Гляньте плз, чё за защита ней.
www.alkonost.com/maxformat/

PeID пишет,что ASPack 2.12.
ASPackDie распаковывает, но прога при запуске не показывает интерфейса(наверно CRC проверяют).
Секции странные:сначала идут дельфовские, а потом .adata(Aspack'овские), .prot?

| Сообщение посчитали полезным:

sniperZ пишет: А можно F5
дык можно и F12
станно то что любое имя на етот сернум подходит...

кстати поиск по окну 'Incorrect code. Please try again.' тоже ничего недаёт Мож там тоже буквы перепутаны?

| Сообщение посчитали полезным:

Sn00pY пишет:
Мож там тоже буквы перепутаны?

Наверно, т.к. надпись Trial, записана как 7Tiral
И в цикле они меняются на нормальные,а потом выводятся.

Так как словить проверку сернама?

| Сообщение посчитали полезным:

sniperZ пишет: Так как словить проверку сернама?
Imho начинать нада с адреса 45023С. Блин... там стока КаЛлов
450323 - там если в регистры глянуть будет такое:
EAX 00997C28 ASCII "Incorrect code. Please try again."
ECX FFFFFFFE
EDX 00450218 ASCII "a<G;88EG6ЉG;FE|ЉZ>EI7EЉ681ЉICIA<|"
Типа шифрует сообшения чтоли? Вот сцуко.
Добавлено:
44FFFF - в этом калле заносится вводимый серийник
450124 - тут какаято муть происходит
причём в регистрах часто мелькает H69P-TS02-A791-4DBV. Пробовал вводить как серийник - не прокатывает

| Сообщение посчитали полезным:

Если нужно поймать проверку серийника после ввода своих данных при регистрации, то вот это место:

0044FF80 E8 333CFBFF CALL MaxForma.00403BB8
0044FF85 0F9445 EB SETE BYTE PTR SS:[EBP-15]
0044FF89 8A45 EB MOV AL,BYTE PTR SS:[EBP-15]
0044FF8C 8845 FB MOV BYTE PTR SS:[EBP-5],AL <- если al=1 то говорим спасибо за регистрацию

| Сообщение посчитали полезным:

BoOMBoX/TSRh
Респект!

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

DaRKSiDE
Ну как? У когонить получилось серийник отловить?

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

DaRKSiDE пишет: У когонить получилось серийник отловить?
Скажу за себя: нихренась не получилось..
BoOMBoX/TSRh пишет: 0044FF8C 8845 FB MOV BYTE PTR SS:[EBP-5],AL <- если al=1
спасиб за подсказку канешна но неполучается сделать чтоб AL =1
наковырял такое: если поменять в 450277 JE -> JNZ а в 4502F1 JNZ -> JE прога будет хавать любой серийник, НО функции триала попрежнему останутся

| Сообщение посчитали полезным:

Sn00pY пишет:
НО функции триала попрежнему останутся

интересно.....

| Сообщение посчитали полезным:

Sn00pY
Таже байда....
Кстати место что указал BoOMBoX/TSRh найти просто самому, достаточно поставить бряк на DesroyWindow и нажать кнопочку в окошке с сообщением о неверном серийнике... а затем или трейсить по F8 или бряк на секцию кода онакцес и F9....
Только толку мало.... надо искать процедуру где проверяется серийник после запуска проги и там падчить...
Тока пока никак не найду это благословенное место...

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

DaRKSiDE
Все умерли? Новостей нет?

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

Новостей нет, особо сильно дальше не копал, но похоже, что регистрация не проверяется, т.к. надпись trial добавляется к названию проги безусловно. Похоже на пустышку (хотя конечно можно тупо отрубить триал, пропатчить обращение к функции makeboot, и убрать надпись trial).
Ну конечно же это всего лишь предположение, возможно все-таки где-то запрятана проверочка.

| Сообщение посчитали полезным:

BoOMBoX/TSRh

Я за эту прогу уже присаживался раза 3, и терпения не хватало добить ее...
Хотелось бы расковырять ее до конца...чтобы не осталась она "белым пятном".
Защита хитрая безусловно и тем интереснее что практически ничем не защищена кроме аспака ( но это не защита ) ...
Может дружно прикончим ее?

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

попробуем по мере возможности

| Сообщение посчитали полезным:

BoOMBoX/TSRh
Ок..

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

Короче вот ветка в реестре:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionClsid{323 F18C0-D75B-11D6-9C3B-4097C4003D60}

При её удалении окно с истекшим периодом исчезает...
При повторном запуке появляется... Что за фигня?

Вот файл. rapidshare.com/files/5480891/MaxFormat.rar.html
Вчера что-то там изменил, при запуске нет надписи Trial...
Изменил чтоб при выходе из проц. регистр. в al была 1.

P.S.Хоцца с этой прогой доканца разобрацца!

| Сообщение посчитали полезным:

sniperZ

Поддерживаю..

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

00447E67 E8 0C7A0000 CALL dumped_b.0044F878 -- тут вызывается наг при нажатии на кнопку формат.
Меня удивило, что к процедуре вызывающей его нет обращения:

00447E54 55 PUSH EBP
00447E55 8BEC MOV EBP,ESP
00447E57 83C4 F8 ADD ESP,-8
00447E5A |. 8955 F8 MOV DWORD PTR SS:[EBP-8],EDX
00447E5D |. 8945 FC MOV DWORD PTR SS:[EBP-4],EAX
00447E60 |. A1 E8774A00 MOV EAX,DWORD PTR DS:[4A77E8]
00447E65 |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
00447E67 E8 0C7A0000 CALL dumped_b.0044F878 ---> вызов нага.
00447E6C |. 59 POP ECX
00447E6D |. 59 POP ECX
00447E6E |. 5D POP EBP

Ну само собой понятно, что занопив кол мы убиваем не только наг, но и кнопку. Самое интересное, что если исходить из рассчётов, что прога полностью полагается на сис таймер, то мы сильно ошибаемся. Т.к. Один из нагов действительно к ней привязан( который при запуске вылизает). Само окно мне показалось, что вызывается не с апи, а принудительной процедурой, исходя из привидённых выше соображений. Тогда мне не понятно как избавиться от нага, чтоб работала кнопка. Есть у кого идеи?

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Думаецц0 что сама прога - это только демо версия...

| Сообщение посчитали полезным: