Прочитал статейку FEUERRADER-а Регистрация Network Administrator 5.2.3 из архива за 2003г, решил попробовать то же проделать с более новой версией Network Administrator 6.0.5.3, однако:
PEiD_0.94 при нормальном сканировании не обнаружил ничего (Nothing found [Overlay] *), при
External Scan выдал: UPolyX v0.5 [Overlay] *... Однозначно упаковщик UPX Scrambler! UPX Ripper 1.3 справился только с файлом AdmSetup.exe а в случае с NetAdm.exe оказался бессилен: ...checksum error.. file corrupt or already unpacked.

Чем ещё можно распаковать? (upx.exe -d не работает)...

Подопытный здесь:
soft.oszone.net/program.php?pid=364

| Сообщение посчитали полезным:

Попробуй RL!deUPX 1.x-2.x (есть в наборе AoRE-UnPaCkTools).

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

Не вижу проблем, распаковка почти ничем не отличается от обычного UPX. Или тебе допустим ЭТО почитать лень?

| Сообщение посчитали полезным:

vitos747
Попробуй просканить файл другим анализатором. UPolyX v0.5 [Overlay] * в 90% случаев просто корявая сигнатура. Точнее сигнатурка то правильная но очень короткая и часто PEID не верно определяет пакер/прот.

Добавлено:
Там весит UPX модифицированный, но при распаковке кричит о том что файл повреждён. Пока ещё не нашёл проверку

Ещё раз добавлено:
Грохнул я эту проверку. Лови файл:
www.rapidshare.ru/588452

-----
Research For Food

| Сообщение посчитали полезным:

Bitfry пишет:
Попробуй RL!deUPX 1.x-2.

Попробовал.. Вроде распаковалось всё успешно но при открытии Олли ругается : Quick statistical test of module 'NetAdm' reports that its code is either compressed, encrypted, or contains large amount of embedded data. Results of code analysis can be very unreliable or simly wrong. Do you want to continue analisys?
И PEiD определяет всё то же..

daFix пишет:
Попробуй просканить файл другим анализатором.
Посоветуйте что нибудь, у меня не так много прог, я только учусь
за архив спасибо.. Если не секрет то как удалось?

| Сообщение посчитали полезным:

vitos747
Распаковал руками, там какой-то upx модицированный, я таких ещё не видел. А вот с проверкой на распакованность пришлось посидеть подольше, там нет явной проверки, просто прога генерила исключение и выдовала окошко что прога повреждена и не будет запускаться. Пришлось потрейсить её. Я не уверен что корректно обошёл проверку так что если будут глюки говори, поправлю
А насчёт анализаторов можешь попробовать Protection ID или DIE, этого должно хватить

-----
Research For Food

| Сообщение посчитали полезным:

Распаковка(NetAdm.exe): В отладчике останавливаемся на последней инструкции распаковщика 0073730C, копируем OEP 0043B038 и снимаем дамп, после чего востанавливаем импорт.
Спасибо daFix, ошибка о том что файл поврежден убиается заменой 7С на EB по адресу 004290D4.
Надеюсь ты знаешь что такое ImageBase, потому что адреса не в RVA.
Ну вот, половина развлекухи досталась другим людям, твоя задача зарегить прогу, я посмотрел она создает и читает регинфу из файла копай в сторону CreateFileA, по желанию можно убрать эту надоедливую картинку при старте программы.

Удачи!

| Сообщение посчитали полезным:

упс... всё времени не было, теперь решил продолжить и.... вроде как нарыл кусок кода, проверка происходит при запуске, значения считываются из файла C:\Windows\netadm.ini , но обработка серийника вроде как производится через колы к mfc80.dll.... пробовал загрузить длл в ольку но - Unable to load dll... т.к. я только учусь то пока ничего не получается думал уже давать запрос на взлом, но самому хочется.. скрин прилагается...

d210_05.03.2008_CRACKLAB.rU.tgz - nadm.JPG

| Сообщение посчитали полезным:

vitos747 пишет:
обработка серийника вроде как производится через колы к mfc80.dll...

Копаешь не в том направлении Это библиотека языка Си.

-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет:
Копаешь не в том направлении Это библиотека языка Си.

Типа не обращать на них внимания?..

Пропатченый файлик запускается нормально но при добавлении игрового времени любому компу вываливвается с ошибкой "disk damage or virus activity".. то же самое и при полном снятии времени.. есть и плюс не увеличивает счётчик (см. ниже)


Что то есть: прога при запуске ещё обращается к файлу С:\Windows\system32\mdaten.shw, увеличивая значение счётчика в этом файле на единицу при запуске,после того как значение достигнет 257, триальный период истекает и появляется окно с "убедительной просьбой" зарегиться (в хелпах автор утверждает что прога работает только 5 дней, но при переводе системных часов на недельку вперёд никаких боков не наблюдалось, это как надо баловаться чтоб за 5 дней её перезапустить 257 раз? хотя конечно возможен вариант какой либо другой проверки времени), То есть простой манипуляцией WinHex-ом в указаном выше файле можно запросто снять ограничение на число запусков (не эффектно но эффективно ), но остаётся ограничение на количество поддерживаемых прогой компов...
Пойду курить мануал

| Сообщение посчитали полезным:

Большой сенкс UR-Shark-у за подсказки, после прочтения кипы доков, наконец то научился дампить вручную Однако проблема то осталась, "ошибка о том что файл поврежден убирается заменой 7С на EB по адресу 004290D4" - помогло только при запуске, а при работе всё равно вылетает, знач ещё есть проверка... будем искать..

P.S. после той самой замены " 7С на EB по адресу 004290D4" при попытке сохранить плоды труда, в Copy to executable нет строки All modification а только Selection... (как с плагинами так и без оных) не знаю с чем это связано, выручила версия олли 2.0

| Сообщение посчитали полезным:

vitos747

Значит я криво нашёл проверку. Гляну ещё раз когда будет время. Скорее всего там проверяется CRC некоторых участков кода, хотя я точно не смотрел

-----
Research For Food

| Сообщение посчитали полезным:

..буду благодарен, самому интересно хоть и терзают смутные сомненья что замахнулся не на то что пока по зубах...
ПЫ.СЫ. а что ж с олли? мож глюк какой?... и почему олли 2.0 так попросту сохранил всё...? Вопрос открыт..........................

| Сообщение посчитали полезным:

Там он открывает себя и проверяет, мне копаться лень, вот сделал временное решение. По сусекам поскреб... большая половина уже была, только немного подправить нужно было...
Поверх ненужного распаковщика вписал загрузчик длл, потом прыг на ОЕП. В длл хук на CreateFileA, который проверяет не открываем ли мы NetAdm.exe и если открываем то подсовываем ему NetAdm.bak тоесть это у нас исходный не тронутый файл, который мы проверяем и радуемся.

rapidshare.com/files/97578914/NetAdm.rar.html

Ввиду кривизны кода сорцы не выкладываю

ЗЫ возможно придется подправить адрес функции LoadLibraryA здесь:
00737165 . E8 0DAC0C7C CALL kernel32.LoadLibraryA ; \LoadLibraryA
Я же говорил это временное решение...

| Сообщение посчитали полезным:

vitos747 а ты для таких целей юзай HIEW Очень удобная весч. Там всё просто.

| Сообщение посчитали полезным:

UR-Shark пишет:
для таких целей юзай HIEW Очень удобная весч. Там всё просто.

ИМХО HIEW тема есчо та, для нас начинающих..
Ибо "учиться учиться и ещё раз учиться"! (ц)!!

| Сообщение посчитали полезным:

То же самое, только баг исправил + исходники на С
Код самодокументирующийся
Там ещё недопатч есть, для загрузки длл, это когда влом ручками вписывать. Он для распакованого NetAdm.exe соответственно точку входа после него нужно изменить на ту что была до распаковки 00337160

rapidshare.com/files/97603936/NetAdm.rar.html

Вот, в принцепе всё, можно смело приступать либо к поиску серийника либо разбираться и патчить дальше. Можно даже красиво сделать обход проверки, не как у меня... а то такими темпами можно и все функции похучить.

ЗЫ: А что поделаешь, начинающие... будем учицо!

| Сообщение посчитали полезным: