На прогу сверху был навешан Aspr. Прот снял стриппером. Ок триальность пропала, но по прежнему пишет прога не зарегена. Посмотрев прогу понял что ключик лежит в реестре, но бряк на строку Software\AltrixSoft\Hard Drive Inspector\ так и не срабатывает .
В папке res лежат dll'ки c зануленым EP. Я так понял они нужны только как носители ресурсов и больше в них ничего нет.

В общем 2 часа провозился, так и не понял за что зацепиться при чтении ключа из реестра И как искать места загрузки той или иной строки из ресурсов этих волшебных дллок.

Вот если кому интересно сделал минимальный комплект в 1.14 Мб.
hexcsl.com/upload/stats/877

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Скорее всего, прога юзает аспровые моды. И, соответственно, обращение к ключу происходит при навешенном аспре. Если ключ валидный - то прога запускает другой мод, и ОЕП при этом должен быть другой, по идее.

-----
SaNX

| Сообщение посчитали полезным:

SaNX
Тоесть тут вариант только один: искать ключ?
И уже с ключом распаковывать?

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

промониторь. если обращение к реестру есть при навешанном аспре, то значит только ключ искать.

-----
SaNX

| Сообщение посчитали полезным:

[HEX]
а попробуй скриптом от VolX он вроде фиксит Aspr API, если там они юзаются для проверки регистрациии + нет пошифрованных кусков, то думаю ключ не понадобится.

| Сообщение посчитали полезным:

Может PE_Kill прояснит ситуацию...

-----
SaNX

| Сообщение посчитали полезным:

SaNX
Обращение к лючу точно есть даже после снятия прота. Каким макаром ума не приложу Железный бряк на начало функции проверки ключа в реестре не останавливает прогу.

RSI
Скрипт 2.2s распаковал прогу, но почему втихоря на Exit выходит после распаковки =\ Былоб конечно информативно еслиб скрипт написал где именно и какую именно он поправил API прота, а то в логе чето ничего толком не понятно кроме оеп и импорта.

Если что вот упакованый exe проги.
hexcsl.com/upload/stats/878 - 800 Кб с чем то

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

кароче я нашел где триал лежит:

MOV EAX,DWORD PTR DS:[60D5AC]

вот по этому адресу лежит указатель на структуру, типа:

struct Trial
{
DWORD IsExpired;
DWORD Days;
}

вот и сделать нужно чтобы IsExpired >= 1 и Days можно сделать = 30.

| Сообщение посчитали полезным:

особенно потом радуют такие строчки:

00431E17 > A1 ACD56000 MOV EAX,DWORD PTR DS:[60D5AC]
00431E1C . 8378 04 00 CMP DWORD PTR DS:[EAX+4],0
00431E20 . 7F 21 JG SHORT HDInspec.00431E43
00431E22 . 68 287D5B00 PUSH HDInspec.005B7D28 ; UNICODE "ASProtect::ASPInfo.iTrialDaysLeft <= 0"
00431E27 . 68 DC7B5B00 PUSH HDInspec.005B7BDC ; UNICODE "OnCreate"
00431E2C . 68 A0785B00 PUSH HDInspec.005B78A0 ; UNICODE "MainFrm.cpp"

| Сообщение посчитали полезным:

RSI
С триалом я уже и сам разобрался. Создал секцию по аналогии с выделеной протом, заполнил структуру тоже по аналогии как было под протом. Вроде теперь пускается и размерчик получился поменьше чем после стриппера. Но вопрос по поводу чтения ключа всеже остался открытым

Угу строчки видать автор зафигачил для отладки. Если что рухнуло, то пишется в файлик и файлик потом типа мылом высылают. Ну и автору сразу понятно в каком месте упало. Лучше бы автор такой коммент поставил на месте проверки ключа Чтобы мне было проще искать.

И еще вот непонятный момент: после распаковки (хоть скриптом, хоть стриппером) почему то прога перестает видеть винты (тоесть скорей всего не общается со службой HDDsvc или не грузит HDDinfo.dll).

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Где то я лоханулся Прога после снятия прота не лезет в реестр за ключом! Значит проверка всеже проходит спомощью функций прота и нужно пофиксить чтобы все время выдавало True если скрипт этого еще не сделал ? Если да, то как найти АПИшку проверки ключа? =

P.S. Юзал старый какой то скрипт от VolX 2.2s. Сейчас слил свежий 1.13e и скрипта нашла АПИшку одну GetRegistrationInformation и пропатчила, только толку всеравно нет =\

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

В общем ясно... посмотрел в ранние ломаные версии и понял что без ключа делать нечего =\ Так как там кусок кода отвечающий за полнофункциональность пошифрован. И без ключа там обычный длинный джамп через мусор. Если удасться переписать пошифрованый код по аналогии со старой версии, то будем считать что прокатило =\

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Ключ читает сам аспр, нет аспра - нет обращений. Да и к чему их мониторить, рега полностью там аспровая. Кода там дохрена пошифровано. А для отлома достаточно пофиксить аспр апи.

RSI пишет:
struct Trial
{
DWORD IsExpired;
DWORD Days;
}


Структура не верна. Там
DWORD DaysLeft
DWORD DaysTotal

RSI пишет:
вот и сделать нужно чтобы IsExpired >= 1 и Days можно сделать = 30.
Конкретно здесь этого может и достаточно, но правильно делать DaysLeft=1 DaysTotal=1 так аспр делает при зареганости и некоторые программы это проверяют.

SaNX пишет:
Если ключ валидный - то прога запускает другой мод, и ОЕП при этом должен быть другой, по идее.
Прога не может управлять модами, нет таких средств у аспра. Аспр сам устанавливает мод, прописаный в ключе. ОЕП никак не зависит от мода, от мода зависит какие куски кода расшифруются и будет ли программа зависить от времени работы.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
К сожелению в данном примере DaysLeft=1 DaysTotal=1 не достаточно Куски кода сами по себе не расшифруются... ладно будем юзать то что в инете валяется.

Всем огромное спасибо за помощь. Топик закрываю.

-----
Computer Security Laboratory

| Сообщение посчитали полезным: