Исследование защиты в SolveigMM Video Splitter

Сейчас на форуме: rtsgreg1989, zds, _MBK_ (+5 невидимых)

Посл.ответ	Сообщение
Isaev Ранг: 756.3 (! !), 113thx Активность: 0.61↘0.05 Статус: Участник Student	Создано: 25 августа 2007 00:58 · Личное сообщение · #1 SolveigMM Video Splitter v1.два.705 --> Link 3,8 Мб <-- http://www.download.com/3001-2194_4-10689968.html . Программа для разрезания видеофайлов Ничем не запакована... (PEiD: Microsoft Visual C++ 7.0 [Debug]) После установки запускается "Registrator.exe"... К нему я код подобрал "008A0C0000A0006A000000100000C000" (по крайней мере у меня идёт) пишет всё ок, продукт - "Activated" но прога по-прежнему не запускается... куда-то в нет лезит, может на сервере проверка ещё? Кто, что посоветует? ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

El_Diablo Ранг: 59.9 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 25 августа 2007 01:05 · Поправил: El_Diablo · Личное сообщение · #2 Кто, что посоветует? FileMon RegMon а потом уже сюда постить надо но прога по-прежнему не запускается... куда-то в нет лезит То есть запускается ,во время запуска лезит в нет,а потом завершается? запускай под отладчиком и ставь бряк на ExitProcess дальше смотри откуда он вызывается и исследуй функцию
Isaev Ранг: 756.3 (! !), 113thx Активность: 0.61↘0.05 Статус: Участник Student	Создано: 25 августа 2007 01:19 · Личное сообщение · #3 FileMon RegMon пробовал конечно... (прежде чем постить) Запускается, просит рег-данные, ввожу тот же ключ, что подобрал в Registratoru. Лезит в нет и говорит, что код неверен... Если в нет не пускаешь, всё равно говорит, что код не верен... Для чего "Registrator.exe" тогда... Я же его не патчил... Валидный код подогнал... ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh
El_Diablo Ранг: 59.9 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 25 августа 2007 01:32 · Поправил: El_Diablo · Личное сообщение · #4 Погляди может регистратор тупо данные в реестр загоняет,а прога потом считывает их оттуда и проверяет на сервере... В любом случае патчить надо exe программы,а не регистратора З.Ы.: пока нет возможности скачать прогу,поэтому советую так =\
Isaev Ранг: 756.3 (! !), 113thx Активность: 0.61↘0.05 Статус: Участник Student	Создано: 25 августа 2007 11:31 · Поправил: Isaev · Личное сообщение · #5 El_Diablo пишет: Погляди может регистратор тупо данные в реестр загоняет,а прога потом считывает их оттуда и проверяет на сервере... Прога потом их оттуда вообще не считывает, а просит снова ввести. ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh
overwriter Ранг: 155.4 (ветеран) Активность: 0.14↘0 Статус: Участник Робо-Алкаш	Создано: 25 августа 2007 11:42 · Личное сообщение · #6 Да блин понасоветовали ерунды. Смори GetInternetConnection и др. АПИ для того, чтобы посореть, что она делает... ----- Researcher
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 25 августа 2007 12:05 · Поправил: Vovan666 · Личное сообщение · #7 А я бы посоветовал сначала оторвать с проги nTitles Verifier, а только потом начинать искать где и куда она ломится.
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 25 августа 2007 12:15 · Поправил: Vovan666 · Личное сообщение · #8 Сейчас проверил если убрать nTitles, то и код подходит и вроде никаких напоминаний. unpacked: rapidshare.com/files/51160191/SMMVSplitter_without_nTitles.rar
Isaev Ранг: 756.3 (! !), 113thx Активность: 0.61↘0.05 Статус: Участник Student	Создано: 25 августа 2007 14:41 · Личное сообщение · #9 Vovan666 пишет: А я бы посоветовал сначала оторвать с проги nTitles Verifier Брр... ааа, как ты вообще понял что там nTitles Verifier? Что это такое, и как с ним бороться? Просто слышу первый раз. За "unpacked" спасибо, работает, но дело в другом... Как самому это сделать? ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 25 августа 2007 14:51 · Личное сообщение · #10 То, что там nTitles видно в свойствах exe. Как снимать есть 2 тутора на Arteam, но там они какие-то мудренные и по ним у меня ни разу снять не получилось, проще его снять как в играх от рефлексив через WriteProcessMemory.
N_E_O Ранг: 23.6 (новичок) Активность: 0.03↘0 Статус: Участник	Создано: 25 августа 2007 14:54 · Личное сообщение · #11 Vovan666 пишет: убрать nTitles Тоже первый раз слышу! Раскажи поподробнее...
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 25 августа 2007 15:18 · Личное сообщение · #12 N_E_O пишет: Раскажи поподробнее... Там ничего сложного нету. Загружаем ехе в ольку, ставим бряк bp WriteProcessMemory запускаем прогу, жмем пимпу хочу попробовать триал. После того как брякнулись будет что-то вроде: 0124FC04 004187A4 /CALL to WriteProcessMemory from SMMVSpli.0041879E 0124FC08 000001C0 \|hProcess = 000001C0 0124FC0C 00401000 \|Address = 401000 - Куда пишем 0124FC10 01260020 \|Buffer = 01260020 - Откуда пишем 0124FC14 000EE000 \|BytesToWrite = EE000 (974848.) сколько пишем 0124FC18 0124FC34 \pBytesWritten = 0124FC34 Теперь начиная с адреса 01260020h копируем EE000h байтов. И вставляем их в SMMVSplitter.dat начиная с адреса 401000. Вот собственно и всё переименовываем dat в exe это и будет чистый exe.
overwriter Ранг: 155.4 (ветеран) Активность: 0.14↘0 Статус: Участник Робо-Алкаш	Создано: 25 августа 2007 15:56 · Личное сообщение · #13 Vovan666, а что делает вообще эта штука? По названию вроде что-то должна сравнивать... названия ккие-то, но по твоему методу взлома, и как я понял прога перезаписывает код в процесс... код нормальной проги...так? ----- Researcher
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 25 августа 2007 16:23 · Личное сообщение · #14 nTitles - это навесная защита (wrapper), для тех кому не хочется делать свою, а триал сделать надо. В основном ехе поганит целиком секцию code (у рефлексива портится только OEP и всё что ниже, но смысл одинаковый), и во время запуска сам врапер восстанавливает нужные данные в основном файле *.dat. После чего в памяти висят 2 процесса. Я особо с этим "протом" не разбирался, так что ничего больше сказать не могу.
FrenFolio Ранг: 340.0 (мудрец), 22thx Активность: 0.12↘0 Статус: Участник THETA	Создано: 25 августа 2007 17:11 · Личное сообщение · #15 Vovan666 пишет: особо с этим "протом" не разбирался, так что ничего больше сказать не могу. Протом-то это язык не поворачивается назвать. По сути, для того чтобы прога нормально заработала, нужно найти и восстановить зашифрованный учаток кода. Причем алгоритм шифрования может быть достаточно сложным, однако в общем случае такая вот защита снимается очень просто. Идея такого рода врапперов подхвачена многими. Есть и случаи, когда просто из PE-заголовка заменяются 1-2 байта. Найти их обычно не составляет труда. Можно порой обойтись и без отладчика. Кажется, что очень просто, но все же для рядового юзера это уже будет непреодолимой преградой. Так что нам на руку. ----- Программист SkyNet
overwriter Ранг: 155.4 (ветеран) Активность: 0.14↘0 Статус: Участник Робо-Алкаш	Создано: 25 августа 2007 21:36 · Личное сообщение · #16 Vovan666, как понял декриптор чтоле? что такое рефлексив? Отличие от декриптора, ток что после декрипта поганого кода... штука фигачит все в дат файл... создает еще процесс и туда все что в дат файле? ----- Researcher
FrenFolio Ранг: 340.0 (мудрец), 22thx Активность: 0.12↘0 Статус: Участник THETA	Создано: 25 августа 2007 22:03 · Личное сообщение · #17 overwriter пишет: что такое рефлексив? Игры издателя Reflexive. На сайте есть статья по снятию такого враппера --> Link <--. Есть даже сырцы от ARTeam с анвраппером. ----- Программист SkyNet
Isaev Ранг: 756.3 (! !), 113thx Активность: 0.61↘0.05 Статус: Участник Student	Создано: 26 августа 2007 14:33 · Личное сообщение · #18 Сделал... Всё пашет! Всем спасибо! ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

Для печати