Приветствую.

Решил поизучать эту программку. Хомяк: softstudio.ru/orders/
Стоит недорого, просто решил с чего-то начать. Запакована она UPX'ом, что не составило труда её распаковать. Как пишут на сайте программы, то в демо-режиме у неё есть какие-то ограничения. Из найденных мною, это были сообщения при старте программы, о том, что она незарегистрирована:

И в меню Справочники -> Курсы валют:

Так же при старте программа выдает окно для ввода регистрационного номера (но она не показывает его, если в поля были введены любые данные, даже неправильные).
Это самое окно я убрал, чтобы оно не показывалось, даже, если данных в полях нет.

А вопрос мой, как новичка, заключается в следующем: каким путём идти, чтобы в Olly отыскать места вызовов, как я понимаю getDlgItem, ведь это они изображены на скриншотах. Это нужно для того, чтобы убить окно с предупреждением при старте программы, ну и начать разбираться со вторым окном, которое выпадает при попытке открыть Справочники -> Курсы валют.

Заранее спасибо.

| Сообщение посчитали полезным:

ge0rgich ну а как ты убрал Это самое окно я убрал, чтобы оно не показывалось, даже, если данных в полях нет.
также убирай и остальные окна?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Дело вот в чем. То окно, в котором вводятся регистрационные данные, оно программное. Т.е. программист нарисовал его, так сказать =)
Выследил я его каким образом: запустил Олю, Seacrh for -> All referenced text strings. Получил такой нехилый список строчек. Привлекла меня сразу строка с надписью ASCII "Registration". Сделал Follow in disassembler и попал по адресу. Далее прошелся по шагам и заменил то, что требовалось, чтобы сработал JE.

А вот как тут найти нужный мне GetDlgItem с текстом на кириллице - я не в курсе Да и ещё определить, кто и когда его вызывает. Вот в чём проблемка-то.

| Сообщение посчитали полезным:

ge0rgich ясно, в OllyDbg можно искать кириллицу: alt+m (карта памяти), выделяешь свой ехе, потом правой кнопкой search и в поле ascii прямо по-русски пишешь, попробуй.

-----
[nice coder and reverser]

| Сообщение посчитали полезным: ge0rgich

Hellspawn
Когда я вбиваю в поле Search кириллицей, то буквы не отображаются Вбил туда адрес почтового ящика, который фигурирует в сообщении, и Оля нашла что-то. Затем перешёл в дампе по этому адресу, который она мне указала. Оно или не оно, пока сказать не могу. Как действовать дальше?

| Сообщение посчитали полезным:

вообще это очень похоже на реальную демку
0040EDB4 - процедура проверки ключа
после проверки прога в любом случае выходит на показ сообщения о демке.
ищи команды типа MOV EDX,DWORD PTR DS:[7B3208] это _msgAlert

| Сообщение посчитали полезным: ge0rgich

Vovan666
Не совсем понял, что вы имеете ввиду под словами "реальная демка"? Функционал-то полной программы в ней есть.
Сейчас поищу, что вы предлагаете. Спасибо.

| Сообщение посчитали полезным:

При загрузке убрал окно с предупреждением. Теперь наступает самое весёлое - убирать окна в курсе валют и при этом заставить прогу показывать рабочее окно с курсами этих самых валют. Пока у меня ничего не вышло, я лишь только положил насмерть прогу с ошибками
В общем, предупреждение, которое вылезает вызывается тут:

Помогите, пожалуйста, с процедурой проверки ключа. Благодарствую.

| Сообщение посчитали полезным:

ge0rgich
Что значит помогите ? Трассируй, смотри, анализируй...
Не думаю, что найдутся добродеятели, которые закейгенят за тебя (уже был опыт, когда закейгенили за просто так, типа ради интереса человека в реверсе, а оказалось не совсем так).

Если интересует именно сторона реверса - разбирайся с функой сам (а она там не маленькая, и спец, который ценит свое время меньше чем за 100$ и пальцем не пошевелит), спрашивай конкретно - тогда помогут, а если нужно лекарство (кейген) - то либо в поиск специалистов, либо купи !

-----
ds

| Сообщение посчитали полезным: ARCHANGEL

Попробуй использовать связку Оля + SourceRescuer, найдешь окно регистрации и адрес кнопки, а там и до кейгена не далеко ну или патча, главное упорство и тщательный анализ
Попробуй поставить бряк на реестр, т.к ключ он там хранит


DimitarSerg пишет:
а патч - не интересно
Кому как, мне лично больше патч нравится, но это дело вкуса.

Vovan666 пишет:
вообще это очень похоже на реальную демку
Пожалуй соглашусь, т.к форма таковая вообще отсутствует

| Сообщение посчитали полезным:

Flasher-11 пишет:
найдешь окно регистрации

и че дальше ?
Ниже пробежавшись видно считывание серийника по частям:

И что серийник лежит в реестре тут:

Так что толку с этого всего 0 и до кейгена все же далековато, если он хочет разбираться в проверке ключа - пусть разбирает(адрес функи есть, осталось подключить мозг), а патч - не интересно

ge0rgich
Для упрощения создай мап-файл Идой или DeDe и подцепи его плагом MapImp

-----
ds

| Сообщение посчитали полезным: ge0rgich

Чистой воды демка Vovan666 писал выше регистрация навешана для понтов

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ПРи попытке удалить заказ тоже вылазит наг


| Сообщение посчитали полезным:

Всем спасибо. Буду для начала пробовать сделать патч. Как появятся вопросы, то отпишу сюда.

ClockMan, как это для понтов регистрация? У них на сайте покупается ключ, который вбивается в прогу. Или вы хотите сказать, что они обманывают? Не совсем понятно.

evggrig, угу. Вчера нашёл этот наг.

| Сообщение посчитали полезным:

ge0rgich
http://rghost.ru/39664939 там пропатченый exe.
Скорее всего при покупке высылают полную версию с ключем.

| Сообщение посчитали полезным:

evggrig
блин. Качал я этот пропатченный exe-шник. Халтура. Вы меня сердечно простите, но, вроде как, я в школе учился и читать умею. Это я про сайт программы:
softstudio.ru/shop_item.php?idd=265498&codepage=0&currency=WMR
Товар: текстовая информация (371 байт)
Описание товара: Регистрационный ключ.

Либо лыжи не едут, либо я - ... Такие дела, да.

| Сообщение посчитали полезным:

ge0rgich пишет:
Товар: текстовая информация (371 байт)
что мешает в "текстовую информацию" включить еще и приватную ссылку на закачку полной версии программы?

| Сообщение посчитали полезным:

Видел подобную защиту в программе Товар-Деньги-Товар, там демонстрационная версия отличается от полной тем, что туда нельзя ввести регистрационные данные - это первое, второе - в демо версии на каждую процедуру навешан наг, срабатывающий на разницу в документах 3 месяца. Таким образом ломание демо версии крайне трудоёмкое и малоперспективное занятие. Тут, видимо, та же ситуация. Нужна полная версия которую и нужно ломать. Судя по пиару сего сабжа на руборде - автор его воодушивился успехами фирмы провизион и решил идти тем же путём

| Сообщение посчитали полезным:

ge0rgich пишет:
У них на сайте покупается ключ, который вбивается в прогу.
вот когда купишь, тогда и пришлют тебе с ключом FULL дистрибутив.

опоздал

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

ManHunter
Моему мозгу мешает описание: Регистрационный ключ.

Ладно, как бы то ни было, я все равно собирался покупать прогу, но и исследовать её я не брошу. Вечером куплю эту "текстовую информацию (371 байт)" и отпишу, что там было

А пока продолжаю вылавливать окна.

| Сообщение посчитали полезным:

Итак, купил я серийник. Хочу отметить, что прислали именно серийник, а не как предполагали тут ссылку на полную версию и т.д. Серийник состоит из 5 блоков. Первый блок содержит только буквы, остальные блоки - буквы и цифры. После ввода серийника ограничения, как и заявлено на сайте, снимаются.
Хотелось бы уточнить строки у ClockMan:

С чего вы решили, что это именно демка?

И каким путём идти сейчас, имея серийник - писать патч, убивающий наги и открывающий функционал, или же изучать как проверяется серийник?

| Сообщение посчитали полезным:

ge0rgich
Имея серийник проще сделать второе. Если делать первое то достаточно отследить последний оставшийся наг на удалении заказов. Два из них убираются если патчить так как написал ClockMan. Первый джамп похоже отвечает за вызов окна ввода серийника при запуске.

| Сообщение посчитали полезным:

evggrig
На удаление, на обновление курса валют еще наг висит. С ним я вообще ничего не понял. Пытался найти это окно в памяти (которое полсе нага будет появляться), но его нет

| Сообщение посчитали полезным:

ge0rgich
Серийник проверяется здесь: 0040EDB4. Происходит замена 2D (-) на Z, перетасовка символов, замена из своей таблицы и сравнение: сумм некоторых символов, делений других символов и т.д. Разбирать весь механизм - влом.

P.S. Посмотри ЛС.

| Сообщение посчитали полезным:

Vnv
да, спасибо. Выше уже говорили про этот адрес. Сейчас буду смотреть, как прога себя ведёт с валидным серийником.

| Сообщение посчитали полезным:

Vovan666 пишет:
0040EDB4 - процедура проверки ключа
после проверки прога в любом случае выходит на показ сообщения о демке.
При вводе "правильно" серийника вызывается Exception и процедура проверки серийника не доходит до своего логического завершения!!!

| Сообщение посчитали полезным:

Yes!!!

ge0rgich
Лови пролеченный: http://rghost.ru/private/39681978/2801d647694de53fe188c65306880459
Пароль на всё - твой ник, захочешь - удалишь ссыль.

| Сообщение посчитали полезным:

Vnv
Хм. Что-то он не пролеченный какой-то. Все наги на месте.

| Сообщение посчитали полезным:

ge0rgich пишет:
Что-то он не пролеченный какой-то.
А по подробней? У меня после ввода серийника "все единицы" - фунциклирует нормально.

| Сообщение посчитали полезным:

Vnv, а. Ну дык надо было предупредить, что какой-нибудь серийник вбить надо )
Собственно, хотелось бы пояснений, как и что вы сделали?

| Сообщение посчитали полезным: