Как искать "зацепки" ?

Сейчас на форуме: asfa, bartolomeo (+7 невидимых)

Посл.ответ	Сообщение
Contrafack Ранг: 8.7 (гость) Активность: 0.02↘0 Статус: Участник	Создано: 07 апреля 2012 19:20 · Личное сообщение · #1 Тренировался на всяких Crackme, читал до 8-й головы Нарваха, в общем имею общие представление что чему. Тут решил себе приверить силы, да и заодно полезный софт вроде.. вот сам виновник торжества: --> Телефонный справочник (Сочи) <-- Ну как положено - для начало прогонял по PEiD и как я понял - НЕ упакована программа: Microsoft Visual Basic 5.0 / 6.0 Запускаю через ollydbg и находит сразу точку входа: Code: CPU Disasm Address Hex dump Command Comments 00402BCC . 68 C04F4000 PUSH 00404FC0 Но вот потом запускаю программу, пробую зайти в раздел регистрации программы, вводить случайные значение, чтоб посмотреть где идет проверка, но не показывает ничего, только когда закрываю, тогда уже переходит в конец: Code: CPU Disasm Address Hex dump Command Comments 7C812AFB 5E POP ESI И все.. Код очень глинный и не смотреть все по строчно, как в случае Crackme. С чего посоветуйте начать ? P.S. Кода не надо, хочу сам понять что к чему.

tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 07 апреля 2012 19:25 · Личное сообщение · #2 можно начать с прогона проги через VbDecompiler
NikolayD Ранг: 189.9 (ветеран), 334thx Активность: 0.3↘0 Статус: Участник	Создано: 07 апреля 2012 19:34 · Личное сообщение · #3 Это ты зря так рано бросил читать ))) Читай там дальше про Microsoft Visual Basic.
Contrafack Ранг: 8.7 (гость) Активность: 0.02↘0 Статус: Участник	Создано: 07 апреля 2012 20:05 · Поправил: Contrafack · Личное сообщение · #4 tihiy_grom NikolayD ага, получается все же упакован это? ))) а я думал это просто поакзывает, что написано на языке VB. ну вот открыл через VbDecompiler, там как ResHacker отображает иерархия кодулей. но заметил, что вроде показывает и код в дизассемблированном виде. И что делать потом? он же не как дебаггер )) хотя вот нашел "интересный арздел" Но не знаю как там "трассировать"
verdizela Ранг: 129.0 (ветеран), 116thx Активность: 0.06↘0 Статус: Участник	Создано: 07 апреля 2012 20:06 · Личное сообщение · #5 ContrafackContrafack пишет: С чего посоветуйте начать ? Прислушаться к тому, что уже советовали в предыдущих постах... Ставь bp на rtcMsgBox, дальше думай сам... ----- We do what we want because we can.
Dart Raiden Ранг: 81.6 (постоянный), 102thx Активность: 0.06↘0.02 Статус: Участник	Создано: 07 апреля 2012 20:10 · Поправил: Dart Raiden · Личное сообщение · #6 >> ага, получается все же упакован это? ))) нет почитай хотя бы википедию https://ru.wikipedia.org/wiki/VB_Decompiler для VB есть специализированные инструменты
Contrafack Ранг: 8.7 (гость) Активность: 0.02↘0 Статус: Участник	Создано: 07 апреля 2012 20:58 · Личное сообщение · #7 verdizela Похожу цеплялся )))))) вот останавливается на этом: (при вводе кода - 123456) Code: CPU Disasm Address Hex dump Command Comments 009F6C31 \|. FF15 70104000 CALL DWORD PTR DS:[<&MSVBVM60.#595>] P.S. хотя тут не понял как и чем "шифрован" rtcMsgBox. потом нажимаю F7, и перейду в этот модуль: Code: CPU Disasm Address Hex dump Command Comments 7277CF7E 55 PUSH EBP 7277CF7F 8BEC MOV EBP,ESP 7277CF81 83EC 4C SUB ESP,4C 7277CF84 8B4D 14 MOV ECX,DWORD PTR SS:[EBP+14] 7277CF87 53 PUSH EBX 7277CF88 56 PUSH ESI 7277CF89 57 PUSH EDI 7277CF8A 66:8339 0A CMP WORD PTR DS:[ECX],0A 7277CF8E B8 04000280 MOV EAX,80020004 7277CF93 0F85 FC000000 JNE 7277D095 7277CF99 3941 08 CMP DWORD PTR DS:[ECX+8],EAX 7277CF9C 0F85 F3000000 JNE 7277D095 7277CFA2 834D FC FF OR DWORD PTR SS:[EBP-4],FFFFFFFF 7277CFA6 33F6 XOR ESI,ESI 7277CFA8 8B4D 18 MOV ECX,DWORD PTR SS:[EBP+18] 7277CFAB 66:8339 0A CMP WORD PTR DS:[ECX],0A 7277CFAF 0F85 EA000000 JNE 7277D09F 7277CFB5 3941 08 CMP DWORD PTR DS:[ECX+8],EAX 7277CFB8 0F85 E1000000 JNE 7277D09F 7277CFBE 834D F8 FF OR DWORD PTR SS:[EBP-8],FFFFFFFF 7277CFC2 8B7D 10 MOV EDI,DWORD PTR SS:[EBP+10] 7277CFC5 66:833F 0A CMP WORD PTR DS:[EDI],0A 7277CFC9 0F85 D8000000 JNE 7277D0A7 7277CFCF 3947 08 CMP DWORD PTR DS:[EDI+8],EAX 7277CFD2 0F85 CF000000 JNE 7277D0A7 7277CFD8 834D F4 FF OR DWORD PTR SS:[EBP-0C],FFFFFFFF 7277CFDC FF75 08 PUSH DWORD PTR SS:[EBP+8] 7277CFDF 8D45 D4 LEA EAX,[EBP-2C] 7277CFE2 8975 F0 MOV DWORD PTR SS:[EBP-10],ESI 7277CFE5 50 PUSH EAX Тут как я вижу много CMP и даже XOR(один раз). искл в стеке текст, что я вводил(123456), но не нашел..
hlmadip Ранг: 58.1 (постоянный), 42thx Активность: 0.06↘0.01 Статус: Участник	Создано: 07 апреля 2012 21:47 · Поправил: hlmadip · Личное сообщение · #8 Фэйк какой-то =) Contrafack пишет: хотя вот нашел "интересный арздел" Более интересный раздел --> rint_click_9F68E0 При сообщении о верном рег. коде программа сама создаёт правильные рег. файлы infokey.sys и inforeg.sys
evggrig Ранг: 19.9 (новичок), 31thx Активность: 0.03↘0.01 Статус: Участник	Создано: 07 апреля 2012 21:57 · Поправил: evggrig · Личное сообщение · #9 Не совсем понятно где там чтото типа vbaStrCmp в момент сравнения правильного номера с неправильным)
verdizela Ранг: 129.0 (ветеран), 116thx Активность: 0.06↘0 Статус: Участник	Создано: 07 апреля 2012 21:59 · Поправил: verdizela · Личное сообщение · #10 Contrafack пишет: Тут как я вижу много CMP и даже XOR(один раз). Не смешите людей... Contrafack пишет: читал до 8-й головы Нарваха Начинайте опять сначала и внимательно. ----- We do what we want because we can. \| Сообщение посчитали полезным: DimitarSerg, plutos
Contrafack Ранг: 8.7 (гость) Активность: 0.02↘0 Статус: Участник	Создано: 07 апреля 2012 22:31 · Личное сообщение · #11 hlmadip ну можно создать ручной эти файлы )))) только там ведь инфо генерируется (по идее должен), а что за инфо - ХЗ verdizela Не надо троллить опять. пиши по делу или ничего не пиши вообще.
hlmadip Ранг: 58.1 (постоянный), 42thx Активность: 0.06↘0.01 Статус: Участник	Создано: 07 апреля 2012 22:40 · Личное сообщение · #12 Contrafack пишет: только там ведь инфо генерируется программа сама генерирует необходимое и при последующих запусках считает себя зарегистрированной
verdizela Ранг: 129.0 (ветеран), 116thx Активность: 0.06↘0 Статус: Участник	Создано: 07 апреля 2012 22:40 · Личное сообщение · #13 Contrafack ..."Вы, профессор, воля ваша, что-то нескладное придумали! Оно, может, и умно, но больно непонятно. Над вами потешаться будут". Contrafack пишет: Не надо троллить опять. пиши по делу или ничего не пиши вообще. Это не тот форум, где позволят троллинг, если вы, конечно понимаете сами смысл троллинга... ----- We do what we want because we can.
Contrafack Ранг: 8.7 (гость) Активность: 0.02↘0 Статус: Участник	Создано: 07 апреля 2012 23:07 · Личное сообщение · #14 hlmadip Ну и как "заставить", чтоб генерировались эти файлы?
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 07 апреля 2012 23:12 · Личное сообщение · #15 Я конечно, понимаю, что ТС написал ерунду, вывалив листинг системной библиотеки и разглядывая там CMP, пытаясь искать там сравнение серийного номера. Но всё же желательно воздержаться от ржаки/аналогичных постов и оффтопа.
Contrafack Ранг: 8.7 (гость) Активность: 0.02↘0 Статус: Участник	Создано: 07 апреля 2012 23:26 · Личное сообщение · #16 Archer Ну как бы думал, что как в Crackme идет сравнение тот, что было введено и после этого переход на другие модули. Откуда я мог узнать, что там вс сосем по-другому ?
hlmadip Ранг: 58.1 (постоянный), 42thx Активность: 0.06↘0.01 Статус: Участник	Создано: 07 апреля 2012 23:28 · Личное сообщение · #17 Contrafack пишет: Ну и как "заставить", чтоб генерировались эти файлы? .text:009F6A14 jz loc_9F6BBF \| Сообщение посчитали полезным: Contrafack
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 07 апреля 2012 23:29 · Личное сообщение · #18 Ничего другого тут нет, всё точно так же. А что это системная библиотека-олька (оттуда ведь листинг был взят) прекрасно это показывает. А знать откуда-статьи почитать, как многие настойчиво советовали выше, а потом уже на форуме спрашивать. \| Сообщение посчитали полезным: plutos, verdizela
plutos Ранг: 622.6 (!), 521thx Активность: 0.33↗0.89 Статус: Участник _Вечный_Студент_	Создано: 07 апреля 2012 23:30 · Личное сообщение · #19 verdizela wrote: "Начинайте опять сначала и внимательно. " Вполне разумный совет. От себя добавлю: "... и до конца все tutorials". Т.е. Начинайте опять сначала и внимательно читайте до конца все tutorials. Тогда многие вопросы отпадут сами собой. ----- Give me a HANDLE and I will move the Earth.
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 07 апреля 2012 23:38 · Личное сообщение · #20 Этот фейк уже тут проскакивал http://forum.xakep.ru/m_2577570/tm.htm ----- Nulla aetas ad discendum sera \| Сообщение посчитали полезным: Contrafack
evggrig Ранг: 19.9 (новичок), 31thx Активность: 0.03↘0.01 Статус: Участник	Создано: 07 апреля 2012 23:53 · Личное сообщение · #21 а какое там смещение адресов между VbDecompiler и Olly и как его вычислить?
Contrafack Ранг: 8.7 (гость) Активность: 0.02↘0 Статус: Участник	Создано: 07 апреля 2012 23:59 · Личное сообщение · #22 hlmadip О, спасибо. забил NOP_ом этот переход и все заработало )))) только вот Flint может быть прав, фейл. Спасибо за подсказку. А как нашли этот переход? Flint жаль конечно, что фейковые

Для печати