Есть некий софт по обработке изображений и видео. Естественно накладывает ватермарк, интересует следующий вопрос: Как можно отловить этот процесс? Подскажите пожалуйста API, при помощи которых это делается. Бряк на BitBlt вообще никак не спасает...

Софт называется Moyea SWF to Video Converter Pro
Линк: http://www.moyeamedia.com/affiliate/swf2video/swf2video_pro_aff.exe

Из ограничений наг и ватермарк, который я никак не поймаю.
Серийник хранится в Myego.dat. Записывается и считывается посредством WritePrivateProfileStringA и GetPrivateProfileStringA. Отловить проверку серийника не удалось, поэтому решил запатчить.

Защита интересная, т.к. секции кода частично шифруются.
Сделал инлайн патч для нага http://rghost.ru/private/45348740/6c58c3ab2b3b38ce28ef12065626a7b9

На этом работа встала. Очень прошу ткнуть в нужном направлении, очень хочется докрутить защиту.
з.ы.: делается не для какой-либо выгоды, just4fun

| Сообщение посчитали полезным:

Для расшифровки кода юзай hardware бряк, потом сохрони и пропатч одну из экспорт проверок в RegLib.dll.
Саму либу запатчить тоже нужно на наличие crc. Далее пока сам. Наг сидит глубоко, но вполне можешь отловить, ты главное тести нормально, а то например, в hd-формате и в обычном наг вызывается по разным путям, в результате на одних наг будет, а на вторых - нет, к тому же ты можешь запатчить так, что в проге предпросмотр или наложение картинки своей будет глючить (нужно запатчить окончательное наложение вотермарка, а не промежуточное), если совсем устанешь, то глянь как в iOTA комплекте на рубике.

TryAga1n пишет:
Бряк на BitBlt вообще никак не спасает...
ну и кто сказал что только эти апи юзаются?

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

Kindly пишет:
Для расшифровки кода юзай hardware бряк, потом сохрони и пропатч одну из экспорт проверок в RegLib.dll.
Саму либу запатчить тоже нужно на наличие crc
TryAga1n пишет:
Сделал инлайн патч для нага http://rghost.ru/private/45348740/6c58c3ab2b3b38ce28ef12065626a7b9

Я это все уже сделал, перед тем, как запостить. Вопрос не в наге, а в ватермарке

Kindly пишет:
ну и кто сказал что только эти апи юзаются?
Честно - не помню, но натыкался в одной из тем, что может использоваться эта апишка, может и ошибаюсь, а может неверно отписались. Так что используется то?

| Сообщение посчитали полезным:

TryAga1n пишет:
Так что используется то?
Посмотри импорт VideoDrawer.dll

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным: TryAga1n

Первое, что приходит на ум в данном случае - то, что данный вотермарк можно попробовать поискать в ресурсах файлов программы (возможно даже не PE)

1. Можно проанализировать ресурсы статически, на предмет какой-нить картинки/SWF
2. Попробовать проанализировать доступ к файлам при инициализации программы или записи финального видео.

| Сообщение посчитали полезным:

Rainbow, нет. Наг закриптован в либе в массиве. Вполне логично, если авторы шифруют регистрационный механизм, то и bmp-шку с ватермарком в том числе.

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

Kindly пишет:
Rainbow, нет. Наг закриптован в либе в массиве. Вполне логично, если авторы шифруют регистрационный механизм, то и bmp-шку с ватермарком в том числе.

Ну значит ответ на вопрос вопрос где искать очевиден - отлавливать доступ к шифроблоку и делать инъекцию врукопашную. Вопрос к какому? Ну в таком раскладе процесс поиска места доступв может быть рутинен. Ловить бряками на память на подозрительные участки. Но процесс модификации секции с кодом в любом случае подозрителен и я думаю интересную инфу предоставит

| Сообщение посчитали полезным:

Вопрос я задавал, а не Kindly

| Сообщение посчитали полезным:

Rainbow - дык я то знаю, одним байтом можно все уладить, т.е. двумя

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

Исследование Moyea Swf to Video Converter v1.3.1.0

| Сообщение посчитали полезным: TryAga1n