Исследую программу, защищенную сабжевыми донглами.--> Link <--
По началу все просто:




И вот после вызова последней функции, которая возвращает 1000 псевдослучайных (seedable) значений, я не понимаю что происходит, но каждый раз приходим к окну с секьюрити еррор -3.

От модератора: Используй тег ASM

| Сообщение посчитали полезным:

deff0
Ну дык чего ж ты самую смакоту упустил. Может эти RandomNumbers не рандом совсем и как раз и проверяется предопределенные значения либо используются в расчете чего-то?

-----
старый пень

| Сообщение посчитали полезным:

Они 100% не рандомные. Они генерятся на базе seed'а, известного донглу, известного программе. У вудмана есть допотопная статья на тему этих донглов, но мне она не помогла. Он там копал старую версию донгла и со стороны дллки. Распутать этот клубок у меня пока не выходит. На пятый день я обратился к комьюнити.

| Сообщение посчитали полезным:

deff0
Дык задампь донгл в той же последовательности и потом используй таблицу для возврата рандома.

-----
старый пень

| Сообщение посчитали полезным:

не рандомные это точно.
используются для трансформа (ака DK2_RandomNumbers) 2 большие таблицы. они уникальны для каждого производителя. обе высчитываются из данных, полученных от донгла. как-то так

зы: давно существует полный эмулятор для данного типа ключей
зы2: и еще два типа команд для обмена с донглом используются.

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

r_e
Был бы у меня донгл, я бы не плодил постов на форумах, а жамкал кнопки в программе.
BfoX
Да, там еще команды чтения и записи есть.
О существовании эмулей всего и вся по килобаксу за штуку, вообще никто не сомневается. Но это, во-первых, килобакс, а во-вторых, свистопляска с неподписанными драйверами.

| Сообщение посчитали полезным:

deff0 пишет:
Да, там еще команды чтения и записи есть.

я не про это. это связано с шифрованием пакетов через трансформ.

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

deff0 пишет:
а во-вторых, свистопляска с неподписанными драйверами
многие купили серты в этом году. пару раз уже видел от разных типов. тот же bfox не зря пиарится

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax
не, тут неправда ваша. свои 150 бакинских я прое... потерял - GoDaddy ничего не продали. там в NDA прописано что бабосы не возвращают если проблемы с показом юрика =)
а тест моду автоматизировали - никаких бубнов с плясками.

для ТС еще напишу пару строк - посмотрел я софт. без ключа анрил, ихмо. через трансформ ключа память прогоняется. можно попробовать только патчить сравнения на выходе, но это как кому по вкусу...

все вышесказанное верно для deskey2 usb, хотя Saab и Xor37 разбирали lpt-шную железку и свой ресерч выложили на вудмане. по deskey3 usb не смотрел, но тоже очень похож

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

BfoX
за 150 серт без юр лица... открыть чтоль конторку по разводу Sab, без а

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax
Sab, без а

c одним 'a'

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

Потупив еще немного в дебаггере, имею следующие результаты:
1. ReadRandom вызывается один раз. Из нее генерится последовательность по алгоритму и сверяется с зашитой константой. В обратную сторону я восстановил 16 байт для прохождения этой проверки, на случай если когда-нибудь дорасту до написания эмулятора.

2. Шифрование
- Программа в 3 этапа разными кусками вычитывает всю память ключа. Этот массив прогоняется через шифратор ключа. Дальше идет работа с полученным массивом.
- Перед записью данных в ключ, данные прогоняются через процедуру шифрования.

Имею мнение, что данные в памяти ключа находятся в зашифрованном виде, а программа внутри себя оперирует с плейнтекстом.

4. На текущий момент обхожу ошибки с истечением срока действия лицензии и с соответствием версии запускаемой программы к версии в лицензии. В дебаггере программа запускается без ошибок, но одним НО: доступный функционал у нее как у программы без какой либо лицензии вообще. То есть я упускаю момент, где из лицензии берутся доступные фичи и разблокируются. Получается отловить вызов "DeleteMenu" и не дать его выполнить, но это никак не меняет результат.

Все еще надеюсь, что в донгле нет жизненноважной информации.

| Сообщение посчитали полезным:

Продолжаем донглострадания...

Решил дальше действовать подменой дллки, реализующей API донгла. Споткнулся на реализации функции ReadMemory. Родная длл после вызова функции очищает стек от параметров, передаваемых функции и ESP принимает значение до первого пуша. Программой эта функция вызывается 3 раза.

В моей же дллке после возвращения из вызова, стек не очищается. На третьем вызове один из передаваемых параметров передается с помощью

А поскольку значение ESP похерено предыдущими вызовами, передается неверный параметр и ловим сегфолт.

Как писать функции в длл, чтобы стек чистился?

| Сообщение посчитали полезным:

Язык-то какой? Менять конвенцию вызова с cdecl на stdcall? втыкать ret 0c вместо ret?

| Сообщение посчитали полезным: deff0

C++, функция типа VOID.

| Сообщение посчитали полезным:

deff0 пишет:
Родная длл после вызова функции очищает стек от параметров, передаваемых функции
очищает после вызова или при возврате?
определись, как выглядит вызов этой функции в программе.

если в программе код вида
push aaa
push bbb
call dword [ReadMemory]
add esp, xx
тогда это нифига не stdcall.

| Сообщение посчитали полезным:

Получилось вот так
__declspec(dllexport) VOID __stdcall ReadMemory

программе код вида
push aaa
push bbb
call dword [ReadMemory]
push aaa
push ccc
call dword [ReadMemory]
push aaa
push [esp+20h+arg_c]
call dword [ReadMemory]

| Сообщение посчитали полезным:

#ifndef APIENTRY
#define APIENTRY FAR PASCAL
#endif

void APIENTRY DK2ReadMemory( WORD DataReg,
LPSTR Id,
WORD Seed,
WORD Address,
LPSTR Buffer,
WORD BytesToRead );

Добавлено спустя 1 минуту
это для DK2

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

В третьем так же.

| Сообщение посчитали полезным: