ReMouse micro ver 3.3

Сейчас на форуме: asfa, bartolomeo (+7 невидимых)

Посл.ответ	Сообщение
es_di Ранг: 1.4 (гость) Активность: 0=0 Статус: Участник	Создано: 13 февраля 2012 21:22 · Поправил: es_di · Личное сообщение · #1 004041B6 \|. 8B40 14 MOV EAX,DWORD PTR DS:[EAX+14] 004041B9 \|. 56 PUSH ESI 004041BA \|. 51 PUSH ECX 004041BB \|. 8B0F MOV ECX,DWORD PTR DS:[EDI] 004041BD \|. 8B0C01 MOV ECX,DWORD PTR DS:[ECX+EAX] 004041C0 \|. 03CB ADD ECX,EBX 004041C2 \|. 03CF ADD ECX,EDI 004041C4 \|. FFD2 CALL EDX После этого колла вылетает MessageBox с сообщением о вводе неверного серийника, т.е. (?наверное?) в зависимости от EDX будет либо MessageBox с неверным серийником, либо с верным. С неверным - это адрес 458a21, но как вычислить откуда он туда вообще попадает ? Если ставить бряки до CALL EDX, то они будут срабатывать не только после ввода ключа, а сразу же как только их поставить.

Dart Sergius Ранг: 105.6 (ветеран), 36thx Активность: 0.1↘0 Статус: Участник	Создано: 13 февраля 2012 21:42 · Поправил: Dart Sergius · Личное сообщение · #2 es_di, http://exelab.ru/f/action=vthread&forum=5&topic=14847 потом приходи с вопросами. А именно ты не понимаешь каким образом передаются параметры в функцию MessageBox и скорее всего не знаешь что такое стек.
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 13 февраля 2012 22:20 · Личное сообщение · #3 Прога написана на скриптовом Autoit, exe ковырять смысла нет, надо скрипт выковыривать.
AKAB Ранг: 79.4 (постоянный), 183thx Активность: 0.11↘0 Статус: Участник	Создано: 13 февраля 2012 22:31 · Личное сообщение · #4 Vovan666 пишет: Прога написана на скриптовом Autoit, exe ковырять смысла нет, надо скрипт выковыривать. А есть(tutorial) где можно знать как взломать таких программ
NikolayD Ранг: 189.9 (ветеран), 334thx Активность: 0.3↘0 Статус: Участник	Создано: 13 февраля 2012 23:13 · Личное сообщение · #5 AKAB пишет: А есть(tutorial) где можно знать как взломать таких программ Парочку видел на crackmes.de и на испанском у Рикардо на сайте.
Dart Sergius Ранг: 105.6 (ветеран), 36thx Активность: 0.1↘0 Статус: Участник	Создано: 13 февраля 2012 23:32 · Личное сообщение · #6 es_di, раз она на автоите, есть автоматические выковыриватели. google в помощь тут. точно ссылки не дам, мне когда-то скидывали по скайпу, а ща не найду.
ajax Ранг: 337.6 (мудрец), 224thx Активность: 0.21↘0.1 Статус: Участник born to be evil	Создано: 14 февраля 2012 00:57 · Личное сообщение · #7 Vovan666 пишет: Прога написана на скриптовом Autoit, exe откель такая уверенность по нескольким строкам кода? ----- От многой мудрости много скорби, и умножающий знание умножает печаль
NikolayD Ранг: 189.9 (ветеран), 334thx Активность: 0.3↘0 Статус: Участник	Создано: 14 февраля 2012 01:05 · Личное сообщение · #8 ajax Code: 00402089 PUSH ReMouse.004847EC UNICODE "/AutoIt3OutputDebug" 0040209F PUSH ReMouse.00484814 UNICODE "/AutoIt3ExecuteLine" 004020B5 PUSH ReMouse.0048483C UNICODE "/AutoIt3ExecuteScript" 0040DCA4 PUSH ReMouse.00484888 UNICODE "AutoIt" 004102AE MOV DWORD PTR SS:[ESP+3C],ReMouse.004847 UNICODE "AutoIt v3" 00410349 MOV DWORD PTR SS:[ESP+3C],ReMouse.0048C2 UNICODE "AutoIt v3 GUI" 00410CDF PUSH ReMouse.00484DDC UNICODE "Software\AutoIt v3\AutoIt" 0042CD31 MOV DWORD PTR SS:[ESP+18],ReMouse.00484F UNICODE "AutoIt script files (.au3, .a3x)" 00431AA4 PUSH ReMouse.004846D8 ASCII "This is a compiled AutoIt script. AV researchers please email avsupport@autoitscript.com for support." 0047D42F PUSH ReMouse.0048A808 UNICODE "AUTOITCALLVARIABLE%d"
GMAP Ранг: 35.1 (посетитель), 32thx Активность: 0.04↘0.01 Статус: Участник	Создано: 14 февраля 2012 11:41 · Личное сообщение · #9 es_di Это спортивный интерес или нужда в фичах софта? Подобных программ по функционалу пруд пруди, и с компиляцией экзешников, и с GUI, и с чем угодно.
es_di Ранг: 1.4 (гость) Активность: 0=0 Статус: Участник	Создано: 14 февраля 2012 15:05 · Личное сообщение · #10 Спортивный интерес, практиковаться пытаюсь
es_di Ранг: 1.4 (гость) Активность: 0=0 Статус: Участник	Создано: 20 февраля 2012 22:08 · Личное сообщение · #11 Dart Sergius пишет: es_di, http://exelab.ru/f/action=vthread&forum=5&topic=14847 потом приходи с вопросами. А именно ты не понимаешь каким образом передаются параметры в функцию MessageBox и скорее всего не знаешь что такое стек. А что именно нужно было здесь понять ? Как правильнее, рациональнее нужно было исследовать ? (не обязательно эта софтина на autoit-e, а вообще)
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 21 февраля 2012 00:02 · Личное сообщение · #12 >Как правильнее, рациональнее нужно было исследовать ? Скачать декомпилятор (google + декомпилятор AutoIt) и смотреть исходник.
es_di Ранг: 1.4 (гость) Активность: 0=0 Статус: Участник	Создано: 21 февраля 2012 23:05 · Личное сообщение · #13 F_a_u_s_t пишет: Скачать декомпилятор (google + декомпилятор AutoIt) и смотреть исходник. Это само собой разумеется, я имел ввиду "ты не понимаешь каким образом передаются параметры в функцию MessageBox и скорее всего не знаешь что такое стек. "
F_a_u_s_t Ранг: 0.0 (гость) Активность: 0.25↘0 Статус: Участник	Создано: 22 февраля 2012 01:28 · Личное сообщение · #14 es_di >После этого колла вылетает MessageBox Дело в том что екзе которые делает AutuIt это интерпретатор и скрипт который он отрабатывает и ковырять такое в одладчике при наличии декомпиляторов это онанизм. По тому куску что ты привел не может вызываться MessageBox. У MessageBox 4 параметра, а вызов внутри колла и возможно не одного (саму утилиту не смотрел). 0040100C \|. 6A 00 PUSH 0 ; /Style = MB_OK\|MB_APPLMODAL 0040100E \|. 68 44104000 PUSH HllMessa.00401044 ; \|Title = "1" 00401013 \|. 68 44104000 PUSH HllMessa.00401044 ; \|Text = "1" 00401018 \|. 6A 00 PUSH 0 ; \|hOwner = NULL 0040101A \|. FF15 C4104000 CALL [DWORD DS:<&user32.MessageBoxA>] ; \MessageBoxA \| Сообщение посчитали полезным: es_di

Для печати