Сейчас на форуме: igorcauret, Rio (+6 невидимых)

 eXeL@B —› Вопросы новичков —› Серийник или моя тупость.
Посл.ответ Сообщение

Ранг: 2.2 (гость)
Активность: 0.010
Статус: Участник

 Создано: 18 апреля 2015 22:18
· Личное сообщение · #1

Здравствуйте, уважаемые форумчане. И так есть сметная программа Rus tili, написанная на Delphi с использованием BDE. При запуске программы открывается не сама программа, а программа для регистрации (Kalitni_o`rnatish), т.е. демо здесь не предусмотрено. Пробовал капать Rus tili, но почему то Win32Dasm ругается в нем на No Programm Entery point.
Вот ссылка на программу:
http://dfiles.ru/files/hslpf6xk2?redirect

Итак я нашёл часть где идет посылка на ошибку но исправление перехода мне ничем не помогло.
Code:
  1. :00478E74 7533                    jne 00478EA9
JNE менял JE и все равно вылетает на ошибку о неправильном вводе серийника.

Code:
  1. :00478E6F E8BCB4F8FF              call 00404330
  2. :00478E74 7533                    jne 00478EA9
  3. :00478E76 8B55FC                  mov edx, dword ptr [ebp-04]
  4. :00478E79 8BC3                    mov eax, ebx
  5. :00478E7B E8C0000000              call 00478F40
  6. :00478E80 8D45F4                  lea eax, dword ptr [ebp-0C]
  7.  
  8. * Possible StringData Ref from Code Obj ->"Dastur kaliti o`rnatildi!!!"
  9.                                   |
  10. :00478E83 BA008F4700              mov edx, 00478F00
  11. :00478E88 E82FB1F8FF              call 00403FBC
  12. :00478E8D 6A00                    push 00000000
  13. :00478E8F 668B0D1C8F4700          mov cx, word ptr [00478F1C]
  14. :00478E96 B202                    mov dl, 02
  15. :00478E98 8B45F4                  mov eax, dword ptr [ebp-0C]
  16. :00478E9B E8D84DFBFF              call 0042DC78
  17. :00478EA0 8BC3                    mov eax, ebx
  18. :00478EA2 E89975FEFF              call 00460440
  19. :00478EA7 EB20                    jmp 00478EC9
  20.  
  21. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  22. |:00478E74(C)
  23. |
  24. :00478EA9 8D45F4                  lea eax, dword ptr [ebp-0C]
  25.  
  26. * Possible StringData Ref from Code Obj ->"Dastur kaliti noto`g`ri"
  27.                                   |
  28. :00478EAC BA288F4700              mov edx, 00478F28
  29. :00478EB1 E806B1F8FF              call 00403FBC
  30. :00478EB6 6A00                    push 00000000
  31. :00478EB8 668B0D1C8F4700          mov cx, word ptr [00478F1C]
  32. :00478EBF B201                    mov dl, 01
  33. :00478EC1 8B45F4                  mov eax, dword ptr [ebp-0C]
  34. :00478EC4 E8AF4DFBFF              call 0042DC78

Вроде бы в этой части должен генерироваться серийник, но где подсмотреть его я так и не понял. хотел найти адресс для Serial Sniffer Creator.
Code:
  1.  Possible StringData Ref from Code Obj ->"Dastur kaliti o`rnatildi!
  2. Siz "
  3.                                         ->"quyidagi dastur kalitini saqlab "
  4.                                         ->"qo`ying.
  5. Windowsni qayta o`rnatganingizda "
  6.                                         ->"kerak bo`ladi.
  7. "
  8.                                   |
  9. :00485533 BA44564800              mov edx, 00485644
  10. :00485538 E8F3ECF7FF              call 00404230
  11. :0048553D 6A00                    push 00000000
  12. :0048553F 668B0DC0564800          mov cx, word ptr [004856C0]
  13. :00485546 33D2                    xor edx, edx
  14. :00485548 8B45F8                  mov eax, dword ptr [ebp-08]
  15. :0048554B E82887FAFF              call 0042DC78
  16. :00485550 A1307E4800              mov eax, dword ptr [00487E30]
  17. :00485555 8B00                    mov eax, dword ptr [eax]
  18. :00485557 E880E6FDFF              call 00463BDC
  19. :0048555C EB15                    jmp 00485573

Подскажите пожалуйста, только прошу не ругать и не пинать ногами.



Ранг: 92.1 (постоянный), 83thx
Активность: 0.110
Статус: Участник

 Создано: 18 апреля 2015 22:49
· Личное сообщение · #2

agent47 пишет:
http://dfiles.ru/files/hslpf6xk2?redirect
Это как то невежливо. Перезалейте на нормальные файлообменники (ex.ua,rghost,sendspace и др)



Ранг: 431.7 (мудрец), 391thx
Активность: 0.730.32
Статус: Участник

 Создано: 18 апреля 2015 22:54
· Личное сообщение · #3

agent47 пишет:
Вот ссылка на программу:
http://dfiles.ru/files/hslpf6xk2?redirect

Почему у обоих исполняемых файлов сегодняшняя дата и утреннее время?
Не запускается ни тот, ни другой. Системная ошибка.



Ранг: 2.2 (гость)
Активность: 0.010
Статус: Участник

 Создано: 18 апреля 2015 23:07
· Личное сообщение · #4

dosprog пишет:
Почему у обоих исполняемых файлов сегодняшняя дата и утреннее время?
Не запускается ни тот, ни другой. Системная ошибка.
По тому что оба файла были запакованы Aspack 2.12 и я их с помощью aspackdie 1.4 распаковал. Запускаются оба проверял. Попробуйте скачать с ссылок ниже.

vovanre пишет:
Это как то невежливо. Перезалейте на нормальные файлообменники (ex.ua,rghost,sendspace и др)
перезалил на rghost.net
http://rghost.net/8lJBBQKWm то что было залить на депозит
http://rghost.net/8yGy7z8gL оригинальные запакованные ехе Aspack 2.12 вдруг я не правильно их распаковал.

Заранее спасибо.



Ранг: 431.7 (мудрец), 391thx
Активность: 0.730.32
Статус: Участник

 Создано: 18 апреля 2015 23:09 · Поправил: dosprog
· Личное сообщение · #5

Нормально чо..

)) Переведите теперь, что значит "Ma`lumotlar bazasi topilmadi!".

Если это значит "Базы данных не найдены", то я осерчаю, 100%


--Добавлено--

К следующим постам:

plutos пишет:
Ну да, по-узбекскому.

Мда.. Понятно.

Creckerhack пишет:
похоже брога сама немного глючная у меня она тоже незапустилась, выложи полностью поглядим .

Защита непробиваемая. Программу х.р запустишь




Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

 Создано: 19 апреля 2015 00:50
· Личное сообщение · #6

dosprog пишет:
Если это значит "Базы данных не найдены",

Ну да, по-узбекскому.

-----
Give me a HANDLE and I will move the Earth.

Ранг: 72.7 (постоянный), 27thx
Активность: 0.050.01
Статус: Участник

 Создано: 19 апреля 2015 02:30 · Поправил: Creckerhack
· Личное сообщение · #7

agent47 пишет:
dosprog пишет:
Почему у обоих исполняемых файлов сегодняшняя дата и утреннее время?
Не запускается ни тот, ни другой. Системная ошибка.
По тому что оба файла были запакованы Aspack 2.12 и я их с помощью aspackdie 1.4 распаковал. Запускаются оба проверял. Попробуйте скачать с ссылок ниже.

vovanre пишет:
Это как то невежливо. Перезалейте на нормальные файлообменники (ex.ua,rghost,sendspace и др)
перезалил на rghost.net
http://rghost.net/8lJBBQKWm то что было залить на депозит
http://rghost.net/8yGy7z8gL оригинальные запакованные ехе Aspack 2.12 вдруг я не правильно их распаковал.

Заранее спасибо.

йук, ука ишламайди. DLL ошибка берди.

похоже брога сама немного глючная у меня она тоже незапустилась, выложи полностью поглядим .



Ранг: 2.2 (гость)
Активность: 0.010
Статус: Участник

 Создано: 19 апреля 2015 07:10
· Личное сообщение · #8

dosprog пишет:
Нормально чо..

)) Переведите теперь, что значит "Ma`lumotlar bazasi topilmadi!".

Если это значит "Базы данных не найдены", то я осерчаю, 100%
задам глупый вопрос вы что копали экзешник Русстили или регистратор?????
Если екзешник Русстили значить вы обошли защиту. Здесь можно на счёт этого по подробнее. И да базы действительно не хватает, я не думал что вы так быстро её обойдете.
Creckerhack пишет:
йук, ука ишламайди. DLL ошибка берди.
А на какую DLL ругается

И напоследок полный архив с Базой и всем кроме звуков.
http://rghost.net/7pGXx86nQ



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

 Создано: 19 апреля 2015 10:44
· Личное сообщение · #9

agent47 пишет:
И напоследок полный архив с Базой и всем кроме звуков.
http://rghost.net/7pGXx86nQ
Ва-а-атсон, это же элементарно! (если я ничего не проглядел)
Итак, GetSerial.dll и GetDiskSerial.dll - уже можно было догадться к чему сводится т.н. "регистрация" (за километр видно)
Rus tili.exe - упакован AsPack'ом каким-то, но это неважно. OEP тут:
Code:
  1. 004FCB24   > /55            PUSH EBP
  2. 004FCB25   . |8BEC          MOV EBP,ESP
  3. 004FCB27   . |83C4 E0       ADD ESP,-20
  4. 004FCB2A   . |53            PUSH EBX
  5. 004FCB2B   . |33C0          XOR EAX,EAX
  6. 004FCB2D   . |8945 E4       MOV DWORD PTR SS:[EBP-1C],EAX
  7. 004FCB30   . |8945 E0       MOV DWORD PTR SS:[EBP-20],EAX
  8. 004FCB33   . |8945 E8       MOV DWORD PTR SS:[EBP-18],EAX
  9. 004FCB36   . |8945 EC       MOV DWORD PTR SS:[EBP-14],EAX
  10. 004FCB39   . |B8 34C74F00   MOV EAX,004FC734
  11. 004FCB3E   . |E8 ED9CF0FF   CALL 00406830
  12. 004FCB43   . |33C0          XOR EAX,EAX
  13. 004FCB45   . |55            PUSH EBP
  14. 004FCB46   . |68 0DCD4F00   PUSH 004FCD0D
  15. 004FCB4B   . |64:FF30       PUSH DWORD PTR FS:[EAX]
  16. 004FCB4E   . |64:8920       MOV DWORD PTR FS:[EAX],ESP               ; Installs SE handler 4FCD0D
  17. 004FCB51   . |68 1CCD4F00   PUSH 004FCD1C                            ; /Arg3 = ASCII "OneCopyDasturlash"
  18. 004FCB56   . |6A 00         PUSH 0                                   ; |Arg2 = 0
  19. 004FCB58   . |6A 00         PUSH 0                                   ; |Arg1 = 0
  20. 004FCB5A   . |E8 F99EF0FF   CALL 00406A58                            ; \Rus_tili.00406A58
  21. 004FCB5F   . |8BD8          MOV EBX,EAX
  22. ....

далее, очевидно, что нужно искать связь с динамической библиотекой GetSerial (она есть в импорте Rus tili.exe) - НЕ БУДУ ГОВОРИТЬ, ГДЕ НАХОДИТСЯ ЭТО МЕСТО (его очень просто найти, например поставив точку останова на одну единственную экспортируемую функцию с говорящим названием). После выхода из этой функи (которая юзает запрос к dll'ке) идет стандартный оператор сравнения строк и условный переход. Неправильная ветка содержит WinAPI ShellExecute (open Kalitni_o`rnatish.exe)...

Ах! Да! Напоследок уже готовый дамп - используйте olllydbg, делов там, по идее, на пару минут: http://rghost.ru/89hqlJWDb

| Сообщение посчитали полезным: agent47

Ранг: 72.7 (постоянный), 27thx
Активность: 0.050.01
Статус: Участник

 Создано: 19 апреля 2015 10:49
· Личное сообщение · #10

agent47

на эти GetSerial.dll и GetDiskSerial.dll .

| Сообщение посчитали полезным: agent47

Ранг: 2.2 (гость)
Активность: 0.010
Статус: Участник

 Создано: 19 апреля 2015 12:26
· Личное сообщение · #11

ELF_7719116 пишет:
Ах! Да! Напоследок уже готовый дамп - используйте olllydbg, делов там, по идее, на пару минут
Спасибо, вам огромное, если бы не вы я бы тут регистратор неделю бы ковырял.
Creckerhack пишет:
на эти GetSerial.dll и GetDiskSerial.dll .
Нашёл, пошёл от ошибки и посмотрел откуда туда идет и там подправил.
Ах! Да! Напоследок уже готовый дамп - используйте olllydbg
Задам глупый вопрос, почему размер вашего дампа чуть больше чем размер из выходящего авто распаковщика?????У вашего (Dumped_.exe) 2 093 056, после распаковки в режиме авто (unpacked.EXE) 2 076 672



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

 Создано: 19 апреля 2015 18:09
· Личное сообщение · #12

agent47 пишет:
Задам глупый вопрос, почему размер вашего дампа чуть больше чем размер из выходящего авто распаковщика?????У вашего (Dumped_.exe) 2 093 056, после распаковки в режиме авто (unpacked.EXE) 2 076 672
Скорее всего, из-за того, что ImpRec секцию новую добавил - поэтому размер больше. Короче, можно списать на мелочи при дампинге и восстановлении импорта.



Ранг: 95.1 (постоянный), 247thx
Активность: 0.260.01
Статус: Участник

 Создано: 19 апреля 2015 19:18
· Личное сообщение · #13

И еще из-за того, что автораспаковщик делает ребилд поля ImageSize.

-----
TEST YOUR MIGHT


Ранг: 462.8 (мудрец), 468thx
Активность: 0.280
Статус: Участник
Only One!

 Создано: 20 апреля 2015 09:05 · Поправил: OnLyOnE
· Личное сообщение · #14

unknownproject пишет:
И еще из-за того, что автораспаковщик делает ребилд поля ImageSize.
ImageSize - это виртуальный размер файла загруженного в память.
Это сумма виртуального размера секций исполняемого файла + виртуального размера хидера.
RawSize - это физический (реальный) размер файла на жестком диске.
Автораспаковщик делает оптимизацию физического размера, т.е. удаляет пустоты,
как правило нули из дампа файла, что и ведет к уменьшению физического размера.

-----
aLL rIGHTS rEVERSED!

Ранг: 431.7 (мудрец), 391thx
Активность: 0.730.32
Статус: Участник

 Создано: 20 апреля 2015 09:29
· Личное сообщение · #15

Надо было прихлопнуть топик.
Обсуждение создания навесных защит.



Ранг: 95.1 (постоянный), 247thx
Активность: 0.260.01
Статус: Участник

 Создано: 20 апреля 2015 15:16
· Личное сообщение · #16

OnLyOnE пишет:
ImageSize - это виртуальный размер файла загруженного в память.
Это сумма виртуального размера секций исполняемого файла + виртуального размера хидера.
RawSize - это физический (реальный) размер файла на жестком диске.
Автораспаковщик делает оптимизацию физического размера, т.е. удаляет пустоты,
как правило нули из дампа файла, что и ведет к уменьшению физического размера.

Да ладно ? А ну-ка удали кусок нулей между любыми секциями и посмотри, запустится ли бинарь потом ? Хуй.Я что-то не видел, чтобы поля в PE хидере после ребилда меняли свое значение.

-----
TEST YOUR MIGHT


Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

 Создано: 20 апреля 2015 15:39
· Личное сообщение · #17

unknownproject
Удаляет, просто суть в том, что меняется Raw data (удаляются нули), но Virtual Size остаётся прежним, что позволяет загрузчику дополнять нулями секции. Образ остаётся непрерывным во время загрузки, так что валиден. Например, так работает плагин к PeID Rebuild Pe (древняя штука). Конечно, действие это необязательное, и не факт, что в этом конкретном примере так сделано (я его не смотрел), но такое возможно.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: OnLyOnE, v00doo, unknownproject


Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

 Создано: 20 апреля 2015 15:40 · Поправил: Nightshade
· Личное сообщение · #18

unknownproject Тебе бы не мешало почитать про формат PE файлов. И старые статьи про то, как файлы собирали из памяти по кускам(после некоторых протов) и клеили свой хедер. И после ребилда значения в заголовке меняются. Так что твой пост показывает твои знания.

| Сообщение посчитали полезным: OnLyOnE


Ранг: 462.8 (мудрец), 468thx
Активность: 0.280
Статус: Участник
Only One!

 Создано: 20 апреля 2015 17:24
· Личное сообщение · #19

unknownproject

Садись, двойка!

-----
aLL rIGHTS rEVERSED!

Ранг: 2.2 (гость)
Активность: 0.010
Статус: Участник

 Создано: 21 апреля 2015 20:43
· Личное сообщение · #20

Всем Спасибо!!!! Топик можно закрывать.



Ранг: 95.1 (постоянный), 247thx
Активность: 0.260.01
Статус: Участник

 Создано: 21 апреля 2015 21:56 · Поправил: Модератор
· Личное сообщение · #21

Цель достигнута.Реакция предсказуема.Унылое говно не умеет реагировать на троллинг.

Добавлено спустя 1 минуту
OnLyOnE пишет:
Садись, двойка!
Ок
Nightshade пишет:
Так что твой пост показывает твои знания.
С чего ты взял что я ее не изучал ?
Может тебе еще показать мои анпакнутые бинари, где импорт везде в свои веста восстановлен и поправлены все поля руками ? ... Пролистай мои посты и найди говнокрякми, где я поправил поле одно волшебное и фаел, собранный на дристе возмерки в мукрософт визуал студио 2к10 или 2к14 внезапно стал запускаться на XP.Прежде, чем ..., приведи веские аргументы.А по поводу сбора бинаря, так любой нормальный пакер хидер разрушает, кроме упх, в котором можно сигнатурно его найти и восстановить всю структуру секций с полями соответственно.Присобачить dos стаб можно откуда угодно.Ах, да, я вспомнил.Ты же тот ..., что с Вованом напару меня ... в теме про старфорс контент, так вот тут ты тоже ....Тестового ключа достаточно, чтобы выдернуть из памяти цельный защищенный документ, который древнему фоксит ридеру будет скормлен в первозданном виде, который стар по дефолту превращает в пдф и пихает в его стрим контейнер пикчи, пожимая их в жпег.Протестилось на крайний версиях этого дерьма - ситуация такая же, а ты можешь дальше ковырять вм.Это твое дело.
ARCHANGEL пишет:
Удаляет, просто суть в том, что меняется Raw data (удаляются нули), но Virtual Size остаётся прежним, что позволяет загрузчику дополнять нулями секции. Образ остаётся непрерывным во время загрузки, так что валиден. Например, так работает плагин к PeID Rebuild Pe (древняя штука). Конечно, действие это необязательное, и не факт, что в этом конкретном примере так сделано (я его не смотрел), но такое возможно.
Вы, пожалуй, единственный, кто хоть как-то меня понял.

От модератора: за такой бардак

-----
TEST YOUR MIGHT


Ранг: 462.8 (мудрец), 468thx
Активность: 0.280
Статус: Участник
Only One!

 Создано: 21 апреля 2015 22:41
· Личное сообщение · #22

unknownproject пишет:
Цель достигнута.Реакция предсказуема.Унылое говно не умеет реагировать на троллинг.
Оу.. успокойся.
Это не троллинг уже, а оскорбление.
Завязывай ты с этим.
Тебе указали на неточность и не более. Умный человек прислушается к критике.

-----
aLL rIGHTS rEVERSED!


Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 22 апреля 2015 11:30
· Личное сообщение · #23

Автор сам может закрыть свою тему, кнопка "Закрыть тему" находится внизу страницы, под кнопкой "Отправить сообщение".


 eXeL@B —› Вопросы новичков —› Серийник или моя тупость.
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати