 |
eXeL@B —› Протекторы —› Немогу справится с ASProtect |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 05 апреля 2006 11:42 · Личное сообщение · #1 Привет всем! уже 3й день парюсь,не могу разобратся... Значит есть прога StolCad(в инете сцылки не нашел,мне ее так дали).запротекчена ASProtect-om. Написана на Delphi. В самой проге никакой защиты нету,защита толко на уровне аспра. Аспр лезет в реестр HKLM/Software/Adobe/Acrobat Reader/ и достает от туда параметр Key и его значение. сам этот параметр создает регистрационная тулза к этой проге,которая генерит HardwareID и просит UserKey,потом на основе их генерит этот Key и сует в реестр. После проверки кея и если прога запускалась больше одного раза аспр выдает MessageBoxA "Данная версия Stolcad не активирована" (чтото типа того) и потом ExitProcess... Место,где аспр достает кей с реестра и что-то с ним делает я нашел и место,где вызывается MessageBoxA тоже нашел...Вся эта лабуда лежит в динамической памяти,пропатчить файл не реально... патчу в памяти место,где MessageBox обходится(вернее какая-то обертка к нему) и прога отлично запускается и работает. теперь думаю,что делать...писать memory patch или как-то кейген придумать(копать алго генераци ключа)...? Дамп я снял(с запущенной проги),там все каллы винапи заменены аспровскими,к тому же все в выделяемую память. Перепробовал все методы,что в инете нашел для нахождения OEP не прокатили..откопал интуитивно,но я не уверен,что это точно OEP... PeID пишет,что это ASPR 1.2-13 registred,но это наверное ложь.. Пуду очень благодарен за любую информацию... или посоветываете не парится,а писать memory patch? 
 |
|
|
Создано: 06 апреля 2006 13:55 · Личное сообщение · #2 pavka пишет: Проще не бывает Бывает. С внешним патчем. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 06 апреля 2006 15:33 · Поправил: brag · Личное сообщение · #3 Окна ждать не идет тк аспр выводит мсгбокс еще до запуска проги. CreateWindow раньше нигде не вызывается... хучить апи можно,тоже идейка ;) Я пробовал через SEH ставить BreakPoint,но аспр сцука затирает мой SEH 
На других прогах пахало на ура ;) А CRC я не отключил,надо будет найти и выруюить,чтобы не мешало ;) А хучить апи надо ту,которая вызывается на минимальном расстоянии до того места,где проверка на рег.тогда можно просто посчитать смещение к тому месту и не надо беспокоится за всякую фигню с адресами,которые могут менятся(и МЕНЯЮТСЯ) |
|
|
Создано: 06 апреля 2006 16:02 · Личное сообщение · #4 Кстати способ с окном не самый эффективный, т.к. окно не всегда можно поймать на FindWindow
К тому же некоторые проги пашут только в полноэкранном, в этом случае FindWindow явно на отдыхе =) Самое правильное всёж хучить апи, причём считать кол-во от той, которая из вызываемых при запуске наиболее близка к требуемым оффсетам. ----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 06 апреля 2006 17:24 · Личное сообщение · #5 brag пишет: Я пробовал через SEH ставить BreakPoint,но аспр сцука затирает мой SEH Мдаа, давно таких перлов не читал. Теперь по делу... Раз нужно пропатчить сам aspr схема чуть другая. Перехватив значение VirtualAlloc, ты узнаешь куда распаковался сам аспр. Все, база известна, добавляй смещения и патч на здоровье. Все выше сказанное можно сделать 2 способами: 1. Использование EBFE+GetThreadContext. 2. Перехватывать api, использовав подмену стека. Лоадер с любым из этих способов будет работать на всех версиях Windows. |
|
|
Создано: 06 апреля 2006 18:37 · Личное сообщение · #6 Не по теме: Как то промелькивала информация о старфорс протекторе исполняемых файлов, может у кого есть на примете ссылочка на прогу пакованную этим чудом. |
|
|
Создано: 06 апреля 2006 22:19 · Личное сообщение · #7 В статьях RAR есть тутор по патчингу молебокса. сам molebox, а не что-то запакованное им (там аспрот v2.x) |
|
|
Создано: 06 апреля 2006 22:39 · Поправил: brag · Личное сообщение · #8 seeq пишет: brag пишет: Я пробовал через SEH ставить BreakPoint,но аспр сцука затирает мой SEH Мдаа, давно таких перлов не читал. какие перлы? что,тяжело дебаг регистры занулить в контексте????? ПС. мож не правильно высловился или меня не правильно поняли...с нижним интелом32 я знаком хорошо,ОС своя есть. VirtualAlloc не проходит... там какая-то другая хрень выделения памяти под код проверки кея,трэйсил кучу кода - апи вызовов там нету.. я пошел другим путем - перехватил MessageBoxA(который пишет "незарег версия"),пропатчил код(адрес кода вычисляется по адресу возврата из мсгбокс),восстановил esp and ebp,и прыгнул на точку,которую патчил. вот код прилагаю,хотя ничего особенного....  043d_06.04.2006_CRACKLAB.rU.tgz
|
|
|
Создано: 07 апреля 2006 05:30 · Личное сообщение · #9 SergSh Так наверное свою Safe’n’sec они защитили чем нибудь подобным! |
|
|
Создано: 07 апреля 2006 12:04 · Личное сообщение · #10 с StarForce я боролся через эмулятор.. Запускаю эмуль под фрибсд,там винду,прогу и дебажу под самим эмулем(коннекчусь к нему гдб) |
|
|
Создано: 08 апреля 2006 02:26 · Личное сообщение · #11 SergSh пишет: Не по теме: Как то промелькивала информация о старфорс протекторе исполняемых файлов, может у кого есть на примете ссылочка на прогу пакованную этим чудом. Посмотри Traffic Inspector. |
|
|
Создано: 08 апреля 2006 09:20 · Личное сообщение · #12 На трафик инспекторе он еще до релиза стоял. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 10 апреля 2006 02:29 · Личное сообщение · #13 Ara Во первых MoleBox завернут AsProtect'ом 2.ХХ (думаю в этом вся и проблема), во вторых там такой извратный AsProtect, примерно так: на основании манипуляций с PEHeader'ом и секцией кода аспра(который читается из памяти) вычисляется какой-то хеш или х.з. че. Потом, если все правильно, идет дальнейшая раскриптовка кода??? Нужно при инлайне восстановить все измененные команды в секции кода Аспра. |
| << . 1 . 2 . |
|
eXeL@B —› Протекторы —› Немогу справится с ASProtect |
Для печати