Gemini Pattern Editor и Ollydbg

Сейчас на форуме: _MBK_ (+5 невидимых)

Посл.ответ	Сообщение
robot666 Ранг: 7.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 29 августа 2010 12:30 · Личное сообщение · #1 www.geminicad.com/ Эффективное проектирование, градация, проверка и печать лекал Прогоняю PEID пишет C:\Gemini Pattern Editor v.X9\atl71.dll :: Nothing found * C:\Gemini Pattern Editor v.X9\clp.dll :: Nothing found * C:\Gemini Pattern Editor v.X9\GeminiPatternEditor v.X9.exe :: Borland C++ 1999 C:\Gemini Pattern Editor v.X9\language.dll :: Nothing found * C:\Gemini Pattern Editor v.X9\libmmd.dll :: Microsoft Visual C++ 7.1 DLL [Overlay] C:\Gemini Pattern Editor v.X9\mfc71.dll :: Microsoft Visual C++ 7.1 DLL C:\Gemini Pattern Editor v.X9\mfc71u.dll :: Microsoft Visual C++ 7.1 DLL C:\Gemini Pattern Editor v.X9\msvcm90.dll :: Nothing found * C:\Gemini Pattern Editor v.X9\msvcp71.dll :: Microsoft Visual C++ 7.1 DLL C:\Gemini Pattern Editor v.X9\msvcp90.dll :: Nothing found [Overlay] * C:\Gemini Pattern Editor v.X9\msvcr71.dll :: Nothing found * C:\Gemini Pattern Editor v.X9\msvcr90.dll :: Nothing found [Overlay] * Открываю в OllyDbg 1.1 или 2.00.01 запускаю по F9 и оно валится по RaiseException. Пробую добавить исключение на это исключение )))) но всё равно не могу добиться запуска проги из-под отладчика. Что дальше делать не знаю, думал раз не паковано, значит всё просто.

gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 29 августа 2010 13:23 · Личное сообщение · #2 думал раз не паковано, значит всё просто. Ссылку на закачку программы давай, что бы не гадать что же у тебя не идет и какую программу смотришь. По результату PEID вероятность большая, но нужно еще смотреть через DIE и какие секции, их энтропию. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
robot666 Ранг: 7.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 29 августа 2010 13:27 · Личное сообщение · #3 www.geminicad.com/download/demo/GeminiPatternEditorv.X9_31may10.exe Gemini Pattern Editor 9
gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 29 августа 2010 15:46 · Личное сообщение · #4 Да, действительно ничем не упакована, Borland C++, фантом не вздумай ставить, у меня без плагинов доходит до ExitProcess: Code: 00580A3B . E8 0490D900 CALL <JMP.&KERNEL32.GetCurrentProcess> ; [GetCurrentProcess 00580A40 . 50 PUSH EAX 00580A41 . FFD7 CALL EDI 00580A43 . 84C0 TEST AL,AL 00580A45 . 74 1D JE SHORT GeminiPa.00580A64 00580A47 . 83BD 60FFFFFF>CMP DWORD PTR SS:[EBP-A0],0 00580A4E . 74 14 JE SHORT GeminiPa.00580A64 00580A50 . 6A 00 PUSH 0 ; /ExitCode = 0 00580A52 . E8 6F8FD900 CALL <JMP.&KERNEL32.ExitProcess> ; \ExitProcess 00580A57 . 8B15 DCB06101 MOV EDX,DWORD PTR DS:[161B0DC] ; GeminiPa.01621FA0 бряк на 00580A52 ставь либо аппаратный либо когда будешь на ОЕП, она похоже в TLS проверяет наличие бряков (в том числе и на ОЕП) и фантома, затем даже после удаления фантома начинает по другому работать, так что от ExitProcess ковыряй выше, высняй откуда программа попадает на эту функцию, можешь зайти с другой стороны - поставить плагин advancedolly и в нем поставить остановку на TLS или с системного бряка ковырять, возможно она палит бряк на ОЕП, это тоже проверь, вообще прога неплохо сопротивляется, так что будет над чем поработать, я только вечером смогу посмотреть поподробней. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 29 августа 2010 18:26 · Личное сообщение · #5 Ставь бряк 00580A41 CALL EDI ; CheckRemoteDebuggerPresent и меняй возвращаемое значение, advancedolly при установке галки на этой функции почему то выдает в EAX=0012fcfc, в результате программа также закрывается, если вручную будешь обнулять EAX, то программа запускается нормально,дальше не стал смотреть. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
robot666 Ранг: 7.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 29 августа 2010 19:34 · Личное сообщение · #6 Шикааааарно, СПАСИБО !! Дальше буду копать сам.
robot666 Ранг: 7.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 30 августа 2010 09:03 · Личное сообщение · #7 # 00580A41 . FFD7 CALL EDI # 00580A43 . 84C0 TEST AL,AL # 00580A45 . 74 1D JE SHORT GeminiPa.00580A64 JE заменил на короткий jmp
robot666 Ранг: 7.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 07 сентября 2010 19:33 · Личное сообщение · #8 Может поможет кто разобраться. Code: 004BF6C6 E8 E96C0D00 CALL GeminiPa.005963B4 ; вывод о запрете в демо на плоттер Непонятный переход при запуске проги Code: 00768DB7 /0F85 40020000 JNZ GeminiPa.00768FFD Если пропатчить JNZ по адресу 00769001 с переходом до 00769019 то программа запускается без ругани что оно демо, но не позволяет ровно сохраняться, делать экспорт и печать на плоттер. Code: 00768FFD 807D 08 00 CMP BYTE PTR SS:[EBP+8], 0 00769001 75 12 JNZ SHORT GeminiPa.00769015 00769003 . 6A 00 PUSH 0 ; /Arg2 = 00000000 00769005 . 8B4D 0C MOV ECX, DWORD PTR SS:[EBP+C] ; \| 00769008 . 51 PUSH ECX ; \|Arg1 00769009 . E8 7A3FFAFF CALL GeminiPa.0070CF88 ; \GeminiPa.0070CF88 0076900E . 83C4 08 ADD ESP, 8 00769011 . 84C0 TEST AL, AL 00769013 . 75 04 JNZ SHORT GeminiPa.00769019 00769015 > 33C0 XOR EAX, EAX 00769017 . EB 05 JMP SHORT GeminiPa.0076901E 00769019 > B8 01000000 MOV EAX, 1
gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 07 сентября 2010 20:37 · Личное сообщение · #9 Насколько я понял ты убрал триальное окно, а сама прога так и осталась триальная, ищи как регистрируется, я поставил на закачку - скачаю, посмотрю, но это будет скорее всего завтра вечером. Иди в окно регистрации, если оно там есть и пробуй там регистрировать и лови что происходит с прогой и в IDR попробуй засунуть, поскольку прога не упакованная там скорее всего будет сложно подобрать ключ. Еще вариант - найти где активируются эти функции (сохранения, печати). ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
robot666 Ранг: 7.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 08 сентября 2010 10:49 · Поправил: robot666 · Личное сообщение · #10 Прога опрашивает СОМ порты на наличие ключа, я боюсь как бы части кода на ключе не хранились. Опрашивается какой-то \.\pipe\geminiShieldPipe при открытии (делает CreateFile) При регистрации (если пропатчить где надо) лезет искать ключ на СОМ порту и валится. Code: 00768FFD 807D 08 00 CMP BYTE PTR SS:[EBP+8], 0 00769001 75 12 JNZ SHORT GeminiPa.00769015 Я пропатчил как Code: mov BYTE PTR SS:[EBP+8], 1 Jmp SHORT GeminiPa.00769019 Если ткнуть сохранить как, то он выдает окно что мол я как демо вам сохраню, жмешь отмену и он сохраняет без префикса ДЕМО_ Где патчить код на экспорт и плоттер нашел тоже, но криво как-то сделал, исключения валятся дуром и рушат всё. Вечером доберусь до дома выложу адреса для патчей, они по MessageBox'у легко находятся.
robot666 Ранг: 7.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 09 сентября 2010 16:42 · Личное сообщение · #11 Список патчей, приводящий хоть куда-то... Code: Patches Address Size State Old New Comment 004BF6CB 2. Active TEST AL, AL XOR AL, AL 004BF6E7 2. Active TEST AL, AL XOR AL, AL 004BF6E9 2. Removed JE SHORT GeminiPa.004BF704 JMP SHORT GeminiPa.004BF704 005956CE 3. Active AND EAX, 1 XOR EAX, EAX 005963D0 2. Active TEST AL, AL XOR AL, AL 00768DB7 6. Removed JNZ GeminiPa.00768FFD JMP GeminiPa.00768FFD 00768FFD 6. Active CMP BYTE PTR SS:[EBP+8], 0 MOV BYTE PTR SS:[EBP+8], 1 012EFA61 2. Removed JNZ SHORT GeminiPa.012EFADB JMP SHORT GeminiPa.012EFADB 012EFA6D 2. Removed JNZ SHORT GeminiPa.012EFAD9 JMP SHORT GeminiPa.012EFAD9
gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 09 сентября 2010 20:05 · Личное сообщение · #12 Я пошел по другому пути. Прога скорее всего сразу после запуска проверяет зареганность, если нет то ищет ключ, если находит ключ прроверяет активацию на сервере. Пока накопал мало, прога видимо периодически проверяет целостность (антиотадку в 2х местах правлю) я уже 3 раза переустанавливал, внезапно перестает работать и требует переустановки, с отладчиком тоже периодически какая то хрень творится на ОЕР выходит мин 5, при этом загрузка процессора 99%, после удаления всех файлов сохранок Олли начинает работать нормально. С АПИ монитором тоже не запускается. В общем похоже нужно "вдохновение". ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
robot666 Ранг: 7.8 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 13 сентября 2010 10:31 · Личное сообщение · #13 Отдал на тест с такими патчами, жду ответа. Пока экспериментирую, вместо pipe\geminiShieldPipe пропатчил файл чтоб он читал c:\1.txt ради прикола буду пробовать копать в этом направлении.
Dart Sergius Ранг: 105.6 (ветеран), 36thx Активность: 0.1↘0 Статус: Участник	Создано: 14 сентября 2010 17:55 · Личное сообщение · #14 поставть OllyAdvanced)) и не мучайтесь атм от антиотладки очь много качаю
gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 14 сентября 2010 18:19 · Поправил: gena-m · Личное сообщение · #15 поставть OllyAdvanced не спасет, он неправильно в этой программе работает с CheckRemoteDebuggerPresent, с другой (IsDebuggerPresent) нормально. Файл лицензии он похоже в resource.dll ищет, сервер не запрашивает, наверное тебя смутили DNS запросы, но они походу при работе с Indy компонентом вылазят. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
BfoX Ранг: 397.0 (мудрец), 179thx Активность: 0.17↘0.1 Статус: Участник	Создано: 14 января 2011 18:34 · Личное сообщение · #16 есть вопрос как сделать в вусбе так, что бы он отвечал на CreateFileA \.\pipe\GeminiShieldPipe по логам усб трейса сделал вусб, но при инсталляции выдет ошибу 10 ----- ...или ты работаешь хорошо, или ты работаешь много...

Для печати