Пожалуйста, попинайте защиту

8a16_24.03.2008_CRACKLAB.rU.tgz - CrackMe.rar

| Сообщение посчитали полезным:

lotion пишет:
Программа на Delphi с навешенной на неё самодельной защитой.
Сама программа просто выводит на экран текст "дайте ключ" или "спасибо за регистрацию".
lotion пишет:
daFix пишет:
OEP случайно ли не 00057EA0?
Там 2 точки входа. До упаковки такая, но исходная (целевая) прога стартует не от туда.

Судя по этим словам, там сверху навешан самопальный прот...
Добавлено: Блин, чёт я тупанул! Походу это окно прота. Без валидного ключа стаб не запускается! Значит надо дёргать ключ...

-----
Research For Food

| Сообщение посчитали полезным:

lotion
Ты бы выложил файл, непакованный Upack'om
Посмотрели бы просто твой самодельный протектор

| Сообщение посчитали полезным:

Он что-то читает из себя самого (ехе):
ReadFile....
test eax,eax
jnz ...
Так вот если поменять jnz на je то он ваще делает вид, что не запускаеться, тоесть уже не выводит того окошка, а закрываеться сразу... может так производиться проверка целостночти? тоесть по определённому смещению лежат некоторые байты и он их например использует для адреса. В общем для чего угодно может использовать...

| Сообщение посчитали полезным:

Хуки ставит на клаву и мышь зачем-то

| Сообщение посчитали полезным:

Непакованный файл.
3715_24.03.2008_CRACKLAB.rU.tgz - CrackMe_Unp.rar

Интересно пока услышать ваше мнение по поводу запакованной проги. В принципе, в распакованном виде не-CrackMe программы выкладывать не планирую. Если не WinUpack, то будет другой упаковщик, если лицензия позволит.
Упакован только шаблон, к которому затем дописан код программы, ресурсы и т.п. Сам протектор упаковщиков в своём составе не имеет. Часть кода программы выполняется в шаблоне, часть в ключе и часть в самой защищённой программе (визуализация через .dll и .dat того, что вернула защита).

Содержимое файла CPCrackMe.dat до применения защиты (2 байта):
%s или 2573.

Код DLL:
library CPCrackMe;

uses
Windows,
Classes,
SysUtils,
Math;

{$R *.res}

procedure LoadExternalData(Destination: Pointer) stdcall;
var
DataFile: TMemoryStream;
const
__UserEncryptSize = 1024;
begin
try
ZeroMemory(Destination, __UserEncryptSize);
DataFile:= TMemoryStream.Create;
try
DataFile.LoadFromFile(ChangeFileExt(ParamStr(0), '.dat'));
MoveMemory(Destination, DataFile.Memory, Min(__UserEncryptSize, DataFile.Size));
finally
DataFile.Free;
end;
except
end;
end;

exports
LoadExternalData name 'загрузка_внешних_данных';

begin
end.

Скорее всего, реально защита никаких внешних модулей включать не будет, прот. вместо текста об активации и взломе будет возвращать текст программы для интерпретатора, который и будет выполнять нужные действия в том числе просить ключ и т.п.

| Сообщение посчитали полезным:

Bronco пишет:
Мне кажетЦо что это ближе к "лицензированию"
В смысле?

| Сообщение посчитали полезным:

Да, это слинковано компилятором. И о чём это говорит? Это код шаблона.
И что нам даёт приведённый код? Можно попробовать потрейсить дальше...
Это случайно не 2-й поток (не main thread)?

| Сообщение посчитали полезным:

lotion
Так код запротекченной проги у нас выполняется если ключи не найдены?

-----
Research For Food

| Сообщение посчитали полезным:

daFix
Нет, тем более, что ключ содержит небольшой кусок исполняемого кода, который используется при расшифровке программы и даже содержит чуть-чуть антиотладки. Кстати, вероятность успешного запуска программы тоже прописана в ключе.
Демонстрационного ключа вполне достаточно, чтобы попасть в программу, от рабочего он в этом смысле мало чем отличается.
Программа может также ругаться на ключ не потому, что она его не нашла или он неправильный, а потому, что в самом ключе прописано такое поведение.

| Сообщение посчитали полезным:

ce04_25.03.2008_CRACKLAB.rU.tgz - CrackMe_Img.rar

1 - программа до взлома, которая запускается через раз (та, что у нас сейчас).
2 - та же программа, но ключ не демонстрационный (практически идентичный тому, что у нас есть сейчас, только без признака "демо").
3 - программа, которая думает, что всё в порядке.

Ещё в "комплекте" есть DLL-ка и DAT-ник, которые теоретически могут содержать что угодно. Мы с вами знаем что там лежит, но в реальной программе этих библиотек и датников могут быть сотни.
Интересен не только сам взлом (регистрация) программы, но и чтобы код дополнительных модулей был доступен.

| Сообщение посчитали полезным:

Если бы я делел защиту и было бы интересно получить полезный фидбэк - то в первую очередь волновал бы вопрос вроде "какой должен быть приз для challenge".

А тут для начала нужно сделать хотя бы что бы софт запускался (пока оно постоянно просит ключ - это так и должно быть?). Впочем, наример Outpost 2008 запускаться этой дряни не дает. И с ним многие солидарны http://www.virustotal.com/analisis/f206515a51f1002e551c74c62a1b2d00 http://www.virustotal.com/analisis/f206515a51f1002e551c74c62a1b2d00

| Сообщение посчитали полезным:

S_T_A_S_ пишет:
пока оно постоянно просит ключ - это так и должно быть?
Да. Демка всегда просит ключ, даже в случае успешного запуска. Вот от этого её и нужно отучить.
Кому-нибудь нужен рабочий (не демо) ключ?
Outpost 2008 ругается на внедрение кода? Так может быть. Внедряемся в свой же процесс (их при успешном запуске должно быть 2).
Второй вариант - ему не нравится самомодифицирующаяся программа, т.к. при изменении собственного процесса мы не используем псевдоманипулятор ((HANDLE)-1). Вообще х.з., что он пишет-то?

| Сообщение посчитали полезным:

При отключенном атупосте она просит ключ (XP SP2 без апдейтов). Показывает одно или 2 окна, последнее с 3мя кнопками из которых дают эффект только "закрыть".

При включенном - пишет "вредоносный объект заблокирован постоянной защитой" и далее ОС просто получает отлуп:
---------------------------
C:\cm\CPCrackMe.exe
---------------------------
Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту.
---------------------------
ОК
---------------------------
из-за каких действий - разбираться не буду, но их нужно однозначно убрать. Тем более Если это внедрение в свой же процесс

ЗЫ Вообще upack'ом нередко пакуют малвару, в общем, халява только в мышеловке. У тебя модифицированный пакер - эвристк поставит плюсик.

| Сообщение посчитали полезным:

Ругаться на ключ должен часто, но иногда должен запускаться, причём даже если запустился, ругнуться должен сначала при запуске, потом примерно раз в минуту. Только что проверил на ВМ и ноутбуке - работает.
Скриншоты запущенной программы я выкладывал ранее.
Насчёт антивирусов:
www.virustotal.com/ru/analisis/be4333330991254b5cb82c4e3d051731
Это запакованный WinUpack-ом блокнот. Он получается даже опаснее чем моя прога!
У меня тоже KIS ругался на invader, о чём я уже сообщил в службу техподдержки Касперского с подробным описанием проблемы. Обещали разобраться.

| Сообщение посчитали полезным:

S_T_A_S_
Качаю оутпост, щас буду разбираться.

| Сообщение посчитали полезным:

S_T_A_S_ пишет:
При отключенном атупосте она просит ключ (XP SP2 без апдейтов). Показывает одно или 2 окна, последнее с 3мя кнопками из которых дают эффект только "закрыть".
Всё правильно.

| Сообщение посчитали полезным:

S_T_A_S_
Поставил Outpost 2008. Только в начале спросил про изменение памяти, сказал Ok. Всё.

| Сообщение посчитали полезным:

lotion пишет:
Ругаться на ключ должен часто, но иногда должен запускаться,
В dev\null такую заshitу. Обсуждать это смысла нет, читаем книгу Склярова.

lotion пишет:
Это запакованный WinUpack-ом блокнот
Можно долго и безуспешно объяснять это юзерам, а можно делать как cледует.

lotion пишет:
Только в начале спросил про изменение памяти, сказал Ok
Я что увидел, то и написал, по умолчанию там защита не на максимуме, или возможно дело в апдейтах. Вообще и такой алерт - это ахтунг. Там что ли через WriteProcessMemory модификация?

| Сообщение посчитали полезным:

S_T_A_S_ пишет:
В dev\null такую заshitу
Ну, в dev\null, так в dev\null. Выкладываю ключ (для неупакованного варианта), который вообще не ругается, хотя разницы особой нет, просто думал, так будет интереснее. Если кому-то ещё вообще интересно. В любом случае, это не коммерческий прот, а тренировочный CrackMe, так что замечания по поводу качества оформления считаю не по существу.

S_T_A_S_ пишет:
Там что ли через WriteProcessMemory модификация
нет

ee9d_25.03.2008_CRACKLAB.rU.tgz - 5CD6C837BCCA4EB2ACE4C4AC3FF1E176.Demo.key

| Сообщение посчитали полезным:

lotion пишет:
думал, так будет интереснее
Фактически - защита без видимых оснований мешает нормальной работе, то есть вредит.

С новым ключем тоже самое. Окон кроме "режим демонстрации, либо ключ не найден" не появляется. ключ ложил так же и рядом с exe.

Если модификация не через API, выходит аутпост сканирует память временами, что ли?

| Сообщение посчитали полезным:

S_T_A_S_ пишет:
режим демонстрации, либо ключ не найден
Какой вариант программы? я выкладывал 2 раза, запакованную WinUpack-ом и нет. Нормальный ключ для неупакованного варианта.
Bronco пишет:
Два раза из трёх, при запуске в среде Винды, рисуетЦо системный "егор"( 0Xc0000005 ), то бишь ошибка инициализации приложения. Под дебугером та же фишка.Либо отрисовываем мессэдж, либо зависаем, либо терминатимся
Дальше работать не будет, ни под отладчиком, ни без.
S_T_A_S_ пишет:
Фактически - защита без видимых оснований мешает нормальной работе, то есть вредит.
В чём заключается нормальная работа с CrackMe?

| Сообщение посчитали полезным:

Всем огромное спасибо!
Отдельное спасибо за критику. Думаю, мне есть над чем работать.
Вопросы, предложения и т.п., если кому-то интересно продолжать тему, прошу отправлять на crackme11566@mail.ru.

| Сообщение посчитали полезным: