| Сейчас на форуме: asfa, bartolomeo (+7 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Найти место проверки контрольной суммы |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 02 марта 2012 17:58 · Личное сообщение · #1 Подопытная прога проверяет, по всей видимости, контрольную сумму экзешника: любое изменение кода приводит к тому, что после запуска прога издевательски выжидает две минуты, а затем нагло закрывается. Olly выдал километровый список имён задействованных API-шных функций, где при потугах просмотреть все, что начинаются с Get, ни одной, прямо наталкивающей на контрольную сумму, не увидел. Если такая функция существует, то как её зовут? Если не проверка контрольной суммы виновата, то что ещё может послужить причиной неадекватного поведения проги? Как докопаться до этого места с помощью Olly (или чего-то ещё)?  |
|
|
Создано: 02 марта 2012 18:02 · Личное сообщение · #2 |
|
|
Создано: 02 марта 2012 18:36 · Личное сообщение · #3 |
|
|
Создано: 02 марта 2012 18:48 · Личное сообщение · #4 Ну и как вариант поставь бряку На ExitProcess/TerminateProcess и смотри откуда валицо. | Сообщение посчитали полезным: Chris |
|
|
Создано: 02 марта 2012 19:29 · Личное сообщение · #5 вообще обычно ставят бряк на чтение кода и ждут. бряк скорее всего сработает в функе подсчета крк |
|
|
Создано: 03 марта 2012 00:29 · Личное сообщение · #6 Nightshade пишет: вообще обычно ставят бряк на чтение кода и ждут. бряк скорее всего сработает в функе подсчета крк да, но может такое быть, что оно не из памяти читает, а грузит exe с диска, мапит и потом уже считает crc. |
|
|
Создано: 03 марта 2012 09:44 · Личное сообщение · #7 можно через отлов чтения файла самого себя бряком на CreateFileA/W |
|
|
Создано: 04 марта 2012 09:58 · Личное сообщение · #8 |
|
|
Создано: 04 марта 2012 12:55 · Личное сообщение · #9 AKAB пишет: выложи прогу Спасибо за предложение. www.getflv.net Последняя версия 9.0.8.7. Изыскания ещё не закончил, поэтому отчитаться предполагал позже. KAnal и Hash & Crypto Detector вывалили почти два десятка шифрованных мест, из которых проверил все CRC32 и MD5. Результата нет: обход или NOP не помогли, прога падает. Вариант с бряками ещё не разобрал. |
|
|
Создано: 04 марта 2012 14:50 · Поправил: NikolayD · Личное сообщение · #10 Сделай лоадер в dup и прога падать не будет. |
|
|
Создано: 04 марта 2012 15:14 · Личное сообщение · #11 Chris Будь проще!  Не надо никаких каналов, Crypto Checker и лоадеров. Надо всего лишь подумать мозгом. Для начала надо узнать прога проверяет себя на диске или в памяти. Это сделать очень просто: Под отладчиком без сохранения пропатч прогу и подожди если не вылетит - значит чекает себя на диске. Если чекает на диске, то наверняка читает себя CreateFileA/W. Если ты сделаешь следущее: запусти прогу, после того как она полностью загрузится поставь бряк на CreateFileW и жди. Ровно через 2 минуты он сработает. Далее после чтения файла ты выйдешь на: Code:
Хотя я советую разобраться и пропатчить чуть пораньше, а лучше посмотреть саму систему регистрации. P.S. Пропатчил наг и проверку. Прога проработала более 15 минут, всё нормально. Можешь посмотреть сам экзешник | Сообщение посчитали полезным: Chris, SaNTa76 |
|
|
Создано: 04 марта 2012 16:40 · Личное сообщение · #12 Djeck кривовато пропатчено. Там не сколько проблема проверки патча, главное найти что патчить ))) |
|
|
Создано: 04 марта 2012 16:52 · Личное сообщение · #13 NikolayD Ну судя по вопросу топик стартера, проблема как раз в поиске где патчить. Я конкретно увидел вопрос: прога вылетает через две минуты, и конкретно показал, как найти это место. В чём проявляется кривоватость? И вообще если честно, то я бы лучше пошёл не путём патча, а путём разбора серийника, хотя как я заметил там патчить всё равно придётся, в инете идёт проверка. |
|
|
Создано: 04 марта 2012 17:04 · Личное сообщение · #14 NikolayD Это первое, что и мне пришло в голову. Однако и с лоадером прога падает. Djeck Большое спасибо! Сейчас, наконец, засяду (появилось время для этого). Немного предыстории. В ранних версиях этой проверки не было, и мне удалось наваять патч, который обходил Username и CodeSetting, а также убирал окна с триалом и с проверкой версии Flash Player'a (есть ещё и такая дурость). Всё бы ничего, да только наблюдалась ущербность в функционале: не работал режим RTMP. Время от времени возвращался к сабжу и пытался нащупать эту болевую точку. Тут подоспела новая версия, в которой хитро.опые разработчики заложили проверку этой самой контрольной суммы. Для поиска выхода из тупика (это для меня - я же новичок) появился этот топик. Есть, кстати, ещё одна козья морда, заложенная разработчиками, которую рассмотреть не удалось. При инсталляции в папку libav добавляется файл mp4Code.dll, который, по сути, является точной копией экзешника. Однако все манипуляции с ним ( от удаления и до копирования пропатченного) ни к какой видимой реакции не привели. К слову, рабочего лекарства для этой проги в Сети нет... |
|
|
Создано: 04 марта 2012 17:05 · Поправил: NikolayD · Личное сообщение · #15 Djeck пишет: В чём проявляется кривоватость а ты дату переведи ) Djeck пишет: хотя как я заметил там патчить всё равно придётся, в инете идёт проверка. так и есть. Chris пишет: Однако и с лоадером прога падает. бред. Chris пишет: К слову, рабочего лекарства для этой проги в Сети нет для предыдущей версии есть. |
|
|
Создано: 04 марта 2012 17:34 · Личное сообщение · #16 NikolayD Djeck пишет: Пропатчил наг и проверку. Прога проработала более 15 минут, всё нормально. Помойму я и не сказал, что патчил триал Короче, всё это лирика, вместо того, чтобы патчить наг, триал и кучу проверок, проще сесть и разобрать алго. Chris Я прогу посмотрел буквально минут 10, но тоже заметил, что по адресу который я тебе показывал помиом экзе проверяется и файл mp4Code.dll. И кстати проверка в проге не одна, т.е. файл читается как минимум три раза. Хотя то место где я предлагал пропатчить на мой взгляд не самое лучшее, зато оно самое простое, т.к. эти три проверки из разных мест выходят именно в это место. |
|
|
Создано: 04 марта 2012 17:55 · Личное сообщение · #17 NikolayD пишет: бред. Обыкновенный лоадер, сработанный с помощью дьябло. При этом, естественно, экзешник на диске никаким изменениям не подвергался. NikolayD пишет: для предыдущей версии есть. Нет. Точно так же не работает режим RTMP. |
|
|
Создано: 04 марта 2012 18:44 · Личное сообщение · #18 Chris пишет: Обыкновенный лоадер, сработанный с помощью дьябло. При этом, естественно, экзешник на диске никаким изменениям не подвергался. где он? Выложи его на rghost.ru Chris пишет: для предыдущей версии есть. Нет. Точно так же не работает режим RTMP. от RES? |
|
|
Создано: 04 марта 2012 20:52 · Личное сообщение · #19 NikolayD пишет: Выложи его на rghost.ru Вариантов было несколько. Один из них, не полный, но достаточный для того, чтобы понять суть: http://rghost.ru/36846556 NikolayD пишет: от RES? Да. Djeck Добавил в свой патч предложенное Вами пропатченное место, которое убирает проверку КС . Окно с триалом убирается патчем точно в том же месте, что и у меня. В результате вернулся в исходное состояние, что было со старыми версиями: прога теперь не падает, и можно хоть дальше работать с поиском мест, делающих ограничения функционала. |
|
|
Создано: 05 марта 2012 00:59 · Поправил: NikolayD · Личное сообщение · #20 убрал картинку Chris пишет: от RES? Да. В принципе работает и RTMP тоже. Только потом регистрация всё равно слетает ))) а значит тебе придётся не легко DDD |
|
|
Создано: 05 марта 2012 02:57 · Поправил: Djeck · Личное сообщение · #21 Chris пишет: можно хоть дальше работать с поиском мест, делающих ограничения функционала Djeck пишет: вместо того, чтобы патчить наг, триал и кучу проверок, проще сесть и разобрать алго |
|
|
Создано: 05 марта 2012 05:08 · Личное сообщение · #22 NikolayD пишет: В принципе работает и RTMP тоже. Только в принципе. С RuTube, например, не качает. Djeck пишет: вместо того, чтобы патчить наг, триал и кучу проверок, проще сесть и разобрать алго А это новичку под силу? - Никогда не делал. Туториал есть? |
|
|
Создано: 05 марта 2012 14:00 · Личное сообщение · #23 Chris Времени очень мало, а так интересно покапаться. Что мы имеем: 1) Знаем где патчить, чтобы не закрывалась 2) Нашли систему и регистрации и поняли, что а) есть три версии регистрации - обычная - стандартная - про 3) Имеем ключи для всех версий (они там при проверке почти в открытом виде генерируются) Под имя Djeck - обычный ключ: 206A-DC7D-CB92-E434 - стандартный: 3AD7-FC47-97A9-C260 - проф: ED4E-8B3D-B863-2226 В таком виде, прога будет запускаться зареганной только один раз, потом ключ слетит, поэтому осталось пропатчить проверку регистрации на сайте. По другому никак  P.S. Ключ и рег. имя хранятся в реестре HKEY_CURRENT_USER\Software\GetFLV\UserName и HKEY_CURRENT_USER\Software\GetFLV\Codesetting Можно ввести их туда вручную. |
|
|
Создано: 05 марта 2012 14:35 · Личное сообщение · #24 а если в hosts прописать или настроить допуск в интернет через файрволл? |
|
|
Создано: 05 марта 2012 14:57 · Личное сообщение · #25 Djeck пишет: поэтому осталось пропатчить проверку регистрации на сайте. По другому никак Можно и по другому Djeck пишет: Будь проще!Не надо никаких каналов, Crypto Checker и лоадеров. Надо всего лишь подумать мозгом. )
|
|
|
Создано: 05 марта 2012 16:27 · Личное сообщение · #26 sendersu Например? Здесь если нет инета, заблокирован фаером или ещё что-то прога не зарегается. Ей 100% нужен ответ от сервера.Ключи там проверяются. |
|
|
Создано: 05 марта 2012 17:23 · Личное сообщение · #27 Djeck если нет инета, заблокирован фаером или ещё что-то прога не зарегается. Если нет закриптованых функций или часть кода не выполняется на сервере то ответ можно и самому вернуть.
| Сообщение посчитали полезным: sendersu |
|
|
Создано: 05 марта 2012 17:27 · Личное сообщение · #28 Djeck пишет: а так интересно покапаться. Спасибо. Тем более интересно, что полноценного лекарства не существует. После того, как Вы убрали проверку КС, запускать сабж без слёта регистрации - не проблема. Здесь патчится слёт регистрации: BA7A2 75 0D --> 90 90 Здесь патчится идиотский наг с проверкой версии Flash Player'a: 2E9DD9 7F 38 --> 90 90 2E9DE3 0F 85 AA --> E9 AB 00 Ещё надо добавить патч нага с триалом (у Вас есть). Этот вариант может служить, так сказать, стартовым. Вчера я его проверил, запускается и держит регистрацию нормально. А вот тут начинается самое интересное: заставить прогу функционировать по полной программе. У стартового варианта не работает загрузка, точнее, она произвольно обрывается. Эта закладка существует давно, в ранних версиях загрузка обрывалась на 11%, теперь же при любом объёме. Наработки устранения этой бяки есть, но пока сырые. Вторая закладка - режим RTMP (о нём было выше). Наработок нет, проблема не решена в принципе. |
|
|
Создано: 05 марта 2012 17:42 · Поправил: Djeck · Личное сообщение · #29 Ну чтоже все читают между строк F_a_u_s_t пишет: Если нет закриптованых функций или часть кода не выполняется на сервере то ответ можно и самому вернуть. Djeck пишет: В таком виде, прога будет запускаться зареганной только один раз, потом ключ слетит, поэтому осталось пропатчить проверку регистрации на сайте Под пропатчить я и имею ввиду, вернуть проге нужный нам ответ. Просто надо покопаться и найти хорошее место. Так кк я думаю проверка будет не только при вводе ключа. Chris пишет: После того, как Вы убрали проверку КС, запускать сабж без слёта регистрации - не проблема. Здесь патчится слёт регистрации: Всё-таки я настаиваю на том, что патчить множество мест не правильно, тем более ключ у нас уже есть и в теории патчить нужно только два места: 1) проверку файла 2) проверку на сайте А так можно патчить до посинения. |
|
|
Создано: 05 марта 2012 23:52 · Личное сообщение · #30 Руборд никто не читал? |
| . 1 . 2 . >> |
|
eXeL@B —› Вопросы новичков —› Найти место проверки контрольной суммы |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати