Привет всем. Есть такая проблема. Запустил прогу под Olly, затем выставил бряк на WM_KEYUP, перешел к окну для ввода серийника, ввожу произвольный код а бряка как будто и нету... У программы первоначально недоступна кнопка OK. Программа писана на delphi, пробывал через память добраться до серийника но меня запинали между собой GDI32 & Kernel32. Что это за зверь и как с ним бороться?

| Сообщение посчитали полезным:

IDR не слышал?
Советую поискать тут на форуме, хороший инструмент, а как раз покажет процедуру кнопки ok.

| Сообщение посчитали полезным:

Хыть бы софт выложил да адреса, что и куда ставил.

| Сообщение посчитали полезным:

ProgLab пишет:
пробывал через память добраться до серийника но меня запинали между собой GDI32 & Kernel32.
??? мдя...

А вообще Dart Sergius истину глаголит + есть прога ems source rescuer (не ровня ИДРу конечно, но для быстрого нахождения нужных адресов в самый раз).

Ну и жертву не мешало бы выложить.

-----
ds

| Сообщение посчитали полезным:

Жертва AIDA64 Extreme Edition

| Сообщение посчитали полезным:

ProgLab, у этой программы есть разные версии, и желательно выложить её саму, потому что бывают разные сборки, где например не совпадают адерса. выложи на narod.ru ifolder .... аплоадеров много, выбирайнехочу.

| Сообщение посчитали полезным:

http://narod.ru/disk/41420692001/aida64extreme220.exe.html

| Сообщение посчитали полезным:

Что-то я немогу найти IDR, не на сайте не на DVD. Подробнее об инструменте можно?

| Сообщение посчитали полезным:

ProgLab пишет:
Что-то я немогу найти IDR, не на сайте не на DVD. Подробнее об инструменте можно?

http://exelab.ru/f/action=vthread&forum=3&topic=15434&page=20#27

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

На форме ввода регистрационного кода есть следующие процедуры:

FormCreate - RVA:009AB51C
FormShow - RVA:009AB77C
UpdateUIState_Handle - RVA:009AB808
UpdateScreen - RVA:009AB82C
Label_OnlineDocClick - RVA:009AC110
URL_RenewalClick - RVA:009AC14C

Я так думаю, Вам нужно UpdateScreen...

А в нем:


А еще чуть ниже:


Копать здесь и ниже по коду!

| Сообщение посчитали полезным:

Скажите пожалуйста, я случаем не где-то рядом?

00402A3C 56 PUSH ESI
00402A3D 57 PUSH EDI
00402A3E 89C6 MOV ESI,EAX
00402A40 89D7 MOV EDI,EDX
00402A42 89C8 MOV EAX,ECX
00402A44 39F7 CMP EDI,ESI
00402A46 77 13 JA SHORT unpacked.00402A5B
00402A48 74 2F JE SHORT unpacked.00402A79
00402A4A C1F9 02 SAR ECX,2
00402A4D 78 2A JS SHORT unpacked.00402A79
00402A4F F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[E>
00402A51 89C1 MOV ECX,EAX
00402A53 83E1 03 AND ECX,3
00402A56 F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI>
00402A58 5F POP EDI
00402A59 5E POP ESI
00402A5A C3 RETN
00402A5B 8D7431 FC LEA ESI,DWORD PTR DS:[ECX+ESI-4]
00402A5F 8D7C39 FC LEA EDI,DWORD PTR DS:[ECX+EDI-4]
00402A63 C1F9 02 SAR ECX,2
00402A66 78 11 JS SHORT unpacked.00402A79
00402A68 FD STD
00402A69 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[E>
00402A6B 89C1 MOV ECX,EAX
00402A6D 83E1 03 AND ECX,3
00402A70 83C6 03 ADD ESI,3
00402A73 83C7 03 ADD EDI,3
00402A76 F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI>
00402A78 FC CLD
00402A79 5F POP EDI
00402A7A 5E POP ESI
00402A7B C3 RETN
00402A7C 53 PUSH EBX
00402A7D 56 PUSH ESI
00402A7E 57 PUSH EDI
00402A7F 55 PUSH EBP
00402A80 8BF2 MOV ESI,EDX
00402A82 8BD8 MOV EBX,EAX
00402A84 EB 08 JMP SHORT unpacked.00402A8E
00402A86 53 PUSH EBX
00402A87 E8 B0E8FFFF CALL <JMP.&user32.CharNextA>
00402A8C 8BD8 MOV EBX,EAX

| Сообщение посчитали полезным:

ProgLab пишет:
Скажите пожалуйста, я случаем не где-то рядом?


00402A3C...00402A7B функция копирования блока памяти.

ниже не связанный кусок кода.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

А это?

00409DF1 8BD6 MOV EDX,ESI
00409DF3 8B37 MOV ESI,DWORD PTR DS:[EDI]
00409DF5 85DB TEST EBX,EBX
00409DF7 74 15 JE SHORT unpacked.00409E0E
00409DF9 8A02 MOV AL,BYTE PTR DS:[EDX]
00409DFB 3C 61 CMP AL,61
00409DFD 72 06 JB SHORT unpacked.00409E05
00409DFF 3C 7A CMP AL,7A
00409E01 77 02 JA SHORT unpacked.00409E05
00409E03 2C 20 SUB AL,20
00409E05 8806 MOV BYTE PTR DS:[ESI],AL
00409E07 42 INC EDX
00409E08 46 INC ESI
00409E09 4B DEC EBX
00409E0A 85DB TEST EBX,EBX
00409E0C ^75 EB JNZ SHORT unpacked.00409DF9
00409E0E 5F POP EDI
00409E0F 5E POP ESI
00409E10 5B POP EBX
00409E11 C3 RETN

| Сообщение посчитали полезным:

ProgLab
Метод научного тыка исповедуете?

| Сообщение посчитали полезным:

ProgLab пишет:
А это?

Продолжаем исследовать библиотечные функции.

Преобразование строки из нижнего регистра в верхний.

С такими познаниями пора в запросы.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Тут прога проверяет являеться ли символ заглавным или нет. Хочу обратиться к вашему опыту... Скоро ли дойду до Нужного места?

| Сообщение посчитали полезным:

Игде же по вашему можжно достать эти знания??? Я уже не один десяток функций переконопатил.... Если знаете какой материал мне нужен что бы встать на правельный путь тогда дайте ссылку что ли... А то тут у вас только одни крекми, которые ломаються неуспев открыться в отладчике... Где ж мне брать знания то?
И почему функции вы называете библиотечными, если они находяться в подопытном exe-файле?

| Сообщение посчитали полезным:

Сначала надо взять учебники русского языка с пятого по одиннадцатый класс и выучить наизусть...

| Сообщение посчитали полезным:

а трассировать функцию не пробовали?

| Сообщение посчитали полезным:

ProgLab
Вот изучи --> lena151 <-- и --> Ricardo N. <--

| Сообщение посчитали полезным:

вообще то я прошел до этого места от 009AB89D, там у меня был бряк. Шел по f7, пропуская библиотечные функции по f8. Короче узнать удалось вот что. Прога проверяет регистр, потом проверяет на символы более 7A, затем менее чем 20 по моиму... и вот теперь я дошел до процедуры

00A211CC 8BD0 MOV EDX,EAX
00A211CE 85D2 TEST EDX,EDX
00A211D0 7E 35 JLE SHORT unpacked.00A21207
00A211D2 B9 01000000 MOV ECX,1
00A211D7 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
00A211DA 0FB64408 FF MOVZX EAX,BYTE PTR DS:[EAX+ECX-1]
00A211DF C1E0 08 SHL EAX,8
00A211E2 33D8 XOR EBX,EAX
00A211E4 B8 08000000 MOV EAX,8
00A211E9 F6C7 80 TEST BH,80
00A211EC 74 0A JE SHORT unpacked.00A211F8
00A211EE 03DB ADD EBX,EBX
00A211F0 81F3 01820000 XOR EBX,8201
00A211F6 EB 02 JMP SHORT unpacked.00A211FA
00A211F8 03DB ADD EBX,EBX
00A211FA 48 DEC EAX
00A211FB ^75 EC JNZ SHORT unpacked.00A211E9
00A211FD 81E3 FFFF0000 AND EBX,0FFFF
00A21203 41 INC ECX
00A21204 4A DEC EDX
00A21205 ^75 D0 JNZ SHORT unpacked.00A211D7
00A21207 66:81E3 FFFF AND BX,0FFFF
00A2120C 33C0 XOR EAX,EAX
00A2120E 5A POP EDX
00A2120F 59 POP ECX
00A21210 59 POP ECX
00A21211 64:8910 MOV DWORD PTR FS:[EAX],EDX
00A21214 68 2912A200 PUSH unpacked.00A21229
00A21219 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4]
00A2121C E8 BF409EFF CALL unpacked.004052E0
00A21221 C3 RETN

| Сообщение посчитали полезным:

Я ввел один символ S. И отслеживаю то что прога с ним химичит....
По второй ссылке изучал, всё бы хорошо но несработал бряк на WM_KEYUP...

| Сообщение посчитали полезным:

ProgLab
Зарядил бы свою программу в IDR и не мучался с библиотеками, которых в Дельфи офигенная туча.

| Сообщение посчитали полезным:

Да я заряжал в IDR, только кроме как посмотреть окна я ничего не сообразил...

| Сообщение посчитали полезным:

Там пропатчить 6 байт и всё. Кейген сложновато для тебя будет.

| Сообщение посчитали полезным:

Ну я хотя бы попробую найти что пачтить Это я считаю главным....

| Сообщение посчитали полезным:

Ты уже почти рядом )))

| Сообщение посчитали полезным:

Дошел до места где стираеться мой введённый символ SN в памяти и его уже теперь нет ни в стеке ни в регистрах... Я что-то упустил? Но что? И где?

| Сообщение посчитали полезным:

Если стирается из памяти, то значит он более не нужен... Но, я думаю, скорее всего он просто хранится в какой то ячейке...

| Сообщение посчитали полезным:

NikolayD

А по конкретнее можно про 6 байт, я как-то ковырялся с аидой, отталкивался от надписи триал - менял джампы, но их там было много, а времени было мало. Если можно в личку, заранее спасибо.

| Сообщение посчитали полезным: