В программе одни текстовые строки видны на английском, другие - в каком то коде. " Что это за код? Почему одни строки читаются, а другие нет? Есть ли способ (софт) их все таки прочесть для дальнейшего исследования?

| Сообщение посчитали полезным:

KARRAT пишет:
Что это за код?
Криптованный текст наверно.
KARRAT пишет:
Почему одни строки читаются, а другие нет?
Важные (для регистрации) криптованы, остальные нет.

| Сообщение посчитали полезным:

Софт бы выложил. Да и строки пошифрованы могут быть, бери да разбирайся, как софт с ними работает.

| Сообщение посчитали полезным:

KARRAT
Шутник, посмотрел строки в софте и типа справился, молодец.
Для примера, есть строка:

Сможешь угадать что там?
А алгоритм, прост, как пять копеек, причем из реальной программы:

Вот и смотри, что делается с текстом, потом пили скрипт который приведет строки к человеческому виду, больше тут советовать нечего или выложи программу и жди доброго человека.

| Сообщение посчитали полезным:

а может, это вообще не текстовая строка, а массив (пошифрованных) данных, используемых для проверки на правильность файла лицензии?

т.е., текстовые строки, которые есть в теле EXE/DLL, не всегда появляются обязательно именно на экране, в окошках и диалогах.

опять же, я гадаю, как боря. Без файла проги невозможно решить проблему.

| Сообщение посчитали полезным:

скорей всего не полностью распакована прога. как то был такой случай. после распаковки PEiD показывал что Fast Check упакован. но перевод все равно получился. я больше переводчик чем крекер, могу и ошибаться.

| Сообщение посчитали полезным:

Правильно заметил Konstantin, зашифрованы те строки, которые касаются регистрации. Нет никаких окон о неправильно введенных регистрационных данных. Так вот как этот код опознать? И можно ли как то принудительно с помощью каких то программ вывести остальные строки в читаемый вид?

| Сообщение посчитали полезным:

KARRAT
Во-первых, где софт? Во-вторых, заставить прогу расшифровать все строки можно, но объяснить, как это сделать - сложно, иногда - невозможно. Тем не менее, я попытаюсь. Надо ставить бряки на чтение зашифрованных строк, смотреть, какой код с ними работает, и как расшифровывает. Повторять код со всеми зашифрованными строками.

Да, кстати, зачем вам эти строки? Если цель - взлом, совсем не обязательно читать строки. Можно посмотреть, например, какое действие происходит при нажатии Activate, или где происходит вызов CreateFile/OpenFile с именем gat.lic (раз уж вы знаете теперь, что такой файл бывает).

| Сообщение посчитали полезным:

KARRAT пишет:
за что то зацепиться
Вы ждете диагноз по фотографии? Выложите файл или закройте тему - экстрасенсы в отпуске.

| Сообщение посчитали полезным:

Программа на Дельфи-7 ничем не запакована. Проявления незарегистрированности:
1)надписи ‘’Demo” в рабочих окнах
2)не выводятся числа в таблице.

| Сообщение посчитали полезным:

KARRAT пишет:
www.mediafire.com
Не нашел, как скачать без регистрации - спасибо.


Прочтение зашифрованных строк в разделах активации/регистрации подсказало бы

В эташе все ваши строки. Процедура дешифрования находится по адресу .4A78F0 - вызывается 41 раз.
Встаньте в этом месте отладчиком и смотрите, что получается. Можно подменять адрес строки, чтобы просмотреть их все,. но, обычно, удобнее написать декриптор (на вашем любимом языке - рипнув код из программы), заменить в программе все строки на дешифрованные, а вызов декриптора похерить - будет быстрее работать

целый комплекс создаваемых классов
Судя по названию, за лицензирование отвечает всего один.

Не хватайтесь за все сразу - дешифруйте строки, все станет намного яснее.

1de7_12.01.2013_EXELAB.rU.tgz - crypto.rar

| Сообщение посчитали полезным:

KARRAT пишет:
Пробовал найти в программе место выведения таблицы

Забыл сразу прицепить - вот еще карты памяти в помощь.


3ecb_12.01.2013_EXELAB.rU.tgz - MAPs.rar

| Сообщение посчитали полезным:

KARRAT
Я вот вообще не понял, зачем зацикливаться на строках



Создаешь файл gat.lic стартуешь прогу - появляется окно с окошком активации, вводишь что-нибудь, исследуешь колл
CALL 004C6A14
А там есть что исследовать. Делать это за тебя никто не будет.

Как правильно заметил gazlan, класс всего один для лицухи: TLicenceClass

-----
ds

| Сообщение посчитали полезным: nick8606

DimitarSerg пишет:
не понял, зачем зацикливаться на строках

Очень просто: зашифровав их, автор уже проделал большую часть работы по взлому, отметив флажками участки кода, относящиеся к защите. Остальное уже можно не проверять, положившись на его добросовестность

Что касается файлов лицензий, серийных номеров и проч, то, IMHO, это last resort.

Большинство защит подобно брезентовой палатке со стальной дверью. Зачем биться о лобовую броню и ломать защиту в самом укрепленном месте, если, осмотревшись, можно зайти сбоку и проткнуть пальцем брезент?

Для примера, распаковщик Ebook Edit Pro (https://ssl.exelab.ru/f/action=vthread&forum=13&topic=16988&page=0) сделан именно так: я вообще не интересовался (и до сих пор не знаю), как там устроена защита паролем, привязка к диску и проч. Ничего из этого не потребовалось - просто обошел кругом "стальную дверь" регистрации и пинком вынес остатки защиты.

| Сообщение посчитали полезным:

Процедура дешифрования находится по адресу .4A78F0
Как-то так:



В основном вызывается
decipher(Text,$3D5,$3182,$8C33);

А при реге, как я понял, для декрипта содержимого gat.lic уже вот так
(Text, 7цифр из поля SERIAL CODE ,$3182,$8C33);

Проверил - работает вроде


-----
ds

| Сообщение посчитали полезным:

Благодарю! Согласен, прочтение строк многое прояснит.

| Сообщение посчитали полезным:

На первой картинке обведены 4 параметра, передаваемые при дешифровке первого слова (Activate).

У меня под рукой оказалась IDA, но вы можете использовать любой другой отладчик.

8C33, 3182 и 3D5 - это параметры для дешифровки, 4C9020 - адрес зашифрованной строки.

Вы можете заменить этот адрес на адрес любой другой зашифрованной строки, но, возможно, при этом потребуется изменить и три первых параметра (смотрим значения в том месте, откуда должна была быть вызвана эта строка).

Дешифрованная строка помещается по адресу [ebp+Dst_8] (я переименовал переменные для большей наглядности).

На второй картинке видно, что вы можете следить за участком памяти по адресу [ebp+Decrypted_0] (сразу после вызова @LStrCat) и наглядно видеть процесс расшифроки в окне данных внизу.

Но, поскольку этих строк много (40+), то лучше написать автономный дешифровщик, взяв за основу код процедуры Decrypt_4A78F0 и выкинув из нее все лишнее.

Update:

Добавил комментированный листинг IDA и референсный код на С (MSVC/MFC).

К сожалению, GUI-аппликация оказалась почти бесполезной, потому что при копировании зашифрованных строк автоматически выполняется конверсия кодировки и результат ничему не соответствует..

Используйте этот код просто как заготовку для декриптора, работающего с HEX-строками.

Лучшим вариантом может быть IDA-скрипт или плагин, но есть еще строки, загружаемые из ресурсов или по косвенным адресам, так что без отладчика вам, наверное, все равно не обойтись.

http://www.multiupload.nl/2DW9BG2005
Psw: www.exelab.ru


| Сообщение посчитали полезным: