| Сейчас на форуме: (+7 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Нужна помощь в взломе программки ThaiTreiner.Share |
| Посл.ответ | Сообщение |
|
|
Создано: 21 февраля 2005 22:13 · Личное сообщение · #1 Распаковать получилось, но вот дальше - затык. Похоже проверка на шароварность идет при запуске, но где - не пойму. Подскажите где копать, уже дело принципа. домашний урл у нее такой: thaitrainer111.com/Progr/THAI-all.EXE  |
|
|
Создано: 21 февраля 2005 22:24 · Личное сообщение · #2 10.01 MB (10500528 байт) |
|
|
Создано: 21 февраля 2005 22:42 · Личное сообщение · #3 golkanavt пишет: Подскажите где копать Где прога ключ из реестра(или из ini-файла) берёт там и ищи. |
|
|
Создано: 22 февраля 2005 09:07 · Поправил: Bitfry · Личное сообщение · #4 Ara пишет: 10.01 MB (10500528 байт) Thai-Learning-Program with sound А зачем нам кузнец... golkanavt Ты бы exe'шник выложил. ----- Всем привет, я вернулся |
|
|
Создано: 22 февраля 2005 10:30 · Личное сообщение · #5 звиняюсь, сейчас будет экзешник. в том то и дело что не обращается она к реестру, в файлах тоже никаких ключей нет распакованный exe: diablo.bel.ru/files/_tt111-33.exe а также в аттаче  b331__TT111_33.exe
|
|
|
Создано: 22 февраля 2005 20:17 · Личное сообщение · #6 что можете подсказать по следующему коду? * Possible StringData Ref from Code Obj ->" USER NAME: "
|
:004025EF 68341D4200 push 00421D34
:004025F4 680C5F4200 push 00425F0C
:004025F9 FF1550644200 call dword ptr [00426450]
* Possible StringData Ref from Code Obj ->" NUMBER OF REGISTRATION: "
|
:004025FF 68481D4200 push 00421D48
:00402604 68105F4200 push 00425F10
:00402609 FF1550644200 call dword ptr [00426450]
:0040260F FF35F05E4200 push dword ptr [00425EF0]
:00402615 68145F4200 push 00425F14
:0040261A FF1550644200 call dword ptr [00426450]
в частности, что значит строка:
call dword ptr [00426450]? мне кажется что это определение глобальных переменных, если можно это так назвать, но как проследить где они в дальнейшем используются? адрес 00426450 находится вне адресного пространства этой программы. |
|
|
Создано: 22 февраля 2005 20:42 · Личное сообщение · #7 call dword ptr [00426450] - это значит, что вызывается код, адрес которого лежит по адресу 426450 |
|
|
Создано: 22 февраля 2005 20:43 · Личное сообщение · #8 т.е если по адресу 426450h лежат циферки 22h 33h 44h 00h то вызовется код по адресу 443322h |
|
|
Создано: 22 февраля 2005 22:19 · Личное сообщение · #9 адрес 00426450 находится вне адресного пространства этой программы. |
|
|
Создано: 22 февраля 2005 22:29 · Личное сообщение · #10 golkanavt то, что windasm по этому адресу ничего не показывает еще ничего не значит, смотри под отладчиком |
|
|
Создано: 22 февраля 2005 22:34 · Личное сообщение · #11 golkanavt пишет: адрес 00426450 находится вне адресного пространства этой программы. а по твоему адресное пространство программы это секция кода чтоли ? =))) |
|
|
Создано: 23 февраля 2005 08:41 · Личное сообщение · #12 сайс по этому адресу показывает только какие то вещественные числа с плав. точкой, мне они ни о чем не говорят |
|
|
Создано: 23 февраля 2005 10:53 · Поправил: Bitfry · Личное сообщение · #13 golkanavt пишет: только какие то вещественные числа с плав. точкой Глюконавт, тут exe'шника мало, сколько весит gfawin23.ocx ? Правка: Я уже скачал саму прогу. ----- Всем привет, я вернулся |
|
|
Создано: 23 февраля 2005 12:09 · Личное сообщение · #14 golkanavt Ты ломаешь прогу защищённую Аспром, и ждёшь от неё нормальных адресов. А ты не пробовал посмотреть что там? EAX=FFDFFC50 EBX=FFDFF000 ECX=00009272 EDX=00000000 ESI=8054A6A0 EDI=8054A900 EBP=80541F50 ESP=80541F44 EIP=806CEFAA o d I s z A p C CS=0008 DS=0023 SS=0010 ES=0023 FS=0030 GS=0000 ─────TT111-33!.data+2450────────────────────────────────────────────── ────────────────────dword─────────────PROT───(0)─ 0010:00426450 18067F73 18067F63 1807B8D8 1807B8AC s..c......м... 0010:00426460 1806CB20 1806CBA0 1806CC20 1806CCD0 ...а... ....... 0010:00426470 1806CDA0 1806CDF0 1806CE40 1806CEA0 а.......@...а... 0010:00426480 1806CF00 18043084 18043187 180431DC ....Д0..З1...1.. 0010:00426490 180431F1 1804575B 18045899 180456FB .1..[W..ЩX...V.. 0010:004264A0 1804580D 180432A7 18043209 180432F8 .X..з2...2...2.. 0010:004264B0 180431FC 1806CF70 18046D85 18043422 .1..p...Еm.."4.. 0010:004264C0 18043505 18043539 1804356D 1804376D .5..95..m5..m7.. 0010:004264D0 180437B5 180437D5 180438FD 18043438 .7...7...8..84.. 0010:004264E0 18043498 180678AC 180678F8 1806AF20 Ш4..мx...x.. п.. 0010:004264F0 18043791 1804374C 18069BDD 18045350 С7..L7...Ы..PS.. ────────────────────────────────────────────────────────────────────── ───────────────────────────────────────────PROT32 0008:18067F73 53 PUSH EBX 0008:18067F74 56 PUSH ESI 0008:18067F75 8B742410 MOV ESI,[ESP+10] 0008:18067F79 57 PUSH EDI 0008:18067F7A 8B7C2410 MOV EDI,[ESP+10] 0008:18067F7E 8B07 MOV EAX,[EDI] 0008:18067F80 3BC6 CMP EAX,ESI 0008:18067F82 0F84DC000000 JZ 18068064 0008:18067F88 85F6 TEST ESI,ESI 0008:18067F8A 0F84C6000000 JZ 18068056 0008:18067F90 8B4EFC MOV ECX,[ESI-04] 0008:18067F93 8BD9 MOV EBX,ECX 0008:18067F95 81E3FFFFFF0F AND EBX,0FFFFFFF 0008:18067F9B 85C9 TEST ECX,ECX 0008:18067F9D 7D60 JGE 18067FFF 0008:18067F9F 85C0 TEST EAX,EAX 0008:18067FA1 7435 JZ 18067FD8 0008:18067FA3 8B48FC MOV ECX,[EAX-04] 0008:18067FA6 83C124 ADD ECX,24 0008:18067FA9 8D5324 LEA EDX,[EBX+24] 0008:18067FAC 33CA XOR ECX,EDX 0008:18067FAE F7C1E0FFFFFF TEST ECX,FFFFFFE0 0008:18067FB4 7518 JNZ 18067FCE 0008:18067FB6 8D4B01 LEA ECX,[EBX+01] 0008:18067FB9 8BD1 MOV EDX,ECX 0008:18067FBB C1E902 SHR ECX,02 0008:18067FBE 8BF8 MOV EDI,EAX 0008:18067FC0 F3A5 REPZ MOVSD 0008:18067FC2 8BCA MOV ECX,EDX 0008:18067FC4 83E103 AND ECX,03 0008:18067FC7 F3A4 REPZ MOVSB 0008:18067FC9 8958FC MOV [EAX-04],EBX 0008:18067FCC EB26 JMP 18067FF4 0008:18067FCE 8BC8 MOV ECX,EAX 0008:18067FD0 E8FBF4FFFF CALL 180674D0 0008:18067FD5 832700 AND DWORD PTR [EDI],00 0008:18067FD8 8BCB MOV ECX,EBX (DISPATCH)-KTEB(8054A6A0)-TID(0000)─GfaWin23!.text+00066F73──────────────────────────────────────────────────────────── ----- Всем привет, я вернулся |
|
|
Создано: 23 февраля 2005 15:47 · Личное сообщение · #15 от Аспра я ее уже освободил 
в аттаче моей мессаги выше именно распакованная версия, над ней и тружусь |
|
|
Создано: 23 февраля 2005 15:48 · Личное сообщение · #16 GfaWin23.ocx - библиотека для работы со звуком, проверка не в ней |
|
|
Создано: 23 февраля 2005 16:13 · Личное сообщение · #17 golkanavt Без неё (ocx) прога не грузилась. golkanavt пишет: в аттаче моей мессаги выше именно распакованная версия, над ней и тружусь И я взял этот файлик, и запустил, и получил по call [00426450] именно то, что в мессаге выше. от Аспра я ее уже освободил Распаковал, убрал защиту, но адреса то остались уродские - как и положено. ----- Всем привет, я вернулся |
|
|
Создано: 23 февраля 2005 17:05 · Личное сообщение · #18 Bitfry а подскажи, как найти где в коде используются переменные типа * Possible StringData Ref from Code Obj ->" NUMBER OF REGISTRATION: " ? |
|
|
Создано: 28 февраля 2005 19:51 · Личное сообщение · #19 похоже пора переносить тему в запросы на взлом. ладно, последняя попытка: мастера, подскажие хоть где там проверка на шарность идет, при запуске или же в глубине, т.е. при попытке запустить урок с номером больше 5? весь код при запуске урока уже перекопал, все подозрительные сравнения и джампы пробовал заменять но с ними прога сразу вываливается в эксепшн |
|
eXeL@B —› Крэки, обсуждения —› Нужна помощь в взломе программки ThaiTreiner.Share |
Для печати