Убрать наги и иконку в трее

Сейчас на форуме: asfa, Rio (+6 невидимых)

Посл.ответ	Сообщение
SergeyIvan Ранг: -0.1 (гость), 6thx Активность: 0.01↘0 Статус: Участник	Создано: 04 июля 2013 10:56 · Поправил: SergeyIvan · Личное сообщение · #1 Собственно сама прога - http://www.kassl.de/opc/download/opc-trial/Kassl-dOPC-XGate-Trial.zip Их ограничений работает 10 минут, наг при запуске. Упакована упх, написано похоже на одной из последних версий Делфи. Короче чет я совсем запутался - начал с удаления ограничения на 10 мин. KillTimer и SetTimer нафига не помогли, на exitprocess тормозится, но откуда идет вызов я так и не допер... Методом не нормального тыка нашел следующее: Code: 004E23D2 33C0 XOR EAX,EAX 004E23D4 5A POP EDX 004E23D5 59 POP ECX 004E23D6 59 POP ECX 004E23D7 64:8910 MOV DWORD PTR FS:[EAX],EDX 004E23DA EB 15 JMP SHORT dOPCXCOM.004E23F1 004E23DC ^E9 8F3CF2FF JMP dOPCXCOM.00406070 004E23E1 8B55 FC MOV EDX,DWORD PTR SS:[EBP-4] 004E23E4 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 004E23E7 E8 D0000000 CALL dOPCXCOM.004E24BC 004E23EC E8 9B41F2FF CALL dOPCXCOM.0040658C 004E23F1 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 004E23F4 80B8 A4000000 00 CMP BYTE PTR DS:[EAX+A4],0 004E23FB ^74 BF JE SHORT dOPCXCOM.004E23BC Заменил - 004E23F4 80B8 A4000000 00 CMP BYTE PTR DS:[EAX+A4],0 на CMP eax, eax Программа не закрывается, но через 10 мин. перестают открываться дочерние окна( Вообщем прошу помощи, кому не лениво добить эту гадину, у меня чет уже идеи кончились. И еще один вопросик, возможно сделать так, чтобы при запуске программа не отображала иконку в трее, может кто занимался этим вопросом

reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 04 июля 2013 11:08 · Личное сообщение · #2 если хотите что бы вам ее доламали, то в запросы на взлом а иначе надо спрашивать подсказки где что и как
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 04 июля 2013 12:44 · Поправил: ARCHANGEL · Личное сообщение · #3 SergeyIvan Shell_NotifyIconA/W - апи для отрисовки иконки в трее. Занопили - и не отображается. И возьмите в руки декомпилятор, например, Idr. Попробуйте с ним найти, почему ваша прога через 10 мин закрывается. ----- Stuck to the plan, always think that we would stand up, never ran. \| Сообщение посчитали полезным: SergeyIvan
DenCoder Ранг: 324.3 (мудрец), 221thx Активность: 0.48↘0.37 Статус: Участник	Создано: 04 июля 2013 13:05 · Личное сообщение · #4 SergeyIvan пишет: Заменил - 004E23F4 80B8 A4000000 00 CMP BYTE PTR DS:[EAX+A4],0 на CMP eax, eaxПрограмма не закрывается, но через 10 мин. перестают открываться дочерние окна( В eax объект структуры/класса, поставьте хард бряк на адрес eax + A4. Если память меняется не через WriteProcessMemory (как в WinHex), то это покажет где ещё обращения по нему. SergeyIvan пишет: на exitprocess тормозится иногда информативен ExitCode. В одной программе, например, была защита от хард бряков на старте, они выводили в аут прогу по ExitProcess. Код ошибки указывал на адрес первого установленного hwbp. SergeyIvan пишет: KillTimer и SetTimer нафига не помогли В каком смысле? Что с ними делали? Может и GetSystemTime/GetLocalTime использоваться для проверки интервала ----- IZ.RU \| Сообщение посчитали полезным: SergeyIvan
SergeyIvan Ранг: -0.1 (гость), 6thx Активность: 0.01↘0 Статус: Участник	Создано: 05 июля 2013 08:01 · Поправил: SergeyIvan · Личное сообщение · #5 ARCHANGEL Спасибо за помочь с иконкой, попробую, в связи с особенностями тех. процесса прогу приходится периодически перегружать, остается куча значков в трее По поводу idr - говорит что версия новая, нужно обращаться к crypto. По определенным обстоятельствам из инструментов у меня пока только wdasm и olly. Может у кого имеется возможность открыть прогу в idr и привести листенг кода таймеров ? DenCoder Предыдущую версию версию отламывал так - поиск set\kill timer и замена джампа. Тут авторы толи перемудрили, то ли я уже запарился... Пробовал GetLocalTime, нашел место где инициализируется отсчет - вроде как цикл на 8, пробовал заменить на 1, вместо 10 минут, прошло 2, но проверка в другом месте. Еще вопрос - это действительно новая версия дельфей и как бы сказать пограмотнее debug версия ? UPDATE Вообщем открыл я прогу в idr, смотрю че да как, распаковывал peid generic unpacer - чет видать кривовато. Распаковал самим упх-ом - idr файло принял. Глянул патч на предыдущую версию - наг гасится в самом начале тупо нопами. Пилять и ссыль дал не на ту прогу - http://www.kassl.de/opc/download/opc-trial/Kassl-dOPC-XCOM-Trial.zip Все пора спать(
DimitarSerg Ранг: 253.5 (наставник), 684thx Активность: 0.26↘0.25 Статус: Участник radical	Создано: 05 июля 2013 10:09 · Личное сообщение · #6 Видимо оно: Code: 0058399A \|. E8 3DC9E9FF CALL <_Unit6.Now> 0058399F \|. DC5D F0 FCOMP QWORD PTR SS:[EBP-0x10] 005839A2 \|. 9B WAIT 005839A3 \|. DFE0 FSTSW AX 005839A5 \|. 9E SAHF 005839A6 \|. 76 0C JBE SHORT 005839B4 005839A8 \|. A1 B85C5900 MOV EAX,DWORD PTR DS:[0x595CB8] 005839AD \|. 8B00 MOV EAX,DWORD PTR DS:[EAX] 005839AF \|. E8 0430F6FF CALL <_Unit34.TApplication.Terminate> ----- ds \| Сообщение посчитали полезным: SergeyIvan
SergeyIvan Ранг: -0.1 (гость), 6thx Активность: 0.01↘0 Статус: Участник	Создано: 05 июля 2013 10:14 · Личное сообщение · #7 DimitarSerg Спасибо, jb на jmp - решает ) Защита осталась старая, просто привыкаешь к инструментам типа idr, а затем глядишь в wdasm как баран) А первую прогу ломал совсем без отладчика. Но это офф. Тему пока оставлю - вдруг с иконкой в трее какие запары будут. Всем спасибо.
DenCoder Ранг: 324.3 (мудрец), 221thx Активность: 0.48↘0.37 Статус: Участник	Создано: 05 июля 2013 10:53 · Поправил: DenCoder · Личное сообщение · #8 Распаковал ~~см. аттач.~~ --> Link <-- В распакованной код выше находится по адресам 4E6966..4E6988 Во-вторых: SergeyIvan пишет: Заменил - 004E23F4 80B8 A4000000 00 CMP BYTE PTR DS:[EAX+A4],0 на CMP eax, eax Что-то мне подсказывает, что в [eax + A4] содержится ничто иное как булева переменная, true - внести куда-то изменения по завершении/ещё каких-то условиях(возможно, кол-во запусков, оставшееся время, ...). Возможный эффект замен - информация не сохраняется DimitarSerg, долго я писал всё это... )))) SergeyIvan пишет: Пилять Это точно ----- IZ.RU
DimitarSerg Ранг: 253.5 (наставник), 684thx Активность: 0.26↘0.25 Статус: Участник radical	Создано: 05 июля 2013 11:06 · Поправил: DimitarSerg · Личное сообщение · #9 SergeyIvan пишет: вдруг с иконкой в трее какие запары будут. 004FE8A2 E8 01FFFFFF CALL <_Unit43.sub_004FE7A8> занопить, не ? Ну и до полного счастья наг: 0058E10F E8 A083FFFF CALL 005864B4 занопить вызов ----- ds \| Сообщение посчитали полезным: SergeyIvan
DenCoder Ранг: 324.3 (мудрец), 221thx Активность: 0.48↘0.37 Статус: Участник	Создано: 05 июля 2013 13:04 · Личное сообщение · #10 Во второй проге аналогично Code: UPX1:005BBB0D push dword ptr [ebx+40Ch] UPX1:005BBB13 push dword ptr [ebx+408h] ; double UPX1:005BBB19 push 4008h UPX1:005BBB1E push 96000000h UPX1:005BBB23 push 0 ; _TBYTE UPX1:005BBB25 call sub_5BBA5C UPX1:005BBB2A fstp [ebp+var_1C] UPX1:005BBB2D wait UPX1:005BBB2E call Now UPX1:005BBB33 fcomp [ebp+var_1C] UPX1:005BBB36 fstsw ax UPX1:005BBB39 sahf UPX1:005BBB3A jbe short loc_5BBB57 ----- IZ.RU \| Сообщение посчитали полезным: SergeyIvan
SergeyIvan Ранг: -0.1 (гость), 6thx Активность: 0.01↘0 Статус: Участник	Создано: 08 июля 2013 17:34 · Личное сообщение · #11 Спасибо ребята за помощь, крекингом занимаюсь время от времени, вторая программа тоже нужна, так что труд DimitarSerg-а не пропал даром. DenCoder Вам же выражаю отдельное спасибо. Сорри за мой старославянский, в данный момент усугубляю, так что на том и раскланиваюсь.

Для печати