Всем добрый вечер!
Есть две программы у обеих есть проверка на целостность кода.
Программа 1
1. Написана на - сейчас затрудняюсь ответить.
2. Упаковщик - UPX (с этим проблем нет)
3. Ограничение на запуск, только один экземпляр программы можно запустить.
4. Присутствует реклама.
После распаковки и восстановления импорта программа запускается, но коннекта к серверу нет, сначала подумал, что накосячил с распаковкой. Скачал автораспаковщик, распаковал им, результат тот же, запускается но коннекта нет. На время забросил разбираться с коннектом, с запуском нескольких экземпляров разобрался и сделал инлаин патч в виде загрузчика.
Сейчас вернулся к проблеме с коннектом, когда возился с инлаин патчем я понял, что в программе идет проверка на целостность (когда встроил патч в упакованный exe файл). Для пущей убедительности в упакованном exe файле немного изменил PE заголовок, а конкретно прописал контрольную сумму изначально она была 000000, в результате поведение повторилось прога запускается, а коннекта нет.
Подскажите, как отловить проверку? и какие методы проверки есть (с помощью каких апи функций). Так же буду благодарен, если до кучи кинете crackme с проверками целостности, но не сильно мудреные (crackme от PEkilla не предлагать ).

Программа 2
1. Написана на Delphi 7
2. Упаковщик UPX
3. Есть цифровая подпись - не знаю может ли она на что-то влиять.
4. Регистрация - хочу написать кейген

После распаковки выводит сообщение о повреждении файла, не могу отловить данное окошко, подскажите какими методами можно отловить создание окна. Проверка срабатывает, даже если переименовать упакованный exe файл.

| Сообщение посчитали полезным:

OttoDeFix пишет:
какие методы проверки есть (с помощью каких апи функций)

ImageHlp.MapFileAndCheckSum. Но она ни при чём, скорее всего.

OttoDeFix пишет:
4. Регистрация - хочу написать кейген

Так зачем тогда ковырять проверку целостности?

| Сообщение посчитали полезным:

OttoDeFix
без ссылок на программы (в упакованном/запакованном виде) дальнейший разговор не имеет смысла - т.е. софт в студию.
А без софта - обычные гадания.

| Сообщение посчитали полезным: OnLyOnE, Creckerhack

dosprog пишет:
Так зачем тогда ковырять проверку целостности?
Как-то разбирать алгоритм проверки ключа, а тем более его найти в упакованной проге очень муторно.

ELF_7719116 пишет:
А без софта - обычные гадания.
А мне для начала это и надо, иначе у меня потеряется интерес. Я хочу понять, как можно отловить проверку, если пользователю не выводится сообщение и какие методы проверки на целостность есть.
А вот если сам уже не осилю, тогда уже скажу, что запрога и кто-нибудь ее разберет за 5 мин.

| Сообщение посчитали полезным:

OttoDeFix пишет:
Я хочу понять, как можно отловить проверку
CreateFile, ReadFile, MapFileAndCheckSum

Если хочешь съесть арбуз, нужно думать как арбуз. Читать от корки до корки: --> Link <--

| Сообщение посчитали полезным:

TryAga1n пишет:
CreateFile, ReadFile, MapFileAndCheckSum

.. MapViewOfFile ..



| Сообщение посчитали полезным:

TryAga1n пишет:
Если хочешь съесть арбуз, нужно думать как арбуз. Читать от корки до корки:
имхо хрень..
есть старый баян.. еще с времен доса.. "ловля на дрозофила" и неебет
суть в чем.. заменяеш 1 байт.. и смотриш.. работает ли твоя прога.. если нет.. ищеш другое место.. если да. то варианта 2. либо чтение памяти, либо чтения файла. ВСЕ!!!

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY пишет:
суть в чем.. заменяеш 1 байт..

Так ТС так и делал - заменил сумму в упакованном файле. Функционал при этом исчез.
С его слов.



| Сообщение посчитали полезным:

dosprog пишет:
Функционал при этом исчез.
более тонкий подход.. это менять в памяти... если функционал остался.. значит образ файла проверяется? или на оборот.. на ЕР стоим.. и меняем в памяти данные на оригинал.. узнаем каким хером чекается проверка

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY пишет:
узнаем каким хером чекается проверка

В общем, надо смотреть на файл. Кстати, нет ли там оверлея, где записана сумма. Иначе я не представляю, как такое можно сделать.

| Сообщение посчитали полезным:

OttoDeFix пишет:
Есть цифровая подпись - не знаю может ли она на что-то влиять
Да. wintrust.WinVerifyTrust (юзается у продуктов MC & Renox), тоже под UPX

-----
ds

| Сообщение посчитали полезным:

TryAga1n пишет:
Читать от корки до корки
Спасибо за доку, почти то что искал, еще бы crackme желательно с примером решения.
dosprog пишет:
MapViewOfFile
Это как у asprotect? А где можно прочитать, как с ее помощью осуществляется проверка?
VodoleY пишет:
более тонкий подход.. это менять в памяти...
В памяти все норм, с помощью загрузчика (который патчит процесс упакованного файла на возможность запуска второго окна) все нормально, открыто два окна и есть связь.
Всем еще раз спасибо, пойду читать статью и поищу инфу по поводу MapViewOfFile

| Сообщение посчитали полезным:

DimitarSerg пишет:
Да. wintrust.WinVerifyTrust (юзается у продуктов MC & Renox), тоже под UPX
Гадаем на кофейной гуще? Пусть ТС выкладывает дистриб или весь словесный понос не имеет смысла.

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

OttoDeFix пишет:
А где можно прочитать, как с ее помощью осуществляется проверка?

Что там читать.. В памяти по возвращаемому адресу оказывается целиком весь рассматриваемый файл.
Это такой упрощённый (для юзера) вариант, заменяющий буферизированное чтение файла.
Дальше в зависимости от собственной фантазии можно проверять его как угодно.

| Сообщение посчитали полезным:

dosprog пишет:
В памяти по возвращаемому адресу оказывается целиком весь рассматриваемый файл.
Точнее в EAX адрес начала. Уже разобрался, дальше вызывается функция для подсчета CRC.
Я не совсем новичек, просто этим не занимался 8 лет, с трудом но вспоминается былое.

| Сообщение посчитали полезным:

OttoDeFix, может быть реализована кастомная проверка, может проверяться по наличии определенной сигнатуры упакованного файла и т.д.
Смотреть надо, а не гадать.

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

Зачем ее обходить вообще ? Пускаешь на исполнение в отладчике и секцию с кодом фолловишь в дизассемблер.Все.Делать с кодом чо хошь.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

В общем, чет я запутался в этой проге, вот ссылка --> Link <-- гляньте у кого время есть.

| Сообщение посчитали полезным:

OttoDeFix пишет:
В общем, [..]

В общем, запускать у себя её не буду, нету времени.
Но чтение обычным ReadFile, подсчёт суммы и сравнение её с данными, записанными в оверлее (80 dec. байтов).
Имхо

| Сообщение посчитали полезным: OttoDeFix

OttoDeFix (nastya), если не хочешь возиться с вычислениями перенаправляй проверку на копию оригинала через GetModuleFileNameA, либо делай что-то с проверками начиная отсюда: 009A1D78
Наверное, врядли прога даст запатчить напрямую, но как вариант попробуй подменить требуемые данные.
Суть топика помочь, а не сделать - ведь так?

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным: OttoDeFix

dosprog пишет:
Но чтение обычным ReadFile, подсчёт суммы и сравнение её с данными, записанными в оверлее (80 dec. байтов)
Блин... оверлей! Извини не заметил твое сообщение, где ты про оверлей спрашивал, а сейчас глянул в упакованном экзешние.
Kindly пишет:
если не хочешь возиться с вычислениями перенаправляй проверку на копию оригинала через GetModuleFileNameA, либо делай что-то с проверками начиная отсюда: 009A1D78
Уфф... ну значит я в правильном направлении шел, как раз разбирал функцию по адресу 9A1D8D - после ее выполнения в стек заносится размер файла в юникоде, но без оверлея (в распакованном, оверлея нет) я и заплутал.
Kindly пишет:
Суть топика помочь, а не сделать - ведь так?
Это точно, иначе интерес потеряется, я за эту прогу взялся ради любопытства (увидел на компе пользователя не знакомый софт) и решил поковырять.

P.S. Как можно организовать с помощью патча автосмену имени объекта mutex?

| Сообщение посчитали полезным:

OttoDeFix пишет:
[..] как раз разбирал функцию по адресу 9A1D8D - после ее выполнения в стек заносится размер файла в юникоде, но без оверлея (в распакованном, оверлея нет) [..]

В распакованном оверлей есть.



| Сообщение посчитали полезным:

dosprog пишет:
В распакованном оверлей есть.
Откуда он там возьмется? При снятии дампа, он отлетает.

| Сообщение посчитали полезным:

OttoDeFix пишет:
Откуда он там возьмется? При снятии дампа, он отлетает.

Какое снятие дампа?.. Используйте команду
C> UPX -D shareman.exe

Специально же сделано, чтоб было удобнее



| Сообщение посчитали полезным:

Всем спасибо!
Разобрался в алгоритме, сгенерил правильный оверлей, прикрепил к дампу и все пошло-поехало.

P.S. Тему пока не закрываю, так как осталось еще одна прога упомянутая в начале.

| Сообщение посчитали полезным:

OttoDeFix пишет:
осталось еще одна прога упомянутая в начале.
ну так выкладывай

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

Подскажите, как в ольке отловить чекбос и нажатие на кнопку?

| Сообщение посчитали полезным:

OttoDeFix
--> Link <--

| Сообщение посчитали полезным: