Сейчас на форуме: yashechka (+6 невидимых)

 eXeL@B —› Крэки, обсуждения —› Вопрос по перехвату функции чтения ключа из реестра
Посл.ответ Сообщение


Ранг: 209.5 (наставник), 42thx
Активность: 0.10
Статус: Участник
WinCE ARM M@sTeR

Создано: 24 июня 2005 09:43
· Личное сообщение · #1

Здравствуйте. Ситуация следующая.
Жертва после ввода ключа пишет его в реестр и просит перезапустить. После запуска она где-то читает его, чтобы проверить, раскодировать и заполнить about реквизитами. Вот это место я и не могу найти. Вопрос в том, какая API функция читает данные из ключа. Думал что RegQueryValueEx должна открыть ключ, послав в lpValueName имя подключа (в данном случае это "key"). Потом должны считаться данные. Однако, судя по всему был не прав, поскольку так и не нашел вызова этой функции с требуемым параметом. Важно также то, что обращение к памяти для чтения имени ключа происходит явно только в одном случае - при записи (функция RegSetValueEx).
Поделитесь, пжалста, опытом как программы могут читать ключ из реестра в себя для анализа.
Благодарю за помощь.
P.S. Если это важно могу добавить информацию о программе (что за, где взять, чем упакована), но думаю тогда это уже будет не вопрос по исследованию а запрос на взлом.

-----
Get busy living or get busy dying ©




Ранг: 6.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 24 июня 2005 10:26
· Личное сообщение · #2

линк к "жертве" плиз



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 24 июня 2005 10:34
· Личное сообщение · #3

Getorix
А ты поставь бряку на advapi32, и программа тебе сама покажет

-----
Подписи - ЗЛО! Нужно убирать!





Ранг: 209.5 (наставник), 42thx
Активность: 0.10
Статус: Участник
WinCE ARM M@sTeR

Создано: 24 июня 2005 11:24
· Личное сообщение · #4

Ну что ж. пожалуйста. То, что я исследую.
Имя: LearnWords 1.4.2
Размер: 1 977 Кб
Упаковка: ASProtect 2.0
Эта версия у меня распакована, с удаленной ВМ.
Проблема в том, что на сайте доступна только версия 1.5
www.learnwords.com/rus/download/learnwords.exe
Но на ней PEiD не находит никакого протектора, хотя очевидно что он там есть.
Так что думаю работать надо с распакованой версией 1.4.2, которую я могу вслать желающим.

-----
Get busy living or get busy dying ©




Ранг: 6.0 (гость)
Активность: 0.010
Статус: Участник

Создано: 24 июня 2005 12:13 · Поправил: Devastator
· Личное сообщение · #5

Версия 1.5 не распакованная
просмотрели Вы вызов API
Есть он сдесь
Кусок лога из regmon
213 2.57637856 LearnWords.exe:780 OpenKey HKCU\Software\LearnWords Software\LearnWords SUCCESS Key: 0xE1DBCBE0
214 2.57640845 LearnWords.exe:780 QueryValue HKCU\Software\LearnWords Software\LearnWords\Key SUCCESS ""
215 2.57642885 LearnWords.exe:780 QueryValue HKCU\Software\LearnWords Software\LearnWords\Key SUCCESS ""
216 2.57644952 LearnWords.exe:780 QueryValue HKCU\Software\LearnWords Software\LearnWords\Key SUCCESS ""
217 2.57646852 LearnWords.exe:780 QueryValue HKCU\Software\LearnWords Software\LearnWords\Key SUCCESS ""
218 2.57649953 LearnWords.exe:780 CloseKey HKCU\Software\LearnWords Software\LearnWords SUCCESS Key: 0xE1DBCBE0
219 2.57652886 LearnWords.exe:780 OpenKey HKLM\Software\LearnWords Software\LearnWords NOTFOUND
220 2.57659339 LearnWords.exe:780 OpenKey HKCU\Software\ASProtect\Spec Data SUCCESS Key: 0xE1DBCBE0
221 2.57662887 LearnWords.exe:780 QueryValue HKCU\Software\ASProtect\S pecData\522E822BB7DA9190 SUCCESS 6E 67 8D 15 20 38 34 71 ...
222 2.57665290 LearnWords.exe:780 QueryValue HKCU\Software\ASProtect\S pecData\522E822BB7DA9190 SUCCESS 6E 67 8D 15 20 38 34 71 ...
223 2.57667776 LearnWords.exe:780 CloseKey HKCU\Software\ASProtect\Spe cData SUCCESS Key: 0xE1DBCBE0



Ранг: 384.1 (мудрец)
Активность: 0.250
Статус: Участник
www.int3.net

Создано: 24 июня 2005 14:02
· Личное сообщение · #6

Getorix
Что бы поставить бряк на длл, нужно:
Нажать Alt+M, в списке найти интресующую Дллку и выбрав секцию кода нажать F2

-----
Подписи - ЗЛО! Нужно убирать!





Ранг: 209.5 (наставник), 42thx
Активность: 0.10
Статус: Участник
WinCE ARM M@sTeR

Создано: 24 июня 2005 14:21 · Поправил: Getorix
· Личное сообщение · #7

Devastator
В запакованой нашел, но брякнуться не могу. протекшн эрор выпадает.
Кстати такой еще вопрос. Может зря я затеял расшифровку кода, для последующего создания кейгена? Поскольку аспр тоже учавствует в регистрации, я наверное в нем утону...

-----
Get busy living or get busy dying ©





Ранг: 332.0 (мудрец)
Активность: 0.180
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 24 июня 2005 14:32
· Личное сообщение · #8

Getorix пишет:
создания кейгена? Поскольку аспр тоже учавствует в регистрации, я наверное в нем утону...

дык если регистрация аспровая, то про поиск ключа или тем более создание кейгена можешь забыть ;)




Ранг: 209.5 (наставник), 42thx
Активность: 0.10
Статус: Участник
WinCE ARM M@sTeR

Создано: 24 июня 2005 14:38
· Личное сообщение · #9

Mario555
Жаль, оч жаль, придется опять инлайн патч делать с убийством нагов...

-----
Get busy living or get busy dying ©



 eXeL@B —› Крэки, обсуждения —› Вопрос по перехвату функции чтения ключа из реестра
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати