Плз не судите строго, я уже больше месяца бьюсь (правда как хобби)

Подскажите с креком проги, пока она не доломала мне мозг. В общем, заинтересовался устройством прошивок старых телефонов и в особенности Alcatel. К счастью, можно сказать, по наследству мне достался так называемый "бокс" (устройство для правильного и безопасного общения между компом и сервисными ножками телефонов), а именно Easy Unlocker Box. Сразу скажу, что на момент 2018 года он уже лет 10-15 как устарел и на сегодняшний день коммерчески неинтересен никому. Я сам уже переломал зубы об нее, узнал много нового о WinPE, но никак не могу поломать эту прогу, как ни пытаюсь.

Но да ладно. Я достал бокс, нашел по самым разным уголкам инета драйвера и софт, смог все это добро установить на ноут с XP, запускаю, но вот проблема - прога просит ключи для активации бокса (или донгла). Ключи обыскал дома - нету, и тем более в интернете. Так как варианта купить эти ключи уже давно нет (сайт бокса давно лежит), остается вариант прогу взломать.

САма прога лежит тут: https://mega.nz/#!7tswnKBT!sDx1uAyqbHqaXvU2kd4BK7a9S-ugnDEADKPwk7u5KP8 . Интересует "Alcatel ELLE C551 C552 C652 C750 Easy Unlocker.exe"

Прога накрыта, скорее всего NsPack 3.6 плюс еще WinLicense. Ругается, если находит дебаггер. Если ее запустить на обычном компе, она напишет "Dongle not found", но так как у меня донгл (или правильнее, бокс) есть, у меня такое сообщение "You need a license file to activate this product".

Честно говоря даже для промсофта эта прога ну очень странно написана. Ни один расколдовщик ее не берет, LordPE и ряд других програм не могут ее сдампить, правда дампится Immunity Debugger + OllyDump. На выходе получается файл в 100 раз больше оригинала, который еще и не запускается. Недавно опытным путем выяснил, что если не дампить секции .easy0 и .easy2, то размер получается нормальный, но все программа от этого запускаться не начинает. OEP по моей версии находится на 84E01D8 . Причем на выходном дампе все время почему-то OEP уходит в другое место, оригинального кода нет, и первая операция - "MOVW"

Помимо этого пробовал тупо дать программе поработать, дойти до окна с ошибкой и уже оттда дампить или патчить. Проблема в том, что если запускать с дебаггером, то программа насильно улетает в Exception, который приходится передавать в программу, и от этого программа узнает, что запущена под дебаггером и вылетает.

У конкретно этого приложения есть интересная особенность - до того, как закрыться, она на долю секунды рисует основное окно. Может, поломать себе Windows и запретить процессам закрываться, и таким образом "взломать" программу?

Программа взамодействует с боксом, а бокс видится компом как особое устройство + COM порт. Попробовал с помощью осциллографа подключиться к КОМ порту и проверить, может он участвует в проверке лицензии. Логично наверно, но он не участвует.

Попробовал с помощью кастомного такс-менеджера заставить нарисовать основное окно во время ошибки - окно рисуется, но оно пустое, т.е. элементы окна рисуются после проверки лицензии, поэтому и этот трюк не проходит.

Выяснилось методом научного тыка, что программа инъектируема IczDump-ером. Он тоже ничего толком не может сдампить, но вот что интересно - он видит в карте памяти процесса несуществующие DLL-ки FTD2XX.dll (видимо, для коммуникации с боксом) и SHelper.dll (видимо, проверка лицензии). Не знаю, правда, насколько это полезно.

Также с помощью утилиты от Microsoft выяснил, что прога ищет в своей директории файлы license_*.dat . Пробовал совать всякий мусор в кач-ве этого файла, прога его подхватывает, но ничего увы не меняется.

Подскажите, пожалуйста, в какую сторону хотя бы копать?

52eb_22.09.2018_EXELAB.rU.tgz - Capture.PNG

| Сообщение посчитали полезным:

Видимо доломала-таки коварная прога мозг, на полслове.

-----
2 оттенка серого

| Сообщение посчитали полезным: alexholi6

alexholi6 пишет:
Easy Unlocker Box
топик: запросы на взлом

традиционно, для начала нужно просто посмотреть чем вообще накрыта программа (ProtectionID в помощь) и попытаться что-то сделать с этим самому.

| Сообщение посчитали полезным:

ELF_7719116 пишет:
традиционно, для начала нужно просто посмотреть чем вообще накрыта программа (ProtectionID в помощь) и попытаться что-то сделать с этим самому.

Извиняюсь, случайно нажал Enter до того, как дописать пост

| Сообщение посчитали полезным:

Софт на Делфи, запакован NSPack 3.7.



| Сообщение посчитали полезным:

Похоже на EXECryptor 2.x ("EasyUnlocker.exe")

-----
EnJoy!

| Сообщение посчитали полезным: ClockMan, gazlan

EXECryptor 2.4

9095_23.09.2018_EXELAB.rU.tgz - EasyUnlocker.exe.cc.7z

| Сообщение посчитали полезным: SDK

Jupiter пишет:
Похоже на EXECryptor 2.x ("EasyUnlocker.exe")
gazlan пишет:
EXECryptor 2.4

Спасибо за помощь, но извиняюсь, что нечетко выразился: "EasyUnlocker.exe" - это основной лаунчер софта для бокса, меня интересует в основном "Alcatel ELLE C551 C552 C652 C750 Easy Unlocker.exe", которому скорее всего "EasyUnlocker.exe" нужен для правильной работы. Но все равно спасибо за инфу

Можно теоретически попробовать распаковать "EasyUnlocker.exe", поразбираться в машинном коде и попытаться собрать файл лицензии, но на 100% уверен, что там будет десяток подводных камней, как наверно станет очевидно ниже.

Оффтоп: кстати, CC классная утилита, ей периодически анализирую всякие бинарники и очень помогает.

dosprog пишет:
Софт на Делфи, запакован NSPack 3.7.

Перепробовал кучу распаковщиков, разных скриптов для Олли, ничего не помогает (на выходе либо ничего, незапускаемый файл, как писал в шапке). Попробовал вручную (надо было пожалуй начинать с этого), нашел SWF руководство ("руководство" - это сильно сказано, оно на 5 минут), делаю точно как по инструкции - на выходе опять же то же самое - незапускаемый файл + таблица импорта все также не восстанавливаема по находимому OEP. Я бы выложил файл, чтобы вам упростить задачу, но он весит в 100 больше оригинала, да и бестолков без восстановленной таблицы импорта.

Открываю полученный файл в Олли/Immunity (оба ведут себя одинаково): и почему-то странная ситуация - вместо того, чтобы начинать листинг с инициализации с ntdll, у меня первая команда показывается в каком-то разделе памяти основного потока, и первая же команда проблемная (приводит к вылету). Интересно, почему так происходит, это из-за невосстановленной таблицы импорта или чего-то еще?

Пробовал менять ее на джамп на OEP, пробовал тупо менять все "проблемные" команды на NOP, так или иначе, EIP в конце концов меняется на нулевой адрес. Короче, безрезультатно.

НО решил копнуть чуть глубже, и попробовал этот EXE-шник прогнать через анализаторы, и внимание, тут начинается новый подводный камень - нерабочий EXE-шник определяется ProtectionID как накрытый Themida v1.0.0.0 - v1.8.1.0 ! PeID дает более конкретную информацию - "Themida 1.8.x.x - 1.9.x.x -> Oreans Technologies". Получается, что его накрыли минимум 2 раза. Тогда и понятно, почему тут еще и есть WinLicense. Я знаю, что Фемида - страшный зверь (помню, тут кто-то просил за 100 рублей пояснить как распаковать ее ), но тем не менее, не подскажете, куда хотя бы копать дальше?

А именно, что-то надо пытаться распаковывать первым делом - Themida или Nspack? Или надо пытаться каким то макаром восстановить таблицу импорта? Вообще 0 идей... Или что-то еще пробовать?

Добавлено спустя 3 часа 49 минут
Думал сегодня, я чувствую, что не осилю сломать эту программу. Можно, хотя и не обязательно, закрывать тему

| Сообщение посчитали полезным:

Фемида, по-моему опыту, снимается за 5 минут и 10 щелчков мыши, если сразу знать что делать. Держи скрипт https://tuts4you.com/e107_plugins/download/download.php?view.3526 . Заходи на ютуб, смотри руководство и делай так же. Только сразу делай это в виртуалке с WinXP x32, на 10 и 7 у меня куча проблем была, а на Xp всё чётко. Хотя, конечно, ничего гарантировать не могу

А по-поводу того, что распаковывать изначально, хз - я бы оба варианта попробовал.

| Сообщение посчитали полезным: alexholi6

Belg пишет:
Фемида, по-моему опыту, снимается за 5 минут и 10 щелчков мыши
Да у нас тут эксперт по фиме нарисовался!

| Сообщение посчитали полезным: plutos

alexholi6
Если быть более точным

Фимка старенькая
Да и софт 2008 года.
Интерфейс убогий однако


| Сообщение посчитали полезным: alexholi6

BlackCode пишет:
Фимка старенькая
Да и софт 2008 года.

Спасибо за поддержку

BlackCode пишет:
Интерфейс убогий однако

Я так понимаю, вы как-то заставили прогу нарисовать интерфейс, если не секрет, как? Есть предположение, что, учитывая кривизну написанной проги, после запуска основного окна, она никакие "лицензии" больше не проверяет. И может имеет смысл таким образом решить вопрос?

(Оффтоп) А интерфейс еще не самый убогий для такого рода прог. А бывает наоборот - интерфейс со всякими черепами, лампочками, свистелками и перделками, только вот ничего тупо не работает

Belg пишет:
Фемида, по-моему опыту, снимается за 5 минут и 10 щелчков мыши, если сразу знать что делать. Держи скрипт https://tuts4you.com/e107_plugins/download/download.php?view.3526 . Заходи на ютуб, смотри руководство и делай так же. Только сразу делай это в виртуалке с WinXP x32, на 10 и 7 у меня куча проблем была, а на Xp всё чётко. Хотя, конечно, ничего гарантировать не могу

А по-поводу того, что распаковывать изначально, хз - я бы оба варианта попробовал.


Представляю сколько **** потребовалось, чтобы написать такой скрипт однако . Но тоже спасибо за поддержку

Установил чистую XP SP3 на VirtualBox, скачал там ollydbg, StrongOD, Phantom. Настроил все это дело как просит скрипт (в файле ini + кинул DLL для восстановления импорта в нужную папку).

Запускаю скрипт 1.4 - Да (Распаковывать) - Нет (Ничего не анализировать, только распаковывать) - (останавливается на открытии лога) Resume - скрипт не останавливается на точке остановы на строке 1491, хотя по идее должна - программа закрывается, и скрипт ее не распаковывает

Функция, частью которой строка 1491 является - что-то там про определение адреса вирт. памяти. Пока до конца не разобрался, что это именно, но думаю, это важная часть для распаковки. Тем не менее, попробовал "закомментить" (добавить "//" к строкам) эти моменты, ни к чему хорошему это не привело. Пробовал на этом моменте заменить "esto" на "erun" (т.к. написано, что esto - это устаревшая версия erun) , ничего не поменялось

Но это если запускать с с точки входа в программу. Подорожник лог прикладываю: --> Link <--. Заметил, что (логично), скрипт работает несколько по разному с разных значений EIP, напишу ниже, как пробовал еще

- Начинать с каких-то там запускательных алгоритмов ntdll - тоже самое, только прога вылетает с кодом 0xC0000005
- Начинать с какой-то команды для вынимания чего-то там со стека до последнего NsPack-овского джампа
( 088E01FF ) - скрипт не останавливается на точке остановы где-то на 1200-какой-то там строке
- Начинать с последнего NsPack-овского джампа
( 088E0200 ) - скрипт не останавливается на точке остановы где-то на 1200-какой-то там строке
- Начинать с первой (предположительно) Themida-вской команды ( 084D9014 ) - скрипт не останавливается на точке остановы где-то на 1200-какой-то там строке

* Это все я также пробовал, также ставя хардварные точки остановы на эти адреса. Результаты те же самые.

Касательно адреса 084D9014 - с вероятностью 99% это действительно точка входа во Themida-овскую часть софтины. Байткод начинается с B8 00 00 00 60 , что, как подскавзывает гугл, как типично начинается Themida. Да и визуально код похож на то, как Themida выглядит, смотрите сами: --> Link <--

Можно наверно попробовать все это провернуть с Win 7 x32, только наверное это из области фантастики

| Сообщение посчитали полезным:

alexholi6
Распаковывать, лично я, не вижу смысла
В идеале бы железный ключ (Rockey) от этой софины и запилить эмулятор.
Ключ проверяется постоянно, т.е. вытащить его из компа нельзя при работающей софине,
иначе она закроется.

| Сообщение посчитали полезным:

BlackCode

"Железный ключ" от этого софта сейчас найти тупо нереально . Насколько я знаю, этот ключ представляет из себя либо что-то типа флешки, либо типа банковской карты, которая вставляется куда-то и с помощью какой-то утилиты записывается на бокс. Ни этой самой утилиты, ни примера ключа у меня нет и найти нереально, разве что если у меня бы был доступ ко всем камерам, мониторящим все помойки мира.

Я пробовал с помощью process monitor на реальном компе с боксом. На определенном этапе прога пытается найти файл license*.dat в своей директории, так что возможно таким макаром можно подсунуть ключ, но чтобы понять, что для программы - ключ, нужно ее сначала проанализировать. Вот такая вот рекурсия

BlackCode пишет:
Ключ проверяется постоянно, т.е. вытащить его из компа нельзя при работающей софине,

Очень интересно, как Вы тогда смогли заставить основную форму проги нарисоваться?

UPDATE: добавил смайликов, а то без них как будто я злым написал сообщение

| Сообщение посчитали полезным:

alexholi6 пишет:
Очень интересно, как Вы тогда смогли заставить основную форму проги нарисоваться?
Форма висит только 10-15 секунд и прога закрывается.

| Сообщение посчитали полезным:

BlackCode пишет:
Форма висит только 10-15 секунд и прога закрывается.

Я тогда не совсем понимаю, о чем идет речь. У меня прога висит максимум 10-15 миллисекунд после того, как я кликаю ОК на Messagebox-е . Или вы о чем-то другом?

| Сообщение посчитали полезным:

alexholi6

Нужен и файл ключа и железка.

| Сообщение посчитали полезным:

BlackCode пишет:

Нужен и файл ключа и железка.

...Или как-то поломать софт, чтоб он позабыл о ключах всяких

Вообще, у донгла/бокса есть SN (серийник). Щас далеко от того компа, но он из себя представляет текст состоящий из (по-моему) 8 символов из HEX-диопазона (т.е. 0-9 и A-F). Я думаю, скорее всего прога берет этот SN и сверяет его с ключом (или файлом ключа) исходя из своих алгоритмов

Кстати, так как же вы заставили окно не закрываться 10-15 секунд? Реально интересно

| Сообщение посчитали полезным:

alexholi6 пишет:
Кстати, так как же вы заставили окно не закрываться 10-15 секунд? Реально интересно
В отладчике перепрыгнул проверку донгла и файла лицензии

| Сообщение посчитали полезным:

BlackCode пишет:
В отладчике перепрыгнул проверку донгла и файла лицензии

Так может быть заполнить этот кусок нулями и дело закончено?

| Сообщение посчитали полезным:

alexholi6 пишет:
программа закрывается, и скрипт ее не распаковывает

Эта строка - известная проблема, мне она тоже всё ломала и проблема решилась как раз переходом на XP. Вообще на там же на tuts4you есть довольно большая и живая тема по этому скрипту, рекомендую поискать решение: https://forum.tuts4you.com/topic/34085-themida-winlicense-ultra-unpacker-14/ . Можно даже с самим автором проконсультироваться, честь ему и хвала.

| Сообщение посчитали полезным: