HI челы !!!

У меня вот какая проблема. Прога - файрволл ZoneAlarmPro 4.0 b. Из нета скачать нормальный файрволл (Outpost) - нет времени да и желания. Поэтому проинсталировал себе эту бетку была у меня на CD. Но она запускаться отказывается сразу же после установки. Выскакивает мастер лицензий с кнопками ОК и BUY. У неё видать привязка к какому то абсолютному времени. Отматывал время назад - не помогло. Написана на С++ 6.0 Открыл её в Олли, ничего не понял.
Да к тому же прога запускает какой то процесс VSMON который доступ в И-нет обламывает и его невозможно снять. ОСь что в "доступе отказано", хотя у меня "root privileges".
Подскажите плз с чего надо вообще начать, чтобы заломать её???

| Сообщение посчитали полезным:

hyper13 пишет:
Открыл её в Олли, ничего не понял.
и
hyper13 пишет:
Подскажите плз с чего надо вообще начать, чтобы заломать её???
ну так начни с того чтоб в олли все понятно было

| Сообщение посчитали полезным:

dMNt пишет:
ну так начни с того чтоб в олли все понятно было

Что значит "начни чтоб в Олли было понятно". Если в листинге сплошные "unknown comand"
и никаких тебе getlocaltime'ов, и т.д.

| Сообщение посчитали полезным:

hyper13
забей =)

-----
once you have tried it, you will never want anything else

| Сообщение посчитали полезным:

gloom пишет:
забей =)

Почему ??? Там чё крутая защита ???

| Сообщение посчитали полезным:

Ara чё то твой пост здесь не видно, он мне только на мыло пришёл??????

Насчёт
Дык пакована прожка-то......
Открываю PEiD смотрим:

Microsoft Visual C++ 6.0 [Debug]
Где она пакована, чёт не вижу ???
А вот если в extra information в PEiD зайти, то "fast check", как раз и пакован. Почему тогда PEiD говорит что не пакован ???
Растолкуйте pls !!!
И вообще почему не имеет смысл этот файрволл ковырять

| Сообщение посчитали полезным:

hyper13 пишет:
Ara чё то твой пост здесь не видно, он мне только на мыло пришёл??????

Да-да, я сначала запостил, а потом увидел, что ты написал по С++ и пост удалил.

hyper13 пишет:
Где она пакована, чёт не вижу ???
Мож не туда смотришь? ;) Мож скрэмблер? Мож все-таки пакована?

| Сообщение посчитали полезным:

hyper13
в ZA 3.0 никаких пакеров небыло и ломался он легко.
ЗЫ пеид тоже писал Microsoft Visual C++ 6.0 [Debug].

| Сообщение посчитали полезным:

А как снять скремблер.

Пока что к сожалению мои знания начинающего не позволяют мне это сделать

Mario555 пишет:
в ZA 3.0 никаких пакеров небыло и ломался он легко.
ЗЫ пеид тоже писал Microsoft Visual C++ 6.0 [Debug].

А как именно если не сложно ???

| Сообщение посчитали полезным:

Да кстати а причем здесь скремблер. Он же вроде на UPX вешается. А здесь UPX' ом и не пахнет?????????????

| Сообщение посчитали полезным:

hyper13 пишет:
А как снять скремблер.

Mario555 ж написал, нет там скрэмблера и не запакована прога... Мож еще Ctrl+A нажать стоит попробывать?

| Сообщение посчитали полезным:

hyper13 пишет:
Да к тому же прога запускает какой то процесс VSMON который доступ в И-нет обламывает и его невозможно снять. ОСь что в "доступе отказано", хотя у меня "root privileges".
Просто VSMON - это служба. И её нужно остановить, а не вытаться кильнуть ;)

| Сообщение посчитали полезным:

Ну тогда вот файл.

Может объяснит кто нибудь с чего начать ???????????
Есть там какая гадость или нет и почему Олли его не берёт

806028791__zonealarm.exe

| Сообщение посчитали полезным:

WELL пишет:
Просто VSMON - это служба. И её нужно остановить, а не вытаться кильнуть ;)

Ну эту службу то как раз ZA и запускает.
После анинсталла оной проги, VSMON тоже пропадает и не возвращается


| Сообщение посчитали полезным:

hyper13

Открываю PEiD смотрим: Microsoft Visual C++ 6.0 [Debug]

Есть такая приблуда - DotFix FakeSigner v2.2- обманывает всякие анализаторы - мож, твоя прога ей обработана? А как бороться - у Gpch спрашивай ;) - его творение (if I'm not mistaken)

| Сообщение посчитали полезным:

GPcH
Не дуйся, что в предыдущем посте ник твой не совсем верно отобразил ;) - торопился...

| Сообщение посчитали полезным:

estet
Есть такая штука, на которой написано Правка ;)

| Сообщение посчитали полезным:

Ara
Tnx за advice. Попробовал - выпадаю на страницу "Доступ запрещён"

| Сообщение посчитали полезным:

estet пишет:
Есть такая приблуда - DotFix FakeSigner v2.2- обманывает всякие анализаторы - мож, твоя прога ей обработана? А как бороться - у Gpch спрашивай ;) - его творение (if I'm not mistaken)

БЛИН, до сих пор так ничего путного и не услышал по этому поводу

Прога май 2003 года, разве FakeSigner тогда был ???

| Сообщение посчитали полезным:

hyper13
Я конечно не спец, и не всматривался в код, но Wdsm открывает. Полноценный листинг получается.
Ты файл обрезал, что ли?
Правка:
Нет, не обрезал, я ошибся.
Слушай, скачай 5.11 с ттдаун ком, он стабильней работает, правда с SI при глубоком погружении в Win API будут проблемы, ну так это сам принцип любой стены.

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

За объяснение конечно большой thnks, но

hyper13 пишет:
Из нета скачать нормальный файрволл (Outpost) - нет времени да и желания.

Ну нету у меня щас на это времени, вот и решил этот поставить. На мне 2 курсовика висят + 2 недосданых экзамена.....
Срок до 4 декабря
И так полная

Думал быстро прогу ломануть и все, а тут до сих пор ничего чтоб помогло не сказали

Ara пишет:
Есть такая штука, на которой написано Правка ;)

В ворде тоже есть только при чем тут ворд???????

Bitfry пишет:
Ты файл обрезал, что ли?

Да нет это реально файл к которому обращается ярлык из главного меню.
А самый основной файл как я понял framewrk.dll, там и
getsysteminfo, и getlocaltime. Только я пока в DLL не совсем шарю


| Сообщение посчитали полезным:

Я когда- то ломал четвертую версию, но не бету. Помню, там надо было 2 файла патчить (оба длл), в одном - сама защита, в другом - проверка целостности. Там за проверку отвечают инструкции вроде test al,10 и test al,20, что в общем-то нечасто встречается, поищи их в дизассемблере.

| Сообщение посчитали полезным:

hyper13
hyper13 пишет:
Ну нету у меня щас на это времени, вот и решил этот поставить.
hyper13 пишет:
Думал быстро прогу ломануть и все, а тут до сих пор ничего чтоб помогло не сказали
повеселил, знаешь гораздо проще за 1час вылить фаервол на 10Мб по диалапу, чем трахаться с защитой которая тебе пока не по зубам

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

hyper13 пишет:
В ворде тоже есть только при чем тут ворд???????
Ты тупишь? Посмотри, кому я это написал...

hyper13 пишет:
Да нет это реально файл к которому обращается ярлык из главного меню.
А самый основной файл как я понял framewrk.dll,
Ага, это пускалка... Юзается WinExec для запуска чего-то (смотрел в ПЕиД).

| Сообщение посчитали полезным:

nice пишет:
повеселил, знаешь гораздо проще за 1час вылить фаервол на 10Мб по диалапу, чем трахаться с защитой которая тебе пока не по зубам

Дак я и спросил чтоб подсказали как эту защиту обойти.
Понял что не по зубам мне пока она. Скачаю потом аутпост...

А насчет типа защиты и крэка дак спасибо bkslash. Хотя бы принцип объяснил.
А то остальные только ссылаются на хамство со стороны новичков, а сами ничего толком и не хотят ответить только насмехаются...........

| Сообщение посчитали полезным:

bkslash пишет:
Я когда- то ломал четвертую версию, но не бету. Помню, там надо было 2 файла патчить (оба длл), в одном - сама защита, в другом - проверка целостности. Там за проверку отвечают инструкции вроде test al,10 и test al,20, что в общем-то нечасто встречается, поищи их в дизассемблере.
Я ещё с дэху добавлю. Прога не пакована, как фаер вол, лучше вообще без него чем с этим ( у однокомандца такие глюки с ним были)...

| Сообщение посчитали полезным:

hyper13 пишет:
А то остальные только ссылаются на хамство со стороны новичков, а сами ничего толком и не хотят ответить только насмехаются

Дык ты толком и не спрашиваешь-то...
Я ж написал тебе - это похоже на пускалку, юзается WinExec, посмотри в отладчике с какими параметрами.... Просто ты не то копаешь, пускалка не причем.

| Сообщение посчитали полезным:

Я уж думал тема вниз ушла, дак никто её и не смотрит уже....
Ну да ладно перейдем к делу
Bit-hack пишет:
Я ещё с дэху добавлю. Прога не пакована, как фаер вол, лучше вообще без него чем с этим ( у однокомандца такие глюки с ним были)...

THNKS за подсказку.

Наконец то сдал последнюю сессию :s1потому и времени не было) теперь до Госов совершенно свободен :s1хоть Калашникова до конца дочитаю).

Что до проги.
В принципе мне теперь уже эта прога, как файрвол НАХ** не нужна. Время есть, аутпост скачаю как - ниб. (кстати если кто его юзает, подскажите пож где можно скачать полную не глючную версию, чтоб траф не тратить зря)
Значит прога..........

1. bkslash пишет:
в одном - сама защита, в другом - проверка целостности

Проверка на целостность это CRC ?
Она убирается правкой безусловного перехода перед процедурой проверки, да? Или тут как то более мудро?

2. А в чем заключается её защита и как она снимается?
Она мне уже интересна не столько как файрвол, сколько как крямис.
Моих знаний для её взлома пока конечно не достаточно, но с коллективной помощью думаю получится.
Потом заодно и статейку накатаю..........

| Сообщение посчитали полезным:

hyper13 пишет:
Проверка на целостность это CRC ?
Она убирается правкой безусловного перехода перед процедурой проверки, да? Или тут как то более мудро?
Точно не знаю CRC там или что-то другое, но убирается действительно правкой перехода.

| Сообщение посчитали полезным:

Я сначал думал релоки... А потом понял, что это не так

| Сообщение посчитали полезным: