Уважаемые, помогите!
Очень хотелось бы крэкнуть одну астропрограмму (Hева-профи), не только мне, как астрологу и начинающему крэкеру, но и людям, обладающим легальными правами на пользование этой прогой (почему объяснится далее).
Дело вот в чем: после извлечения архива проги появляются два файла: сам exe’шник и Setup.exe. Для инсталляции необходимо запустить Setup и переписать в появившемся окне пятизначный код, кнопкой «Выход» выйти из Setup’a и далее ничего не трогать. Сообщить записанный код разработчику по е-mail или по телефону, он выдаст десятизначный код (прога чато «летит», как мне объяснили, от «вирусных атак», а обращаться за кодом к разработчику легальным пользователям хоть и бесплатно, но накладно в плане работы с клиентами). Вновь запустить Setup.exe, в появившееся окно, аналогичному первому, но с новой кнопкой «Ввести» вносится полученный десятизначный код, «Ввести», «Выход». Все. Файл Setup.exe при этом из компа исчезает (при неправильно набранном коде – остается). Перезагрузка, прога инсталлирована.
Два месяца тыкаю-мыкаю эту прогу, не могу понять, каким образом на один файл приходятся два разных окна и как файл после правильной инсталляции «исчезает» с компьютера. Да и с чего начать уже понять не могу.
Соображения на тему: у меня имеется в наличии один рабочий десятизначный код, т.о. достаточно было бы вправить Setup на пожизненную генерацию одного и того же пятизначного числа. Расставляя бряки отслеживаю формирование окна Setup’a. Натыкаюсь на оператор INT 2B, после которого в окне высвечивается сформированное где-то (где???) пятизначное число. При дальнейшей трассировке это число исчезает и вновь появляется по указанию того же INT 2B (но понятно, что в памяти оно уже есть и меня интересует лишь первое его появление).
В книге по ассемблеру приведены примеры операторов INT 10H, INT 20H, INT 21H, но никакого упоминания о 2B. Кто-то сказал мне, что это прерывание «передает управление в BIOS», но мне это мало о чем говорит. Разъясните по возможности вопрос.

| Сообщение посчитали полезным:

программу в студию

-----
zzz

| Сообщение посчитали полезным:

К сожалению, человек, легально пользующийся этой прогой и поделившийся ею со мной, одарив одним активационным кодом, слезно просил никому не передавать программу, опасаясь, что она пойдет по Интернету. А эта прога Шестопалова (может слышали о таком астрологе), у него все как-то подконтрольно и пользователи и ученики его отчень боятся его гнева. Саму прогу (даже не крэкнутую) в инете не найти.
А потому и спрашиваю совета: что это за INT 2B такой?
P.S. Быть может удасться договориться с ним и "программу в студию" сделаем.

| Сообщение посчитали полезным:

Без программы к асторологам и надо обращаться, пусть гадают. В винде вызов инта напрямую обычно приводит только к исключению, и очень вряд ли на это навешан функционал.

| Сообщение посчитали полезным:

denchik-82 Ну первое - попробовать прогу в виртуалке поставить. Если встанет - можно ее попробовать тиражировать. Если нет, то поиграть в "песочницы" - посмотреть куда и что пишет в системе.
Все прерывания INT "должны передавать управление в БИОС", но это было в ДОС. В Винде все сложнее. Никто не мешает на INT 2B навесить хук и добавить любые функции.

| Сообщение посчитали полезным:

tundra37, пожалуй, я совсем "новичок" в этом деле: не могли бы дать ссылку на статьи или книги, где я мог бы прочесть о таких, очевидно, повседневных для Вас понятиях, как "прогу в виртуалке поставить", "поиграть в "песочницы"" и "навесить хук".
Заранее благодарен.
Уважаемый Archer, астрологи не "гадают", а читают карты звездного неба, составлять которые им помогают специальные программы. С уважением к Модератору, denchik-82.

| Сообщение посчитали полезным:

Расшифровка:
1)прогу в виртуалке поставить - Поставить виртуальную машину,например,vmware, и внутри нее уже установить программу. Для тиражирования,нужно уже не программу размножать, а образ виртуальной машины копировать на другие реальные компьютеры.
2)поиграть в "песочницы" - используя мониторы работы программы с реестром(например,regmon.exe) и монитор работы программы с файлами(например,filemon.exe) понаблюдать за действиями программы
3) навесить хук(hook) - осуществить программный перехват прерывания на свой обработчик с дальнейшей передачей на оригинальный обработчик. Необходимы знания низкоуровнего программирования и внутреннего устройства Windows.

| Сообщение посчитали полезным:

Coolangel, спасибо за расшифровку.
Насчет виртуалки: я уже проехал – поспешил установить прогу по высланному мне добрым человеком десятизначнику на реальную машину, а попрошайничать еще один код – это нахальство. Но все же, не могли бы подсказать литературу, где можно было бы почерпнуть инфу по созданию «виртуальной машины»?
Насчет «поиграть в «песочницы»»: программы regmon.exe и filemon.exe – это программы, которые можно скачать в Internet’e?
Насчет последнего пункта: гм, спасибо, конечно же.
Но неужели прогу такого типа (я довольно подробно описал ее инсталляцию) нельзя крэкнуть простонародными средствами, типа: найти сравнение десятизначников инсталляции (это же должно присутствовать) или генерацию первоначальных пятизначных кодов активации??? Она конечно мудреная (т.е. проверка не в одно действие, как во многих крэкнутых мною с помощью Рикардо Нарваха и без него учебных CrackMe), но должны же быть у уважающих себя спецов какие-то примочки для этих целей?

| Сообщение посчитали полезным:

regmon.exe и filemon.exe скачал, буду осваивать...

| Сообщение посчитали полезным:

Process Monitor круче
http://exelab.ru/download.php?action=get&n=Njk1

-----
zzz

| Сообщение посчитали полезным:

denchik-82 Эй , я те предложение выслал , обрати на него внимание

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

denchik-82 пишет:
но понятно, что в памяти оно уже есть и меня интересует лишь первое его появление
Ну так попробуй его там найти (после того как оно отобразилось в окне), заменить на известное и ввести ответный код. Так как генерируемый код представляет из себя число, то стоит и в бинарном виде поискать.
Неплохо было бы еще узнать что говорит PEiD.

| Сообщение посчитали полезным: