Прога с интересной защитой, помогите подступиться (начать).

Сейчас на форуме: (+6 невидимых)

Посл.ответ	Сообщение
ToBad Ранг: 450.3 (мудрец), 13thx Активность: 0.2↘0 Статус: Участник	Создано: 01 июля 2012 13:31 · Личное сообщение · #1 Здравствуйте! Возможно инструменты которыми пользуюсь морально устарели или я отстал от жизни, но Оля ни одна из сборок которые попробовал не аттачится и отладить код не получается. PEiD, DiE - ничего не видят. В запросы не выкладываю потому, что не готовое решение мне нужно, а помощь в самостоятельном изучении защиты. По коду и секциям вижу, либа фимка/винлиценз, либо execryptor... Код нужных фунок виртуализирован. Защита самописная, не от протектора. Программа без регистрации работает как демка, но может быть активирована. В защите используется флешка и файл ключа, в принципе в этом и интересно поразбираться. Пока что API логгерами выяснил в каких местах нужно посмотреть повнимательнее. Возможно по ходу изучения появятся ещё вопросы, но сейчас самый главный это какая Олька сможет помочь в отладке?... Инсталляция - 7 Мб Только EXE - 5 Мб

OKOB Ранг: 527.7 (!), 381thx Активность: 0.16↘0.09 Статус: Участник Победитель турнира 2010	Создано: 01 июля 2012 14:03 · Поправил: OKOB · Личное сообщение · #2 ToBad пишет: фимка/винлиценз Code: ________:0094F070 00 00 00 00 00 00 00 00 00 00 00 00 00 57 69 6E .............Win ________:0094F080 4C 69 63 65 6E 73 65 00 00 00 00 00 00 00 00 00 License......... ----- 127.0.0.1, sweet 127.0.0.1
ToBad Ранг: 450.3 (мудрец), 13thx Активность: 0.2↘0 Статус: Участник	Создано: 01 июля 2012 14:06 · Личное сообщение · #3 OKOB пишет: фимка/винлиценз Какую можно применить сборку Олли что бы запускалось?
OKOB Ранг: 527.7 (!), 381thx Активность: 0.16↘0.09 Статус: Участник Победитель турнира 2010	Создано: 01 июля 2012 14:11 · Личное сообщение · #4 Дебажу ИДой, олькой редко пользуюсь. ----- 127.0.0.1, sweet 127.0.0.1
sivorog Ранг: 49.7 (посетитель), 19thx Активность: 0.05↘0 Статус: Участник	Создано: 01 июля 2012 14:11 · Поправил: sivorog · Личное сообщение · #5 -
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 01 июля 2012 14:11 · Личное сообщение · #6 --> Link <-- ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
ToBad Ранг: 450.3 (мудрец), 13thx Активность: 0.2↘0 Статус: Участник	Создано: 01 июля 2012 14:22 · Личное сообщение · #7 ClockMan а в какой сборке оба плага присутствуют? Дело в том, что специально заточенные под фимку сборки пробывал, где валится, где завершается процесс. Не пойму в чём дело, в принципе раньше нормально проги под фимкой запускались на The0DBG, а эта какая то хитрожопая.... Или я что-то не пойму, может не обычный Open - Run? Может только через скрипты запускается?
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 01 июля 2012 14:27 · Личное сообщение · #8 Одного фантома хватит. ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
Bronco Ранг: 312.0 (мудрец), 349thx Активность: 0.46↗0.65 Статус: Участник Advisor	Создано: 01 июля 2012 15:45 · Поправил: Bronco · Личное сообщение · #9 нормально грузится, нормально стартует, стаб целый, импорт поеден Code: 005A1460 55 PUSH EBP 005A1461 8BEC MOV EBP,ESP 005A1463 83C4 F0 ADD ESP,-10 005A1466 B8 800F5A00 MOV EAX,005A0F80 005A146B E8 8450E6FF CALL 004064F4 005A1470 33C9 XOR ECX,ECX ; ADVAPI32.RegCreateKeyA 005A1472 B2 01 MOV DL,1 005A1474 A1 F8045800 MOV EAX,DWORD PTR DS:[5804F8] 005A1479 E8 22E9ECFF CALL 0046FDA0 005A147E 8B15 04F65A00 MOV EDX,DWORD PTR DS:[5AF604] ; DGIEdito.005B2F78 005A1484 8902 MOV DWORD PTR DS:[EDX],EAX ; ADVAPI32.77DC1E04 005A1486 A1 04F65A00 MOV EAX,DWORD PTR DS:[5AF604] 005A148B 8B00 MOV EAX,DWORD PTR DS:[EAX] 005A148D E8 662CEDFF CALL 004740F8 005A1492 A1 04F65A00 MOV EAX,DWORD PTR DS:[5AF604] 005A1497 8B00 MOV EAX,DWORD PTR DS:[EAX] 005A1499 8B10 MOV EDX,DWORD PTR DS:[EAX] 005A149B FF92 88000000 CALL DWORD PTR DS:[EDX+88] 005A14A1 A1 1CF75A00 MOV EAX,DWORD PTR DS:[5AF71C] 005A14A6 8B00 MOV EAX,DWORD PTR DS:[EAX] 005A14A8 E8 DB61EDFF CALL 00477688 005A14AD 8B0D 10F95A00 MOV ECX,DWORD PTR DS:[5AF910] ; DGIEdito.005B3F98 005A14B3 A1 1CF75A00 MOV EAX,DWORD PTR DS:[5AF71C] 005A14B8 8B00 MOV EAX,DWORD PTR DS:[EAX] 005A14BA 8B15 BC3F5900 MOV EDX,DWORD PTR DS:[593FBC] ; DGIEdito.00594008 005A14C0 E8 DB61EDFF CALL 004776A0 005A14C5 8B0D 04F45A00 MOV ECX,DWORD PTR DS:[5AF404] ; DGIEdito.005B2F80 005A14CB A1 1CF75A00 MOV EAX,DWORD PTR DS:[5AF71C] 005A14D0 8B00 MOV EAX,DWORD PTR DS:[EAX] 005A14D2 8B15 08075800 MOV EDX,DWORD PTR DS:[580708] ; DGIEdito.00580754 005A14D8 E8 C361EDFF CALL 004776A0 005A14DD A1 1CF75A00 MOV EAX,DWORD PTR DS:[5AF71C] 005A14E2 8B00 MOV EAX,DWORD PTR DS:[EAX] 005A14E4 E8 3762EDFF CALL 00477720 005A14E9 E8 CE2BE6FF CALL 004040BC ----- Чтобы юзер в нэте не делал,его всё равно жалко..
ToBad Ранг: 450.3 (мудрец), 13thx Активность: 0.2↘0 Статус: Участник	Создано: 01 июля 2012 17:36 · Личное сообщение · #10 Bronco пишет: нормально грузится На какой сборке Олли? Можно у Вас её попросить вместе с настройками?
Bronco Ранг: 312.0 (мудрец), 349thx Активность: 0.46↗0.65 Статус: Участник Advisor	Создано: 01 июля 2012 18:32 · Личное сообщение · #11 ToBad пишет: На какой сборке Олли? на своей--> солянке<-- чего то --> сдампил+iat <--, но с вм лениво, финал выезжаю смотреть.... ----- Чтобы юзер в нэте не делал,его всё равно жалко.. \| Сообщение посчитали полезным: ToBad, irnd
ToBad Ранг: 450.3 (мудрец), 13thx Активность: 0.2↘0 Статус: Участник	Создано: 02 июля 2012 15:15 · Личное сообщение · #12 Bronco пишет: на своей--> солянке<-- Спасибо! Помогло, могу отлаживать. Единственное почему то не срабатывают бряки, например bp CreateFileA, хотя логгер Рустама перехватывает их... Bronco пишет: чего то --> сдампил+iat <--, но с вм лениво, финал выезжаю смотреть.... У меня не запускается... Или и не должно?
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 02 июля 2012 15:19 · Поправил: ClockMan · Личное сообщение · #13 ToBad пишет: У меня не запускается... Или и не должно? Bronco пишет: но с вм лениво ToBad пишет: Единственное почему то не срабатывают бряки, например bp CreateFileA, хотя логгер Рустама перехватывает их... Фимка "тащет" в память системные функи кроме ntdll. ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
V0ldemAr Ранг: 65.4 (постоянный), 10thx Активность: 0.02↘0 Статус: Участник	Создано: 02 июля 2012 20:45 · Личное сообщение · #14 короче снял своей убогой старой тулзой после снятия запускается и выдает вот это --------------------------- WinLicense --------------------------- File corrupted!. This application has been manipulated and maybe it's infected by a Virus or cracked. This application won't work anymore. --------------------------- OK --------------------------- ToBad http://rghost.ru/38992948 если незапускается значит CPUID
elch Ранг: 19.4 (новичок), 11thx Активность: 0.02↘0 Статус: Участник	Создано: 02 июля 2012 21:04 · Личное сообщение · #15 Bronco пишет: на своей--> солянке<-- Переложите, кто-нибудь пожалуйста, на другой обменник, а то с sendspace чето не качается, по неведомой причине
sivorog Ранг: 49.7 (посетитель), 19thx Активность: 0.05↘0 Статус: Участник	Создано: 02 июля 2012 21:11 · Поправил: sivorog · Личное сообщение · #16 V0ldemAr попробуйте скрипт TM WL CRC Fixer 1.0 от LCF-AT на тутси есть тутор хотя у меня так бывало, когда импорт не полностью восстановлен - пофиксишь CRC, всплывает "... internal exception occurred, contact support@oreans.com" 381b_02.07.2012_EXELAB.rU.tgz - TheMida WinLicense CRC Fixer 1.0.txt
Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 03 июля 2012 03:01 · Личное сообщение · #17 elch пишет: Переложите, кто-нибудь пожалуйста, на другой обменник --> Link <-- \| Сообщение посчитали полезным: elch
ToBad Ранг: 450.3 (мудрец), 13thx Активность: 0.2↘0 Статус: Участник	Создано: 18 июля 2012 17:39 · Личное сообщение · #18 Всем спасибо за помощь и советы! Сборка от Bronco очень помогла!

Для печати