Привет всем.
Возникла проблема, может кто сталкивался.
Есть прога CCNA Virtual Lab Titanium Edition (визуализация сети по стандарту CISCO), написана на JAVA, скомпилена в EXE с помощью Excelsior-Jet.
После регистрации в корне создается файл лицензии и ей можно пользоваться, до этого времени кнопка Net Visualiser (оновные опции проги) сделана disabled
Т.е. надо как-то имитировать этот файл лицензии либо обойти его проверку, но проблема в том, что:
1. отладить прогу не могу из-за IsDebuggerPresent (как убрать его пока не знаю)
2. ресурсов в ЕХЕ-шнике тоже нет (никаких кнопок и диалогов, только 2 битмапа)
3. секция кода - сплошные данные (наверно упакована чем-то, чем именно не знаю как определить)
4. есть только несколько секций (.text .data .rsrc), и не все обычные (.bss .jidata .jdata .jedata .config)
Кто-нибудь знает чего начать в такой ситуации, когда чувствуешь себя загнанным в угол?

(мне кажется предыдущий пост не добавился, поэтому извините если тема дублируется)

| Сообщение посчитали полезным:

Выложи файл, так будет проще помочь.

| Сообщение посчитали полезным:

Приаттачить не получилось.
Вот ЕХЕ aiv.ho.ua/CCNAVL.zip (12 Мб)
Вобщем, с IsDebugPresent разобрался.
А вот непонятно почему, например, в IDA секция кода выглядит просто сплошным массивом данных.
Да и OllyDBG говорит что вроде чем-то упаковано.
Как определить упаковщик и можно ли даже в запакованом коде сделать обход какой-то API или JMP?

| Сообщение посчитали полезным:

artemiusgreat пишет:
Приаттачить не получилось.
Вот ЕХЕ http://aiv.ho.ua/CCNAVL.zip (12 Мб)

Шутишь? 12 мегабайт присоединять к сообщению.


artemiusgreat пишет:
А вот непонятно почему, например, в IDA секция кода выглядит просто сплошным массивом данных.
Да и OllyDBG говорит что вроде чем-то упаковано.

Потому что файл как ты уже догадался слегка зашифрован.


artemiusgreat пишет:
Как определить упаковщик и можно ли даже в запакованом коде сделать обход какой-то API или JMP?

Шифрует наверное сам Excelsior-Jet при создании файла, а в запакованном менять ничего не надо, т.к. никакой проблемы в том чтобы расшифровать его нет.

Просто ставишь бряк в Олли на запись в секцию данных (.data), запускаешь — удаляешь бряк когда остановишься и идешь в конец цикла расшифровывающего данные (F4 на команде после jnz) и дампишь распакованный файл.

Теперь ставишь бряк на доступ к секции кода (.code) и снова запускаешь программу — остановишься на OEP (0x401000), потом правишь в дампе OEP, указывая 1000 (адрес без базы, т.е. 0x401000 - 0x400000), секцию импорта на 00E68000/50 (т.к. импорт лежит нетронутый в секции .idata) и релоки на 0x00EB0000/68E1E (хотя для .exe они и не нужны).

После этого считай что распаковал файл.

А вообще если тебе интересен реверсинг, то почитай для начала вводные вещи вроде «Введение в крекинг с нуля» на wasm.ru, это не займет много времени, но в результате ты будешь понимать зачем ты ставишь бряк там-то, а не просто тупо следовать описанным действиям. А если нет, то топай в запросы на взлом.

П.С.
Если будешь продолжать, то выкладывай библиотеки:
XKRN40056.DLL
XSQL40056.DLL
XSWN40056.DLL
XJCE40056.DLL
XCRB40056.DLL
XSTF40056.DLL
XSSE40056.DLL
XXML40056.DLL
XAWT40056.DLL

| Сообщение посчитали полезным:

Почитал wasm.ru, но проблема все равно осталась. Поэтому решил выложить DLL вот aiv.ho.ua/xjre/jetrt/
1. Подбирать серийник наверное бесполезно потому что проверяется он в базе данных на сервере (т.е. после подключения к инету)
2. Файл лицензии должен называться CCNAVL.ekb (создал его), поставил BP на CreateFileA, и даже нашел проверку, но проверка странная как будто считает контрольную сумму кодов введенных символов а не проверяет сами символы, т.е. указатель в памяти перемещается но числа не сравниваются сравниваются а вместо этого записываются в стек сумма их кодов и проверяется считано ли 4FE символов.
Попробовал изменять некоторые условные переходы на безусловные, но кнопка все равно disabled.
Может быть на асмом деле это не проверка лицензии, что я делаю не так?

| Сообщение посчитали полезным: