Программа для редактирования прошивок Samsung. Просил хороший человек, копаю уж несколько дней, кой чего накопал но зарылся в проверках.

Ищется народ для совместной работы по исследованию программы Resman 5.0 pro
www.jcf.com.ru/resman.rar
моя ася: 210083778
johndoe80@mail.ru

Что-то я зарылся. накопал следующее.
Программа генерирует код для посылки автору исходя из конфигурации железа и виндов, затем ответный ключ вводится в поле регистрация. При успешной регистрации вылезает MessageBoxA с надписью
0046A173:MessageBoxA(HWND:001602E0,LPSTR:0116A924:"Спасибо за регистрацию:\r\n",LPSTR:011702E0:"Resource Manager v5.0 Pro",DWORD:00002040)
0046A178:MessageBoxA = 1 (2.exe)

Защита состоит в том, что пока программа незарегистрирована, все пункты меню - серые.
Как их активировать - не знаю, пробовал копать EnableMenuItem - вызывается только 1 раз. ничего.
Программа написана на Делфи. dede 3.5 с этого сайта валится постоянно, не могу ничего им сделать.

Генерация пароля на основе следующих данных:
HKLM \ SOFTWARE\Microsoft\Windows NT\CurrentVersion
ключи RegisteredOwner, RegisteredOrganization, BuildLab, ProductId, SourcePath, InstallDate

HKLM \ SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
ключ ComputerName

HKLM \ HARDWARE\DESCRIPTION\System\CentralProcessor\0
ключи: ~MHz, ProcessorNameString

+ количество ОЗУ
+ разрешение экрана

у меня на основе такой строки генерировался ключ для отсылки:
AMD Athlon XP(t|AMD Athlon XP(t|2099|512|JACK7277|jack|jack||Windows XP v5.1 b2600|1152x864|2600.xpsp_sp2_rtm.040803-2158|55683-640-2239822-23982|C :\|436B6DA2|436B765B|5.0|29/10/2005|958464

имя проца, частота, имя юзера, имя компа, версия виндов, разрешение экрана, билд виндов, серийник, путь установки виндов, дата установки и еще 2 хз что за циферки
Символ разделения |


После успешной регистрации ключ пишется в файл resman.ini секция [Global] значение Key=1234567890
(наш код ответа)

Кому интересно, то все найденные места в программе я в асе расскажу или мылом.

Нашел проверки но там математики много, закопался.

| Сообщение посчитали полезным:

jack7277 пишет:
Нашел проверки но там математики много, закопался.
Раз не можешь разобрать алгоритм, то патч тебе в руки. Если конечно главное взломать все равно как. Я бы патчил...

-----
Blame the victim!

| Сообщение посчитали полезным:

jack7277
если предположение, что Key достаточно короткий и его инвариантность не высока, верно, то можно пробовать bruteforce.
или, как верно заметил 1nn0cent, - патч, или продолжить исследование алгоритма...

| Сообщение посчитали полезным:

скачаю, посмотрю, может помогу

| Сообщение посчитали полезным:

Патчить не катит. Длина ответа ключа примерно 120 символов

| Сообщение посчитали полезным:

Меня просили эту прогу отломать, то что я там увидел:
Берется хэш от введенного пользователем пароля, потом от HardwareID и эти хэши сравниваются.
Алгоритм длинный, но мне показалось самописный, думаю можно выявить коллизиюи попытатся сделать кейген. А патчить там утомительно, много проверок всяких

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

тогда - Исследовать и Исследовать алгоритм!

| Сообщение посчитали полезным:

DMD
Можно попробовать "урезать" сам алгоритм )

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Если получиться - искрене порадуюсь за jack7277 !

| Сообщение посчитали полезным:

jack7277
Если не получится -свистни, а то я на сл. выходных буду её колупать

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Надо брутфорс попробовать смастерить. ни разу не пробовал..

| Сообщение посчитали полезным:

почитаю сначала про него

| Сообщение посчитали полезным:

jack7277
А что там читать про него? Берешь алгоритм передаешь ему строку, получаешь хэш, сравниваешь с эталонным и т.д. пока не найдешь такой же

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

это не подойдёт?

046B07D: 68 -> 64

в чём ограничения незарегистрированной версии?

| Сообщение посчитали полезным:

Av0id
jack7277 пишет:
Защита состоит в том, что пока программа незарегистрирована, все пункты меню - серые

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Av0id
у меня вообще нет такого смещения надо было выложить уже распакованную версию, чтоб у всех всё одинаково было ))))))))

nice
сейчас пишу алгоритм брутфорса... состояние всех регистров запомнил перед вызовом проверки и забил их константами, меняю только перебором строку. похоже код состоит только из цифр, лат больших и малых букв и символов @ и # и вроде всё. длина ключа на посылку и ключ ответа непостоянной длины, минимум где-то около 110 символов и примерно до 150, это код ответа.

| Сообщение посчитали полезным:

а я думал они серые из-за того, что нет файлов m5*.dll и ma3*.dll

| Сообщение посчитали полезным:

www.jcf.com.ru/1.rar
это распаковано Generic Unpacker For UPX, Coded by Bratalarm
ехе рабочий, копаю я его, оригинал давайте не будем трогать, лучше этот файл чтоб у всех одинаково былою.

PS: програмка немного выше моего уровня...

| Сообщение посчитали полезным:

эти библиотеки m5* и ma3* - это свистелки и перделки. положить в каталог с программой.
[url=http://www.jcf.com.ru/libs.rar
]www.jcf.com.ru/libs.rar
[/url]
750кб

но они не нужны

PS: еще есть файлы патчей для прошивок, вот уж они на 100% не нужны

| Сообщение посчитали полезным:

А что за хрень DEDE пишет "Aplication using KOL found" ???

| Сообщение посчитали полезным:

xDriver пишет:
А что за хрень DEDE пишет "Aplication using KOL found" ???

Что удивительного то ? Прога на дельфах с использованием KOL для уменьшения размера

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon

ху из KOL ?
догадываюсь какая-то OBJECT LIBRARY

| Сообщение посчитали полезным:

xDriver
bonanzas.rinet.ru/

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Проверка рег ключа по адресу 004AA9B7, если меняем условный переход 004AA9B7 пишет спасибо за регистрацию но меню серые

| Сообщение посчитали полезным:

xDriver

знаю. сказал же что могу поделиться наработками. но там проверок ключа куча.

| Сообщение посчитали полезным:

jack7277 пишет:
Кому интересно, то все найденные места в программе я в асе расскажу или мылом.
Пиши сюда. Результат быстрее будет...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Вот нарытые интересные моменты, это я в оллидебаге по ходу изучения комменты писал:

0046AE51 MOV EAX, DWORD PTR SS:[EBP-4]
0046AE54 MOV AL, BYTE PTR DS:[EAX+EBX-1] ; чтение ключа по байту
0046AE58 CMP AL, BYTE PTR DS:[EDI] ; в EDI указатель на таблицу
0046AE5A JNZ SHORT 0046AE62
0046AE5C MOV EAX, EDX
0046AE5E DEC EAX ; eax содержит смещение из таблицы
0046AE5F MOV BYTE PTR SS:[EBP-31], AL ; запись таблицы смещений
0046AE62 INC EDX ; ключа
0046AE63 INC EDI
0046AE64 CMP EDX, 41 ; длина таблицы. вид её A..Z a..z 1..0 @#
0046AE67 JNZ SHORT 0046AE51

--------------------------------------------------
004769C7 MOV EDX, DWORD PTR SS:[EBP-1444] ; чтение регистра далее. сбор данных о компе.
--------------------------------------------------

00476EC0 LEA EDX, DWORD PTR SS:[EBP-13E1]
00476EC6 LEA EAX, DWORD PTR SS:[EBP-24]
00476EC9 MOV ECX, DWORD PTR SS:[EBP-28]
00476ECC CALL 004394E4 ; в ECX код, сгенерированный по инфе компа

--------------------------------------------------

00476FEB MOV DL, BYTE PTR DS:[EDX+4B5849] ; берем из таблицы символы для кода
00476FF1 CALL 004049F4 ; исходя из входной информации
00476FF6 MOV EDX, DWORD PTR SS:[EBP-14EC]
00476FFC LEA EAX, DWORD PTR SS:[EBP-4]
00476FFF CALL 00404AD4
00477004 ADD ESI, 6
00477007 CMP EDI, ESI
00477009 JG SHORT 1.00476FA2
0047700B MOV EAX, 1.004C8F3C
00477010 MOV EDX, DWORD PTR SS:[EBP-4] ; готов ключ уже не помню какой
----------------------------------------------------------------

00477E86 LEA ECX, DWORD PTR SS:[EBP-18]
00477E89 LEA EDX, DWORD PTR SS:[EBP-16] ; грузим код посыла
00477E8C MOV EAX, DWORD PTR DS:[4C8FC8] ; грузим код ответа
00477E91 CALL 0046AD48 ; проверка ?
00477E96 LEA EAX, DWORD PTR SS:[EBP-1DC]
00477E9C MOV ECX, 1.004788AC ; ASCII "M5_EmuSmw5.dll" это уже шняга дальше пошло..

-----------------------------------------------------------------

ВОТ сюда надо брутфорс засунуть.

004AA9B4 MOV EAX, DWORD PTR SS:[EBP-4] ; код ответа
004AA9B7 CALL 0046AD48
004AA9BC TEST AL, AL
004AA9BE JE SHORT 1.004AAA11 ; регистрация успешна?
004AA9C0 MOV EAX, DWORD PTR DS:[4C862C] ; да

-----------------------------------------------------------------

там еще хрени всякой полно, но всё на работе, забыл домой принести и дома всё по новой копал.

| Сообщение посчитали полезным:

jack7277 знаю. сказал же что могу поделиться наработками. но там проверок ключа куча.
Это как так ?
я сам увидел одну , из твоего поста похоже тоже одна

004AA9B7 CALL 0046AD48
004AA9BC TEST AL, AL

Вообщем надо место пустое искать, там в АХ пихать имя (кстати набор символов мелькал в ольке) и калить 0046ad48, только стек не забывать подправлять
Адальше как повезёт если длина отзыва >8 (а походу так оно и есть) то я думаю

| Сообщение посчитали полезным:

jack7277
Возьми строку побольше и пихай в рег окно

0046B07B JNZ resman.0046B2E9 поменяй на JZ

ставь BPX on 0044FD27 LEA EAX,DWORD PTR SS:[EBP-2C]
там дальше CMP eax,4
jnz 44FCFE меняем flag

0046B140 CMP EDI,DWORD PTR SS:[EBP-1C]
0046B143 JNZ resman.0046B2E9 меняй на JZ

дальше F9

Пишит что зарегена. Но это false
Ищи в Callax. Good Luck

| Сообщение посчитали полезным:

xDriver
Я уже писал. Длина кода для посылки и кода ответа - переменной длины, в зависимости от данных о железе и юзере. Длина ответа НЕ МЕНЕЕ 120 символов. колеблется от 120 до 160 символов. Вот думаю как перебор написать поэлегантней
еще уж не помню где нарыл, но длина ответа должна быть не менее 12 символов, иначе какая-то самая первая проверка не проходит.

| Сообщение посчитали полезным: