День добрый Крекингом только начал заниматься, читаю смотрю все что есть на сайте + параллельно всматриваюсь в программы посерьезней (чтоб была мотивация и ускорить процесс освоения).
Пытаюсь разобраться во всем известной программой 2Гыс 2gis,ru

Что хочу сделать:
1. Убрать проверку даты и загрузку диспетчера обновления в трей
2. Побороть баннеры
3. Скопировать базы данных, Предприятий и их Координаты

Что сделал, что узнал:
Начал с последнего пункта, узнал что базы данных достаточно хорошо зашифрованы и пытаться расшифровать напрямую дело не благодарное. Вычитал что можно выдернуть из с помощью API(или API монитора).

Здесь начинаются вопросы:
1. есть API Monitor v2 - но как им можно вычислить момент загрузки базы или как скопировать?
2. Загружаю его в odbg 110, не меняя код просто перемещаясь по программе несколько раз вылетает exception и в конце концов terminated, прога вылетает
3. Есть так же небольшая программа по копированию базы с Гыс, но она может выдергивать только названия компаний, улицы, дома... контактов нет. Программа называется, DGISExport если нужно скину.

Подскажите в каком направлении двигаться какие ключевые вещи нужно сделать/я пропустил, может кто уже сталкивался с подобной задачей?

| Сообщение посчитали полезным:

NikSan пишет:
День добрый Крекингом только начал заниматься
Вопрос: Что мешает начать с CrackMe? На хрена качать какую-то, никому не нужную, туфту.
Плюсы очевидны:
+ Достаточно просто для освоения
+ Можно достаточно быстро разобраться в основах реверсинга.
+ Отпадает нужда задавать тупые вопросы
+ Ответы можно всегда найти в интернете

| Сообщение посчитали полезным:

ELF_7719116 пишет:
то мешает начать с CrackMe? На хрена качать какую-то, никому не нужную, туфту.
Почему же туфта, я некоторые причины указал выше
скачал, читаю OllyTuts пошагово прохожу CrackMe...
Написал же почему интересно, вроде как ветка для новичков так что можно и потупить, в крайнем случае можешь дать ссылки на остроумные ответы

| Сообщение посчитали полезным:

NikSan пишет:
базы данных достаточно хорошо зашифрованы и пытаться расшифровать напрямую дело не благодарное
LOL
Когда последний раз смотрел там данные в базе шифровались обычной XOR операцией c длиной ключа 1 байт. Сомневаюсь что что-то существенно изменилось с тех пор. Тем более что теперь доступны клиенты для мобильных устройств, в которых особо не пошифруешь.

Вообще выдираение данных через API или через интерфейс это путь слабаков, не настоящих реверсеров

| Сообщение посчитали полезным:

NikSan
Конкретно, что надо?
С точки зрения спамера, система давно разобрана.... пиши в личку

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

bbuc пишет:
LOL
Когда последний раз смотрел там данные в базе шифровались обычной XOR операцией c длиной ключа 1 байт. Сомневаюсь что что-то существенно изменилось с тех пор. Тем более что теперь доступны клиенты для мобильных устройств, в которых особо не пошифруешь.
Я изначально так же рассуждал, но порывшись на форумах хакер.ру отмел идею расшифровать саму базу. Чем можно расшифровать, есть какие нить готовые решения? или нужно писать самому?

bbuc пишет:
Вообще выдираение данных через API или через интерфейс это путь слабаков, не настоящих реверсеров
Да мне до настоящего реверсера со стажем в 4 дня еще далеко ) А можно алгоритм выдирания через API, хотя бы в общих чертах? может ссылки какие есть.

| Сообщение посчитали полезным:

NikSan

База данных расшифровывается XOR на 0C5h.. Потом делаешь парсинг той тинфы которая тебя интересует

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным: NikSan

OnLyOnE пишет:
База данных расшифровывается XOR на 0C5h.. Потом делаешь парсинг той тинфы которая тебя интересует
Спасибо за пояснение, думаю с постепенным просветлением до меня дойдет как это все расколдовывается ) Еще вопрос, видел в заявках на крэки Пару 2Гысов, там паркерпротектор указан Borland Delphi 6.0-7.0.
Открывают гис в PEid он мне сообщает Microsoft Visual C++ 8.0 [Overlay] * ... Где правда и есть ли программы протектор?

| Сообщение посчитали полезным:

MSVC + boost.

eef1_06.09.2013_EXELAB.rU.tgz - grym.exe.cc.7z

| Сообщение посчитали полезным: NikSan

А почему программа вылетает когда я пытаюсь ее запустить в Ольке?

| Сообщение посчитали полезным:

Ура есть сдвиги, для меня почему то большим вопросом было чем и как ксорить, много чего перепробовал пока не добрался до hex workshop ) Да и как оказалось шифрование и дешифровка достаточно интересная вещь,в общем спасибо всем кто ответил!

Нарисовался правда еще вопрос, телефоны и мейлы вижу, а вот кириллицу не понимает ( не та кодировка в смотрелке или при декодировании косяк?

| Сообщение посчитали полезным:

UTF-8

| Сообщение посчитали полезным:

Ребят,а может кто пояснить что это за Boost и как его обойти, получается что я программу даже открыть в отладчике не могу

| Сообщение посчитали полезным:

Boost это библиотека для C++, не более того.

| Сообщение посчитали полезным:

Boost

| Сообщение посчитали полезным:

День добрый продолжаю изучать крэкинг и исследовать вышеуказанный Гис...

Первым обо что споткнулся это было количество исключений в программе из-за чего мне казалось (по неопытности), что программа обязательно должна быть чем то защищена/упакована, пока собственно не дошел до этого урока в "Ольке" добавил команду в список исключений и ура, программа запустилась в отладчике, для меня это уже было небольшим, но все таки шагом.

Следующая задача избавиться от ограничения использование программы не более 5-ти месяцев, потом блокируется ф-ия поиска и появляется наг мол пора обновиться. У меня Гис и база октября 2012 г., после установки меняю системные настройки даты и времени и все работает.
Значит программа сравнивает дату базы с текущей датой системы.

Открываю список Api функций и ставлю бряки на все что связано со временем:

GetSystemTimeAsFile
GetLocalTime
GetSystemTime

Останавливаюсь на вызове GetSystemTimeAsFile которая по указанному адресу возвращает мне текущее время в FILETIME формате, например:
66 D5 70 E5 35 D4 CE 01
Загоняю в hex редактор не понимает, вручную тоже не получается текущая дата.

В hex редакторе текущее время выглядит так:
80 9E A1 D2 81 D4 CE 01
похоже конечно, но число которое возвращает мне гис не определяется как дата в любом случае

Может я что упустил или неправильно ф-ию проследил, где и в чем может быть косяк?

| Сообщение посчитали полезным:

значит идти на MSDN и читать до просветления

ZaZa на ночь глядя думал оно со смещением в другом формате и нужна конвертация

| Сообщение посчитали полезным:

reversecode пишет:
значит идти на MSDN и читать до просветления
Это, конечно, хорошо, но надо бы направить на путь истинный... Весь MSDN устанешь читать
Это же топик для новичков ))

NikSan пишет:
Останавливаюсь на вызове GetSystemTimeAsFile которая по указанному адресу возвращает мне текущее время в FILETIME формате, например:
66 D5 70 E5 35 D4 CE 01
Загоняю в hex редактор не понимает, вручную тоже не получается текущая дата.
Я тоже загнал в HEX-редактор и у меня получилось: 10/28/2013 23:31:58 Правильно?

Программа: 010 Editor

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным: NikSan

NikSan пишет:
узнал что базы данных достаточно хорошо зашифрованы
OnLyOnE пишет:
База данных расшифровывается XOR на 0C5h.. Потом делаешь парсинг той тинфы которая тебя интересует
улыбнуло)

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным: JMPer

ZaZa пишет:
Я тоже загнал в HEX-редактор и у меня получилось: 10/28/2013 23:31:58 Правильно?

Программа: 010 Editor

ДА, правильно! с учетом временного пояса получится нужная дата

Почему то в hex workshop не видел ( Скрин в аттаче...

Сбасибо! буду дальше учиться

ccfb_29.10.2013_EXELAB.rU.tgz - Безымянный.png

| Сообщение посчитали полезным:

Isaev пишет:
улыбнуло)
Ну хоть улыбнуло! А то некоторые вообще не годуют
reversecode пишет:
значит идти на MSDN и читать до просветления
Да что там читать то по этой функции? 100 наносекунд с 1700-го года, что там пропустить то можно?

| Сообщение посчитали полезным:

NikSan пишет:
Почему то в hex workshop не видел (
потому что байты выделить нужно... а так показывает инфу по байту где стоит курсор

| Сообщение посчитали полезным:

LinXP пишет:
потому что байты выделить нужно... а так показывает инфу по байту где стоит курсор
нет, не в этом дело. я в воркшопе их как их только не вертел...
вот пожалуйста выделенные байты:


| Сообщение посчитали полезным:

NikSan пишет:
Да что там читать то по этой функции? 100 наносекунд с 1700-го года, что там пропустить то можно?
если бы нечего было пропускать вы бы не спрашивали
NikSan пишет:
Останавливаюсь на вызове GetSystemTimeAsFile которая по указанному адресу возвращает мне текущее время в FILETIME формате, например:
66 D5 70 E5 35 D4 CE 01
Загоняю в hex редактор не понимает, вручную тоже не получается текущая дата.

| Сообщение посчитали полезным:

NikSan или изучи формат хранения даты/времени, или открой в WinHex или 010 Editor, в твоём редакторе не помню даже есть ли возможность её увидеть как дату

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev
Да не, редактор вполне достойный и адекватный (я о HexWorkshop). Я к примеру использую его как раз, как удобный конвертер.

Как по мне, то уже странно, что две программы выдали разные рез-ты... ПО идее FileTime он и в Африке файлтайм, получается баг hexworkshop ?! Приду домой попробуй в разных компилях скомпилить и посмотреть.

NikSan
Научись скрины нормально заливать с превью, разметка едет от твоей картины.

-----
ds

| Сообщение посчитали полезным:

DimitarSerg там поправку по GMT учитывать надо наверное
хотя если это создания файла дата, то не надо думаю... да странно

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev
Isaev пишет:
там поправку по GMT учитывать надо наверное
Угу, я тупанул чутка, первые 4 байта аkа dwLowDateTime, байты в перевёрнутом виде:

ft.dwLowDateTime:=$E4F5EB00;
и
ft.dwLowDateTime:=$E570DB66;

mysterio
При чём тут курсор ? Ты не в теме

-----
ds

| Сообщение посчитали полезным:

Нет ничего странного .... правильное использование софта (правильного софта) никто не отменял.
Для того что бы вермя показывало верно везеде (в любом хекс редакторе) нужно стать курсором на первую цифру с которой начинается этот самый формат времени (что бы его верно разобрало) - по скринам выше это 6 (0x66).
Скрин.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Isaev пишет:
DimitarSerg там поправку по GMT учитывать надо наверное
хотя если это создания файла дата, то не надо думаю... да странно
О какой поправке идет речь? функция возвращает время по Гринвичу...GMT 0

Если не затруднит подскажите еще, может есть какой прием как обойти GetSystemTimeAsFile? просто функция вызывается 12-16 раз и найти все переходы займет прилично времени...

| Сообщение посчитали полезным: