Здравствуйте,

Есть программа, написанная на дельфи. Для корректной работы программы, она должна пройти авторизацию онлайн. Как обойти эту пакость используя olly?

Что сделано:
1) Программа была запакована Themid'ой, удалось распаковать. Спасибо LCF-AT.
2) Пытался отследить код, отправляющий пакеты на сервер + wireshark. Увы, опыта не хватает.

Надеюсь на конструктивную критику и хоть какие-нибудь советы!

Заранее, Спасибо!

| Сообщение посчитали полезным:

Сам файл выложи

| Сообщение посчитали полезным:

http://rghost.ru/48905942

| Сообщение посчитали полезным:

erchess
У тебя файл не правильно распакован
Дай тот файл который не запакованный

| Сообщение посчитали полезным:

На winXP все отлично запускается и работает. На win7 не хочет работать.
Вот оригинальная версия:
http://rghost.ru/48906212

| Сообщение посчитали полезным:

erchess пишет:
2) Пытался отследить код, отправляющий пакеты на сервер + wireshark. Увы, опыта не хватает. Надеюсь на конструктивную критику и хоть какие-нибудь советы!

попробовать поставить бряки на следующие функции пробовал?

WININET.dll:HttpQueryInfoW
WININET.dll:HttpSendRequestW
WININET.dll:HttpAddRequestHeadersW
WININET.dll:HttpOpenRequestW
WININET.dll:InternetConnectW
WININET.dll:InternetOpenW
WININET.dll:InternetReadFile
WININET.dll:FtpGetFileA
WININET.dll:FtpPutFileA
WININET.dll:FtpCommandW
WININET.dll:FtpGetFileW
WININET.dll:FtpPutFileW
WININET.dll:FtpGetFileEx
WININET.dll:FtpPutFileEx
WININET.dll:GopherOpenFileA
urlmon.dll:URLDownloadToFileA
urlmon.dll:URLDownloadToFileW


А вообще твоя программа использует wshockdll/ wshock32.dll

Так что бряки на следующих функциях:
bind, connect, send, recv, WSARecvEx, TransmitFile и так далее

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Mishar_Hacker
неполучится у тебя наверное распаковать правильно, версия прота одна из самых новых, фиксить макросы и другие фишки заепёшься, лучше лодырь написать или эмуль сервера

| Сообщение посчитали полезным:

Jaa
Согласен Вот что я накопал

erchess

oep: 004D57AC

ImpRec
IAT_START: 004F7D10
IAT_END: 004F8800
IAT_SIZE: 00000AF0


Oreans Virtual Machine References, item 8
Address=00539488
Disassembly=JMP zz_SCY.00AD58AB

Oreans Virtual Machine References, item 11
Address=00600E32
Disassembly=JMP zz_SCY.00ADB4A8

Oreans Virtual Machine References, item 7
Address=0052AA6F
Disassembly=JMP zz_SCY.00AD1E54

Oreans Virtual Machine References, item 6
Address=0052A9EF
Disassembly=JMP zz_SCY.00ACCA64

Oreans Virtual Machine References, item 5
Address=0052A6A6
Disassembly=JMP zz_SCY.00AC89D2

Oreans Virtual Machine References, item 4
Address=0052A60D
Disassembly=JMP zz_SCY.00AC59BB

| Сообщение посчитали полезным:

Jaa пишет:
неполучится у тебя наверное распаковать правильно, версия прота одна из самых новых, фиксить макросы и другие фишки заепёшься, лучше лодырь написать или эмуль сервера
Я как то распаковал, на xp все работает, запускается, пакеты отсылает.
Mishar_Hacker пишет:
oep: 004D57AC

ImpRec
IAT_START: 004F7D10
IAT_END: 004F8800
IAT_SIZE: 00000AF0
Да, именно так я и распаковал программу, разве этого не достаточно?

| Сообщение посчитали полезным:

erchess
На других компах не будет работать я думаю но я еще учусь если я не прав поправьте меня

| Сообщение посчитали полезным:

KingSise пишет:
А вообще твоя программа использует wshockdll/ wshock32.dll

Так что бряки на следующих функциях:
bind, connect, send, recv, WSARecvEx, TransmitFile и так далее
Поставил бряк на wsock32.socket, после определенного количества итераций дохожу до инструкции sysenter, после выполнения которой wireshark отлавливает пакеты. Как найти сообщение, которое программа отправляет?

| Сообщение посчитали полезным:

erchess
Тут не ванги
Думаю не кто помочь не сможет (Тут пинают за такое Сам по себе знаю)
Закрывай тему лучше
Всем спасибо
С Уважением Mishar_Hacker

| Сообщение посчитали полезным:

erchess пишет:
Да, именно так я и распаковал программу, разве этого не достаточно?
ты б почитал сначало про Themida/WinLicense подробнее, а потом бы выводы делал (антидамп, макросы и т д)

| Сообщение посчитали полезным: