Привет всем ! В запросах на взлом я оставляла сообщение о программе ServiceMP v3.321 hxxp://www.shark-media.ru/files_2/shark_m/Servicemp.zip
Триал 30 дней. PEiD сказал, что там Obsidium.
В предыдущей версии 3.29 я смогла сделать всё сама, прочитав всего одну статью про IceLicense. Я использовала лоадер который в местах вызова OnTrialExpired и прочих не хороших функциях делал прыжок на код OnRegistered. Найти IceLicense помогла dede.
Что касается этой версии, то вынуждена признать, что эта защита кажется мне очень сильной. Я нашла всего одну статью на хакер.ру, прочитав её поняла, что мои шансы нулевые. Я новичок во всём этом, обратилась сюда в надежде на помощь.
Если кто-то может дать совет или указать на хорошие статьи, которые понятны будут новичку и помогут самостоятельно снять протектор, или ткнуть носом и подсказать пошагово, как сделать самостоятельно – буду очень благодарна.
Так же буду, благодарна, если кто-то даст готовую программу, к тому же знаю, что она уже есть.

| Сообщение посчитали полезным:

Maximus
Да я восстанавливаю импорт Импреком он и определяет RestoreLastError. Но не в этом суть я так и не могу не как сделать работаюший дамп. Он падает в самых разных местах и не понятно по какой причине. Вроде всё правильно делаю.

| Сообщение посчитали полезным:

Maximus пишет:
Однако пафка облажался.
Обезьянка прежде чем вякнуть что нить прочит внимательно о чем пишут

| Сообщение посчитали полезным:

Простите за долгое молчание. Для меня это всё ново и работа двигается медленно. С огромным трудом мне удалось разобраться с восстановлением импорта. Так же удалось сделать дамп.
К сожалению, программа не заработала. При загрузке она выдаёт ошибку доступа по адресу 00000000.

Ошибка происходит тут:
00408E4F call 00408E08 ; <jmp.&user32.CreateWindowExA>
Причём первый раз функция отрабатывает правильно, а вот на второй происходит ошибка.

Параметры передаваемые в функцию:

ExtStyle = WS_EX_CONTROLPARENT
Class = "TForm31"
WindowName = "Form31"
Style = WS_POPUP|WS_CLIPSIBLINGS|WS_CLIPCHILDREN
X = 146 (326.)
Y = 187 (391.)
Width = 140 (320.)
Height = F0 (240.)
hParent = 005203C2 ('my3dumped_',class='TApplication')
hMenu = NULL
hInst = 00400000
lParam = NULL

У меня уже не хватает сил и понимания причины ошибки. Я долго её пыталась обойти, но ничего у меня не получается. Помогите мне пожалуйста !

Ссылка на дамп: dump.ru/files/n/n6121887093/

| Сообщение посчитали полезным:

Насколько я понял эта ошибка выходит из - за того, что происходит показ нага с надписью незарегистрировано, а это значит что где то до этого происходит вызов API обсидиума.

| Сообщение посчитали полезным:

У меня ошибка та же. Не пойму в чём дело. Может кто то более квалифицированный подскажет ?
Кстати, KingSise ты же сделал, что там у тебя, как обошел это место ? Если в твоём дампе подправить импорт - эта ошибка тоже присутствует.

| Сообщение посчитали полезным:

ToBad
выложи дамп..

| Сообщение посчитали полезным:

sniperZ пишет:
выложи дамп..

amira420.narod.ru/sm.rar

| Сообщение посчитали полезным:

Yani пишет:
Для меня это всё ново и работа двигается медленно. С огромным трудом мне удалось разобраться с восстановлением импорта. Так же удалось сделать дамп.
К сожалению, программа не заработала. При загрузке она выдаёт ошибку доступа по адресу 00000000.
Нормально все Обсид все же не UPX
1. Посмотри конструкции
push XXXXXXXX
call --jmp dword tr ds:[ в выделеную память]
мусор
push XXXXXXXX
call --jmp dword tr ds:[ в выделеную память]
если есть ,то это покриптованые куски Если есть и сама не разберешься дам скрипт

| Сообщение посчитали полезным:

pavka пишет:
­ Посмотри конструкции
­
­ Искала в коде по маскам:
­ 68 ?? ?? ?? ?? E8
­ 68 ?? ?? ?? ?? EB
­ Ничего подозрительного не нашла.
­ Может тут нет таких мест и дело не в этом ?
­
­ pavka пишет:
­ Если есть и сама не разберешься дам скрипт
­
­ А скрипт найдёт их сам или нужно указывать эти места ?

| Сообщение посчитали полезным:

Yani
Сделай маску 68 ?? ?? ?? ?? FF15 ????????
Yani пишет:
Может тут нет таких мест и дело не в этом ?
Скорей всего в этом ;)
и еще у тебя
0000 012E2084
? 0000 012E2091
? 0000 012E209E
? 0000 012E20AB
? 0000 012E20B8
? 0000 012E20C5
? 0000 012E20D2
? 0000 012E20DF
? 0000 012E20EC
Это видимо апи обсида кроме разделителей и пустышек
Найди все ссылки на них FF25XXXXX и понаставь на них бряки а там смотри по коду где то достачно просто в eax 1 записать где то подсунуть имя ..
Спокойно осмотри код не спеши большую часть сделала остались мелочи

| Сообщение посчитали полезным:

С ошибкой в дампе при инициализации TForm31 (splash) разобраться не удалось. Я ставила бряки на вызовы АПИ функции прота и они происходят уже после. Если топать от оеп то сперва эта ошибка, а потом уже первый вызов АПИ прота. Возможно это из-за неправильного дампа. Может с ресурсами что ? Как этот дамп заставить работать ?

| Сообщение посчитали полезным:

Yani пишет:
Может с ресурсами что ?
Ресурсы можно просто проверить Открыть в любом редакторе и посмотреть ! Хотя если код не пермещен вряд ли ресурсы! Bозможно с импортом выложи трее посмотреть
а на предмет такого кода из самог обсида взял смотрела?
0040291C 68 8F0A0000 PUSH 0A8F
00402921 FF15 E2E06400 CALL DWORD PTR DS:[64E0E2]
00402927 1C B0 SBB AL,0B0
00402929 E8 E4803A0F CALL 0F7AAA12
0040292E 0F0E FEMMS
00402930 215D 13 AND DWORD PTR SS:[EBP+13],EBX
00402933 4E DEC ESI
00402934 F4 HLT ; Privileged command

или
004053DC 68 89140000 PUSH 1489
004053E1 E8 2F1FFAFF CALL 003A7315
004053E6 46 INC ESI
004053E7 11F5 ADC EBP,ESI
004053E9 62A9 DA175B50 BOUND EBP,QWORD PTR DS:[ECX+505B17DA]
004053EF 5B POP EBX
004053F0 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command

| Сообщение посчитали полезным:

Посмотрел этот файлик мне скрипт выдал вот что кроме импорта:
5f9a64- getreginfo
5f9a6c-getID
5f9a74-getRegistred
5f9a7с-gettrialdays
5f9a8c-gettrialmode
5f9a84 и 5f9a94 - не известные но используются для регистрации (Type10)
Я изменил getregistred на xor eax,eax, inc eax, ret
А gettrialdays на на xor eax,eax, mov ax, 029a, ret
-Получил вечный триал на дампе
Если патчить GetTrialMode на xor eax,eax, inc eax, ret -то получаем Registred to USER и кучу ошибок
при обращении к памяти на 00380000
Можно ли прикрепить этот кусок к дампу или заставить виртуалаллок выделить память ниже
секций файла(в принципе не сложно но будет ли работать?)
И еще небольшая проблемка
при анализе файла олька доходит до секции ресурсов и выдает ошибку нет доступа
даже если поставить мемори фул аксесс
Кто нить может сказать почему это происходит?
И что делать с куском памяти по 00380000?

| Сообщение посчитали полезным:

Nightshade пишет:
И что делать с куском памяти по 00380000?
все что хочешь можешь прицепить к дампу перебив ссылки в секции кода и в куске памяти пересчитай с учетом релокации а лучще восстановить код
Посмотри скорей всего это или покриптованые куски кода
pushxxxxxxxx
call dword ptr ds:[alloc]
или проэмуленые
pushxxxxxxxx
call alloc

| Сообщение посчитали полезным:

VaZeR
0 003AE410 ? 0000 012E18AB -Это FreeResource

| Сообщение посчитали полезным:

Nightshade
Спасибо.
при анализе файла олька доходит до секции ресурсов и выдает ошибку нет доступа
это происходит из за того что у тебя дамп не перестроенный. т.е. обсидиум объединил все секции в одну кроме ресурсов и сверху уже приделал свои. У меня дамп перестоиный и я удалил все секции протектора. Он у меня нормально анализируется нет некаких проблем. Те адреса 00380000 это покриптованые куски. Если там дампить то придется дампить не один регион.

| Сообщение посчитали полезным:

Так и не понял что за кусок лежит по адресу 744382, но если на нем
вписать JMP SHORT 007443F4 то получаем полностью рабочую версию зарегистрированную
на USER и не выдающую ошибок
P S: В старых версиях ServiceMP паковали аспром так вот его было и то сложнее снимать
ИМХО обсидиум лажа по сравнению с апром

| Сообщение посчитали полезным:

Nightshade пишет:
ИМХО обсидиум лажа по сравнению с апром
с такими опциями как ты снимаешь любой лох снимет за пару секунд прочитав статью БитХака
Есть желания дам тебе прогу покрытую с нормальными опциями сними?

| Сообщение посчитали полезным:

pavka Если ты можешь снять Обсидиум с такими опциями за пару секунд то чтож не снял?
Обсидиум у меня и самого есть и файл я и сам с любыми опциями накрою.
Аспр я снимал с макс опциями и на изучение этого у меня ушла не одна неделя
А этот файл я расковырял за 3 дня хотя обсидиум ковырял первый раз-
отсюда и такие выводы
А вот то что у меня получилось:
slil.ru/25272791


| Сообщение посчитали полезным:

Nightshade пишет:
отсюда и такие выводы
Выводы глупые все до одного

| Сообщение посчитали полезным:

А вот то что у меня получилось:
[url=http://slil.ru/25272791
]http://slil.ru/25272791[/c]
[/url]

Отлично все работает

| Сообщение посчитали полезным:

Выложите пожалуйста кто нибудь рабочую ссылку на кряк или хотя бы подскажите как сделать вечный триал в ServiceMP или ServiceMY, предупреждаю сразу, я полный ноль в этом деле, просто прошерстил весь интернет в поисках лекарства для этих программ, пока не наткнулся на ваш форум! ребята на вас последняя надежда!!! ремонт мобильной техники мое хобби, профессионально этим не занимаюсь, поэтому приобрести сей продукт нет ни смысла ни возможности, буду благодарен всем откликнувшимся за любую помощь!

| Сообщение посчитали полезным:

Olejek85 пишет:
я полный ноль в этом деле

значит дорога тебе лежит сюда => https://exelab.ru/f/action=vthread&forum=2&topic=24716&page=4

кряки здесь не роздают.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: Gideon Vi

Olejek85 пишет:
ремонт мобильной техники мое хобби, профессионально этим не занимаюсь

так не бывает. Any way, триал обсида чистится trashreg.

| Сообщение посчитали полезным: plutos

Gideon Vi пишет:
так не бывает
Бывает.. Сам такой.
Программный ремонт, раскирпичивание..

Хотя:
Olejek85 пишет:
профессионально этим не занимаюсь
зачем тогда вам нужен ServiceMP, ServiceMY.
Раз это хобби, и вы возмОжно на этом не зарабатываете - зачем вам учет??

| Сообщение посчитали полезным:

Olejek85
Нарушение п.3 правил форума.
В запросы!

Не стоит убеждать, что программа ServiceMY, работающая с базой данных магазина и имеющая фунционал кассы, предназначенная для автоматизации работы сервис-центра (мастерской) и магазина, нужна исключительно для хобби.

-----
EnJoy!

| Сообщение посчитали полезным: