Здравствуйте, Господа Исследователи и Копатели!

Несколько дней бьюсь с программой Ganjawars Outland Navigator 0.61 [ www.stampz.ru/gon/onf.zip ]
Это онлайн-игрушка. Суть защиты: прога генерит номер индивидуальный номер для машины (0..9, A..Z, a..z), от которого и зависит, собственно, основной серийник. Прога написана на дельфи и защищена аспром (ASProtect 1.23 RC4 - 1.3.08.24 -> Alexey Solodovnikov).

Распаковывать пробовал вручную и stripper-ом v.211 rc2. Полученный файл имеет искаженную карту игры (то есть дамп некачественный), поэтому решил сгенерировать номер для своей машины. Как я понял загрузочная проверка нашего серийника ведется в этом месте:

0047DF90 E8 9351FCFF CALL outnav.00443128[c]

Трассировка особых результатов не дала (Кроме того часто мелькало значение "158D938", делаю вывод, что это некое значение, от которого генерируется первичный ключ)

Как ни странно, но строка "QWERTYUIOPASDFGHJKLZXCVBNM" проканывает как серийник - получаем: мол, перезапустите прогу, чтобы изменения вступили в силу... Запускаем вновь: программа незарегистрирована.

Еще один подход: гружу программу в ОЛЛЮ, запускаю F9, загрузка тормозится, когда создается главное окно. Я рассчитывал: проследить проверку серийника в момент ввода, и узнать усливия вывода сообщение
с поздравлениями... банальный переход:

[c]00477E08 . 7D 0F JGE SHORT outnav.00477E19 ->> JMP SHORT outnav.00477E19

результата не дает (хотя и неверный сериал прописывается в файл: key.bin).

Подскажите, пожалуйста, каким можно более можно удачно распаковать файл outnav.exe или как грамотно добраться до серийника?

| Сообщение посчитали полезным:

По-прежнему продвижений нет, но решил выложить распакованный файл (outnav_unp.rar): slil.ru/25129504. И вот ссылка на дистрибутив самой проги (~800 кб): slil.ru/25129490 . Подскажите, кто знает.

| Сообщение посчитали полезным:

yad_v7 пишет:
Полученный файл имеет искаженную карту игры
Естественно! Остались пошифрованные функции, которые восстановились бы, если б у тебя был валидный ключь.


yad_v7 пишет:
Как ни странно, но строка "QWERTYUIOPASDFGHJKLZXCVBNM" проканывает как серийник

00477E05 . 83F8 14 CMP EAX, 14

Программа запишит что угодно в key.bin, лишь бы было >= 14h

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

add:

yad_v7, Что бы заломать данную порогу, тебе валидный ключег нужен будет. Затем останется только хвид подменить

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

To KingSise:
Спасибо, что ответил. Я распаковал как-никак файл. Ты не смотрел алгоритм генерации в распакованном файле? Мне не нужно готовое решение, это наверное уже понятно, просто хотел разобраться. И все-таки, может, дамп кривой получился?
И вот хотел по-подробнее: если найти валидную пару, как поступать дальше? исследовать распакованный файл? или патчить (inline) защищенный файл? где можно почитать про эту ситуацию?

| Сообщение посчитали полезным:

yad_v7 пишет:
Я распаковал как-никак файл
Его стриппер распаковал...

yad_v7 пишет:
Ты не смотрел алгоритм генерации в распакованном файле?
алгоритм генерации чего?

yad_v7 пишет:
И все-таки, может, дамп кривой получился?
Я уже ответил. без ключа дам нормальный ты не снимешь...

yad_v7 пишет:
ак поступать дальше?

Делать подмену хвида. У меня даже гдето ключег был. Только не ясно или он валидный, подменить не получилось...

01010000 0000 ADD BYTE PTR [EAX], AL - адрес выделения

0101570E E8 09FEFFFF CALL 0101551C - адрес процедуры декриптовки хвида, в eax лежит хвид в хекс для кодирования в base64

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

2KingSise:
Еще раз спасибо!

Его стриппер распаковал...
Да, это действительно так. У самого не получилось грамотного решения

Что касается алгоритма генерации - разобрался уже! Я считал, что получится выудить код из распакованной программы.
Сейчас буду пробовать искать "валидную пару". А теорию где можно посмотреть или увидеть-услышать про подмену хвида? {я не сталкивался до этого с этим - заинтересовало!}

| Сообщение посчитали полезным:

yad_v7 пишет: Сейчас буду пробовать искать "валидную пару".
долго искать будешь, думаю за пару тысяч лет справишься.

yad_v7 пишет: А теорию где можно посмотреть или увидеть-услышать про подмену хвида?
Собственно нигде, такую инфу на паблик не выкладывают.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

yad_v7 пишет:
А теорию где можно посмотреть или увидеть-услышать про подмену хвида?
Я вот тоже бы с удовольствием почитал... Может кто состряпает памятку?
Или где попадалось чего по теме?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Помоему была на паблике утиль для подмены хвида. И у нас на форуме она пробегала. Правда не помню для каких версий Аспирина и вообще работала она или нет.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
Правда не помню для каких версий Аспирина и вообще работала она или нет.
Информативно

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Вообщето у меня валидная пара есть, для тех кто хочет потренироваться с подменой - могу выложить. Т.е. выкладывать тут не особо охота, но в ПМ кину.

по этому адресу серийник подменить нужно вроде:
0047DFAB 8B95 B4FBFFFF MOV EDX,DWORD PTR SS:[EBP-44C]

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise выложи лучше дамп, с расшифроваными кусками, и прогу можно будет сломать БЕЗ подмены хвида.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus, у меня дампа нет... Что б его получить, нужно для начала на компе зарегенную версию иметь... Выкладываю регестрационные данные (автор программу больше не продает, думаю будет не в обиде)

ID: G0geRwBgjqc=

То что в bin записываеццо:

1Uff0DgHnZi6rbxMHKNXdW0ljw9DIAPNTWhLJan5o9BrPLq2wT/TUOu1SosV0EGMGOKQgJ RstXwqBiBzRqyumSK1Cv0Gu/LT+g6rjBTJHDRCfv/mGSGUiJABATB26Tt+A6kF8EWPiGQv 85FrvPj5lPdnkOEoK66hAPx+3EMvOCGc=


Подменить хвид у меня не получилось, немного повторюсь:

01010000 0000 ADD BYTE PTR [EAX], AL - адрес выделения

0101570E E8 09FEFFFF CALL 0101551C - адрес процедуры декриптовки хвида, в eax лежит хвид в хекс для кодирования в base64, подменяем его на наlи 8 байт: "1B481E4700608EA7", что в базе64 "G0geRwBgjqc=" как раз наш ключ, мы подменяем ключ каждый раз, как происходит вызов процедуры, а именно два раза. Всё, теперь вводим серийник, перезапускаем, подменяем оба раза хвид, но второй раз трейсим и смотрим проверку в аспре, там происходит ошибка.

Могу передположить, что дело вовсе не в аспровской проверке, а в самой программе. Уж очень она на кастрированную демку похожа....


0047E03B /E9 83000000 JMP 0047E0C3 ; outnav.0047E0C3
0047E040 |17 POP SS ; Modification of segment register
0047E041 |E5 63 IN EAX, 63 ; I/O command



вот тут я так понял должен быть декриптованный код, чуть выше идёт чтение серийника и хвида.
+ ещё повыбирай сектора отображения и погляди тут код 00477200 55 PUSH EBP
там если выбрать существующий, но подменить значение 3 или 4 на другое, то ничего не откроётся.

0047728D /E9 7B010000 JMP 0047740D ; outnav.0047740D
00477292 |31E3 XOR EBX, ESP
00477294 |631C54 ARPL WORD PTR [ESP+EDX*2], BX



вот тут куска кода не хватает, чтобы прога отображала всё норм

004776F6 A1 AC134800 MOV EAX, DWORD PTR [4813AC]
004776FB 6900 0E450200 IMUL EAX, DWORD PTR [EAX], 2450E ; outnav.00478268
00477701 8B15 A4154800 MOV EDX, DWORD PTR [4815A4] ; outnav.004DC16C
00477707 8D04C2 LEA EAX, DWORD PTR [EDX+EAX*8]
0047770A 8B15 54134800 MOV EDX, DWORD PTR [481354] ; outnav.00AA6088
00477710 6912 02530000 IMUL EDX, DWORD PTR [EDX], 5302
00477716 8B0D 58154800 MOV ECX, DWORD PTR [481558] ; outnav.0048914C
0047771C 8DB4D0 90581700 LEA ESI, DWORD PTR [EAX+EDX*8+175890]
00477723 8BF9 MOV EDI, ECX
00477725 B9 04A60000 MOV ECX, 0A604
0047772A F3:A5 REP MOVSD

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Я нашел еще рабочую пару: автор и, действительно, не продает эту прогу, не должен обидеться, наверное:

Gsdf9xBBwAct=

FDgd98gd9ZGFd98gdiouisoufsdf+btptmXAa9VTJAGtjYyPp3thAztWiw8UFhTVBXva+i 7Djb3tg1xD+6LC9IxdqqvuvKwgYoT3ZbjxO/Tikmo5kCroSPHdIOll9Q6J38tqrjFy9kYt XpPQ6nHqsBZM=

Может, с ней покрутить попробовать, но где бы прочитать для начала теории?
Можно даже в аську: 321--200--302 или в личку, коль материал труднодоступный.

Могу передположить, что дело вовсе не в аспровской проверке, а в самой программе. Уж очень она на кастрированную демку похожа....
Демка на врядли, потому как некоторый функции правятся - и программа работает, проблема с отображением карты в основном, а отсюда и вся неразбериха.

To [HEX]
Впомни, что за утилька такая для подмены хвида, может там справочка по этому поводу будет какая лежать. Что интересно: аспирин говорит, мол, неизвестная версия аспра (аспирин 1.6 бетка)

| Сообщение посчитали полезным:

Вот я что нашел про подмену хвида
http://www.exelab.ru/f/action=vthread&forum=1&topic=9774&p age=0#17

Значит те кто могут это сделать где то рядом....

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus, спасибо! почитал - антиресно! жаль, что теории маловато, но все лучше чем ничего.
А стриппер 2.14 приватный, что правда существует{не по теме}?

| Сообщение посчитали полезным:

yad_v7 правда, работает ни чуть не лучше стрипера 2.13b9

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
правда, работает ни чуть не лучше стрипера 2.13b9
ну-ну. 2.13б9 все инструкции вм определяет как джамп, в 2.14 - так, как надо

-----
SaNX

| Сообщение посчитали полезным:

SaNX пишет:
в 2.14 - так, как надо
После паблика скриптов by VolX,стрипу явно место не в привате
Он в привате не то что засиделся,на мой взгляд он даже лишний срок отматал...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Кто в игрушку играет, потестите этот файлик: dump.ru/files/n/n763332623/

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Bronco пишет:
После паблика скриптов by VolX,стрипу явно место не в привате
Он в привате не то что засиделся,на мой взгляд он даже лишний срок отматал...
скрипт глючный, попробуй например, кронос им распаковать slil.ru/25140984 из соседней темы.

-----
SaNX

| Сообщение посчитали полезным:

Bronco пишет:
После паблика скриптов by VolX,стрипу явно место не в привате
Он в привате не то что засиделся,на мой взгляд он даже лишний срок отматал...
Скрипты волкса просто отстой, не в обиду волксу конечно. С помощью скриптов нельзя воссоздать весь функционал программы (анпакера). Я смотрел эти скрипты - они далеко не универсальные и работают только на со всеми ВМ.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

SaNX&&PE_Kill
Но это всё сравнения,причём субьективные.Хотя некоторым мнениям,мну доверяет.
Пусть ис коментами,но скриптяра почти 7000 строк тянет.Согласен,что весь функционал он не всегда подымет,но в целом, на отЦтой - наверно не заслуживает.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Согласен,что весь функционал он не всегда подымет,но в целом, на отЦтой - наверно не заслуживает.
скрипт хороший, не ацтой, конечно, но тем не менее до нормального анпакера ему далеко.

-----
SaNX

| Сообщение посчитали полезным:

2 KingSise
Кто в игрушку играет, потестите этот файлик: hxxp://dump.ru/files/n/n763332623/

Если я не ошибаюсь это мой файл и есть, типа отломанный но карта глючит, отображается некорректно {это и есть главный баг!}

Господа, посодействуйте стриппером 2.14? Любопытно затестить

| Сообщение посчитали полезным:

ЗвЫняйте,шО до вас обращаемОся,сами мИ людИ не мЕстные,.......
.......посодействуйте стриппером 2.14?
---
Дык... там приват,на привате,и приватом поганяет....

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

PE_Kill пишет:
Скрипты волкса просто отстой,
скрипты волка паблик ;) сравнивай приватные вещи

| Сообщение посчитали полезным:

yad_v7 пишет:
но карта глючит, отображается некорректно

В этом то какраз и еще одна проблема, что не понятно как оно должно верно отображаться...

Как уже сказал Maximus, нужен дамп пороги, которая зарегина нормально. Помоему я тебе уже писал как и чем это сделать.

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным: