная, из защиты - вм метаморф+антидебаг, ну и ключ наверное.

возможно ошибаюсь, поправьте, если так

| Сообщение посчитали полезным:

BoOMBoX/TSRh
вот такие вот перегоны типа

mov eax, [var1]
mov [var1], eax

это явно гавнопрот...

А вот с ВМ я еще не сталкивался.
Как думаете, стоит браться? Ведь все можно сломать....

| Сообщение посчитали полезным:

XuMuK пишет:
Как думаете, стоит браться? Ведь все можно сломать

берись, потом статью напишешь, про разбор VM гавнопрота

| Сообщение посчитали полезным:

Фиг знает может поделка под криптор ;) Там и разбирать ни чего не нужно! Наг удаляется нопами
005391CF BA 0C925300 MOV EDX,ChmMaker.0053920C ; ASCII "File~New project"
005391D4 33C0 XOR EAX,EAX
005391D6 E8 317BF7FF CALL ChmMaker.004B0D0C
005391DB 90 NOP
005391DC 90 NOP
005391DD 90 NOP
005391DE 90 NOP
005391DF 90 NOP
005391E0 33C0 XOR EAX,EAX
Ограничения убираются так же не заходя в это дерьмо примерно так:
0052AF64 8378 44 00 CMP DWORD PTR DS:[EAX+44],0
0052AF68 EB 0B JMP SHORT ChmMaker.0052AF75
Собрал все странички что были на харде все вроде скомпилил нормально..

| Сообщение посчитали полезным:

pavka
неа
защита осталась, просто предупреждения нет . А так более 10ти страниц во вложении делать не позволяет, хотя

CMP DWORD PTR DS:[EAX+44],0

встречается часто, и если все ИФы после него заменять джампами вроде пашет...

| Сообщение посчитали полезным:

XuMuK пишет:
встречается часто, и если все ИФы после него заменять джампами вроде пашет...

не проще ли ячейку пропатчить? (бряк на записть в [EAX+44])

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
не проще ли ячейку пропатчить?
Ага.. саму ячейку и места, где в нее пишется "ненужное" значение

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

XuMuK
pavka пишет:
Ограничения убираются так же не заходя в это дерьмо примерно так:

| Сообщение посчитали полезным:

Бля.
Внешне программа зарегистрированна, но ограничитель остался
Более 10 страниц на вложение не компилит...

Сейчас поищу где этот 0Ah храниться... или что-то схожее...

| Сообщение посчитали полезным:

XuMuK пишет:
Сейчас поищу где этот 0Ah

005254A0 8945 F4 MOV DWORD PTR SS:[EBP-C],EAX
005254A3 FF45 E0 INC DWORD PTR SS:[EBP-20]
005254A6 837D E0 0A CMP DWORD PTR SS:[EBP-20],0A
005254AA 7F 06 JG SHORT ChmMaker.005254B2

| Сообщение посчитали полезным:

Привет, ребята.
Прикольно почитать как вы тут нашу программу пытаетесь поломать
А что взять бесплатный MS HTML Help Workshop религия не позволяет ?

| Сообщение посчитали полезным:

pavka
хххха!
Снимаю шляпу... асс!
Главное, проги сделанны по одному принципу.. Одним приемом накрыл сразу две программы... ))) Гы..


abee
А как на счет оставить здесь ключ? Слабо?
Кстати, Вы бы лучше баги испраляли... Html Editor Acess Violation через раз выдает. Кстати, качал Creator с вашего сайта.

---------------------------
топ закрыт Всем спасибо !

| Сообщение посчитали полезным:

abee пишет:
Прикольно почитать как вы тут нашу программу пытаетесь поломать
Чего прикольного если прога ломается в один заход не выходя из дебагера за пару минут?
abee пишет:
А что взять бесплатный MS HTML Help Workshop религия не позволяет ?
Ты напрасно думаешь что ломают что бы взять? ;) Да и тебе реклама не помешает, не было бы топика и не знал бы что есть такая прога..

| Сообщение посчитали полезным:

CHM Maker - старая прогамма и ее поддержкой никто не занимается. А в ebook creator при таком подходе к взлому вас ждет еще немало сюрпризов в будущем
Ключик я оставлять не собираюсь - может вам еще и ключи от квартиры где деньги лежат ?
А вот польза от такой рекламы весьма сомнительна - посетители вашего форума все равно софт не покупают.

| Сообщение посчитали полезным: