Разбор защиты программы.

Сейчас на форуме: asfa, Rio, _MBK_, Adler (+6 невидимых)

Посл.ответ	Сообщение
solderr63 Ранг: 2.3 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 25 марта 2013 15:29 · Личное сообщение · #1 Здравствуйте? требуется помощь разобраться в защите программы ipmidi Программа работает в течении 60 минут после подачи на неё midi сигнала. После перестаёт работать. Выдаёт сообщения. Работает только после перезагрузки. Места где выводятся сообщение нашёл 00407127 \|. E8 A4280000 CALL 004099D0 ; \IPMidiMon.004099D0 Могу обойти, но где находится место где отключается работа программы найти не могу. помощь уже просил : 1. ipMIDI version 1.9 2. ipMIDI это приложение, которое маршрутизирует MIDI по сети Ethernet, если у вас есть музыкальная студия с несколькими компьютерами, подключенными через MIDI-интерфейс и MIDI-кабели , ipMIDI заменит их Все. 3. http://www.nerds.de/data/setupipmiditrial.exe 4. 1,53 Мб 5.Microsoft Visual C++ 8.0 [Overlay] * 6. ipMIDI работает в течение 60 минут после начала передачи midi сообщений. После перезагрузки компьютера она снова работает еще 60 мин. Никто не помог приходитя разбираться самому………

Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 25 марта 2013 15:41 · Личное сообщение · #2 больше информации по своей работе. как нашел то место, как патчил, что ещё делал. ----- [nice coder and reverser]
solderr63 Ранг: 2.3 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 25 марта 2013 15:52 · Личное сообщение · #3 место нашел в ollydbg - search for all referenced strings --ASCII "ipMIDI Trial works 60 min. after the first use. Please reboot your computer to have additional 60 min." смотрел что программа делает в реестре и на жёстком диске с помощью ProcessMonitor сначало думал что за работы программы отвечает RegSetValue HKCU\Software\nerds.de\IPMidiMon\Ports\LowB SUCCESS Type: REG_DWORD, Length: 4, Data: 0 но оказалось что нет ((
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 25 марта 2013 16:33 · Личное сообщение · #4 я бы пропатчил или здесь: Code: .text:004070CE mov ecx, [eax+5218h] .text:004070D4 add ecx, 1 .text:004070D7 mov edx, [ebp+var_1C0] .text:004070DD mov [edx+5218h], ecx тут счетчик какой-то, а лучше ещё выше Code: .text:004070B9 mov edx, [ebp+var_14] .text:004070BC and edx, 40000000h .text:004070C2 jz loc_407242 <- на JMP но мне кажется, что это всего лишь обработка сообщений от драйвера, если не поможет нужно смотреть его. ----- [nice coder and reverser]
solderr63 Ранг: 2.3 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 25 марта 2013 19:54 · Личное сообщение · #5 подождал 60 минут... программа выключилась показала триал окно поставил NOPы вместо: .text:004070CE mov ecx, [eax+5218h] .text:004070D4 add ecx, 1 .text:004070D7 mov edx, [ebp+var_1C0] .text:004070DD mov [edx+5218h], ecx показалось что все нормально но при попытке передачи midi блокируется, хотя теперь можно снять галочку mute с порта. но она не влияет на работу. пробовал ставить NOP .text:004070B9 mov edx, [ebp+var_14] .text:004070BC and edx, 40000000h тоже самое. Вродебы гдето рядом но где....
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 25 марта 2013 19:57 · Личное сообщение · #6 в драйвере проверка ----- [nice coder and reverser] \| Сообщение посчитали полезным: solderr63
solderr63 Ранг: 2.3 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 25 марта 2013 20:00 · Личное сообщение · #7 спасибо попробую найти я правдо с драйверами еще не работал
solderr63 Ранг: 2.3 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 25 марта 2013 20:22 · Личное сообщение · #8 ipmidi.sys переименовал в ipmidi.dll но открыть в ollydbg не получилось видимо драйвер 64bit. что делать???
hors Ранг: 136.0 (ветеран), 360thx Активность: 0.27↘0.14 Статус: Участник Qt Developer	Создано: 25 марта 2013 20:32 · Личное сообщение · #9 Используйте IDA PRO. ----- http://ntinfo.biz
solderr63 Ранг: 2.3 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 25 марта 2013 20:54 · Личное сообщение · #10 открыл в IDA Pro 5.2 Advanced (64-bit) по сравнению с ollydbg очень непривычно....
solderr63 Ранг: 2.3 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 26 марта 2013 08:31 · Личное сообщение · #11 как в ней отлаживать драйвер???? не могу понять...
ZaZa Ранг: 158.5 (ветеран), 219thx Активность: 0.12↘0.01 Статус: Участник	Создано: 26 марта 2013 08:54 · Личное сообщение · #12 solderr63 Драйвера отлаживать надо бы в отладчике, который работает в нулевом кольце (SoftIce, Syser и др.) А в IDA можно просто посмотреть... ----- One death is a tragedy, one million is a statistic. \| Сообщение посчитали полезным: solderr63
plutos Ранг: 622.6 (!), 521thx Активность: 0.33↗0.89 Статус: Участник _Вечный_Студент_	Создано: 26 марта 2013 09:01 · Поправил: plutos · Личное сообщение · #13 solderr63 я правдо с драйверами еще не работал открыл в IDA Pro 5.2 Advanced (64-bit) по сравнению с ollydbg очень непривычно.... как в ней отлаживать драйвер???? не могу понять... Если вы не работали ни с драйверами, ни с IDA Pro, то будет трудновато... Вот неплохой ресурс для начинающих (по драйверам): http://www.kernelmode.info/forum/viewtopic.php?f=14&t=374 Шаг за шагом обьясняет что к чему. Ну, а по IDA Pro есть книга "The IDA Pro book". (Здесь на форуме кто-то выкладывал ссылку. Да и через google ее можно найти.) И много туториалов, вот например: http://tuts4you.com/download.php?view.1615 ----- Give me a HANDLE and I will move the Earth. \| Сообщение посчитали полезным: solderr63
solderr63 Ранг: 2.3 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 26 марта 2013 09:13 · Личное сообщение · #14 Всем Спасибо!!!! буду изучать.
solderr63 Ранг: 2.3 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 05 мая 2013 10:51 · Личное сообщение · #15 Защита мне не по зубам, не то чтобы я сдаюсь, вернусь к проге когда будет больше опыта, пока чем полегче займусь.

Для печати