триал 30 дней нашел хеш дальше тупик... что делать ?

Сейчас на форуме: site-pro, Rio, johnniewalker, vsv1 (+5 невидимых)

Посл.ответ	Сообщение
Mirvays Ранг: 0.5 (гость) Активность: 0=0 Статус: Участник	Создано: 24 сентября 2012 17:08 · Поправил: Mirvays · Личное сообщение · #1 здарова народ есть программа выводит окошко с счетчиком и внизу кнопка с просьбой ввести ключь ... Процесс Монитором промониторил, при попытке ввести серийник программа запрашивает в реестре HKCU\Software\McNeel\Rhinoceros\4.0\Scheme: Default\Plug-Ins\E5C3A2D1-AE16-45A4-A03E-C01F82ED7F45\Settings\имяпрограммы License но такой строки в реестре нету поэтому она дальше пошла в HKCU\Software\Licenses\{I87BA0114CD6CD63F} HKCU\Software\Licenses\{087BA0114CD6CD63F} там лежит хеш [code] Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Licenses] "{R7C0DB872A3F777C0}"=hex:ab,3b,92,c7 "{K7C0DB872A3F777C0}"=hex:a3,a0,17,33,97,13,1f,7d,fc,64,2d,c3,5b,12,54,e1,44,\ 29,25,9b,36,60,63,2e,6f,00,25,ab,3b,92,c7,c9,13,7c,fb,86,47,07,66,ff,ff,ff,\ ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\ ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\ ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\ ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,2e,6f,00,25,97,13,1f,7d,fc,64,2d,c3,5b,12,54,\ e1,44,29,25,9b,36,60,63,2e,6f,00,25,ab,3b,92,c7,c9,13,7c,fb,86,47,07,66,ff,\ ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\ ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\ ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\ ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,2e,6f,00,25,00,00 "{I87BA0114CD6CD63F}"=hex:0d,02,00,00 "{087BA0114CD6CD63F}"=hex:56,3e,a8,0e,0b,a2,a7,a6,41,06,53,98,ac,a0,44,a3,4c,\ 2b,92,66,77,b7,01,ab,99,e8,09,9b,5d,bf,52,3d,7e,e3,0b,3d,d0,d1,d8,60,63,ba,\ 92,42,e4,fe,e2,60,f3,ed,28,56,53,9c,36,bf,d4,2e,fe,62,16,35,27,02,83,85,32,\ 79,32,b9,d3,2d,93,10,1b,ac,7e,5d,6f,8b,5a,2a,ef,a3,fe,be,48,d5,8b,79,b7,3d,\ 2e,97,48,5d,4f,a3,c2,cb,3e,03,8a,84,42,bb,83,9e,08,15,79,6b,60,b2,fe,38,8c,\ 7e,ee,b3,e6,8d,c1,3c,92,c5,1b,4a,a3,81,a9 [/code] создал виртуальную машину в ней установил программу, и с реального компа скопировал хеш с триал -228 дней и заменил на виртуальной машине ... теперь на виртуалке вместо 30 дней -228 стало... ура думаю получилось .. решил попробывать наобород с виртуалки содрать хеш с 30 днями и заменить на реальной машине ... НО увы эта фишка не прошла ... не знаю что теперь делать помогите советом направте на путь истинный.... в крекинге я нуль сегодня только начал ...

KingSise Ранг: 469.0 (мудрец), 100thx Активность: 0.25↘0 Статус: Участник [www.AHTeam.org]	Создано: 24 сентября 2012 17:12 · Личное сообщение · #2 если удалить этот ключ, триал собьется? ----- -=истина где-то рядом=-
redlord Ранг: 33.4 (посетитель), 24thx Активность: 0.02↘0 Статус: Участник	Создано: 24 сентября 2012 17:17 · Поправил: redlord · Личное сообщение · #3 навесной пакер, похоже на armadillo
dimka_new Ранг: 33.8 (посетитель), 38thx Активность: 0.06↘0 Статус: Участник	Создано: 24 сентября 2012 17:25 · Поправил: dimka_new · Личное сообщение · #4 del
Vnv Ранг: 88.6 (постоянный), 50thx Активность: 0.04↘0.02 Статус: Участник	Создано: 24 сентября 2012 17:39 · Поправил: Vnv · Личное сообщение · #5 Mirvays А на --> рутрекере <-- не смотрел? Там кейген в раздаче, не проверял.
Mirvays Ранг: 0.5 (гость) Активность: 0=0 Статус: Участник	Создано: 24 сентября 2012 17:50 · Поправил: Mirvays · Личное сообщение · #6 ключ удалял, после запуска программы он возобновляется .... Vnv речь идет о плагине MadCam 4.3 для Rhinoceros, а не о самом Rhinoceros название программы не писал так как правила запрещают если не изменяет память...
KingSise Ранг: 469.0 (мудрец), 100thx Активность: 0.25↘0 Статус: Участник [www.AHTeam.org]	Создано: 24 сентября 2012 18:12 · Личное сообщение · #7 Ну так удаляй ключ программно перед запуском программы, раз триал сбрасывается или? ----- -=истина где-то рядом=-
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 24 сентября 2012 18:15 · Поправил: ELF_7719116 · Личное сообщение · #8 Mirvays Все с точностью наоборот. О какой программе (.exe файле) идет речь, нужно писать сразу в первом топике. Мало того, считается хорошим тоном прогнать жертву через PeID или ProtectionID и выложить результаты. Дополнительно описав свои планы по взлому, которые будут скорректированы участниками. В противном случае, существует раздел Запросы на взлом программ add по существу Установщик madCAM43_111123.exe Code: 00454569 \|. 833D FC594600 CMP DWORD PTR DS:[4659FC],0 00454570 \|. 74 38 JE SHORT 004545AA //<-- разрешается ставить без основной программы Rhinoceros ))) ---- MadCam4.dll Delphi lib. Секции .adata, pdata (Armadillo) ?!
Mirvays Ранг: 0.5 (гость) Активность: 0=0 Статус: Участник	Создано: 24 сентября 2012 18:34 · Поправил: Mirvays · Личное сообщение · #9 да ...запрос по взлому выложил тоже и не только тут ...но и у самого вызывает большой интерес сломать .... речь идет не о .exe... это плагин для большой программы Rhinoceros.. сам плагин состоит из 2х файлов MadCam4.rhp и MadCam4.dll (.rhp это расширение программы Rhinoceros) про ProtectionID не знал сейчас прогоню... а ссылки на программу можно выложить сюда ? план взлома: найти место откуда идет отсчет и скорректировать триал дни... KingSise сначало удалил потом запустил .. не помогло... Code: -=[ ProtectionID v0.6.4.0 JULY]=- (c) 2003-2010 CDKiLLER & TippeX Build 07/08/10-17:57:05 <Previous Data Cleared> Scanning -> C:\Users\Mirvays\Desktop\MadCam4.dll File Type : 32-Bit Dll (Subsystem : Win GUI / 2), Size : 7000064 (06AD000h) Byte(s) [x] Warning - FileAlignment seems wrong.. is 0x00001000, calculated 0x00000400 [File Heuristics] -> Flag : 00000000000000001100001100000001 (0x0000C301) [!] Armadillo Unknown Version detected ! [!] Possible CD/DVD-Key or Serial Check -> trial period [CompilerDetect] -> Visual C/C++ - Scan Took : 0.501 Second(s) Scanning -> C:\Users\Mirvays\Desktop\MadCam4.rhp File Type : 32-Bit Dll (Subsystem : Win GUI / 2), Size : 188416 (02E000h) Byte(s) [File Heuristics] -> Flag : 00000000000000001000010000000000 (0x00008400) [CompilerDetect] -> Visual C++ 8.0 (Visual Studio 2005) [!] File appears to have no protection or is using an unknown protection - Scan Took : 0.891 Second(s)
redlord Ранг: 33.4 (посетитель), 24thx Активность: 0.02↘0 Статус: Участник	Создано: 24 сентября 2012 18:50 · Поправил: redlord · Личное сообщение · #10 Mirvays пишет: Armadillo Unknown Version detected ! если правильно помню, кроме ключей в реестре, еще и tmp файл создается XXXXXXXX.TMP (XXXXXXXX - циферки)
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 24 сентября 2012 19:15 · Поправил: ELF_7719116 · Личное сообщение · #11 Вообще там виртуальная машинка с различными http://digitalriver.com/DigitalRight/activateLicense Сначала он свои данные распаковывает, затем Code: 00A0D4F0 $ 55 PUSH EBP 00A0D4F1 . 8BEC MOV EBP,ESP 00A0D4F3 . 83EC 64 SUB ESP,64 00A0D4F6 . 60 PUSHAD 00A0D4F7 . 33C0 XOR EAX,EAX 00A0D4F9 . 75 02 JNE SHORT 00A0D4FD //jmp 00A0D4FD доходя до Code: 00A0D75A 6A 04 PUSH 4 //PAGE_READ_EXECUTE 00A0D75C 68 00100000 PUSH 1000 //MEM_COMMIT 00A0D761 8B55 F8 MOV EDX,DWORD PTR SS:[EBP-8] 00A0D764 52 PUSH EDX //SIZE > 0x000A0000 00A0D765 6A 00 PUSH 0 00A0D767 FF15 74D0A700 CALL DWORD PTR DS:[<&KERNEL32.VirtualAlloc Start VM Но сабж отдельными блоками жжот мусорным кодом: Code: 009E5AC7 \|. B5 38 MOV CH,38 009E5AC9 \|. 80ED 0B SUB CH,0B 009E5ACC \|. FECD DEC CH 009E5ACE \|. FECD DEC CH 009E5AD0 \|. FECD DEC CH 009E5AD2 \|. FECD DEC CH 009E5AD4 \|. FECD DEC CH 009E5AD6 \|. FECD DEC CH 009E5AD8 \|. FECD DEC CH 009E5ADA \|. FECD DEC CH 009E5ADC \|. FECD DEC CH 009E5ADE \|. FECD DEC CH 009E5AE0 \|. FECD DEC CH 009E5AE2 \|. FECD DEC CH 009E5AE4 \|. FECD DEC CH 009E5AE6 \|. FECD DEC CH 009E5AE8 \|. FECD DEC CH 009E5AEA \|. FECD DEC CH 009E5AEC \|. FECD DEC CH 009E5AEE \|. FECD DEC CH 009E5AF0 \|. FECD DEC CH 009E5AF2 \|. FECD DEC CH 009E5AF4 \|. FECD DEC CH 009E5AF6 \|. FECD DEC CH 009E5AF8 \|. FECD DEC CH 009E5AFA \|. FECD DEC CH 009E5AFC \|. FECD DEC CH 009E5AFE \|. FECD DEC CH 009E5B00 \|. FECD DEC CH 009E5B02 \|. FECD DEC CH 009E5B04 \|. FECD DEC CH 009E5B06 \|. FECD DEC CH 009E5B08 \|. FECD DEC CH 009E5B0A \|. FECD DEC CH 009E5B0C \|. FECD DEC CH 009E5B0E \|. FECD DEC CH 009E5B10 \|. FECD DEC CH 009E5B12 \|. FECD DEC CH 009E5B14 \|. 80ED 04 SUB CH,4 009E5B17 \|. FECD DEC CH 009E5B19 \|. 80ED 03 SUB CH,3 009E5B1C \|. FECD DEC CH //КЭП ПОДСКАЗЫВАЕТ, ЧТО CH = NULL ... 009E5B4B 8B4D FC MOV ECX,DWORD PTR SS:[EBP-4]
Mirvays Ранг: 0.5 (гость) Активность: 0=0 Статус: Участник	Создано: 24 сентября 2012 22:34 · Личное сообщение · #12 прошу модераторов закрыть тему... спасибо MasterSoft сделал кейген качественно и быстро...
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 24 сентября 2012 23:07 · Личное сообщение · #13 Автор сам может закрыть свою тему, кнопка "Закрыть тему" находится внизу страницы, под кнопкой "Отправить сообщение".

Для печати