Дорогие Друзья, форумчани, программисты и те кто просто зашел посмотреть!))

Дело в том что я пытаюсь отвязать программу от регистрационного ключа, который проверяется через сайт, или базу данных владельца.

Что я сделал : Я снял защиту Aspack 2.12b и сделал dump файл. (в папке под названием WebPOоost)
На файлах dll. как мне сказали пользователи и PEID что там нет защиты.

Что нужно сделать? : Как я понимаю, нужно найти тот код, который отвечает за ответ получаемый с сервера владельца, и редактировать его. Что бы он выдавал положительный ответ. (Будто в базе данных есть такой код)
Если я не прав, то подскажите.

Я натравил на нее DEDE потому что я как понял, программа написана на Delhpi.
Нашел такие модули как :

IdeMailAddres
IdtUserPassProvider
Send_Mail_For_Ewb
и еще куча..

Но именно эти мне показались нужными.

Вопрос : Скажите, или направьте меня на правильный путь. Что мне нужно дальше сделать?
Работать с этими модулями или искать другие? Или причина не тут?
За помощь благодарю финансово.

Добавлено спустя 19 минут
Кстати вот подопытная программа.
http://share.bashtel.ru/files/473125

Добавлено спустя 3 часа 29 минут
Пароль кодируются на VMProtect Ultimate

| Сообщение посчитали полезным:

Отснифать на какой скрипт пост/гет запрос отправляется.В теле проги точно относительный путь к скрипту можно найти.В конечном итоге 2 варианта - поднимать локальный сервак и перенаправить запрос к скрипту или же запатчить все так, чтобы ответ от сервака активации и вовсе игнорился.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

Я задумал действовать по второму плану. Что бы ответ от сервака шел положительный. Но не знал что искать.)
Спасибо за подсказку.
Но собственно до конечного итога еще ползти и ползти.
В Олли я пробовал ставить бряки на функции GetWindowTextA, GetDlgItemTextA. Но они не срабатывают.

Как мне можно узнать какой скрипт выполняет эту функцию? (Как отснифать) Может есть статья какая нибудь? Буду благодарен.

Получается этот skript считывает указанный пароль и отправляет его на базу владельца для сверки?

| Сообщение посчитали полезным:

makflay007 пишет:
Дело в том что я пытаюсь отвязать программу от регистрационного ключа

Не заморачивайся, вряд ли возможно эту программу вообще отвязать от почты.
У меня была подобная программа, т.к ее и ни кто не смог снять. Ну практически )))
Был один под ником "wolf" или еще что то, вот он отвязал за час или два. Та же там система была что и здесь.
Больше ни кто не смог. Просто НЕ СМОГЛИ. А тут ты новенький в этом деле, шансов еще меньше.

| Сообщение посчитали полезным:

Roma Vi пишет:
Был один под ником "wolf" или еще что то, вот он отвязал за час или два.

Да, я тоже слышал что кто - то смог его отвязать. Так что старичок, я буду вторым кто это сделает

| Сообщение посчитали полезным:

Не обязательно было регать 2 ника на форуме, чтобы пообщаться с самим собой, можно было это и перед зеркалом сделать.

| Сообщение посчитали полезным: 4kusNick

Archer пишет:
Не обязательно было регать 2 ника на форуме
+50 К РЕШАЕМОСТИ ПРОБЛЕМЫ
Roma Vi пишет:
Archer, Он меня регитсрировал. Это запрещено форумом?
запрещено разводить бесполезную демагогию!

Итак!!! вообщем глянул я! буквально пару заходов-минуты две. Судя по всему, имеем кусок асм кода в программе, пошифрованного RSA(наверно)...во всяком случае, от истины недалеко соврал.
смотрим начала сюда:

ГДЕ 009379B0 CALL 00936DAC ВЫПОЛНЯЕТ post-запрос на http://www.addnews.biz/wp.php
выше этого вызова, кстати там RSA сто пудов идет.
выходим из этой функи тут:


WinAPI Virutal Protect, и перепрыгивание какой-то пошифрованной части кода. Дальше сами...
Единственное что, если для Вас выполняется условие 00938C01 CMP BYTE PTR DS:[ESI+3A3],1-то наверняка можно эмульнуть ответы от сервера и плясать от этого.

| Сообщение посчитали полезным: makflay007

Только что до меня дошло о чем тут речь :DD

Добавлено спустя 6 минут
SSL/RSA/MD5/DES/AES

Добавлено спустя 7 минут
ELF_7719116 пишет:
Ой от души дружище. Дальше я сам как нибудь ))
А в чем ты это юзал?

| Сообщение посчитали полезным:

makflay007 пишет:
Дальше я сам как нибудь ))
А в чем ты это юзал?
я надеюсь, что дальше ты сам. SNDOlly, а там чем Вам нравится - обычный OllyDbg и тд

| Сообщение посчитали полезным:

ELF_7719116 пишет:
SNDOlly
А есть ссылка на сборку Olly-SnD ?
Пробежался по форуму, все ссылки мертвые.

| Сообщение посчитали полезным:

makflay007 пишет:
А есть ссылка на сборку Olly-SnD ?
Пробежался по форуму, все ссылки мертвые.

https://tuts4you.com/download.php?view.3479

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным: makflay007

unknownproject
Спасибо. !

Добавлено спустя 45 минут
ELF_7719116

Понял только что ты кроме Ольки еще чем-то юзал. Чем перехватил post-запрос на http://www.addnews.biz/wp.php ?
Существует ли как вариант, достать этот php из хоста, отредактировав закинуть на другой адрес? Далее сменить путь запроса.

| Сообщение посчитали полезным:

Открытие Socks Proxy сервера в связке Charles + Socks Cap для снифа любой проги.


-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

Charles
Точнооо.. У нас же чарли есть!)))))
Хорошо, а что по поводу

"Существует ли как вариант, достать этот php из хоста, отредактировав закинуть на другой адрес? Далее сменить путь запроса. " ?

Добавлено спустя 25 минут
unknownproject пишет:
в связке Charles + Socks
Нее, на винде 64 битке не идет SocksCap.
По идеи чарли же должен показывать любую ссылку к которому идет запрос.
При попытке запустить программу, он молчит. Мол, запросов не было (

| Сообщение посчитали полезным:

makflay007 пишет:
При попытке запустить программу, он молчит. Мол, запросов не было (
Значит он неправильно настроен.
makflay007 пишет:
винде 64 битке
Я на 7 x64 им пользовался, ща проверю на 10 tech.

Проверил.Открыл сокс сервер чарли на 8889 порту, указал в настройках SocksCap в качестве сервера 127.0.0.1, порта 8889 и добавил прогу.Получили аналогичный результат.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownproject
Я пока искал, качал эти программы. Столько говна накачала ;D
И то нашел какие то слабенькие. Но чарли у меня версии 3.9

Добавлено спустя 30 минут
unknownproject
Если не сложно, скинь ссылки, старина ))

Добавлено спустя 32 минуты
На SocksCap а чарли я свой оставлю пожалуй.

| Сообщение посчитали полезным:

makflay007 пишет:
Если не сложно, скинь ссылки, старина ))
--> Rghost <--

--> share.bashtel.ru <--

makflay007 пишет:
На SocksCap а чарли я свой оставлю пожалуй.
Скачал актуальную версию.Все нормально, там ничего существенно не поменялось, так что настраивается все аналогично.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

404 this page is not found. Что то с файлообменником.

Добавлено спустя 4 минуты
Кинь ее на share.bashtel.ru

Добавлено спустя 18 минут
unknownproject

Спасибо что пытаешься помочь. Но к сожалению та же ошибка. "Не удалось запустить программу из-за несовместимости Windows 64 бит"

| Сообщение посчитали полезным:

makflay007 пишет:

Спасибо что пытаешься помочь. Но к сожалению та же ошибка. "Не удалось запустить программу из-за несовместимости Windows 64 бит"
Я сам сижу с 64 битной win и у меня ни разу таких ошибок не вылазило.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

Максималка? Есть TeamViewer ? Я тебе показал бы всю систему ))

| Сообщение посчитали полезным:

makflay007 пишет:
Максималка? Есть TeamViewer ? Я тебе показал бы всю систему ))
Максималка была 7, обновил ее до 10 tech x64.Трудностей с работой 32 битных прог нет никаких.

makflay007 пишет:
404 this page is not found. Что то с файлообменником.
Обменник работает, его просто локает твой провайдер.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownproject
Да пофиг, сейчас как нибудь попробую без нее обойтись. Нужно php файл с сервера вытащить.
Этот чувак который выше, за 2-3 мин нашел то, что я ищу 3-й день.
Просто путем не знаю Ольку.

| Сообщение посчитали полезным:

makflay007 пишет:
Да пофиг, сейчас как нибудь попробую без нее обойтись. Нужно php файл с сервера вытащить.
Этот чувак который выше, за 2-3 мин нашел то, что я ищу 3-й день.
Просто путем не знаю Ольку.

Если адрес функции неизвестен, то бряк на все команды и снимать их до того момента, как форма не станет вновь активной и появится возможность нажать кнопку, т.е. установить их после запуска проги.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownproject
Как я помню это же при МessageBoxA так делают. Ставят бряки пока не наткнуться на ту функцию, которая вызывает это окно. А далее забивают нупами.
А здесь я даже не знал какую функцию нужно искать, тк. тут не вылетает блокирующее окно. Программа запускается без проблем пока ты сам в самой программе не запустишь какие нибудь функции. Только тогда можно по строке ошибке перейти в дизсамб и поискать что-то.
Возможно мне нужно идти и учить все книги по программированию для чайников. Не спорю.
Но в данный момент мне эта программа очень нужна. Я готов просто идти до конца.

Пользователь под ником "ELF_77.." нашел адрес "009379B0" CALL 00936DAC с которого выполняется post-запрос. Как он это увидел? Через socks control and Charli ? Или это можно увидеть в Олли?

Добавлено спустя 1 час 41 минуту
unknownproject ELF_7719116
Ребят я достал этот файл http://www.addnews.biz/wp.php но он весит 1 байт ((

| Сообщение посчитали полезным:

makflay007 пишет:
Ребят я достал этот файл http://www.addnews.biz/wp.php но он весит 1 байт ((
Там Delphi + Idhttp.В строках проги видно начало тела запроса, а так же один из отправляемых скрипту параметров:


-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownproject пишет:
UNICODE "do="
Это и есть do get_last_message?

| Сообщение посчитали полезным:

makflay007 пишет:
do get_last_message
do - это сам параметр, а get_last_message - это значение.
Со структурой пост запросов не знаком или не программировал никогда ? Когда пост запрос передается, то в лог сервера кладется только путь к скрипту, отличие от гета, в котором параметры передаются после "?" в строку запроса.
Меня смутил только инвалидный ответ в один байт.Пытался дернуть логи рядом со скриптом активации, но ничего не вышло.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownproject
Я не знаком (
Я вот что интересное заметил, у меня есть аналогичная программа но только ее взломали уж другие ребята и работают с ней.
Суть вот в чем, я ради интереса решил попробовать отснифать уже эту программу, в желанию увидеть на какой хост ссылается запрос. Увидев я конечно удивился, но запрос ссылается на тот же http://www.addnews.biz/wp.php.
Тогда получается нам ее вообще трогать не нужно??

Добавлено спустя 2 минуты
Аналогичная программа

| Сообщение посчитали полезным:

makflay007 пишет:
Тогда получается нам ее вообще трогать не нужно??
Все зависит от того, какие ограничения наложены на функционал в том случае, когда программа не активирована.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

Добавлено спустя 8 часов 11 минут
Ребят, а возможно ли такое что 80% кода подгружается из сервера? Или это блеф ?)

Цитирую разговор с владельцом этой программы :
Я:
http://www.addnews.biz/ это получается ваш общий хост?

Владелец webPoster :
да наш сервер
смысла отвязывать от сервера ее нет
Я:
Почему это?
Владелец webPoster :
без сервера программа бонально не будет работать
Я:
Ведь пасс имнно там поверяется
Владелец webPoster :
так как 80% кода програмы подгружается с сервера
тут нужно ламать сервер а не программу)

| Сообщение посчитали полезным: