Всем привет.
У меня такая проблемка. Пошарил чуть в ссылках с простой защитой и скачал программку Melody 1.52. Автор пишет что всё просто, только я наверное ещё проще. Никак не могу найти ключевое место. Подскажите плиз. А лучше не говорите где это место, а подскажите как добраться к нему. Подскажите вектор. Наверняка кто то ж её ломал. А может кто то просто захочет вспомнить детство.


Вот сама жертва - neosoft.ru/files/melody.zip

| Сообщение посчитали полезным:

Isaev пишет:
нет выше... dll от них же (просто неопределённо написал )
Да от них (AMS Software).
У него в папке виндовс нужно создать файл 4rtefdgssgfdsf.lst.
Еще нашел ветку в реестре отвечающею за колличество запусков:
[HKEY_CURRENT_USER\Software\dll3265]
[HKEY_CURRENT_USER\Software\dll3265\dll3265]
"Dms"="45"
Можно ставить любое значение.

| Сообщение посчитали полезным:

Media Show Pro 1.32 (из этой же серии)
004D1D25 |. BA 701D4D00 MOV EDX,004D1D70 ; ASCII "3R93TR3EYR0YT4ET04ET"
Его нужно вогнать Form.lst (8 строка) и Lang.lst (10 строка),
вместо V095UFG95UG-5UGU59.

| Сообщение посчитали полезным:

Isaev пишет:
Эту строку там в открытом виде можно наблюдать... И также какая она должна быть в файле по счёту тупо загоняется в регистр...

Что она хранится в открытом виде понятно. Но ведь, если я только начинаю ковырять программу, я не могу знать об этой строке. Значит её надо как то найти. Можно осветить именно этот момент?

Отслеживая файл form.lst, я узнал только, что после того как файл открыт:

//сдесь произошло первое считывание данных
00413910 8A13 MOV DL,BYTE PTR DS:[EBX]

//сдесь записал строку в новое место
004029B5 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI]
004029C2 F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]

Но дальше, программа записывает на место старых новые и искомая строка никак не встречается.

| Сообщение посчитали полезным:

x123 пишет:
У него в папке виндовс нужно создать файл 4rtefdgssgfdsf.lst
Точно!
Что-то я совсем туплю последнее время (отдыхать надо больше)
Надеялся, что хоть тут что интересное придумали... А тут снова таже лажа

x123 пишет:
Его нужно вогнать Form.lst (8 строка) и Lang.lst (10 строка)
В Form.lst не надо... лишнее это

Nukimi пишет:
Но ведь, если я только начинаю ковырять программу, я не могу знать об этой строке.
Для поиска строк есть plugin
Если так рассуждать, то как ты узнал вообще, что надо отсдеживать файл form.lst? Надо же что-то пробывать... способов куча!
00591BA8 |. FF51 58 CALL DWORD PTR DS:[ECX+58] - тут ловишь обращение к form.lst, если ты решил с него начать
00591BAB |. 33D2 XOR EDX,EDX ; Effects.005A4438
00591BAD |. 8B83 D4040000 MOV EAX,DWORD PTR DS:[EBX+4D4]
00591BB3 |. E8 4C5EECFF CALL Effects.00457A04
00591BB8 |. 8BD6 MOV EDX,ESI
00591BBA |. 8BC3 MOV EAX,EBX
00591BBC |. E8 0B020000 CALL Effects.00591DCC
00591BC1 |. 8D4D EC LEA ECX,DWORD PTR SS:[EBP-14]
00591BC4 |. 8B83 D0040000 MOV EAX,DWORD PTR DS:[EBX+4D0]
00591BCA |. 8B80 F0010000 MOV EAX,DWORD PTR DS:[EAX+1F0]
00591BD0 |. BA 09000000 MOV EDX,9 - номер строки (если считать с нулевой) с которой сравнивается
00591BD5 |. 8B30 MOV ESI,DWORD PTR DS:[EAX]
00591BD7 |. FF56 0C CALL DWORD PTR DS:[ESI+C]
00591BDA |. 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14]
00591BDD |. BA 6C1D5900 MOV EDX,Effects.00591D6C ; 5539UREDJJDGDSY34H9KRBBBGDH46GSG46EGSHJFDG4KJ3 - что сравнивается
00591BE2 |. E8 E125E7FF CALL Effects.004041C8 - сравнение
00591BE7 |. 74 0F JE SHORT Effects.00591BF8 - переход, если всё ок


-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет:
Если так рассуждать, то как ты узнал вообще, что надо отсдеживать файл form.lst? Надо же что-то пробывать... способов куча!

Дык, я ж и учусь

Оказалось, что программа, эти строки кидает в скрытый ListBox, а потом уже оттуда читает 9 строку. Момент закидывания в ListBox я и пропустил. Теперь разобрался. Спасибо.

x123 пишет:
Кто нибудь все продукты ковырял? Меня интересует Photo Click.(ams soft)
Там проверка и все процедуры в dll находятся (колличество запусков, ввод серийника).

Или я что то не то скачал (качал: photosoft.ru/click/PhotoClick.zip), или я что то не понял. Но программа нигде не даёт вводить серийник. В справке пишут что ограничение по запускам 50, я уже больше запустил - всё идёт.
Это глюк или программа сама зарегистрировалась как то?

| Сообщение посчитали полезным:

Nukimi пишет:
Или я что то не то скачал (качал: photosoft.ru/click/PhotoClick.zip), или я что то не понял. Но программа нигде не даёт вводить серийник. В справке пишут что ограничение по запускам 50, я уже больше запустил - всё идёт.
У меня PhotoClick 1.25 версия.
А насчет глюка, у меня на другой было нечто подобное на Photo Frames
нажимаешь зайти на сайт после того как закончилось количество запусков,
а она после этого выставляет все заново 35 запусков как после инсталляции.

| Сообщение посчитали полезным:

Э... А как вообще её ковырять?

Почитал cracklab.ru/f/action=vthread&topic=3518&forum=1&page=-1
Мне вооще что загружать - exe or dll? Или как то по иному ковырять её?

| Сообщение посчитали полезным:

Nukimi пишет:
Э... А как вообще её ковырять?
Что конкретно?

| Сообщение посчитали полезным:

Nukimi загрузить можешь и то и то
проверка вроде в dll

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Загружаю dll
Почему при запуске без бряков, не рисуется окно, где можно либо купить, либо ввести ключ? Вместо этого рисуется OllyDbg DLL Loader.

Ставлю бряки на CreateFile, RegOpenKeyEx. CreateFile не всплывает, RegOpenKeyEx - 2 раза. Но явно не для регистрации.
Либо здесь другая защита, либо я всё таки не правильно что то делаю с этой dll?

| Сообщение посчитали полезным:

Nukimi пишет:
Загружаю dll
Затем в dll адресах жмеш в ОЛЛИ: Search for - All referensed text strings.
Находишь строка формы активации:
0173AD61 . B9 08B67301 MOV ECX,0173B608 ; ASCII "4rtefdgssgfdsf.lst"


[i]Nukimi пишет:
Ставлю бряки на CreateFile, RegOpenKeyEx. CreateFile не всплывает, RegOpenKeyEx - 2 раза. Но явно не для регистрации.

0173AD29 . E8 A2C5DFFF CALL <JMP.&kernel32.GetWindowsDirector>; \GetWindowsDirectoryA

Файл прога ищет готовый 4rtefdgssgfdsf.lst в папке винды.

| Сообщение посчитали полезным:

Да, да, да.
Оказывается, если грузить эту dll в Олю через File->Open, то фигня получается. Бряки не работают. Воспользовался советами из cracklab.ru/f/action=vthread&forum=5&topic=11390.
Грузим TotCmd, через него видим загруженную dll и теперь бряки уже работают.
Всем спасибо.

Только я не понял совет tihiy_grom. Почему то у меня, именно как tihiy_grom описал, не получилось? На bp ShowWindow, он каждое мгновение всплывает. И никак не хочет всплыть именно при контекстном меню?

| Сообщение посчитали полезным:

потому что по ShowWindow он сам показывается на экране. Сдвинь окна так, чтобы ольга его не перекрывала своим окном

| Сообщение посчитали полезным:

Не могу проверить, у меня Оля почему то перестала присоединяться к TotCmd?
Загружать TotCmd загружает, всё нормально, а вот атачиться не хочет. Останавливается на
7C901231 C3 RETN
Нажимаю F9. И всё стоит. Трасировка не идёт. TotCmd тоже висит. Может при атаче какие то хитрости есть?

| Сообщение посчитали полезным:

добавь в опциях игнорирование последнего исключения

| Сообщение посчитали полезным:

Сдесь не исключение. Я не заметил сразу. Внизу Оля написала
Attached process paused at ntdll.DbgBreakPoint
Антиоладка?

| Сообщение посчитали полезным:

Это ты просто бряк установил на этом модуле.

| Сообщение посчитали полезным:

При аттаче он и должен там останавливаццо, всё норм.

| Сообщение посчитали полезным:

Извиняюсь за молчание. Интернета не было.
Проблема в том, что когда TotCmd останавливается на ntdll.DbgBreakPoint, после того как я нажимаю F9, TotCmd либо начинает работать, либо пишет

Thread 000005A0 terminated, exit code 0

И, соотвественно, никакой отладки дальше не происходит.
И нет никакой закономерности. Сначало работает-работает. Потом вдруг начинает не работать.

| Сообщение посчитали полезным:

Не знаю, поможет или нет, но попробуй после аттача (когда остановится на ntdll.DbgBreakPoint) перед тем как нажать F9 - удали все точки останова в окне BreakPoints

| Сообщение посчитали полезным:

tihiy_grom пишет:
перед тем как нажать F9 - удали все точки останова в окне BreakPoints
Там и не было ничего.

Только теперь опять стал запускаться. Странности какие то. Ну да ладно. Вообщем, топ я наверное закрываю.

| Сообщение посчитали полезным: