 |
eXeL@B —› Вопросы новичков —› Взлом Uninstall Tool + вопросы. |
| Посл.ответ | Сообщение |
|
|
Создано: 26 января 2010 15:39 · Поправил: Ziggi · Личное сообщение · #1 Здравствуйте. Помогите, пожалуйста програмкой Uninstall Tool 2.9(build 5078) (3.1.82)mb И поотвечайте на вопросы, их у меня уже много накопилось. По ходу буду задавать. На проге висит пакер(скорее даже прот) Gleam v1.00* компилятор Microsoft Visual C++ 8*. В гугле и на форуме я про прот ни слова не нашёл. Снял руками так: отслеживал кочевания начального значения ecx(он его всё время то в стек запихнёт, то обратно выгрузит). И снял дамп, когда он восстановил ecx и передал управление в секцию text. вот рабочий дамп. Что нашёл: В диалоге ввода пароля отладчик брякается на MessegeBoxW(В стеке внизу Введённые имя и пароль.) Но сверяются они при перезапуске. На пойму, где они сохраняются. в 42d8e7 проверяется первый ли это запуск(ниже триал). В EBP введённый в прошлый раз пароль. Не могу найти, откуда он там взялся. Вопросы: уже не надо. спасибо TSRh TeaM Использую олю и иду  |
|
|
Создано: 26 января 2010 16:49 · Поправил: Vovan666 · Личное сообщение · #2 Ziggi пишет: Gleam v1.00* компилятор Microsoft Visual C++ 8* Там насколько я помню там execryptor причем там даже распаковывать ничего не надо т.к. прога не запакована, а надо только найти и пропатчить апи функцию EC_IsRegistered и CRC |
|
|
Создано: 26 января 2010 17:02 · Поправил: Ziggi · Личное сообщение · #3 Нету, вроде этой функции. Или я найти не могу. |
|
|
Создано: 26 января 2010 18:26 · Личное сообщение · #4 0069763F MOV EAX,DWORD PTR DS:[6B3B78]<->MOV EAX,3 и прога запускается как зарегистрированная, но вылетает ошибка, видать еще crc править надо. |
|
|
Создано: 26 января 2010 20:26 · Поправил: Ziggi · Личное сообщение · #5 Спасибо. Думаешь проверка crc? Странно, исправил на mov eax,0 нету ошибки. Поищу. Если не сложно, расскажи,как это место нашёл. Наверное, crc тут не при чём. я код не правил, только значение регистра. ошибка тоже вылезла. |
|
|
Создано: 28 января 2010 20:12 · Личное сообщение · #6 Прога падает в функции 42D03E(Как я понял, она устанавливает заголовок окна). там проверка регистрации 0042D0F7 CMP EAX,3 Если удачно, вызывает какие-то функции, запрыгивает в секцию протектора и падает на 006944BF CALL utool.00692B60 если нет, пишет незарегистрированно в заголовок окна. если занопить вызов этой функции(42DB8F), прога не вылетает, но принудительное удаление не работает. Может это вообще билд кривой? |
|
|
Создано: 28 января 2010 21:19 · Личное сообщение · #7 Ziggi Ты, на блоге kioresk'а читал как бороться с EXECryptor'а CRC _http://kioresk.wordpress.com/ |
|
|
Создано: 28 января 2010 21:23 · Поправил: -=Hellsing=- · Личное сообщение · #8 На начало своей API EXECryptor вставлять jmp который указывает начало API EXECryptor'a EXECryptor_GetDate, EC_GetTrialDaysLeft, и так далее, можешь почитать статьи про EXECryptor VM (Вертуальная машина) прав до они на английском но Goole их переводит Ещё Можно скачать SDK EXECryptora, и по изучать. |
|
|
Создано: 29 января 2010 00:35 · Поправил: Ziggi · Личное сообщение · #9 спасибо, почитаю. Тут у меня проблемка. Оля сама начала добавлять эти бряки. И останавливается, не доходя до EP. Убираю, но при перезагрузке заново ставятся. я только вкладку security в настройках трогал, но потом обратно всё вернул. [OFF] Code:
|
|
|
Создано: 29 января 2010 01:17 · Поправил: -=Hellsing=- · Личное сообщение · #10 Это финча EXECryptor'a. В PhantOm'e кажется надо галочку поставить, на -revove EB break чтобы в Оле бряки снимались автоматически. |
|
|
Создано: 29 января 2010 01:43 · Поправил: Ziggi · Личное сообщение · #11 Не, галочка и так стоит. Добавляет BP во всех программах, не только здесь. Невозможно работать 
|
|
|
Создано: 29 января 2010 01:51 · Поправил: -=Hellsing=- · Личное сообщение · #12 Ziggi пишет: Не, и так стоит У меня прога запускается и не останавливается, даже без плагинов. У тебя в настройках В исключениях установлена 00000000..FFFFFFFF. |
|
|
Создано: 05 февраля 2010 18:40 · Поправил: kioresk · Личное сообщение · #13 Ziggi там крипторовская регистрация, а это значит что недостаточно поменять только EC_IsRegistered. У криптора вся система лицензирования — это по сути 8 двордов, принимающих строго определенные значения при успешной регистрации (т.е. когда были предоставлены валидная пара имени/серийного номера). На этих двордах и базируется выполнение всех крипторовских API и маркеров, связанных с регистрацией (CRYPT_REG/CRYPT_UNREG). Если ты поправишь только EC_IsRegistered, то она конечно будет возвращать что все в порядке, но любой маркер будет выполнять ветку кода как для незарегистрированной версии (т.к. дворды не будут иметь необходимых значений), да и другие функции, связанные с регистрацией, не будут возвращать «зарегистрированный» статус. |
|
|
Создано: 05 февраля 2010 23:59 · Личное сообщение · #14 А к этим двордам обращается только код криптора? Если да, то нам же без разницы, как выполняются ветки крипторовского кода, главное, чтобы с программные выполнялись нормально. Если нет, что делать? ставить bp on access на секцию криптора, и смотреть, зачем туда полезла? |
|
eXeL@B —› Вопросы новичков —› Взлом Uninstall Tool + вопросы. |
Для печати