 |
eXeL@B —› Вопросы новичков —› проблема с анализом проги |
| Посл.ответ | Сообщение |
|
|
Создано: 04 февраля 2008 18:12 · Личное сообщение · #1 Решил покрутить всем известную программу Everest Ultimate Edition, билд валялся на компе.Это не самый ее последний билд. Скачать можно тут: rapidshare.com/files/88763321/everestultimate_build_1180.rar.html Размер 5,22 Mb Упакована непонятно чем. PeID говорит или Nothing found или UpolyX 0.5. Но это не то и не другое. ОЕР - 008a52f0 Импорт восстановился без проблем в Imprec.После этого PeID пишет Borland Delfi 6.0-7.0 Загружаю в Ольку, но она пишет, что код вожможно сжат и не проводит анализ.Пробовал менять в РЕ заголовке Size of Code, Base of Code - не помогает. Никто не знает, как тут провести анализ кода, может кто сталкивался с таким?  |
|
|
Создано: 04 февраля 2008 18:28 · Личное сообщение · #2 и PEiD, и DiE говорят, что там PECompact 2.x |
|
|
Создано: 04 февраля 2008 19:15 · Личное сообщение · #3 у меня на старом эвересте был упых. dimaxmaster и вообще, если неумеешь распаковывать неизвестные пакеры-протекторы сунь файло в quickunpack ----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 05 февраля 2008 09:37 · Личное сообщение · #4 Ara пишет: и PEiD, и DiE говорят, что там PECompact 2.x Spirit пишет: и вообще, если неумеешь распаковывать неизвестные пакеры-протекторы сунь файло в quickunpack Тоже мне знатоки понаходились. Квипанпак не смог его распаковать,тупо виснет. Я говорю, что распаковал. Написал ОЕР, но анализ не делается. Читать хотя бы вопрос надо.И просьба, если не понимаете о чем речь, то глупых ответов не писать |
|
|
Создано: 13 октября 2008 21:16 · Личное сообщение · #5 Ссылка не работает, но если хочешь, могу выложить распакованную последнюю версию, Олли и IDAPro анализ делает. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 13 октября 2008 23:08 · Поправил: coderess · Личное сообщение · #6 dimaxmaster Распакованный вами вариант программы прикрепите ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 13 октября 2008 23:15 · Личное сообщение · #7 На дату темы смотрите 
|
|
|
Создано: 14 октября 2008 21:19 · Личное сообщение · #8 Распакованный файл ifolder.ru/8569525, но почитав литературу пришел к выводу - лучше для анализа использовать Олли и DeDe, поскольку написано в Борланд Дельфи 7, хотя у меня IDA 5 тоже его нормально анализирует даже сделал для Олли map файл в Иде. Сейчас пытаюсь снять триал. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 25 октября 2008 20:52 · Личное сообщение · #9 Кто нибудь "взломал" последний EVEREST, поскольку пытаюсь вторую неделю и пока безуспешно. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 25 октября 2008 21:45 · Поправил: An_ton · Личное сообщение · #10 Я её взломал еще, когда ты спрашивал, чем она упакована. gena-m Ищи все надписи в проге Evaluation, там примерна будет таких надписей штук десять, тебе надо будет найти ту надпись, которая появляется в заголовке окна чуть выше будет проверка я уже точно не помню, по какому адресу, если по адресу xxxxxxxx ноль то программа считает себя не зарегистрированной. CMP WORD PTR DS:[xxxxxxxx],1 JNZ |
|
|
Создано: 28 октября 2008 10:06 · Личное сообщение · #11 An_ton Если не трудно выложи взломанный файл, я пробовал поменять 0 на 1, но ничего не происходит, при установке бряка на этот CMP, программа вообще через эту ветку не проходит. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 28 октября 2008 11:12 · Личное сообщение · #12 Вчера взломал Everest Ultimate edition v.4.60.1500. Если надо, могу залить рабочий exe-шник, или описать метод взлома (кстати случай интересный, можно даже сказать уникальный). Этот everest был упакован одним из последних UPX. |
|
|
Создано: 28 октября 2008 18:38 · Личное сообщение · #13 XoDeR[b][/b] Лучше опиши метод взлома, поскольку я уже задолбался все проверять. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 28 октября 2008 20:15 · Личное сообщение · #14 Завтра опишу процесс подробно, т.к. Net только на работе. Кстати рассматриваемая версия на этот момент самая последняя, качал пару дней назад с официального сайта Lavalis. Соответственно метод взлома проверен только для этого билда. С предыдущими не проверял. Нужны еще: свежий upx, Olly и что то типа Hex workshop. |
|
|
Создано: 29 октября 2008 02:04 · Поправил: An_ton · Личное сообщение · #15 gena-m Сори, извиняюсь, перепутал надписи с другой программой, тебе надо было искать надписи, [TRIAL VERSION] хотя, наверное, мог бы и сам догадаться. gena-m пишет: Если не трудно выложи взломанный файл 10,0 МБ для меня многовато - слабый интернет у меня. Далее я представлю, то, что надо исправить: 008E3AB2 E8 8164B2FF CALL dump_.00409F38 008E3AB7 80BB 9A7D0900 0>CMP BYTE PTR DS:[EBX+97D9A],0 ->(1) [EBX+97D9A] =0233A2C6 там должно быть 00 наг сразу исчезнет при запуске 008E3ABE 74 1A JE SHORT dump_.008E3ADA -> 2 008E3AC0 FF75 FC PUSH DWORD PTR SS:[EBP-4] 008E3AC3 68 343B8E00 PUSH dump_.008E3B34 ; ASCII " " 008E3AC8 68 403B8E00 PUSH dump_.008E3B40 ; ASCII "[ TRIAL VERSION ]" 008E3ACD 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4] Вкладка Abot 007CFE99 80B8 9A7D0900 0>CMP BYTE PTR DS:[EAX+97D9A], 0 ->3 007CFEA0 74 0D JE SHORT dump_.007CFEAF ->(4) тут надо заменить на EB 007CFEA2 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4] 007CFEA5 BA E0007D00 MOV EDX,dump_.007D00E0 ; ASCII " (TRIAL)" 007CFEAA E8 6D57C3FF CALL dump_.0040561C 007CFEAF 8B55 FC MOV EDX,DWORD PTR SS:[EBP-4] 007CFEB2 8B83 1C030000 MOV EAX,DWORD PTR DS:[EBX+31C] 007CFEB8 E8 A7ADCAFF CALL dump_.0047AC64 007CFEBD 8B07 MOV EAX,DWORD PTR DS:[EDI] Я чуть урезал код 007CFEBF 80B8 9A7D0900 0>CMP BYTE PTR DS:[EAX+97D9A],0 ; ->5 007CFEC6 74 0F JE SHORT dump_.007CFED7 ->(6) заменить на EB 007CFEC8 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4] 007CFECB BA F4007D00 MOV EDX,dump_.007D00F4 ; ASCII "TRIAL" 007CFED0 E8 FB54C3FF CALL dump_.004053D0 007CFF43 80B8 9A7D0900 0>CMP BYTE PTR DS:[EAX+97D9A],0 007CFF4A 74 0F JE SHORT dump_.007CFF5B ->7 заменить на EB 007CFF4C 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4] 007CFF4F BA F4007D00 MOV EDX,dump_.007D00F4 ; ASCII "TRIAL" 007CFF54 E8 7754C3FF CALL dump_.004053D0 007CFF59 EB 38 JMP SHORT dump_.007CFF93 007CFF5B 8B07 MOV EAX,DWORD PTR DS:[EDI] 007CFF5D DD80 907D0900 FLD QWORD PTR DS:[EAX+97D90] 007CFF63 D81D FC007D00 FCOMP DWORD PTR DS:[7D00FC] 007CFF69 DFE0 FSTSW AX 007CFF6B 9E SAHF 007CFF6C 75 0F JNZ SHORT dump_.007CFF7D ->(8) на EB 007CFF6E 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4] 007CFF71 BA 08017D00 MOV EDX,dump_.007D0108 ; ASCII "(No Expiry)" 007CFF76 E8 5554C3FF CALL dump_.004053D0 007CFF7B EB 16 JMP SHORT dump_.007CFF93 007CFF7D 8B07 MOV EAX,DWORD PTR DS:[EDI] 007CFF7F FFB0 947D0900 PUSH DWORD PTR DS:[EAX+97D94] 007CFF85 FFB0 907D0900 PUSH DWORD PTR DS:[EAX+97D90] 007CFF8B 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4] 007CFF8E E8 49D2C3FF CALL dump_.0040D1DC 007CFF93 8B55 FC MOV EDX,DWORD PTR SS:[EBP-4] 007CFF96 8B83 38030000 MOV EAX,DWORD PTR DS:[EBX+338] 007CFF9C E8 C3ACCAFF CALL dump_.0047AC64 007CFFA1 8B07 MOV EAX,DWORD PTR DS:[EDI] 007CFFA3 80B8 9A7D0900 0>CMP BYTE PTR DS:[EAX+97D9A],0 007CFFAA 74 0F JE SHORT dump_.007CFFBB ->(8) заменить на EB 007CFFAC 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4] 007CFFAF BA 1C017D00 MOV EDX,dump_.007D011C ; ASCII "IMAGE_ABOUT_TRIAL" 007CFFB4 E8 1754C3FF CALL dump_.004053D0 Ну, вроде всё пиши если что. P.S XoDeR пишет: Завтра опишу процесс подробно, т.к. Net только на работе. Кстати рассматриваемая версия на этот момент самая последняя, качал пару дней назад с официального сайта Lavalis. Соответственно метод взлома проверен только для этого билда. С предыдущими не проверял. Нужны еще: свежий upx, Olly и что то типа Hex workshop XoDeR Не надо ни что писать по данной проге , на CRACKL@B итак дофига статей для новичков, таких как я, их надо только читать .Имхо…… |
|
|
Создано: 29 октября 2008 11:39 · Личное сообщение · #16 Ок. Не надо, значит не буду. Скажу только, что конечное решение элементарно, как оказалось. В Hex workshop открыть распакованный файл и заменить все вхождения строки 83B8707D090000 на 83B8707D090001, и будет вам счастье (т.е. меняем все команды CMP DWORD PTR DS:[EAX+97D70],0 на CMP DWORD PTR DS:[EAX+97D70],1; воспользовавшись тем, что везде в проверках эта часть одинаковая). Зачем нужно менять эту команду, я так понял, объяснять не нужно. |
|
|
Создано: 29 октября 2008 21:36 · Личное сообщение · #17 Итак начнем: у меня распакованный файл весит чуть более шести метров. Искать триал версион я пробовал, но этих записей в программе сотни, причем разными стилями и направлениями. При исправлении первого блока наг действительно изчезает, но либо у тебя опечатка либо у меня на машине значение EBX- 22D2530 следовательно адрес ячейки у меня 0236A2CA. Но до запуска программы т.е в дампе и в памяти нет этого адреса, эта страница у меня 022D0000 создается при инициализации программы, т.е. видимо еще нужно найти кто туда заносит единицу, и где создается эта страница. Остальное пока не проверил застрял с поисками в этом куске. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 30 октября 2008 04:17 · Поправил: An_ton · Личное сообщение · #18 gena-m пишет: Итак начнем: Да, прорабы уже закончить, с этой прогой. gena-m Там ломать нечего, если у тебя не получается сделать так как я описал выше, то сделай, как описал XoDeR открой прогу в HexEdit или в другом Hex редакторе, если в HexEdit тогда сделай так , Сtrl+F ->Replace веди что надо найти, и на что заметить, 97 изменений, и программа крякнута. gena-m пишет: видимо еще нужно найти кто туда заносит единицу, и где создается эта страница. Не что искать тебе не надо кто и куда заносит единицу найди подходящие место чуть выше проверки и запиши MOV BYTE PTR [0236A2CA],0 и почитай туторы Bitfry , и рассылку Калашникова чтоб Acм подучить. Если у тебя опять не получиться крякнуть эту прожку, то проси, XoDeR’A сделать флешь тутор. |
|
eXeL@B —› Вопросы новичков —› проблема с анализом проги |
Для печати