Привет всем!!!
Поиск не дал результата, вот и создал топик.
Подскажите пожайлуста как востановить CRC. Где то читал, перерыл много статей, так не нашщел.
Если есть у кого на примере статья по взлому с примером CRC - киньте линк.
Заранее спасибо.

| Сообщение посчитали полезным:

Яж просил ещё раз переслать, аваст не пропустил, а ответа 0.
Да и попрактиковаться не плохо

| Сообщение посчитали полезным:

Execute till return - это Shift+F9?
Что то искал не нашел, это где?

| Сообщение посчитали полезным:

упс...

| Сообщение посчитали полезным:

dragon-gor пишет:
Что то искал не нашел, это где?
Это Debug->Execute till return, ну или Ctrl+F9.

| Сообщение посчитали полезным:

Ты какой наг убил? Первый (где говорит лицензия)?
Поставил bp ShowWindow, жму по F9 пока из 7хххххххх не выйдет и вылазиет окно:
0042FF95 . CALL _MyProxy.00425C74
0042FF9A . PUSH EAX ; |hWnd = 00F67CD4
0042FF9B . CALL <JMP.&user32.ShowWindow> ; \ShowWindow

зашел в 0042FF95 . CALL _MyProxy.00425C74, потрейсил и наткнулся на:
00425C50 PUSH EBX
00425C51 MOV EBX, EAX
00425C53 >CMP DWORD PTR DS:[EBX+CC], 0
00425C5A JNZ SHORT _MyProxy.00425C6F ;меняем на JE - нага нет, только и верхнего окошка тоже нет
00425C5C MOV EAX, DWORD PTR DS:[EBX+24]
00425C5F TEST EAX, EAX ;меняем - программа закрывается
00425C61 JE SHORT _MyProxy.00425C68
00425C63 CALL _MyProxy.00425C50
дальше цикл обрисовки(как понял), текст и т.п.
Так и не дошел до твоего перехода
Может что не так делаю?

| Сообщение посчитали полезным:

dragon-gor пишет:
Ты какой наг убил? Первый (где говорит лицензия)?
Да, первый, где лицензия...

dragon-gor пишет:
зашел в 0042FF95 . CALL _MyProxy.00425C74, потрейсил и наткнулся на:
Зачем?? То что до цикла вообще лучше не трогать, потомучто это могут использовать другие окна. Вообще я заметил что дельфи и бцб любят страдать фигнёй и только для показа окна вызывают кучу функций. Для чего они нужны понятно наверное только разработчикам. Вообщем так обычно делаются окна(и наги в том числе) в дельфи и бцб:
Сначала вызывается функция которая вызывает ещё пару(десятков)функций. В конце концов вызывается функция которая вызывает функцию которая заканчивается циклом сообщений создаваемого окна. При сообщении (каком хз) вызывается функция, которая вызывает функцию, ... и когданибуть наконецто вызывается функция которая вызывает ShowWindow. Именно в этой функции ты и оказался после ShowWindow. Теперь надо выходить через рет до тех пор пока не окажешься в цикле нага. Вон там и надо будет ставить бряк на первую инструкцию процедуры...

ЗЫ. Сорри если не понятно выражаюсь, спать охота...

| Сообщение посчитали полезным:

Ну хоть один человечек обьяснит как с бороться c дельфи
Как ты дошел до адреса 43054А? Трассировал, зае....., так и не дошел.
Не мог бы поподробне обьяснить?

| Сообщение посчитали полезным:

загрузи прогу в PE Explorer, дизасми, в списке VCL объектов найди нужный (наг и т.п.)
смотри его метод, наиболее подходящий в товём случае (Show, например)
и там смотри, потом можешь этот адрес найти в отладчике

-----
EnJoy!

| Сообщение посчитали полезным:

dragon-gor пишет:
Трассировал, зае....., так и не дошел.
Хм. Странно. Если активно нажимать F8 то через секунд 30 ты окажешься в цикле. Там должно быть всегда чтото типа:
pop
pop
pop
ret

Лично мне удобнее мышкой на кнопку Till return(десятая с лева) и на клаве F7 нажимать. Так за секунд 10 ты в цикле.

| Сообщение посчитали полезным:

Вот трассировка
0042FF95 . CALL _MyProxy.00425C74
0042FF9A . PUSH EAX ; |hWnd = 00F6E208
0042FF9B . CALL <JMP.&user32.ShowWindow> ; \ShowWindow
0042FFA0 JMP _MyProxy.004300AA

004300AA > XOR EAX, EAX
004300AC . POP EDX ; 0012FDB0
004300AD . POP ECX ; 0012FDB0
004300AE . POP ECX ; 0012FDB0
004300AF . MOV DWORD PTR FS:[EAX], EDX ; ntdll.KiFastSystemCallRet
004300B2 . PUSH _MyProxy.004300C9
004300B7 > MOV EAX, DWORD PTR SS:[EBP-4]
004300BA . >AND BYTE PTR DS:[EAX+13D], 0FB
004300C1 . RETN ; RET used as a jump to 004300C9

004300C9 > XOR EAX, EAX
004300CB . POP EDX ; 0012FE3C
004300CC . POP ECX ; 0012FE3C
004300CD . POP ECX ; 0012FE3C
004300CE . MOV DWORD PTR FS:[EAX], EDX
004300D1 . PUSH _MyProxy.004300E6
004300D6 > LEA EAX, DWORD PTR SS:[EBP-8]
004300D9 . CALL _MyProxy.00403C14
00403C14 /$ MOV EDX, DWORD PTR DS:[EAX]
00403C16 |. TEST EDX, EDX
00403C18 JE SHORT _MyProxy.00403C35 ;меняем чтоб добраться до вызова CALL _MyProxy.00402720 - программа рушится
00403C1A |. MOV DWORD PTR DS:[EAX], 0
00403C20 |. MOV ECX, DWORD PTR DS:[EDX-8] ; _MyProxy.00423DF0
00403C23 |. DEC ECX
00403C24 |. JL SHORT _MyProxy.00403C35
00403C26 |. MOV DWORD PTR DS:[EDX-8], ECX
00403C29 |. JNZ SHORT _MyProxy.00403C35
00403C2B |. PUSH EAX
00403C2C |. LEA EAX, DWORD PTR DS:[EDX-8]
00403C2F |. CALL _MyProxy.00402720
00403C34 |. POP EAX ; _MyProxy.004300DE

004300DE .RETN

004300E6 . 5F POP EDI
004300E7 . 5E POP ESI
004300E8 . 5B POP EBX ; _MyProxy.0047A860
004300E9 . 59 POP ECX
004300EA . 59 POP ECX
004300EB . 5D POP EBP
004300EC . C3 RETN

004227DD |> \5F POP EDI
004227DE |. 5E POP ESI
004227DF |. 5B POP EBX
004227E0 \. C3 RETN

00424143 |> \83C4 10 ADD ESP, 10
00424146 |. 5F POP EDI
00424147 |. 5E POP ESI
00424148 |. 5B POP EBX
00424149 \. C3 RETN

0042E171 |> \5D POP EBP ; 0012FE30
0042E172 |. 5F POP EDI ; 0012FE30
0042E173 |. 5E POP ESI ; 0012FE30
0042E174 |. 5B POP EBX ; 0012FE30
0042E175 \. C3 RETN

004226F3 |> \8B45 FC MOV EAX, [LOCAL.1]
004226F6 |. 5B POP EBX
004226F7 |. 8BE5 MOV ESP, EBP
004226F9 |. 5D POP EBP
004226FA \. C2 0400 RETN 4

00423DF0 . XOR EAX, EAX
00423DF2 . POP EDX ; 0012FEF8
00423DF3 . POP ECX ; 0012FEF8
00423DF4 . POP ECX ; 0012FEF8
00423DF5 . MOV DWORD PTR FS:[EAX], EDX
00423DF8 . JMP SHORT _MyProxy.00423E17 ;нопил чтоб добраться до вызовов процедур - программа рушится
00423DFA .^JMP _MyProxy.00403438
00423DFF . MOV AL, BYTE PTR SS:[EBP-5]
00423E02 . XOR AL, 1
00423E04 . MOV EDX, DWORD PTR SS:[EBP-4]
00423E07 . MOV BYTE PTR DS:[EDX+D7], AL
00423E0D . CALL _MyProxy.00403688
00423E12 . CALL _MyProxy.004036DC
00423E17 > POP ESI ; 0012FEF8
00423E18 . POP EBX ; 0012FEF8
00423E19 . POP ECX ; 0012FEF8
00423E1A . POP ECX ; 0012FEF8
00423E1B . POP EBP ; 0012FEF8
00423E1C . RETN

00423D92 > /8B45 FC MOV EAX, DWORD PTR SS:[EBP-4]
00423D95 . |8B80 C0000000 MOV EAX, DWORD PTR DS:[EAX+C0]
00423D9B . |8BD6 MOV EDX, ESI
00423D9D . |E8 66B0FEFF CALL _MyProxy.0040EE08
00423DA2 . |E8 81FFFFFF CALL _MyProxy.00423D28
00423DA7 . 46 INC ESI
00423DA8 . 4B DEC EBX
00423DA9 ^ 74 E7 JE SHORT _MyProxy.00423D92
00423DAB > 8B45 FC MOV EAX, DWORD PTR SS:[EBP-4]
00423DAE . 83B8 CC000000>CMP DWORD PTR DS:[EAX+CC], 0
00423DB5 75 60 JNZ SHORT _MyProxy.00423E17
00423DB7 . 8B45 FC MOV EAX, DWORD PTR SS:[EBP-4]
00423DBA . 8A80 D7000000 MOV AL, BYTE PTR DS:[EAX+D7]
00423DC0 . 3A45 FB CMP AL, BYTE PTR SS:[EBP-5]
00423DC3 . 74 52 JE SHORT _MyProxy.00423E17 ;нага нет, но и окна кэширования тоже нет
00423DC5 . 8B45 FC MOV EAX, DWORD PTR SS:[EBP-4]
00423DC8 . 8A55 FB MOV DL, BYTE PTR SS:[EBP-5]
00423DCB . 8890 D7000000 MOV BYTE PTR DS:[EAX+D7], DL
00423DD1 . 33C0 XOR EAX, EAX
00423DD3 . 55 PUSH EBP
00423DD4 . 68 FA3D4200 PUSH _MyProxy.00423DFA
00423DD9 . 64:FF30 PUSH DWORD PTR FS:[EAX]
00423DDC . 64:8920 MOV DWORD PTR FS:[EAX], ESP
00423DDF . 6A 00 PUSH 0 ; /Arg1 = 00000000
00423DE1 . 33C9 XOR ECX, ECX ; |
00423DE3 . BA 19B00000 MOV EDX, 0B019 ; |
00423DE8 . 8B45 FC MOV EAX, DWORD PTR SS:[EBP-4] ; |
00423DEB . E8 DCE8FFFF CALL _MyProxy.004226CC ; \_MyProxy.004226CC
00423DF0 . 33C0 XOR EAX, EAX
00423DF2 . 5A POP EDX
00423DF3 . 59 POP ECX
00423DF4 . 59 POP ECX
00423DF5 . 64:8910 MOV DWORD PTR FS:[EAX], EDX
00423DF8 EB 1D JMP SHORT _MyProxy.00423E17
00423DFA ^ E9 39F6FDFF JMP _MyProxy.00403438
00423DFF . 8A45 FB MOV AL, BYTE PTR SS:[EBP-5]
00423E02 . 34 01 XOR AL, 1
00423E04 . 8B55 FC MOV EDX, DWORD PTR SS:[EBP-4]
00423E07 . 8882 D7000000 MOV BYTE PTR DS:[EDX+D7], AL
00423E0D . E8 76F8FDFF CALL _MyProxy.00403688
00423E12 . E8 C5F8FDFF CALL _MyProxy.004036DC
00423E17 > 5E POP ESI
00423E18 . 5B POP EBX
00423E19 . 59 POP ECX
00423E1A . 59 POP ECX
00423E1B . 5D POP EBP
00423E1C . C3 RETN
дальше продолжать трассировать нет смысла....

| Сообщение посчитали полезным:

Что-то я не пойму хода твоих мыслей.

dragon-gor пишет:
004300D9 . CALL _MyProxy.00403C14
00403C14 /$ MOV EDX, DWORD PTR DS:[EAX]
Зачем ты вот здесь зашёл в call?

dragon-gor пишет:
00423D92 > /8B45 FC MOV EAX, DWORD PTR SS:[EBP-4]
Как ты здесь оказался? Или ты просто так привёл кусок кода?

Вот проведи эксперимент: Когда брякнулся на наге - засеки минуту нажми F8 и не отпускай.

| Сообщение посчитали полезным:

rep0A пишет:
dragon-gor пишет:
00423D92 > /8B45 FC MOV EAX, DWORD PTR SS:[EBP-4]
Как ты здесь оказался? Или ты просто так привёл кусок кода?
Как идет код, так и выложил.
Какая лажа этот дельфи
Отосплюсь с суток, вечером попробую

| Сообщение посчитали полезным:

Тупо трейсил
Дошел до цикла
0043057A |> /8B03 /MOV EAX, DWORD PTR DS:[EBX]
0043057C |. |E8 131C0000 |CALL _MyProxy.00432194
00430581 |. |8B03 |MOV EAX, DWORD PTR DS:[EBX]
00430583 |. |8078 7C 00 |CMP BYTE PTR DS:[EAX+7C], 0
00430587 |. |74 0F |JE SHORT _MyProxy.00430598
00430589 |. |8B45 FC |MOV EAX, [LOCAL.1]
0043058C |. |C780 50010000>|MOV DWORD PTR DS:[EAX+150], 2
00430596 |. |EB 14 |JMP SHORT _MyProxy.004305AC
00430598 |> |8B45 FC |MOV EAX, [LOCAL.1]
0043059B |. |83B8 50010000>|CMP DWORD PTR DS:[EAX+150], 0
004305A2 |. |74 08 |JE SHORT _MyProxy.004305AC
004305A4 |. |8B45 FC |MOV EAX, [LOCAL.1]
004305A7 |. |E8 38FDFFFF |CALL _MyProxy.004302E4
004305AC |> |8B45 FC |MOV EAX, [LOCAL.1]
004305AF |. |8B80 50010000 |MOV EAX, DWORD PTR DS:[EAX+150]
004305B5 |. |85C0 |TEST EAX, EAX
004305B7 |.^\74 C1 \JE SHORT _MyProxy.0043057A

а после идет ShowWindow и прожка запускается.
Кстати, попробывал твои исправления, такие же кривые как у меня были

| Сообщение посчитали полезным:

dragon-gor пишет:
Кстати, попробывал твои исправления, такие же кривые как у меня были
А чем они кривые?

| Сообщение посчитали полезным:

На верхней панели не высвечиваются надписи (скорость, подсоединение и т.п.).
Кстати, адрес кнопки close не знаешь? Просто идея, сказать нагу по умолчанию закрываться.

| Сообщение посчитали полезным:

dragon-gor
А у меня почемуто всё показывает и работает...
Если что патч в аттаче. Адрес кнопки не знаю.

| Сообщение посчитали полезным:

блин...

4bbb_myproxy_patch.rar.zip

| Сообщение посчитали полезным:

Что то не то

57aa_Untitled.jpg.zip

| Сообщение посчитали полезным:

dragon-gor
Вот характеристики моего файла:
Размер: 1.178.624 байт
CRC32: 76Е0А66F
Если что, лежит ТУТ http://public.int3.net/share/_MyProxy.rar . (390KB)

| Сообщение посчитали полезным:

Что то я не понял, ты крякал мой распакованный файл?
Если нет, то поковыряюсь в твоем

| Сообщение посчитали полезным:

dragon-gor пишет:
ты крякал мой распакованный файл?
Да, твой. Но у меня вот к этому файлу мой патч подходит.

| Сообщение посчитали полезным:

Так до цикла не дошел
Патч работает, спасибо
Думаю тему можно закрыть.

| Сообщение посчитали полезным: