Хитрожопая программка попалась, накрыта Обсидом, процедура проверки регистрации находится легко (426030), обходится тоже просто: 4260F4 8A C3 меняем на B0 01. Байтики меняю лоадером или в отладчике. После этого открываются все закрытые функции (импорт, сохранение), в эбауте тоже регистред написано, но вот по факту работает только быстрое сохранение в бмп формат. Остальное просто симуляция действия, фактически файл не создаётся, хотя пишет что сохранён.
Вот и думаю каким пойти путём что бы добить её и как попасть в код сохранения например, ибо все попытки приводят в недры QtCore4.dll Плюс ко всему Оля постоянно глюкает с этой программой.
В общем кто может помочь программа тут http://vmde.vectormagic.com.s3.amazonaws.com/VectorMagicSetup_pc_1_07.exe , размер 9 мб.

| Сообщение посчитали полезным:

ToBad пишет:
работает только быстрое сохранение в бмп формат. Остальное просто симуляция действия, фактически файл не создаётся, хотя пишет что сохранён.
Видимо покриптована процедура сохранения

| Сообщение посчитали полезным:

pavka пишет:
Видимо покриптована процедура сохранения

Присоединяюсь. Сейчас стало модным криптовать целые куски кода.

| Сообщение посчитали полезным:

pavka пишет:
Видимо покриптована процедура сохранения

vnekrilov пишет:
Присоединяюсь. Сейчас стало модным криптовать целые куски кода.

Это предположение или есть адресок где можно глянуть как в обсиде это устроено, на примере этой программы ?
По видимому если так, то без валидной пары тут делать нечего ?
Может кто встречал готовое решение под эту программу, пусть не этой версии ?

| Сообщение посчитали полезным:

Наверняка для сохранения юзается CreateFile, може там глянуть. Иль до нее дело не доходит?

| Сообщение посчитали полезным:

vnekrilov пишет:
Присоединяюсь. Сейчас стало модным криптовать целые куски кода.
Ну а если их занопить, то программа потеряет свою функциональность?

-----
PSP-Gamer.ru

| Сообщение посчитали полезным:

Loco пишет:
Ну а если их занопить

кого занопить? куски кода? это где же нынче такая трава растёт

Loco пишет:
то программа потеряет свою функциональность?

вообще без коментариев.

| Сообщение посчитали полезным:

Loco, ;) тему точно читал? Прочитай внимательней проблему автора.

| Сообщение посчитали полезным:

Я тему читал, хотел просто спросить, т.к. часто слышу что встречаются программы с покриптоваными участками кода, вот и хотел узнать.

-----
PSP-Gamer.ru

| Сообщение посчитали полезным:

Loco пишет:
хотел просто спросить, т.к. часто слышу что встречаются программы с покриптоваными участками кода, вот и хотел узнать.
смысл нопить, если эти куски и выполяют основные функциональные задачи софтины, как правило
имхо

| Сообщение посчитали полезным:

ToBad пишет:
или есть адресок где можно глянуть как в обсиде это устроено, на примере этой программы ?
глянь ;) в обсиде это выглядет обычно так
push xxxxxxxx<----число байт
call хххххххх <---- декрипт (выделеная память обычно)
.....................
push xxxxxxxx
call хххххххх <----- крипт
Loco пишет:
Ну а если их занопить,
Их и так как бы нет что нопь что не нопь они все равно не работают ;)
Valemox пишет:
Наверняка для сохранения юзается CreateFile
вряд ли так как ToBad пишет:
ибо все попытки приводят в недры QtCore4.dll
ToBad пишет:
По видимому если так, то без валидной пары тут делать нечего ?
Многое зависит от компилятора и от желания

| Сообщение посчитали полезным:

pavka пишет:
push xxxxxxxx<----число байт
call хххххххх <---- декрипт (выделеная память обычно)
Ты же говорил

Push цыфро
call dword ptr ds:[xxxxxxxx]
что так выглядит крипт-декрипт. или я опять непонял?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

А разве ошибки не должны вылетать, если кусок не расшировался? Всегда ж так было.

| Сообщение посчитали полезным:

pavka пишет:
Многое зависит от компилятора и от желания

Желание есть - опыта нету. Есть ли статьи или туторы на данную тематику ? Не про снятие обсида, а про раскриптовку без наличия валидной пары ?


Valemox пишет:
Наверняка для сохранения юзается CreateFile, може там глянуть. Иль до нее дело не доходит?

Есть, и WriteFile тоже, юзается всё для bmp и png, а вот jpg и tif не срабатывает. Нашёл в недрах qt проверку формата и если он не bpm или png, то unsuported format... Но это не главное, из растровых bmp с головой хватит, а вот работы с вектором не видно. И вот ещё что подумал, на сайте есть mac версия, и насколько я знаю обсида под мак нету, может проще будет макось под vmware и ломануть маковскую ? Хотя в глаза не видел и не знаю какие инструменты нужны... Что думаете ? Есть шанс ?

| Сообщение посчитали полезным:

Flashback/TMX пишет:
А разве ошибки не должны вылетать, если кусок не расшировался? Всегда ж так было.

Ну может там как в аспре было, jmp через криптованый код ?

| Сообщение посчитали полезным:

ToBad пишет:
ломануть маковскую
для маковской вроде есть лекарствоmore-mac.nnm.ru/vector_magic_109(проблемы с лекарством именно на win версию)

| Сообщение посчитали полезным:

Немного не потеме, но всеже чуток касающееся Обсидиума. У кого есть скрипты или доки по востановлению импорта на последних версиях Обсида?

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Spirit пишет:
Push цыфро
call dword ptr ds:[xxxxxxxx]
что так выглядит крипт-декрипт. или я опять непонял?
Он спрашивал про крипт по ключу Flashback/TMX пишет:
А разве ошибки не должны вылетать, если кусок не расшировался? Всегда ж так было.
ToBad пишет:
Ну может там как в аспре было, jmp через криптованый код ?
да так
[HEX] пишет:
У кого есть скрипты или доки по востановлению импорта на последних версиях Обсида?
В общем то импорт там не значительно менялся по версиям принципиально нет ни какой разницы
можно патчить до оеп можно трейсом иат

| Сообщение посчитали полезным:

pavka
Тогда по туторам задам вопрос =) Кроме как на тутсфорю (на котором 2 тутора на инглише) есть еще что нить? У Нарвахи смотрел, но чето Испанский как то не прёт

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
Тогда по туторам задам вопрос =) Кроме как на тутсфорю (на котором 2 тутора на инглише)
сходи на reversing.be по импорту тутор haggar не плох правда реализация не очень

| Сообщение посчитали полезным:

Импорт лучше трейсить скриптами
Если патчить до ОЕР прога частенько валится, но этот способ быстрее
Кстати вызов Api давно не менялся и по кодам обсида можно сразу сказать
что за апи будет вызываться

| Сообщение посчитали полезным:

Nightshade пишет:
Импорт лучше трейсить скриптами
Если патчить до ОЕР прога частенько валится, но этот способ быстрее
с чего бы это ей валиться? Полный трейс иат вообще лоховский метод
Nightshade пишет:
Кстати вызов Api давно не менялся и по кодам обсида можно сразу сказать
что за апи будет вызываться
видимо ты о б этом
0032059C B8 70053200 MOV EAX,320570 GetCommandLine
003205A1 - E9 9A195501 JMP 01871F40
003205A6 B8 FFFFFFFF MOV EAX,-1 GetCurrentProcess
003205AB - E9 90195501 JMP 01871F40
003205B0 B8 8C080000 MOV EAX,88C GetCurrentProcessId
003205B5 - E9 86195501 JMP 01871F40
003205BA B8 0501280A MOV EAX,0A280105 ; GetVersion
003205BF - E9 7C195501 JMP 01871F40
так это и так нормально пишется после патча
VirtualQuery
FreeResource
lstrlenA
при навыке можно определить на глаз

| Сообщение посчитали полезным:

нет я про то что если
почитать www.reversing.be/article.php?story=20060614094957880&query=obsidium
и смотреть тип импорта(1, 2, 4, 40, 80), потом потрейсить чуть дальше то будет код функи из импорта
я в свое время составил таблицу соответствия на часть функции - иногда очень помогает
если скрипт не воостановил
так вот эти номера функции не менялись давно) что радует

| Сообщение посчитали полезным: