Исследование PhotoShow 2.65 (ФотоШоу)

Сейчас на форуме: asfa, bartolomeo (+6 невидимых)

Посл.ответ	Сообщение
es_di Ранг: 1.4 (гость) Активность: 0=0 Статус: Участник	Создано: 02 февраля 2012 22:35 · Поправил: es_di · Личное сообщение · #1 link http://fotoshow.su/ PEiD показал Borland Delphi 6.0 - 7.0 [Overlay] Загрузил в олли файл PhotoShow.exe, нашел вот такие строки: 00755954 \|. BA 645C7500 MOV EDX,PhotoSho.00755C64 ; ASCII "Version: 2.65" 00755959 \|. 8B08 MOV ECX,DWORD PTR DS:[EAX] 0075595B \|. FF51 38 CALL DWORD PTR DS:[ECX+38] 0075595E \|. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 00755961 \|. BA 7C5C7500 MOV EDX,PhotoSho.00755C7C ; ASCII "QSSI" 00755966 \|. E8 EDF4CAFF CALL PhotoSho.00404E58 0075596B \|. 74 1E JE SHORT PhotoSho.0075598B 0075596D \|. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 00755970 \|. BA 8C5C7500 MOV EDX,PhotoSho.00755C8C ; ASCII "ASYZ" 00755975 \|. E8 DEF4CAFF CALL PhotoSho.00404E58 0075597A \|. 74 0F JE SHORT PhotoSho.0075598B 0075597C \|. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 0075597F \|. BA 9C5C7500 MOV EDX,PhotoSho.00755C9C ; ASCII "EJLY" 00755984 \|. E8 CFF4CAFF CALL PhotoSho.00404E58 00755989 \|. 75 26 JNZ SHORT PhotoSho.007559B1 0075598B \|> 8D45 E0 LEA EAX,DWORD PTR SS:[EBP-20] 0075598E \|. 8B4D FC MOV ECX,DWORD PTR SS:[EBP-4] 00755991 \|. BA AC5C7500 MOV EDX,PhotoSho.00755CAC ; ASCII "State: Full " 00755996 \|. E8 BDF3CAFF CALL PhotoSho.00404D58 0075599B \|. 8B55 E0 MOV EDX,DWORD PTR SS:[EBP-20] 0075599E \|. 8B83 00030000 MOV EAX,DWORD PTR DS:[EBX+300] 007559A4 \|. 8B80 20020000 MOV EAX,DWORD PTR DS:[EAX+220] 007559AA \|. 8B08 MOV ECX,DWORD PTR DS:[EAX] 007559AC \|. FF51 38 CALL DWORD PTR DS:[ECX+38] 007559AF \|. EB 16 JMP SHORT PhotoSho.007559C7 007559B1 \|> 8B83 00030000 MOV EAX,DWORD PTR DS:[EBX+300] 007559B7 \|. 8B80 20020000 MOV EAX,DWORD PTR DS:[EAX+220] 007559BD \|. BA C45C7500 MOV EDX,PhotoSho.00755CC4 ; ASCII "State: Test" Поставил bp на 00755991, запустил и получил сообщение module 'bass' has entry point outside the code bass - это dll, которая лежит в LibAV\bass.dll Если приведенный мной участок кода отвечает каким-то образом за проверку версии софта, то может эта проверка быть в dll ? И как тогда можно посмотреть эту проверку? P.S. bass.dll запакована. PEtite 2.x

Dart Sergius Ранг: 105.6 (ветеран), 36thx Активность: 0.1↘0 Статус: Участник	Создано: 02 февраля 2012 23:29 · Личное сообщение · #2 у тебя проверка находиься в CALL PhotoSho.00404E58 насчёт dll, можешь пропустить эту ошибку если не ревёрсишь её.Просто предупреждается, что OEP у dll не входит в секцию кода.
manco Ранг: 15.1 (новичок), 5thx Активность: 0.01↘0 Статус: Участник	Создано: 03 февраля 2012 00:26 · Личное сообщение · #3 рано еще bp на 00755991 ставить. Либо реверсить CALL PhotoSho.00404E58, либо передать управление на код с 0075599E может и этого будет достаточно.
verdizela Ранг: 129.0 (ветеран), 116thx Активность: 0.06↘0 Статус: Участник	Создано: 03 февраля 2012 00:47 · Поправил: verdizela · Личное сообщение · #4 es_di Пробуй ставить бряк по этому адресу: 00638134 /$ 55 PUSH EBP думаю поймеш, что там происходит... А если по этому адресу 0063817B /75 04 JNZ SHORT PhotoSho.00638181 занопиш переход, то нага при запуске не будет... P.S. bass.dll к регистрации программы отношения не имеет. ----- We do what we want because we can. \| Сообщение посчитали полезным: es_di
Dart Raiden Ранг: 81.6 (постоянный), 102thx Активность: 0.06↘0.02 Статус: Участник	Создано: 03 февраля 2012 01:10 · Поправил: Dart Raiden · Личное сообщение · #5 Насколько помню, у почти всех продуктов AMS Software раньше регистрационный номер лежал открытым текстом. А --> BASS <-- это бесплатный звуковой движок
es_di Ранг: 1.4 (гость) Активность: 0=0 Статус: Участник	Создано: 03 февраля 2012 11:11 · Личное сообщение · #6 Всем спасибо, разобрался. verdizela, а как ты до перехода этого и push'a дошел ? что делал, что искал?
inffo Ранг: 57.7 (постоянный), 49thx Активность: 0.07↘0 Статус: Участник	Создано: 03 февраля 2012 22:07 · Поправил: inffo · Личное сообщение · #7 es_di после ввода неверного ключа в реестре создается запись с ключом: HKEY_CURRENT_USER\Software\AMS Software\FotoShow "Type"="XXXXXXXXXXXXXXXXXX" Найти это можно любой программой сканирующей реестр (например Registry Monitor). в Ольке ставишь бряк на RegQueryValueEx чтение данных с реестра и останавливаешься здесь: Code: 0012FED8 00445A2C /CALL в RegQueryValueExA изPhotoSho.00445A27 0012FEDC 000001F4 \|hKey = 1F4 0012FEE0 00637584 \|ValueName = "Type" 0012FEE4 00000000 \|Reserved = NULL 0012FEE8 0012FF08 \|pValueType = 0012FF08 0012FEEC 012C25F8 \|Buffer = 012C25F8 0012FEF0 0012FF18 \pBufSize = 0012FF18 Далее Alt + F9 и вуаля в EDI твой неправильный пасс Далее F8 до "00637556 RETN". Пока будешь идти посмотри, что происходит с твоим неправильным пассвордом. После того как ты нажмешь F7 ты как раз попадешь на проверку, которую указал verdizela. Ну дальше сам ;) P.S. Если не догадаешься --> ВоТ сСыЛь <-- пасс мой логин. P.S.S. Кому нужен full_key пишите в личку.
Kindly Ранг: 275.9 (наставник), 340thx Активность: 0.22=0.22 Статус: Участник RBC	Создано: 03 февраля 2012 22:30 · Личное сообщение · #8 А вы пробовали компелировать? Там еще наг на выходном файле убирать надо. ----- Array[Login..Logout] of Life
inffo Ранг: 57.7 (постоянный), 49thx Активность: 0.07↘0 Статус: Участник	Создано: 04 февраля 2012 00:06 · Личное сообщение · #9 Kindly да есть еще подводные камни не только наг на выходном файле, но и ключ "RUlSQkxKREpLTVlFSVJCMDAw" (Base64). Кому надо тот поймет ;)
verdizela Ранг: 129.0 (ветеран), 116thx Активность: 0.06↘0 Статус: Участник	Создано: 04 февраля 2012 00:11 · Поправил: verdizela · Личное сообщение · #10 Там еще ватермарки о том, что прога незаригестрирова на каждом слайде снизу появляются после компиляции проекта. ----- We do what we want because we can.

Для печати