| Сейчас на форуме: -Sanchez-, barsik, vasilevradislav, vsv1, padad42664, kris_sexy (+6 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Protector и метки на винте |
| Посл.ответ | Сообщение |
|
|
Создано: 12 октября 2007 23:12 · Личное сообщение · #1 Столкнулся с веселой вещью.... Заюзал некоторое время назад демо версию программы типа "Электронного диджея".... Потом через некоторое время забил на нее.... Когда попытался запустить снова, то демка отказалась работать, сославшись на истечение срока работы.... Нигде никаких счетчиков триальности я не нашел.... реинсталл системы не помог, демка упорно отказывалась запускаться даже на чистой свежеустановленной системе, после чего я пришел к выводу что похоже где то на самом винте стоит метка, по которой ориентируется прот.... Поэтому пару вопросов - что это может быть за прот? (предполагается что-то вроде SafeCast-а, который насколько я знаю как раз и ставит метки на винте).... Каким образом можно убить эти метки с винта? (вручную, с помощью каких нибудь программ и т.д.).... ----- The blood swap....  |
|
|
Создано: 12 октября 2007 23:24 · Личное сообщение · #2 Она использует драйвер?Если есть подозрения - найти не трудно,например -DeviceIoControl там смотреть что куда пишет.Так же и убить  осторожно - вручную.
А почему сразу - прот?Детектится как то на глаз? |
|
|
Создано: 12 октября 2007 23:25 · Личное сообщение · #3 смутно представляю ка это может быть реализовано... а дефрагментация от таких меток не помогает? |
|
|
Создано: 13 октября 2007 00:06 · Личное сообщение · #4 sER пишет: дефрагментация от таких меток не помогает Не думаю... Это или в MBR прописывается или в его копию... Благо места надо пару байт... MBR попробуй почистить ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 13 октября 2007 00:13 · Личное сообщение · #5 Может кстати отделять раздел с неизвестным форматом... (Глянь на всякий случай) Но не думаю, что это так, т.к. ей не надо много памяти. ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 13 октября 2007 07:20 · Личное сообщение · #6 Помоему кроме SafeCast, который |
|
|
Создано: 13 октября 2007 07:29 · Поправил: Sey · Личное сообщение · #7 Помоему кроме SafeCast, который, действительно, ставит метку с бутовую область локального диска (помоему на 32 сектор), никто больше такое не делает - куча глюков, защита не работает при использовании менеджеров загрузки, на RAID и тд. Писать во внебутовые области диска вообще чревато, а критить новые партиции - ламерский подход. Так что меток на твоем диске скорее всего нет. |
|
|
Создано: 13 октября 2007 10:52 · Личное сообщение · #8 Johnson Finger, а с чего ты взял что она на винт что-то пишет? Вполне возможен вариант с CMOS. |
|
|
Создано: 13 октября 2007 15:21 · Личное сообщение · #9 Так, теперь по порядку.... Запись не в MBR это точно, поскольку она достаточно часто переписывается и так, причем полностью, поэтому врядли что-то там есть..... Ничем разделы не разделяются, поскольку с винтом часто работаю на прямую, ничего нового между разделами там не обнаружено.... В CMOS также ничего не пишется, поскольку обнулялся неоднократо, BIOS неоднократно перезаписывался..... На счет драйвера пока не знаю, надо проверить, но похоже все равно эта дрянь ставит метки на винте, поскольку другого объяснения я не вижу, если не работает даже на свежеустановленной винде.... ----- The blood swap.... |
|
|
Создано: 13 октября 2007 15:37 · Личное сообщение · #10 Бредово, но может она в себя записала метку? |
|
|
Создано: 13 октября 2007 16:35 · Личное сообщение · #11 если не MBR -то остальные сектора 0-дорожки могут быть (там где -то и система метит сама) и последний цилиндр может быть использован (теоретически) |
|
|
Создано: 13 октября 2007 16:42 · Личное сообщение · #12 как именно называется программа? |
|
|
Создано: 13 октября 2007 16:44 · Личное сообщение · #13 Может прога поменяла сер.номер диска С ? Попробую может чем-то типа DiskMon посмотреть что она читает. |
|
|
Создано: 13 октября 2007 16:48 · Личное сообщение · #14 То SergX вот этого не знаю, надо смотреть.... То Sunzer - Dance Ejay 7 (демо версия) То r99 - вот это похоже придется проверить, правда пока как не знаю.... Возможно придется поставить на виртуалку, и там без опаски посекторно ковырять все... ----- The blood swap.... |
|
|
Создано: 13 октября 2007 17:39 · Личное сообщение · #15 r99 Ну почему теоретически. Некоторые бутменеджеры юзают его практически (OSL 2000), FreeBSD тоже начинает юзать диск с 0 сектора в отличии от всех прочих. А проверить чё в него понатыкано можно из под Линуха или FreeBSD. |
|
|
Создано: 13 октября 2007 17:59 · Личное сообщение · #16 На этой проге вроде сэйфдиск висит, сам как то пытался найти триальную метку, но безуспешно( Знаю одно - прога юзает службу (где то она в C:\Program Files\Common Files лежит), и в этой службе происходит открытие диска C: как файла, то бишь пишет\читает напрямую. Ни перехватить обращения к диску, ни подступиться с отладчиком у меня не удалось и я на нее решил забить. |
|
|
Создано: 13 октября 2007 18:07 · Личное сообщение · #17 Так так, интерес только возрастатет, надо точно будет поковырять, благо пару мыслей уже есть
Хотя советы и мысли также принмаются.... ----- The blood swap.... |
|
|
Создано: 13 октября 2007 18:15 · Личное сообщение · #18 Вроде как Olenevod прав, тк явно сэйфдиск, но он меток на локальный диск вроде никогда не ставил, но может проверять разницу времени системных папок и сабжа, им запакованного, притом без GetSystemData. Какая-то команда помоему писала nocd на эту тулзень. |
|
|
Создано: 13 октября 2007 20:51 · Личное сообщение · #19 может все проще - если часы передвинуть на ту дату когда прога запускалась |
|
|
Создано: 13 октября 2007 21:16 · Поправил: Johnson Finger · Личное сообщение · #20 То r99 - этот вариант был использован в первую очередь, не помогло... Похоже прога в конце ставит метку, что триал закончился.... Похоже надо смотреть сектора винта, может что интересное накопаю.... ----- The blood swap.... |
|
|
Создано: 13 октября 2007 22:01 · Личное сообщение · #21 Johnson Finger пишет: смотреть сектора винта не губи свою молодость Ты что! Как? Пора звать Криса!
Капни сначала - обращения к АПИ . |
|
|
Создано: 13 октября 2007 22:25 · Личное сообщение · #22 Никого не пора звать.... Позвать то можно, вот только я сам не научусь.. И так и надо будет каждый раз кого-то звать..... Я же не говорю что каждый сектор буду смотреть под микроскопом, опеределнные наработки уже есть.... ----- The blood swap.... |
|
|
Создано: 13 октября 2007 22:32 · Личное сообщение · #23 Johnson Finger Скока сама прога весит, если все звуки и т.д. по выбрасывать ? Есть возможность обкоцать и выложить ? |
|
|
Создано: 13 октября 2007 23:24 · Поправил: DillerInc · Личное сообщение · #24 Johnson Finger SafeCast ставит свои метки,начиная примерно с 32 сектора жёсткого диска. Запускаешь WinHex, в котором выбираешь "Open Disk" и выбираешь именно физическое устройство жёсткий диск(а не логический том C,например).Далее "Position->Go to sector".И смотришь. Но срань заключается в том,что это походу не единственое место,куда защита впихивает свои метки. Я как-то смотрел это дело и думал даже некую утилиту написать,но потом бросил,потому что надоело. А вообще,там орудует специальный сервис,который открывает физическое устройство "жёсткий диск" через CreateFile,а затем посылает ему запросы ввода-вывода через DeviceIoControl,чтобы считать 200h байт,что и есть размер одного сектора на жёстком диске.Однако помимо этого там ещё полно всякой лабуды,с которой я не смог тогда разобраться. ----- the Power of Reversing team |
|
|
Создано: 14 октября 2007 03:12 · Личное сообщение · #25 Попробуй установить её с Ashampoo Uninstaller'ом, хорошая прога, делает лог всего, че изменено/добавлено/удалено в процессе инсталла софтины. Правда не уверен что она за MBR следит, но твоя софтинка вряд ли его использует. ------------------------------------------------- Мистический вариант: Твоя прога при инсталле шлет на сервак твой ип(IP), время установки(или серийник диска С, затем измененный), всю инфу для отсчета времени, затем, когда на серваке кончается счетчик, он шлет сигнатурку твоей софтинке, и она соответственно дохнет. 
Смешно но вполне реально, но сложно. Можно попробовать продизить её на предмет связи из вне (с серваком в смысле) и заблокать сразу в файерфоле. |
|
|
Создано: 14 октября 2007 05:31 · Поправил: Isaev · Личное сообщение · #26 [Lestat] пишет: когда на серваке кончается счетчик, он шлет сигнатурку твоей софтинке, и она соответственно дохнет Смешно... А если нет инета, то вечно работать будет?
----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 14 октября 2007 12:29 · Личное сообщение · #27 Ну что ж, все прошло удачно.... Триальность была успешно сброшена
За наводку выражается большое спасибо DillerInc..... Теперь к нашим волкам и овцам..... Был взять абсолютно новый винт, до этого никогда не использовавшийся.... На него была установлена система, затем установлена эта программа..... Программа была раз запущена.... Затем был перевод системного времени на год вперед, и снова запуск программы... Как следствие - сообщение о том, что триал режим истек.... Затем системное время было переведено назад, и программа была снова запущена.... На сей раз получаем сообщение что возможно системное время было сбита, и предложение закрыть это окошко, вернуть нормальное время, и снова запустить программу.... Если я соглашался, то программа закрывалась, давая мне возможность вернуть норм время, и снова запустить её.... Если отказывался, то программе присваивался пожизненный статус Expired. И пеервеод времени в обоих направлениях уже не помогал.... Причем, чтобы получить такое окошко, достаточно было просто на пару дней перевести время вперед, запустить программу, вернуть время назад, и снова запустить её... Т.е. идет контроль за переводом часов, видимо где-то ставятся метки, но уже точно не на винте.... Далее следовало полное удаление всех разделов винта, создание новых, их полное форматирование, и вновь ставилась система, затем программа.... При запуске получал снова окно, что триал закончился.... Открыл винт в режиме прямого доступа, и как верно заметил DillerInc, точно в 32 секторе нашел метку этой сучьей защиты.... Далее этот сектор был полностью забит нулями.... Снова запуск программы - и снова 30 дней триала
Короче выводы таковы, эта блядская защита действительно пишет прямо на винт, помимо этого, уже в самой системе непосредственно устанавливаются некие метки, благодаря которым идет отслеживание перевода системного времени.... Почему в системе? Потому что после тотального реинсталла и удаления метки с винта снова получаю полноценный триал.... В принципе, есть уже идея как отловить установку всех этих меток, и впредь недопустить их повторную установку, таким образом получив полноценный вечный триал.... (как минимум).... ----- The blood swap.... |
|
|
Создано: 14 октября 2007 12:58 · Поправил: SergX · Личное сообщение · #28 Если прога юзает DeviceIoControl, можно сделать лоадер который будет подставлять правильный сектор вместо реального. Чтоб не ковырять винт каждый раз... Вот лоадер который запускает 123.ехе и создаёт в корне С: лог и дапы вызовов DeviceIoControl. Loader_DeviceIoControl.exe http://slil.ru/24976713 З.Ы. Хотя если есть возможность конечно лучше найти проверку и крякнуть. |
|
|
Создано: 14 октября 2007 15:37 · Личное сообщение · #29 Скачал Dance ejay 7(m1.34demo9), все анализаторы хором сказали Safedisc 3.00.000. вот вроде как распакованный файл: rapidshare.com/files/62474151/dumped1_.rar |
|
eXeL@B —› Крэки, обсуждения —› Protector и метки на винте |
Для печати