Всем здравствуйте
Небольшое вступление: Я сам работаю инженером, к програмирования отношения не имею, хотя в инстиуте чтото было, в общем новичк, но базовое представление имею
В моей организации пользовались программой для создания двух рабочих мест на одном ПК, программа была с белсплатной регистрацией, пока её не закрыли а автор канул в небытие, а программа рабочая и всех устраивает, не найдя выхода я решил попытаться её поломать, убил две недели, продвинулся в занниях но так и не смог победить

ИТак: имя программы : WMProgram
сайт: http://www.wm-program.ru/
Ссылка для загрузки версии 1.0: http://www.wm-program.ru/download/full/setup_full_v10.exe

Скачать оттуда дистрибутив проблем не составит

Программа генерирует исходящий код 8 символов х 8 послдедовательностей (буквенно-цифровой) далее через сайт генерируется ответный код, размером 1024 символа

Что проделано: скачана IDA PRO, DeDe, прочитан большой фак по взлому программ и несоклько примеров
Далее:
1) найлдены формы регистрации, события на кнопку генерации, регистрации и запуска
2) ProcMon показал, а далее я сам убедился, что программа генерирует исходящий код по ключу HKLM-HARDWARE-DESCRIPTION-SYSTEM-SystemBiosVersion
При его изменении изменяется и исходящий код
3) при нажатии неа кнопку регистрации код сначала считывается в цикле 200р, что равно 512 символам в двоичной системе я так понял (7А5В и тд) что в сумме дает как раз 1024 знака, и далее преобразуется до исходящего кода
4) после активации создается ключь LastOutKey в HKLM-SYSTEM-WMsettings который хранит исходящий ключь, а так же ключ Dataкоторый хранит шестнадцатиричный код, который и является кодом активации

Самое простое подменить с рабочей машины ключи, но простым копированием после перезагрузки ключи восстанавливается на другой

У меня был варинат как то изменеить пути к ключу чтоб он брал и сравнивал из моего ключа код, и всем просто его подсовывать, но на это у меня уже знаний не хватает

Теперь сама проблема: при нажэатии на кнопку получить код происходят различные действия, после чего заранее подготовленные команды записываются в стек, идет управляющий код типа 22204С и вызывается функция deviceiocontrol и тут же на выходе в ebp+BytesRerurned имеем исходящий код в буквоцифрах! вот тут я не понимаю, ведь все делается в 16 коде, когда он успевает преобразщовать в буквенно -цифровой код??
Залез глубже, идет обращения в kernek32его уже менять я не хочу, это все же системное приложение
Кроме экзешника имеется дрйвер в windows-system32-wmservice.sys, который в ИДЕ открывается, но в нем я не могу ставить бряки и сомтреть обращения, а чистый ассемблер разобрать тяжело, это дрйвер и он создает устройства, как найти там генерацию я не знаю, но если файлик удалить и перезагрузить , то программа активирована, то есть именно через этот дрйвер и идет вся активация - генерация.

Я убрал через условный переход проверку активацйии - програма активирована, нашел где она добавляет исходящий ключ, но она не работет, при нажатии неа кнопку запуска в ручную пишет что не активирована, определил что опять по нажатию отсылается код в deviceiocontrol, который и возвращает ошибку, и по коду ошибки пишет что не активирована, и никакие jz тут не помогут, тк возвращается ошибка из драйвера этого

Вроде бы все описал, как видите работа была проделана и не малая, но как быть дальше я не знаю, если бы был алгоритм в ехеб я бы мог почитать команды арифметические и разобрать его, но как рабоать с deviceiocontrol я не представляю просто, да и не програмист я

Выходы:
1)поменять путь к ключу в драйвере и ехе на свой ключь реестра и генерировать по нему
2) как то перехватывать при каждом запуске значения и заменять их своими, но я не знаю как это делать, научился только нубить и флажки менять пока что =)
3) еще как вариант думал так изменить ссылки в экзешнике чтоб генерировать сразу активационый код на выходе, но опят ьже все упирается в deviceiocontrol

| Сообщение посчитали полезным:

Не получается изменить тему, а точнее вставить ссылку

Я ломал полную версию - http://www.wm-program.ru/download/
Хотя может и бета 05 стабильно рабоатет, думаю демо обойти проще

| Сообщение посчитали полезным:

jester666
Код запроса генерится только на основе параметра SystemBiosDate ?
Если так, то простенький "полу-портатив-загрузчик" на NSIS (на примере portableappz) который будет при запуске менять этот ключ на нужный, при закрытии восстанавливать оригинальные значения.

p.s. программу пока не смотрел, думаю, что там еще как минимум от одного/двух параметров считается хвид.

p.p.s sub_17676 в драйвере - cpuid.
sub_176E4 - заполнение некоторого массива данными на основе cpuid. Валидная пара есть ?

-----
ds

| Сообщение посчитали полезным: jester666

Валидная пара - рабочий исходный- активационны ключ ?? есть, наклонировать однотипные компы успели

Обращение к ЦПУИД видел в коде драйвера, но именно открытилюча реестра ПроцМон говорит только об SystemBiosDate

Что можно сделать чтоб как то решить пробшлему ?? валибную пару могу выложить

Если так, то простенький "полу-портатив-загрузчик" на NSIS (на примере portableappz) который будет при запуске менять этот ключ на нужный, при закрытии восстанавливать оригинальные значения.

Не освсем уверен , я думал просто тупо написать батник, деол в том что программа типа системной, и ка кбы там раньше проверки не прохордило чем смена ключа произойдет

Там еще в драйвере я случайно наткнулся на странный набор символов, типа переменная aEWQHEXXORPXNHD содержит "EWQHEXXORPXNHD", код пишу на память, но смахивает на какой то набор случайных символов, пробовал нубить - результата не было

| Сообщение посчитали полезным:

jester666 пишет:
Валидная пара - рабочий исходный- активационны ключ
Да.

jester666 пишет:
но именно открытилюча реестра ПроцМон говорит только об SystemBiosDate
cpuid - это спец. инструкция, оно не из реестра читается

jester666 пишет:
Что можно сделать чтоб как то решить пробшлему ?? валибную пару могу выложить
Просто толку от пары нету, нужно "снять" параметры с рабочей машины (ветку с SytemBiosDate SystemBiosVersion и CPUID).


jester666 пишет:
aEWQHEXXORPXNHD содержит "EWQHEXXORPXNHD", код пишу на память, но смахивает на какой то набор случайных символов
Не случайных, а не повторяющихся 32 символов, только эти символы допустимы в хвиде.

-----
ds

| Сообщение посчитали полезным: jester666

jester666,
трудно что-то сказать, не имея рабочей двухместной конфигурации для проверки.
Попробуйте сначала такой патч:

>wmprogram.exe (из полной версии 0.6 beta)
>00004039: 39 00

| Сообщение посчитали полезным: jester666

dosprog пишет:
трудно что-то сказать, не имея рабочей двухместной конфигурации для проверки.Попробуйте сначала такой патч:>wmprogram.exe (из полной версии 0.6 beta)>00004039: 39 00
Это активация программы, я уже нашел это, но для запуска используется deviceiocontrol, и кроме надписи что программа активирована ничего не дает.
DimitarSerg пишет:
Что можно сделать чтоб как то решить пробшлему ?? валибную пару могу выложить Просто толку от пары нету, нужно "снять" параметры с рабочей машины (ветку с SytemBiosDate SystemBiosVersion и CPUID).

С начала вы писали что этого нет в реестре, я тоже в гугле не нашел вроде, но все же - что нужно выложить чтоб мне смогли помочь ?? [t][/t]

На форуме мне не разрешили оставить вчера сообщение, видимо ограничено двумя в день как новичку.Выкладываю ключь с кодами активации и ключь с SystemBiosVersion от рабочей машины


1894_27.08.2013_EXELAB.rU.tgz - regkey.zip

| Сообщение посчитали полезным:

Вбил рандом, пропустил вторую итерацию(в коде перед IOCTL). Всё зарегалось лол.

| Сообщение посчитали полезным: Abraham

Dr0p пишет:
Вбил рандом, пропустил вторую итерацию(в коде перед IOCTL). Всё зарегалось

Простите, а можно более простым языком для начинающего ??

Вы после этого нажимали на кнопку запуск ?? Программа запускалась или пишет - не зарегана ??

| Сообщение посчитали полезным:

jester666

Пишет зарегана. После повторных запусков тоже зарегана.

| Сообщение посчитали полезным:

Dr0p
При чём тут зарегана или нет ?!, работоспособность проверяйте. Она будет писать, что зарегана, даже если не найдет своего sys-файла.

-----
ds

| Сообщение посчитали полезным:

DimitarSerg

Как я проверю, у меня все девайсы по одному

| Сообщение посчитали полезным:

Госопода, я понимаю что я новичок, но облазил уже все что мог , и дело не в ехе, возвращаемое драйвером значение ошибки Е0000012, которое далее по алогоритмы расшифровывется в меседжбокс - код введен от другой программы.

То что программа активировалась, не знаичт что она добавила в реестр ключ Data - он отвечает за верно сгенерированный ключь, и пока драйвер будет возвращать T0000012 - программа не будет запускаться

Как проверить - кнопка запуск начинается 40460С, событие по адресу 404675, это загрузка данных в стек перед вызовом драйвера, далее обращение к драйверу и вуаля - на выходе ошибка а точнее 0 в еах, если бы не было ошибки было бы ненулевое значение, далее вызывается GetLastError которая и пишет E0000012? В драйвере нашел это событие, но чсейчас меняю переходы - пишет драйвер не верный, ошибка загрузки, где то рядом проверка мне кажется, хотя уже третью неделю так кажется

Во вторых постоянно обращаемтся к функции ехе 4049СС если кому интересно, это программа сверяет писать зарегана она или нет

| Сообщение посчитали полезным:

jester666,

>>В драйвере нашел это событие, но чсейчас меняю переходы - пишет драйвер не верный, ошибка загрузки,

делаете всё верно, только не забывайте обновлять контрольную сумму в заголовке PE[+58h] файла .SYS после очередного изменения. (Утилитой PEKS.EXE или PETools.EXE).
Без этого - драйвер загружен не будет.

| Сообщение посчитали полезным: DimitarSerg, jester666

jester666
Не надо патчить драйвер, перехватывайте DeviceIoControl и подменяйте результат.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: Abraham, jester666

ARCHANGEL

Не надо перехватывать, модуль не пакован. Не нужны ни инфекты, ни лодеры - тупо пропатчить в той же ольке и сохранить.

| Сообщение посчитали полезным:

jester666,
судя по вашему комментарию:

>>Вы после этого нажимали на кнопку запуск ?? Программа запускалась или пишет - не зарегана ??

вы думаете, что у всех установлены по видеокарте с двумя выходами , по две клавиатуры и по два мыша. Это не так.
Судя же по приводимым вами адресам вызова <deviceiocontrol>, вы забурились в подбор ключа. Что ж, увлекательное занятие...
У меня после патча из поста #6 и надавливания на кнопку "Запуск"->"Включить" вылазит бокс с ошибкой "Не указан монитор для второго рабочего места", но после этого на кнопке, где раньше было "Включить", появляется надпись "Выключить", и на поле диалога красным: "Изменения вступят в силу после перезагрузки". То-есть, драйвер сообщил не о неверной регистрации, а о неверной конфигурации рабочего места. (Собственно, так было и до исправления. Вы не сообщили, в чём и когда проявляется нежелание программы работать, и каковы ограничения в "Нерегистрированной версии" по с равнению с регистрированной.)
Когда попаду на машину с видеокартой-двойняшкой, протестирую всё сам.

| Сообщение посчитали полезным:

dosprog пишет:
делаете всё верно, только не забывайте обновлять контрольную сумму в заголовке PE[+58h] файла .SYS после очередного изменения. (Утилитой PEKS.EXE или PETools.EXE).Без этого - драйвер загружен не будет.

Вот об этом я в первые слышу - получается что на любое изменение надо пересчитывать CRC?? Просто я не добавляю нового , а тупо меняю флаги или на крайняк ye,k.? Вроде должно все сохраниться, да и ехе после такого запускался. Буду в общем проверять, спасибо за информацию.

ARCHANGEL пишет:
jester666Не надо патчить драйвер, перехватывайте DeviceIoControl и подменяйте результат.

Если это легче чем разбираться в алгоритме то подскажите как это сделать пожалуйста, или ссылку на информацю, я просто не умею.
С моими знаниями мне подойдет что попороще,
И еще - я не могу отлдадить драйвер, когда я запускаю его в ИДЕ, он встает на каком то событии aDbgBLANLANLA и тупо вичит на push 8 - init 3 и циклится, может я чтото не так делаю?? Как мне пошагово отладить .sys ???


dosprog пишет:
>>Вы после этого нажимали на кнопку запуск ?? Программа запускалась или пишет - не зарегана ??вы думаете, что у всех установлены по видеокарте с двумя выходами , по две клавиатуры и по два мыша. Это не так.Судя же по приводимым вами адресам вызова <deviceiocontrol>, вы забурились в подбор ключа. Что ж, увлекательное занятие...У меня после патча из поста #6 и надавливания на кнопку "Запуск"->"Включить" вылазит бокс с ошибкой "Не указан монитор для второго рабочего места", но после этого на кнопке, где раньше было "Включить", появляется надпись "Выключить", и на поле диалога красным: "Изменения вступят в силу после перезагрузки". То-есть, драйвер сообщил не о неверной регистрации, а о неверной конфигурации рабочего места. (Собственно, так было и до исправления. Вы не сообщили, в чём и когда проявляется нежелание программы работать, и каковы ограничения в "Нерегистрированной версии" по с равнению с регистрированной.)Когда попаду на машину с видеокартой-двойняшкой, протестирую всё сам.

у меня вообще линукс, тестирую на виртуальной машине, и у меня после патча из окна все равно вылазит программа не зарегистрирована, версия 1.0, я уже писал, проверьте после патча что по нажатию выходит из <deviceiocontrol> и вы увидите 0, что есть ошибка регистрации, я указываю один монитор, одну клаву и мышь, не суть это, у меня рядом терминальный gr ? И ничего не происходит, после нажатия на кнопку запускается таймер и тишина, т.к. Драйвер вернул ошибку.
Различия версий:
1) Демо версия 0.5 не запускается автоматически, уже ставил её, думал там ограничение на дни, н там просто вырезан код автозапуска, может и можно ка кто вырезать его из полной версии, и добавить в демо, но не уверен что мне хватит знаний на это.
2) Полная версия 1.0 с которой я работаю - программа не запускается, когда нажимаешь кнопку включить ничего не происходит, перезагрузка на терминальном ПК это доказала.
То есть три выхода: манипуляции с реестром, подмена ИО кодов, патч драйвера.

Привожу то что я смог нарыть для ехе:
3C7D - запуск программы с кнопки включить, результата нет, только таймер
4038 - Активация программы
6AD4 - Добавляем исходящий ключь в реестр, тем самым активируя программму
3FED - активирована, но не запускается
sub_4049СС - проверка на активированность программы, пояляется при каждом открытии окна о программе и при первом запуске, происходит каки ето сравнения, считывания из реестра LastOutKey и прочее.

Подскажите как мне проще побороть эту штуку, причем будет использоваться на многих ПК, но я готов и каждый ПК патчить, лишь бы работало

| Сообщение посчитали полезным:

jester666,
скачанная по ссылке в шапке темы программа - "полная версия 0.6 beta". У вас, по вашим словам -1.0.
Выходит, обсуждались смещения в РАЗНЫХ версиях софта, поэтому всё впустую.
Могу сказать только вот что:
0) Указывайте явно версию рассматриваемого софта. Учитывая, что упоминалась версия 0.5 демо, я и предположил, что у вас вопросы по версии 0.6 beta, но уж не по 1.0. Обычно в релизах (1.0), в отличие от частичных бет, усложнены защитные заморочки, в остальном всё так же ИЛИ ДАЖЕ ХУЖЕ, чем в бетах.
1) Скачайте и попробуйте ту версию "полную 0.6 beta", на которую ссылка в шапке.
2) Не балуйтесь с линуксом - программа для Windows XP. В ней и надо разбираться. По крайней мере, сперва.

| Сообщение посчитали полезным:

dosprog пишет:
скачанная по ссылке в шапке темы программа - "полная версия 0.6 beta". У вас, по вашим словам -1.0.Выходит, обсуждались смещения в РАЗНЫХ версиях софта, поэтому всё впустую.Могу сказать только вот что:1) Скачайте и попробуйте ту версию "полную 0.6 beta", на которую ссылка в шапке.2) Не балуйтесь с линуксом - программа для Windows XP. В ней и надо разбираться. По крайней мере, сперва.

Я не хочу показаться надоедливым, я понимаю что В ынамного более опытнее и умнее меня в данном вопросе, поэтому я сделал как вы просили:
1) добавил ссылку на загрузку версии 1.0 в первый пост
2) пересустановил на терминальном ПК версию на 0.6, после чего заменил пропатченный ехе - результат такой же как и на моей ВМ - при запуске вылетает ошибка обращения к адресу, хотя програма пишет что зарегистрирована, при нажатии включить действительно кнопка меняется и становиться неактивной, на программа не запускается, а вот при нажатии на кнопку ВКЛЮЧИТЬ - появляется надпись - программа не зарегистрирована.

Повторюсь что плясать надо либо от генерации кода, либо от кнопки включить - ониа и получает этот злосчастный ответ в eax = 0 и в буффере пусто.

3) С линуксом не балюсь, по работе нужна эта ОС, да и терминалку дали наконец то для экспериментов, так что работа в ВМ у меня только для отладки, ка ктолько появляется шанс, я немедленно все тестирую на реальной системе, благо она от меня через 2 метра находится

Еще раз спасибо вам за помощ, получилось поправить заголовок и драйвер подгрузился, но почему то изменений никаких не произошло после смены jnz на jz .
У меня еще такой вопрос - он наврено загружается при загрузке ОС и надо каждый раз презагружать ПК чтоб оно заново прогрузилось ??

| Сообщение посчитали полезным:

jester666,
не хочу показаться надоедливым и я.
1)
Проверил версию 1.0, да, там всё работает несколько иначе, чем в версии 0.6.
Попробовал запустить обе версии под Win7/32bit (c 2-мя мониторами) - моментально BSOD при запуске.
Хотя в обычной конфигурации железа под другой Win7/32bit (c 1-м монитором) - никаких падений.
2)
В WinXP/32-bit (с одним выходом для монитора, обычная конфигурация):
Те признаки, что описаны вами по версии 0.6 мне непонятны. Кнопка "Включить" у меня НЕ делается
неактивной, она активна, но на ней появляется надпись "Остановить". Так она и переключается при
каждом нажатии "Остановить"/"Включить".
((А вот в Win7 - да, кнопка "Включить" активна, но не изменяется. Ну да ладно. Между прочим, уже
сразу после инсталляции версия 1.0 написала "Регистрирована" - безо всяких "мероприятий".))
Думаю, не в кодах и не в надписях тут дело (Регистрирована/нерегистрирована...).
Ковырять, действительно, нужно драйвер. Вдобавок, возможно, он ещё и глючит...
3)
>> jz/jnz - не влияет?
--)) Значит, не там правили.
Компьтер перезагружать не нужно, достаточно перезапустить .EXE-программу. Она выгрузит и загрузит драйвер по-новой.
------------------
...Думаю, так.

| Сообщение посчитали полезным:

dosprog пишет:
В WinXP/32-bit (с одним выходом для монитора, обычная конфигурация):Те признаки, что описаны вами по версии 0.6 мне непонятны. Кнопка "Включить" у меня НЕ делается неактивной, она активна, но на ней появляется надпись "Остановить". Так она и переключается при каждом нажатии "Остановить"/"Включить".((А вот в Win7 - да, кнопка "Включить" активна, но не изменяется. Ну да ладно. Между прочим, уже сразу после инсталляции версия 1.0 написала "Регистрирована" - безо всяких "мероприятий".))Думаю, не в кодах и не в надписях тут дело (Регистрирована/нерегистрирована...).Ковырять, действительно, нужно драйвер. Вдобавок, возможно, он ещё и глючит...3)

У вас очень интересные симптомы работы, а не могли бы вы проверить , может она умудрилась вам в реестр записать правильный код активации ?? Допустим 0.6 сглючила и активацонный код был сохранен, а после переустановки подхватился,
Вот путь, если не сложно: [HKEY_LOCAL_MACHINE\SYSTEM\WMSettings]
Исходящий ключь: "LastOutKey"="I4QOYWUUOI8I43UUOER3PSUSD8IYPU8SSRI3UU3WU8IR3UIPODT3Q3A8W8RA3ROP"

Код активации:


По всем признакам выходит что вы активировали программу пока работали с версией 0.6
Может вспомните все манипуляции, не думаю что их было так много, пусть и кровой, но это тоже выход

| Сообщение посчитали полезным:

jester666,
1)
я проверял это, и видел выложенные вами .REG-файлы.
У меня ВООБЩЕ никаких записей в реестре не было создано, поскольку мне не удалось
сконфигурировать второе рабочее место (монитор/клавиатура/мышь), а значит,
программе нечего было и сохранять. Насчёт "ошибочно" верного ключа - нет,
у этих людей достаточная квалификация, чтобы не делать таких "ляпов".
((А вот, кстати, и попробуйте удалить эту ветку /WMSettings/, чтобы та подумала как в "первый раз")).
2)
>>вспомнить последовательность манипуляций...
Так я потратил-то на эту программу минут 15 всего, описанный патч (Post#6) меня устроил
(на том этапе. Просто я понял, что без реального "железа" дальше делать нечего), так что тут всё просто.

| Сообщение посчитали полезным: jester666

Есть все таки варианты как пропатчить /sys и чем его отлаживать ??
Пошел пошагово и уперся в sysenter, погуглил , но так и не понял ничего конкретного - 0 кольцо и все прочее, но таки куда в итоге все перенапрвляется я та и не понял , ибо параметры на генерацию кода и на активацию кроме кода остаются ижентичные, то есть что генерация что активация одно и тоже, только все в sysenter отправляется с разным кодом оперцации и все.
Прочитал этот пост: http://exelab.ru/f/action=vthread&forum=5&topic=21870
00002088 ntdll:ntdll_KiFastSystemCall mov edx, esp EDX=001FF728
00002088 ntdll:ntdll_KiFastSystemCall+2 sysenter
После этого происходит передача управления сюда:

А как мне узнать куда у меня происходит передача управления ? В регситрах нашел адрес возврата из функции, а адрес куда идем не вижу, работаю в ИДЕ, может кто подскажет ??

| Сообщение посчитали полезным:

jester666
С разной периодичностью на форум приходят люди, такие, как вы. Т.е. те, кто берётся за непосильную им задачу. Вот вы не знаете, что из себя представляет простейший драйвер, не владеете (не умеете пользоваться) инструментами для отладки драйверов, не знаете, как осуществляется передача управления на ядерный код и т.д., но хотите его дебажить. Знаете, я на форуме не первый день, и изначально я думал, что новичкам надо активно помогать, потом думал, что их надо направлять (давать ссылки на статьи и книги), но когда в n-ый раз приходит человек и спрашивает то, что до него спрашивали 100500 человек, то я понимаю, что устал от всего этого. Так и большинство здесь. Но почитать советую
--> Про драйвера <--
--> About debugging <--
--> Remote debugging with IDA <--

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: dosprog, jester666

Спасибо огромное, буду изучать... я понимаю и признаю свою неопытность, и поверьте - не от безделья и глупого любопытсво я это делаю , Программа нужна для работы, а в гос учереждениях руководство ух какое жадное до денег на ПО, приходится выкручиваться.

Спасибо еще раз за посильно оказанную помощь

| Сообщение посчитали полезным:

Если нужна для работы , то пробуйте АСТЕР. Давно все таблетки имеются и , вроде как не заброшена.

| Сообщение посчитали полезным:

> Пошел пошагово и уперся в sysenter

На стеке адрес возврата в стаб. Он именован(Zw*).

| Сообщение посчитали полезным: jester666

Всем спасибо за помощ

Решил вопрос кардинально - достучался до автора, и он прислал генератор ключей с возможностью раздать его общественности

В генераторе сам ехе, по структуре тоже запуттанные процедуры, и маленький на 266 байт файл WMservice.txt, в котором находится бинарная последовательность, файл подгружается ехе и видимо на его основе чтото генерируется.

В общем еще раз спасибо что не отвернулись, осбенно ARCHANGEL , dosprog , DimitarSerg, на самом деле я многому научился, и понял что выше головы не прыгнешь.

| Сообщение посчитали полезным:

Видимо, на этом можно закрыть.

| Сообщение посчитали полезным: