Привет всем. я впервые занялся крекингом и столкнулся сразу с полной

Итак програма: www.scrapebox.com/dl/version10/scrapebox.zip
Уже 8 час ломаю голову, много читал...
Итак чего я добился: Програма компресирована PE Compress ом, расскомпресировал и потом PEID показал что она написана на дельфи, так что DeDe ее открыл.
В програме есть проверка isDebuggerPresent, но ее тоже обошел плагином для олли.
И вот где проблема: при запуске чтов дебагере что без него декомпресированая версия программы выдеат окошко з ошыбкой: "Error #17. Please contact support". я так думаю это CRC проверка, но не могу найти в олли ни саму строчку "Error #17. Please contact support" ни ее части =(
Может я неправильно ищу?
search for->all referenced text strings
search text ...
как еще найти сам момент когда выкидывает окно з ошыбкой я не знаю. помогите плиз

| Сообщение посчитали полезным:

А еще как оказалось после еррор 17 програма не умирает а выкидивает еще ошыбки "we detected the presence of a http debugger". ету строчку тоже найти не могу (

| Сообщение посчитали полезным:

bp MessageBoxA/W пробовал?

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

о, ошибка в 17-й строке. программисты с юмором попались.
в общем ставь точку останова на messagebox, или чем там сообщения в делфи показываются.
еще попробуй поискать юникодную строчку с такой строкой или её частью

| Сообщение посчитали полезным:

мм, нашел строчку где хочу поменять JE на JMP , выделяю, правая кнопка - Assemble, снимаю галочку fill with NOP , меняю JE на JMP текст стаеткрасным и при рестарте дебагера возвращается в прджнее состояние JE
что я делаю не так?

| Сообщение посчитали полезным:

Ты забываешь всё это дело сохранить ПКМ->Copy to executable->All Modifications

| Сообщение посчитали полезным:

dracony
здесь при запуске проверяется хэш электронной подписи:


Заходишь в процедуру 008DFE13 и убираешь (Nop) два перехода по адресам:
005662C8
0056640B

Если не осилишь, вот распакованный и почеканный файл:
--> Скачать <--

З.Ы. Найти мог поставив бряк на showWindow или на CreateFileA
З.Ы. 2 А чё эта вообще за софтина, чё она делает?

| Сообщение посчитали полезным:

Спасибки ) как раз тоже нашел ету функцию, и зашел на форум написать что теперь еррор 19 =)), но его уже почти пофиксил =)
метод мат индукции подсказівает что дальше будет еррор 21 =)))и ето даже еще не форма регистрации)))

Софтина в теории очень умно сама пишет комееты на блогах, но о ее юзабильности сказать ничего не могу ибо как видите сам еще ни разу ее не запустил))))))))))))
Кста когда ставлю брейк на функцию (bpx shwWindow например) мне выкидывает окошко Intermodular calls, так и должно быть?

| Сообщение посчитали полезным:

dracony спамбот чтоли?
посадить на кол и авторов бота, и Вас за компанию

| Сообщение посчитали полезным:

dracony
Во-первых не знаю откуда у Вас идут дальше ошибки, тот дамп который я скинул работает прекрасно.Там нужно изменить всего пару байт, какие я показал.
Во-вторых чтобы не показывало окошко Intermodular calls нужно писать не bpx showWindow, а bp showWindow
В-третьих регистрировать её бесполезно, ибо проверка лицензии идёт на сервере и это видно уже при первом беглом осмотре проги.

| Сообщение посчитали полезным:

Скачал вашу версию, прога запустилась, но как только откры олькой опят еррор 19
error 19 появляется если запустить прогу в дебагере, и что странно, даже после закрытия ольки все равно при запуске выкидывает тот еррор. Может создает какой-то скрытий файл..

| Сообщение посчитали полезным:

Перекинул на виртуальную машыну, и там тоже работало до первого запуска в дебагере(
наверное в рееэстр пишет что-то или как-то так

| Сообщение посчитали полезным:

dracony пишет:
тоже работало до первого запуска в дебагере(

Если Олька не чистая а какая нибудь китайско-заточенная под Фиму или Криптор... то она бросает свой дров в памяти после выгрузки.

Для проверки на виртуалке или после ребута запусти Ольку, выйди из нее не запуская свой файл на отладку и стартани приложение. А если пишет в реестр или в файло какое нибудь, то после ребута без запуска отладчика должно о нем тебе напоминать.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Разобралася=) Прого проверает запущена ли Олли вообще. Тоесть запускаю олли (просто запускаю даже на открываю в ней екзешки), потом отдельно запускаю прогу и она дает еррор 19.
Переименовал екзешку ольки и еррор пропал =) но теперь когда олькой запускаю екзешку то олька дает еррор "acces violation when executing [00000000], pass exception to application shift+/f7/f8/f9
нажимаю ф7 и еррор "debugged program failed to process exception"

еще одна проверка на дебагер?

| Сообщение посчитали полезным:

Так ничего и не нашел (
Я так понимаю это еще одна проверка на дебагер ибо без дебагера заускается отлично..
Помоготие ее пройти плиз

| Сообщение посчитали полезным:

alt+O-Exceptions, поставь все галки и добавь 00000000-FFFFFFFF в конец

| Сообщение посчитали полезным:

Сделал, викинула ошыбку, "dont know how to continue because memory at address 0000000 is not readable. Try to change EIP or pass exception to program"

| Сообщение посчитали полезным:

"dont know how to continue because memory at address 0000000 is not readable" появляется на строке
008BE762 . CD 2D INT 2D

Занопил ее, пмрога пощла дальше а потом выбросила мне "error 18 please contact support"
при чем еррор выкидывает теперь даже если модификации сохранить в екзешку, выгрузить ольку и запустить саму екзе.
Наверное какая-то защита от модификации еще одна...
да там наверное полкода защиты(((

| Сообщение посчитали полезным:

О ЧУДО!!!!!!!! Скачал плагин Strong OD и все запустилось!!!!!!! даже без нопа о котором я выше писал =))))))))))))))))))

Ок проверка лицензии происходит сразу после запуска проги, никакой формы для серийника и тд нет.
Как еайти момент когда прога отсылает запрос на сервер?

точно знаю даже ссылки на которые идут запросы (взял чере ваэршарк):
www.box.scrapebox.com/address.php
www.scrapebox.com/lic/lic5.php<параметры >
етот lic5 если передать ему всякую лабуду возвращает INVALID я так понмаю на основе его ответа прога и решает запускатся или нет =)

как тепер ету прокверку найти?

| Сообщение посчитали полезным:

Ну есть же Правка, почему 9 из 10 её не могут увидеть и непременно налепят подряд постов.

| Сообщение посчитали полезным:

Упс сорри)

Нашел нашел

008CD549 . 05 5C010000 ADD EAX,15C

вот в етой строке обчисливается тот паремтр который прога отсылает на сервер!!!!!!! (виден справа в коментарях )
так вот теперь нужно просто добратся до места обработки его =)
помощь б не помешала )

| Сообщение посчитали полезным:

Если поконкретней то вот тут: 008CD65C начинается оброботка последного ответа из сервера (типа лцензии). Разобратся где конкретно она проверяется на смог (( повсюду куча джампов (( и поздно уже...голова не варит....

Помотрите туда пожалуйста кто-то, может увидите функцию проверки(

Начиная с места 008CDC7B уже обрабатывается сам ответ (без хедера).

Тоесть если отве пришел
<!-- SERVER 206.214.211.165 -->
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang='en'>
<head>
<meta http-equiv="Content-Type" content="text/xhtml; charset=utf-8" />
<title></title>
<meta name="robots" content="noindex, nofollow" />
<meta name="googlebot" content="noarchive" />
</head>
<body>
INVALID

то в строке 008CDC7B уже отфильтрировано и осталось само:
INVALID

Хотя я не уверен что посе етой строки проверка, может просто лог пишет или-что то. Но то что в 008CD65C начинается обработка лицензии точно =)

П.С. если кто схочет взглянуть не забудьте поставить Strong OD плагин к олли для правильной обработки INT 2D, и переименуйте ollydbg.exe в че нибудь другое так как тоже палит если запущений процес под такой назвой =)

Еще раз сасибо за помощь =)

| Сообщение посчитали полезным:

точно знаю даже ссылки на которые идут запросы (взял чере ваэршарк):
....rapebox.com/address.php
....apebox.com/lic/lic5.php<параметры >
Просто молодец. Умеешь чужими программами пользоваться.
Теперь дело за малым : ломануть этот сервер и посмотреть скрипты.
Тебе же сказали :
В-третьих регистрировать её бесполезно, ибо ПРОВЕРКА лицензии идёт на СЕРВЕРЕ
Придется все-таки научиться еще и своими мозгами шевелить, а не ходить "под диктовку".

| Сообщение посчитали полезным:

для чего ломать сервер?
Если б програма работала з сервером то понятно что ломануть нельзя было б, а так она просто проверяет лицензию а дельше уже сама по себе работает без сервера.

достаточно найти где проходит проверка, тоесть с чем то сверяется ответ сервера, и поставить там джамп. почему не сработает?

| Сообщение посчитали полезным:

Разобрался =)
валидный респонс из сервера имеет такой вид

Вопрос: как посредине кода мне изменить значение в ячейке память в которой сохраняется ответ сервера? Мне нежуно заменить его на ету абракадабру.
я так понимаю нужно джампнуть куда то а потом обратно, а как лучше в асеемблере заганть в память длинный стринг?

| Сообщение посчитали полезным:

Не могу нормально поменятвсе значения ( веччно выкидывет что Access violation то тут то там,, думаю фигово джамнул через код проверки ((
помогите плиз. проверка вот тут начинается
008CDE04

И еще как в олли добавить код в конце проги =)? едитать код могу но добавить нет (

| Сообщение посчитали полезным:

<code>sdfsfdsd</code>
<var>dfgdfg</var>
<pre>dfgdfgd</pre>
Ну не разу не поверю, что валидный код состоит из символов, которые рядом на клавиатуре.
Больше похоже, что их ты набирал и назад просто эхо получил или это и есть твой запрос.

Раз непонятно : программа проверяющая лицензию сидит на сервере - это скрипт lic5
Правильный ответ(а не инвалид) будет когда дашь правильный запрос, которого ты не знаешь.

| Сообщение посчитали полезным:

А зачем тебе его менять? Ты всё равно не знаешь на что!
Смотри по коду дальше для чего этот ответ используется и правь

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным: