Программа для редактирования прошивок Samsung. Просил хороший человек, копаю уж несколько дней, кой чего накопал но зарылся в проверках.

Ищется народ для совместной работы по исследованию программы Resman 5.0 pro
www.jcf.com.ru/resman.rar
моя ася: 210083778
johndoe80@mail.ru

Что-то я зарылся. накопал следующее.
Программа генерирует код для посылки автору исходя из конфигурации железа и виндов, затем ответный ключ вводится в поле регистрация. При успешной регистрации вылезает MessageBoxA с надписью
0046A173:MessageBoxA(HWND:001602E0,LPSTR:0116A924:"Спасибо за регистрацию:\r\n",LPSTR:011702E0:"Resource Manager v5.0 Pro",DWORD:00002040)
0046A178:MessageBoxA = 1 (2.exe)

Защита состоит в том, что пока программа незарегистрирована, все пункты меню - серые.
Как их активировать - не знаю, пробовал копать EnableMenuItem - вызывается только 1 раз. ничего.
Программа написана на Делфи. dede 3.5 с этого сайта валится постоянно, не могу ничего им сделать.

Генерация пароля на основе следующих данных:
HKLM \ SOFTWARE\Microsoft\Windows NT\CurrentVersion
ключи RegisteredOwner, RegisteredOrganization, BuildLab, ProductId, SourcePath, InstallDate

HKLM \ SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
ключ ComputerName

HKLM \ HARDWARE\DESCRIPTION\System\CentralProcessor\0
ключи: ~MHz, ProcessorNameString

+ количество ОЗУ
+ разрешение экрана

у меня на основе такой строки генерировался ключ для отсылки:
AMD Athlon XP(t|AMD Athlon XP(t|2099|512|JACK7277|jack|jack||Windows XP v5.1 b2600|1152x864|2600.xpsp_sp2_rtm.040803-2158|55683-640-2239822-23982|C :\|436B6DA2|436B765B|5.0|29/10/2005|958464

имя проца, частота, имя юзера, имя компа, версия виндов, разрешение экрана, билд виндов, серийник, путь установки виндов, дата установки и еще 2 хз что за циферки
Символ разделения |


После успешной регистрации ключ пишется в файл resman.ini секция [Global] значение Key=1234567890
(наш код ответа)

Кому интересно, то все найденные места в программе я в асе расскажу или мылом.

Нашел проверки но там математики много, закопался.

| Сообщение посчитали полезным:

Выписка из MSDN

EnableMenuItem...
The CreateMenu, InsertMenu, ModifyMenu, and LoadMenuIndirect member functions
can also set the state (enabled, disabled, or dimmed) of a menu item.

распаковка
quick unpack v1

активация меню
адрес до >> нужно
40ab2d push 0 >> push 1
40b8f7 push 1 >> push 0
теперь меню доступно, но работает не полностью

регистрация
4aa9be JE ... >> nop
но толку - нет, хотя говорит типа все ок

| Сообщение посчитали полезным:

могу выслать
на мыло кому надо
ICQ : 268850377

| Сообщение посчитали полезным:

по просьбе jack7277
привожу более подробное описание
активирования меню.

Отключение пунктов меню через EnableMenuItem

0040B8F5 50 PUSH EAX
0040B8F6 51 PUSH ECX
0040B8F7 6A 01 PUSH 1
0040B8F9 66:B8 20F1 MOV AX,0F120
0040B8FD 50 PUSH EAX
0040B8FE 51 PUSH ECX
0040B8FF E8 A0B6FFFF CALL <JMP.&user32.EnableMenuItem> ; enable menu

Здесь мы должны для активирования заменить
0040B8F7 6A 01 PUSH 1
на
0040B8F7 6A 00 PUSH 0

Отключение пунктов меню через SetMenuItemInfoA

0040AB29 8B70 18 MOV ESI,DWORD PTR DS:[EAX+18]
0040AB2C 57 PUSH EDI
0040AB2D 6A 00 PUSH 0
0040AB2F 8B45 1C MOV EAX,DWORD PTR SS:[EBP+1C]
0040AB32 50 PUSH EAX
0040AB33 56 PUSH ESI
0040AB34 E8 7BC6FFFF CALL <JMP.&user32.SetMenuItemInfoA> ; set params to menu

Здесь мы должны для активирования заменить
0040AB2D 6A 00 PUSH 0
на
0040AB2D 6A 01 PUSH 1

уточняю, что одного активирования меню здесь мало
нужно убрать еще проверки серийника которые присутствуют при нажатие на некоторые пункты меню

| Сообщение посчитали полезным:

t3stament01 первая замена ничего не даёт

| Сообщение посчитали полезным:

1) открываешь рег окно, там будет много символов, копируешь
2) вставляешь в ввести ключ

3) bpx 0046B07B JNZ resman.0046B2E9 -- JE
4) bpx 0044FD38 JNZ SHORT resman.0044FCFE -- JE
5) bpx 0046B143 JNZ resman.0046B2E9 -- JE

Дальше пишет что все ОК! Делаем выход из программы

Снова запускаем OllyDbg

6) bpx 00477E86 LEA ECX,DWORD PTR SS:[EBP-18] Ниже будет идти проверка введеного ключа
7) повторяем пункты 3,4,5
8) bpx 0040AB2D PUSH 0 -- PUSH 1

смотрим О программе, там будут всякие иероглифы

9) bpx 004AF867 PUSH EBX , нажимаем соединиться с телефоном (на главном окне иконка телефона) ,

10)
004AF904 CALL resman.0046A0CC
004AF909 CMP DWORD PTR SS:[EBP-4],3 попадем сюда
004AF90D JNZ SHORT resman.004AF914 меняем Flag для того чтобы попасть на открытие файла
004AF90F CALL resman.00479C1C
004AF914 CMP DWORD PTR SS:[EBP-4],4
004AF918 JNZ SHORT resman.004AF91F меняем Flag для того чтобы соединиться с телефоном
004AF91A CALL resman.004AA40C

11) Выключаем все Breakpoints . Правда не совсем коректно работает но пользоваться можно

| Сообщение посчитали полезным:

А вот ещё интересный кусочек

UPX1:004AF8F3 cmp [ebp+var_4], 1020101h
UPX1:004AF8FA jnz short loc_4AF909 Замените на - jz
UPX1:004AF8FC mov edx, 40h
UPX1:004AF901 mov eax, [ebp+var_8]
UPX1:004AF904 call sub_46A0CC
UPX1:004AF909
UPX1:004AF909 loc_4AF909: ; CODE XREF: sub_4AF85C+9Ej

Результат в атаче.
Какие мнения ?


4aeb_Untitled_2+copy.jpg

| Сообщение посчитали полезным:

OllyDebug задрал, ничего не дает делать. пишет blah-blah-blah, do you want to wait for another 5 seconds?....
что-т не понял как это отрубить. в олли недавно ковыряю

| Сообщение посчитали полезным:

xDriver


004AF909 CMP DWORD PTR SS:[EBP-4],3 попадем сюда
004AF90D JNZ SHORT resman.004AF914 меняем Flag для того чтобы попасть на открытие файла
004AF914 CMP DWORD PTR SS:[EBP-4],4
004AF918 JNZ SHORT resman.004AF91F меняем Flag для того чтобы соединиться с телефоном

а твоя замена только выводит сообщение UPX1:004AF8FA jnz short loc_4AF909 Замените на - jz

| Сообщение посчитали полезным:

Как отследить нажатие на кнопку-акселератор в программе на делфи?
я про кнопки Открыть, Закрыть, Файловый менеджер и еще четвертая на главной форме.

| Сообщение посчитали полезным:

jack7277

DeDe тебе поможет...

| Сообщение посчитали полезным:

Rush DeDe тебе поможет...
ВЫШЕ ТОПИК НЕ ЧИТАЛ ?

| Сообщение посчитали полезным:

Balthasar_magus
Едрёна батон да я понял что ты сделал !
Мне интересно, что за мессага выпадает - похоже на контр. сумму

| Сообщение посчитали полезным:

А если меню серые, может их можно оживиьт Лоадером? Просканиьт оконным сканером, потырить апи функции и запускать каждый раз. проверить нужно только помогает ли работать их активация.

| Сообщение посчитали полезным:

Kaverza
Да в том-то и дело что не помогает !
Похоже проверка есть на некотырых пунктах меню и их активация по методике t3stament01 не помогает.
я заметил, что на этих пунктах мы проваливаемся в тело одной итой-же процедуры (ща не помню адрес, уже дома) завтра продолжим ...
неужели нам слабо добить всем вместе ?

| Сообщение посчитали полезным:

xDriver

0046B0EF MOV EAX,ESI
0046B0F1 CALL resman.0044FC50 у меня заклинивает только здесь
0046B0F6 LEA EDX,DWORD PTR SS:[EBP-1032]

0044FCFC JMP SHORT resman.0044FD27 jump to LOOP
там будет 0044FD38 JNZ SHORT resman.0044FCFE меняешь -- JZ

Больше я нигде не выпадал

| Сообщение посчитали полезным:

Rush
DeDe у меня падает как бешеный... ничего делать не позволяет. брал с тутошнего сайта, зря 6 мегов качал

| Сообщение посчитали полезным:

Balthasar_magus
Расскажи какими путями пришел на открытие файла и соединение с телефоном. интересно, за что ухватится надо.

| Сообщение посчитали полезным:

jack7277 пишет:
Как отследить нажатие на кнопку-акселератор в программе на делфи?

В Ida можно по названию и строкам очень легко определить
различные процедуры обработки кнопок и менюшек в любых программах

| Сообщение посчитали полезным:

Установка байта 4c8648 в значение 01 открывает доступ к множествам
менюшек. Например к Экспорту/Импорту ресурсов и др. (предварительно необходимо активировать меню)
Проверка этого флага осуществляется в программе более 20! раз

| Сообщение посчитали полезным:

t3stament01
Молодец !
У меня времени совсем нет, как раскопаешь всё я лоадер замучу ..

| Сообщение посчитали полезным:

Установка байта 4c8648 в значение 01 активирует множество опций меню
таких как 'Мастер экспорта/Импорта ресурсов и т.д.'
(после того как проведена активация меню)
Если точно - то все меню 'Ресурсы' кроме 'Центр синхронизации патчей'
а также 'Файл/Сохранить как'

Установка байта 4c8cb4 в значение 01 активирует 'Центр синхронизации патчей'
Установка байта 4c8c15 в значение 01 активирует 'Файл/Сохранить'

4AF85C Процедура toolbar_click

004AF8FA |. 75 0D JNZ SHORT ResMan__.004AF909
004AF8FC |. BA 40000000 MOV EDX,40 ; Msgbox "F86437D4F8690FC4"
004AF901 |. 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8]
004AF904 |. E8 C3A7FBFF CALL ResMan__.0046A0CC
004AF909 |> 837D FC 03 CMP DWORD PTR SS:[EBP-4],3
004AF90D |. 75 05 JNZ SHORT ResMan__.004AF914
004AF90F |. E8 08A3FCFF CALL ResMan__.00479C1C ; Open Firmware
004AF914 |> 837D FC 04 CMP DWORD PTR SS:[EBP-4],4
004AF918 |. 75 05 JNZ SHORT ResMan__.004AF91F
004AF91A |. E8 EDAAFFFF CALL ResMan__.004AA40C
004AF91F |> 33C0 XOR EAX,EAX ; Connect to phone

| Сообщение посчитали полезным:

t3stament01

Кончай плагиатить код. Выше написан мой код

004AF909 CMP DWORD PTR SS:[EBP-4],3 попадем сюда
004AF90D JNZ SHORT resman.004AF914 меняем Flag для того чтобы попасть на открытие файла
004AF914 CMP DWORD PTR SS:[EBP-4],4
004AF918 JNZ SHORT resman.004AF91F меняем Flag для того чтобы соединиться с телефоном

| Сообщение посчитали полезным:

извини - не заметил

| Сообщение посчитали полезным:

Помогите. С недавних пор оллидебаг стал тупить. ставлю бряки на те же самые места где раньше ставил, а олли мне выдает окошко "No response from injected code" типа нет ответа от внедренного кода, подождать еще 5 сек или нет... че за фигня вылезла, её не было, ничего не могу сделать вообще...

| Сообщение посчитали полезным:

никогда такого не видел
попробуй поискать в яндексе по фразе "No response from injected code"
уверен, что найдешь

| Сообщение посчитали полезным:

стер инишник. прописал настройки заново. пока вроде работает. что начудил пока не знаю

| Сообщение посчитали полезным:

плагины может глючат

| Сообщение посчитали полезным:

nice
затык... может ты поглядишь? не могу написать брутфорс. тут и лень и мозгов недостаток и еще раз лень. ;)

| Сообщение посчитали полезным:

Эээ.. товарищи, господа. тут надо давно вот что попробовать.

вот кусок.
4AA992 LEA EAX, DWORD PTR SS:[EBP-A]
4AA995 PUSH EAX
4AA996 LEA EAX, DWORD PTR SS:[EBP-C]
4AA999 PUSH EAX
4AA99A LEA EAX, DWORD PTR SS:[EBP-E]
4AA99D PUSH EAX
4AA99E LEA EAX, DWORD PTR SS:[EBP-10]
4AA9A1 PUSH EAX
4AA9A2 LEA EAX, DWORD PTR SS:[EBP-12]
4AA9A5 PUSH EAX
4AA9A6 LEA EAX, DWORD PTR SS:[EBP-18]
4AA9A9 PUSH EAX
4AA9AA LEA EAX, DWORD PTR SS:[EBP-1C]
4AA9AD PUSH EAX
4AA9AE LEA ECX, DWORD PTR SS:[EBP-8]
4AA9B1 LEA EDX, DWORD PTR SS:[EBP-6]
4AA9B4 MOV EAX, DWORD PTR SS:[EBP-4]
4AA9B7 CALL ResMan.0046AD48 ; проверка введенного кода
4AA9BC TEST AL, AL
4AA9BE JE SHORT ResMan.004AAA11 ; если al=0 то код неверен.

вот что надо сделать:
1. напишите кто-нибудь алгоритм перебора кода. условия такие. код состоит из латинских больших и маленьких букв, цифр и символов # и @, итого 26+26+10+2 = 64 символа. Длина кода допустим ограничим 150 символов. Создается код.

2. Все эти push и значение регистров мы пропишем жестко. указатель на наш сгенерированный код в еах.

3. если al=0 то генерируем новый код, восстанавливаем значение регистров и стека и снова загнать процедуру проверки.

У меня проблема в написании перебора. алгоритм представляю, реализация... ммм.. туговато

| Сообщение посчитали полезным:

Выходной завтра, но могу не успеть, есть ещё 2неотложные задачи

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным: