Привет всем!
уже 3й день парюсь,не могу разобратся...
Значит есть прога StolCad(в инете сцылки не нашел,мне ее так дали).запротекчена ASProtect-om.
Написана на Delphi. В самой проге никакой защиты нету,защита толко на уровне аспра.
Аспр лезет в реестр HKLM/Software/Adobe/Acrobat Reader/ и достает от туда параметр Key и его значение. сам этот параметр создает регистрационная тулза к этой проге,которая генерит HardwareID и просит UserKey,потом на основе их генерит этот Key и сует в реестр.
После проверки кея и если прога запускалась больше одного раза аспр выдает MessageBoxA "Данная версия Stolcad не активирована" (чтото типа того) и потом ExitProcess...
Место,где аспр достает кей с реестра и что-то с ним делает я нашел и место,где вызывается MessageBoxA тоже нашел...Вся эта лабуда лежит в динамической памяти,пропатчить файл не реально... патчу в памяти место,где MessageBox обходится(вернее какая-то обертка к нему) и прога отлично запускается и работает.
теперь думаю,что делать...писать memory patch или как-то кейген придумать(копать алго генераци ключа)...?
Дамп я снял(с запущенной проги),там все каллы винапи заменены аспровскими,к тому же все в выделяемую память. Перепробовал все методы,что в инете нашел для нахождения OEP не прокатили..откопал интуитивно,но я не уверен,что это точно OEP... PeID пишет,что это ASPR 1.2-13 registred,но это наверное ложь..
Пуду очень благодарен за любую информацию...
или посоветываете не парится,а писать memory patch?

| Сообщение посчитали полезным:

пиши лоадер. кейген не написать.

| Сообщение посчитали полезным:

я тож так думаю,но все же кейген у них есть(у конторы,которая эту прогу выпустила).
Но мне бы хотелось распаковать эту хрень...или это тоже не реально?

| Сообщение посчитали полезным:

brag пишет:
все же кейген у них есть
ясный пень что есть, к аспру прилагается
лоадер - самый простой путь, затем инлайн, затем распак. Ну а адептам RSA можно и кейген попробовать

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

кто-нибудь мне пожет привести пример реально работающего лоадера для версии аспра выше v2.x? вроде на exetools'ах один чел выкладывал исходники, но у меня туда доступа нет, да и сам сайт в дауне

ps. язык программирования не важен, пробовал написать свой, но увы, не работает

| Сообщение посчитали полезным:

мой лоадер

7ee8_05.04.2006_CRACKLAB.rU.tgz

| Сообщение посчитали полезным:

Av0id
Там по мойму надо экспериментировать со Sleep перед WriteProcessMemory, чтобы врайт производился уже после проверки crc

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

та Sleep не надежно,надо как-то отслеживать память...а как? подумаю...

| Сообщение посчитали полезным:

> та Sleep не надежно,надо как-то отслеживать память...а как? подумаю...

Как вариант - хукать апишки, и считать их вызовы.

| Сообщение посчитали полезным:

DrGolova пишет:
Как вариант - хукать апишки, и считать их вызовы.
Есть вариант по проще. Подождать когда отрисуются окна и тогда уже патчить.

-----------------------------------------
Delphi loader source code aimed for ASProtect and Armadillo protected targets.


1acd_05.04.2006_CRACKLAB.rU.tgz

| Сообщение посчитали полезным:

Тело аспра на разных компах и под разными виндами обычно находится по разным адресам. Я нашёл метод патча. Если интересуют детали поищи по форуму мои старые топики. Варианты со Sleep и т.д. не очень надёжны. Свой лоадер я не распространяю, но могу сделать тебе загрузчик. От тебя потребуется путь и имя к запускному файлу программы а так же что на что менять. Того вида, как работает у тебя:
Типа: 00951234 74 EB

В двух словах меняется только 0095 (я называю это базовым адресом аспра), вот его в лоадере и приходится автоматом корректировать. И ещё найди сразу проверку CRC что бы избежать protection error: 15.

Связь мылом: tobadko@mail.ru

| Сообщение посчитали полезным:

Av0id
www.jbfonline.net/sndtuts/dir=1-Unpacking
Посмотри там есть по лодырям для аспра статьи! Вообще можно DUP2 пользоватся он не плохо делает лодыри! А CRC там элементарно обходится !

| Сообщение посчитали полезным:

ToBad, спасибо за медвежью услугу, но не нужно

после неудачно попытки написать лоадер, решил попробовать инлайн (пытаюсь инлайнить аспр v2.x) и пока что застопорился на обходе проверки crc (пять слоёв дешифровщиков прошёл уже), не знаю чё делать дальше, читал статью PE_Kill'a про декомпиляцию vm, там описан способ обхода crc, слишком муторно как-то

ps. FlushInstructionCache это такой новый трюк vm аспра или я ошибаюсь?

| Сообщение посчитали полезным:

Попробуй бряк на CreateFileA и впиши название оригинального файла, затем не забудь изменить правленный код в запущенном экзешнике.

| Сообщение посчитали полезным:

Мне показалось, что патч лучше всего распалогать в последней секции, предварительно создав её физически. Потом достаточно будет обнулить значение азмера в заголовке(перед проверкой CRC разумеется), а 1000 для патча более чем достаточнот.

| Сообщение посчитали полезным:

проблема в том, что там оверлей и последняя секция располагается перед оверлеем

| Сообщение посчитали полезным:

правильней всего - распаковать секцию, пропатчить, запаковать опять. пересчитать контрольную сумму ( а то и две) и пропатчить ее (их) в файле

| Сообщение посчитали полезным:

Solo пишет:
правильней всего - распаковать секцию, пропатчить, запаковать опять. пересчитать контрольную сумму ( а то и две) и пропатчить ее (их) в файле
ага, правильней конечно так, но абсолютно нереально

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
абсолютно нереально

не стоит так обобщать...

| Сообщение посчитали полезным:

Странно у меня на WinOrganizer.exe почему-то "прокатывает" хотя там этот самый оверлей тоже присутствует.

| Сообщение посчитали полезным:

А проверка црц там проще обходится, надо просто посмотреть внимательней на MapViewOfFile ну и заглянуть в MSDN и прочитать про параметры, и всё будет ОК.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Что вы паритесь? На первой странице есть темка про aPE. Он все прекрасно инлайнит, проверено на 2.2 (который тут же проскакивал).

-----
SaNX

| Сообщение посчитали полезным:

SaNX пишет:
Он все прекрасно инлайнит, проверено на 2.2
лол, с каких эт пор aPE аспра инлайнит ?

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Насколько я помню он даже файлы два часа сравнивает, а если больше 2kb то выдает file is big!

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
А тебе за чем для инлайна файлы сравнивать! ;) Лодыри он без проблем клепает! А вот с инлайном для Аспра там гиморный способ с CRC

| Сообщение посчитали полезным:

2 Smon Не поленись, скачайте эту версию, ссылка на форуме есть. Говорю же, что проверил. Правда, чтоб проверка CRC обломалась, надо оригинальный экзешник держать с именем back.exe
Вот из файла истории:
:: History:
v.0.1.0beta
+ Public release [protection myDeFeNCe/alfa NOT cracked, yet!]
+ Released on: 04/02/2006
- Added ASProtect 1.x - 2.x /SKE/ inline patching support via GImP

-----
SaNX

| Сообщение посчитали полезным:

я пробовал уже этот ape, увы ничего

ps. исследую molebox, что патчить - нашёл, как патчить - нет

| Сообщение посчитали полезным:

SaNX пишет:
оригинальный экзешник держать с именем back.exe
Блин, ну совсем уже охренели. Если уж патчить криво, то без таких заморочек, есть же способ проще.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Хм... Проще не бывает, куда уж проще К тому же автор обещает доработать!

| Сообщение посчитали полезным:

Av0id пишет:
s. исследую molebox, что патчить - нашёл, как патчить - нет
В статьях RAR есть тутор по патчингу молебокса.

| Сообщение посчитали полезным: