Сейчас на форуме: -Sanchez-, barsik, vasilevradislav, vsv1 (+6 невидимых) |
eXeL@B —› Крэки, обсуждения —› Пожалуйста, попинайте защиту |
<< . 1 . 2 . |
Посл.ответ | Сообщение |
|
Создано: 24 марта 2008 20:10 · Личное сообщение · #1 |
|
Создано: 25 марта 2008 00:35 · Поправил: daFix · Личное сообщение · #2 lotion пишет: Программа на Delphi с навешенной на неё самодельной защитой. Сама программа просто выводит на экран текст "дайте ключ" или "спасибо за регистрацию". lotion пишет: daFix пишет: OEP случайно ли не 00057EA0? Там 2 точки входа. До упаковки такая, но исходная (целевая) прога стартует не от туда. Судя по этим словам, там сверху навешан самопальный прот... Добавлено: Блин, чёт я тупанул! Походу это окно прота. Без валидного ключа стаб не запускается! Значит надо дёргать ключ... ----- Research For Food |
|
Создано: 25 марта 2008 01:06 · Личное сообщение · #3 |
|
Создано: 25 марта 2008 01:33 · Поправил: multiarc · Личное сообщение · #4 Он что-то читает из себя самого (ехе): ReadFile.... test eax,eax jnz ... Так вот если поменять jnz на je то он ваще делает вид, что не запускаеться, тоесть уже не выводит того окошка, а закрываеться сразу... может так производиться проверка целостночти? тоесть по определённому смещению лежат некоторые байты и он их например использует для адреса. В общем для чего угодно может использовать... |
|
Создано: 25 марта 2008 01:54 · Личное сообщение · #5 |
|
Создано: 25 марта 2008 08:35 · Поправил: lotion · Личное сообщение · #6 Непакованный файл. 3715_24.03.2008_CRACKLAB.rU.tgz - CrackMe_Unp.rar Интересно пока услышать ваше мнение по поводу запакованной проги. В принципе, в распакованном виде не-CrackMe программы выкладывать не планирую. Если не WinUpack, то будет другой упаковщик, если лицензия позволит. Упакован только шаблон, к которому затем дописан код программы, ресурсы и т.п. Сам протектор упаковщиков в своём составе не имеет. Часть кода программы выполняется в шаблоне, часть в ключе и часть в самой защищённой программе (визуализация через .dll и .dat того, что вернула защита). Содержимое файла CPCrackMe.dat до применения защиты (2 байта): %s или 2573. Код DLL: library CPCrackMe; uses Windows, Classes, SysUtils, Math; {$R *.res} procedure LoadExternalData(Destination: Pointer) stdcall; var DataFile: TMemoryStream; const __UserEncryptSize = 1024; begin try ZeroMemory(Destination, __UserEncryptSize); DataFile:= TMemoryStream.Create; try DataFile.LoadFromFile(ChangeFileExt(ParamStr(0), '.dat')); MoveMemory(Destination, DataFile.Memory, Min(__UserEncryptSize, DataFile.Size)); finally DataFile.Free; end; except end; end; exports LoadExternalData name 'загрузка_внешних_данных'; begin end. Скорее всего, реально защита никаких внешних модулей включать не будет, прот. вместо текста об активации и взломе будет возвращать текст программы для интерпретатора, который и будет выполнять нужные действия в том числе просить ключ и т.п. |
|
Создано: 25 марта 2008 10:35 · Личное сообщение · #7 |
|
Создано: 25 марта 2008 11:41 · Поправил: lotion · Личное сообщение · #8 |
|
Создано: 25 марта 2008 14:49 · Личное сообщение · #9 |
|
Создано: 25 марта 2008 14:52 · Поправил: lotion · Личное сообщение · #10 daFix Нет, тем более, что ключ содержит небольшой кусок исполняемого кода, который используется при расшифровке программы и даже содержит чуть-чуть антиотладки. Кстати, вероятность успешного запуска программы тоже прописана в ключе. Демонстрационного ключа вполне достаточно, чтобы попасть в программу, от рабочего он в этом смысле мало чем отличается. Программа может также ругаться на ключ не потому, что она его не нашла или он неправильный, а потому, что в самом ключе прописано такое поведение. |
|
Создано: 25 марта 2008 15:27 · Поправил: lotion · Личное сообщение · #11 ce04_25.03.2008_CRACKLAB.rU.tgz - CrackMe_Img.rar 1 - программа до взлома, которая запускается через раз (та, что у нас сейчас). 2 - та же программа, но ключ не демонстрационный (практически идентичный тому, что у нас есть сейчас, только без признака "демо"). 3 - программа, которая думает, что всё в порядке. Ещё в "комплекте" есть DLL-ка и DAT-ник, которые теоретически могут содержать что угодно. Мы с вами знаем что там лежит, но в реальной программе этих библиотек и датников могут быть сотни. Интересен не только сам взлом (регистрация) программы, но и чтобы код дополнительных модулей был доступен. |
|
Создано: 25 марта 2008 21:19 · Поправил: S_T_A_S_ · Личное сообщение · #12 Если бы я делел защиту и было бы интересно получить полезный фидбэк - то в первую очередь волновал бы вопрос вроде "какой должен быть приз для challenge". А тут для начала нужно сделать хотя бы что бы софт запускался (пока оно постоянно просит ключ - это так и должно быть?). Впочем, наример Outpost 2008 запускаться этой дряни не дает. И с ним многие солидарны http://www.virustotal.com/analisis/f206515a51f1002e551c74c62a1b2d00 http://www.virustotal.com/analisis/f206515a51f1002e551c74c62a1b2d00 |
|
Создано: 25 марта 2008 21:55 · Поправил: lotion · Личное сообщение · #13 S_T_A_S_ пишет: пока оно постоянно просит ключ - это так и должно быть? Да. Демка всегда просит ключ, даже в случае успешного запуска. Вот от этого её и нужно отучить. Кому-нибудь нужен рабочий (не демо) ключ? Outpost 2008 ругается на внедрение кода? Так может быть. Внедряемся в свой же процесс (их при успешном запуске должно быть 2). Второй вариант - ему не нравится самомодифицирующаяся программа, т.к. при изменении собственного процесса мы не используем псевдоманипулятор ((HANDLE)-1). Вообще х.з., что он пишет-то? |
|
Создано: 25 марта 2008 22:19 · Поправил: S_T_A_S_ · Личное сообщение · #14 При отключенном атупосте она просит ключ (XP SP2 без апдейтов). Показывает одно или 2 окна, последнее с 3мя кнопками из которых дают эффект только "закрыть". При включенном - пишет "вредоносный объект заблокирован постоянной защитой" и далее ОС просто получает отлуп: --------------------------- C:\cm\CPCrackMe.exe --------------------------- Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту. --------------------------- ОК --------------------------- из-за каких действий - разбираться не буду, но их нужно однозначно убрать. Тем более Если это внедрение в свой же процесс ЗЫ Вообще upack'ом нередко пакуют малвару, в общем, халява только в мышеловке. У тебя модифицированный пакер - эвристк поставит плюсик. |
|
Создано: 25 марта 2008 22:24 · Личное сообщение · #15 Ругаться на ключ должен часто, но иногда должен запускаться, причём даже если запустился, ругнуться должен сначала при запуске, потом примерно раз в минуту. Только что проверил на ВМ и ноутбуке - работает. Скриншоты запущенной программы я выкладывал ранее. Насчёт антивирусов: www.virustotal.com/ru/analisis/be4333330991254b5cb82c4e3d051731 Это запакованный WinUpack-ом блокнот. Он получается даже опаснее чем моя прога! У меня тоже KIS ругался на invader, о чём я уже сообщил в службу техподдержки Касперского с подробным описанием проблемы. Обещали разобраться. |
|
Создано: 25 марта 2008 22:27 · Личное сообщение · #16 |
|
Создано: 25 марта 2008 22:28 · Личное сообщение · #17 |
|
Создано: 25 марта 2008 22:49 · Личное сообщение · #18 |
|
Создано: 25 марта 2008 23:18 · Поправил: S_T_A_S_ · Личное сообщение · #19 lotion пишет: Ругаться на ключ должен часто, но иногда должен запускаться, В dev\null такую заshitу. Обсуждать это смысла нет, читаем книгу Склярова. lotion пишет: Это запакованный WinUpack-ом блокнот Можно долго и безуспешно объяснять это юзерам, а можно делать как cледует. lotion пишет: Только в начале спросил про изменение памяти, сказал Ok Я что увидел, то и написал, по умолчанию там защита не на максимуме, или возможно дело в апдейтах. Вообще и такой алерт - это ахтунг. Там что ли через WriteProcessMemory модификация? |
|
Создано: 25 марта 2008 23:33 · Поправил: lotion · Личное сообщение · #20 S_T_A_S_ пишет: В dev\null такую заshitу Ну, в dev\null, так в dev\null. Выкладываю ключ (для неупакованного варианта), который вообще не ругается, хотя разницы особой нет, просто думал, так будет интереснее. Если кому-то ещё вообще интересно. В любом случае, это не коммерческий прот, а тренировочный CrackMe, так что замечания по поводу качества оформления считаю не по существу. S_T_A_S_ пишет: Там что ли через WriteProcessMemory модификация нет ee9d_25.03.2008_CRACKLAB.rU.tgz - 5CD6C837BCCA4EB2ACE4C4AC3FF1E176.Demo.key |
|
Создано: 26 марта 2008 00:56 · Поправил: S_T_A_S_ · Личное сообщение · #21 lotion пишет: думал, так будет интереснее Фактически - защита без видимых оснований мешает нормальной работе, то есть вредит. С новым ключем тоже самое. Окон кроме "режим демонстрации, либо ключ не найден" не появляется. ключ ложил так же и рядом с exe. Если модификация не через API, выходит аутпост сканирует память временами, что ли? |
|
Создано: 26 марта 2008 09:53 · Личное сообщение · #22 S_T_A_S_ пишет: режим демонстрации, либо ключ не найден Какой вариант программы? я выкладывал 2 раза, запакованную WinUpack-ом и нет. Нормальный ключ для неупакованного варианта. Bronco пишет: Два раза из трёх, при запуске в среде Винды, рисуетЦо системный "егор"( 0Xc0000005 ), то бишь ошибка инициализации приложения. Под дебугером та же фишка.Либо отрисовываем мессэдж, либо зависаем, либо терминатимся Дальше работать не будет, ни под отладчиком, ни без. S_T_A_S_ пишет: Фактически - защита без видимых оснований мешает нормальной работе, то есть вредит. В чём заключается нормальная работа с CrackMe? |
|
Создано: 26 марта 2008 15:44 · Личное сообщение · #23 |
<< . 1 . 2 . |
eXeL@B —› Крэки, обсуждения —› Пожалуйста, попинайте защиту |
Эта тема закрыта. Ответы больше не принимаются. |