Нужно крякнуть программу, сталкнулся с проблемой..

Сейчас на форуме: cppasm, asfa (+6 невидимых)

Посл.ответ	Сообщение
Maxim73 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 16 июля 2016 05:14 · Личное сообщение · #1 Нужно взломать программу --> Link <-- скорее для экспериментов, чем для пользования. Методом почти пошагового выполнения) нашел вроде тот блок, который начинает выполняться, сразу после нажатия "зарегистрировать" Code: CPU Disasm Address Hex dump Command Comments 77840124 /$ FC CLD ; ntdll.KiUserExceptionDispatcher(pExceptionRecord,pContext) 77840125 \|. 8B4C24 04 MOV ECX,DWORD PTR SS:[ARG.1] 77840129 \|. 8B1C24 MOV EBX,DWORD PTR SS:[ARG.RETADDR] 7784012C \|. 51 PUSH ECX ; /Arg2 7784012D \|. 53 PUSH EBX ; \|Arg1 7784012E \|. E8 7AB30400 CALL 7788B4AD ; \ntdll.7788B4AD 77840133 \|. 0AC0 OR AL,AL 77840135 \|. 74 0C JZ SHORT 77840143 77840137 \|. 5B POP EBX 77840138 \|. 59 POP ECX 77840139 \|. 6A 00 PUSH 0 ; /TestAlert = FALSE 7784013B \|. 51 PUSH ECX ; \|pContext 7784013C \|. E8 EFFD0000 CALL NtContinue ; \NTDLL.NtContinue 77840141 \|. EB 0B JMP SHORT 7784014E 77840143 \|> 5B POP EBX 77840144 \|. 59 POP ECX 77840145 \|. 6A 00 PUSH 0 ; /Arg3 = 0 77840147 \|. 51 PUSH ECX ; \|Arg2 77840148 \|. 53 PUSH EBX ; \|Arg1 77840149 \|. E8 DE140100 CALL NtRaiseException ; \ntdll.NtRaiseException 7784014E \|> 83C4 EC ADD ESP,-14 77840151 \|. 890424 MOV DWORD PTR SS:[LOCAL.2],EAX 77840154 \|. C74424 04 010 MOV DWORD PTR SS:[LOCAL.1],1 7784015C \|. 895C24 08 MOV DWORD PTR SS:[LOCAL.0],EBX 77840160 \|. C74424 10 000 MOV DWORD PTR SS:[ARG.1],0 77840168 \|. 54 PUSH ESP ; /pExceptionRecord 77840169 \|. E8 4AB80400 CALL RtlRaiseException ; \NTDLL.RtlRaiseException 7784016E \. C2 0800 RETN 8 77840171 8D49 00 LEA ECX,[ECX] дальше начинается такая ахинея, сравниваются куча данных друг с другом, не могу понять, где же там ключ скрывается.. Был бы благодарен, если бы кто-то подсказал, куда смотреть..

plutos Ранг: 622.6 (!), 521thx Активность: 0.33↗0.89 Статус: Участник _Вечный_Студент_	Создано: 16 июля 2016 06:48 · Поправил: plutos · Личное сообщение · #2 Maxim73 пишет: Был бы благодарен, если бы кто-то подсказал, куда смотреть.. Смотреть в правила форума и внимательно их читать! После чего либо показать свою работу и задать КОНКРЕТНЫЙ вопрос, либо прямиком в раздел "запросы на взлом". ----- Give me a HANDLE and I will move the Earth.
VodoleY Ранг: 488.1 (мудрец), 272thx Активность: 0.35↘0 Статус: Участник	Создано: 16 июля 2016 08:53 · Личное сообщение · #3 Maxim73 выб хоть посмотрели.. в каком диапозоне.. находится этот код.. 98проц.. это виндовая длл-ка.. следовательно там проверки нету.. ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....
DimitarSerg Ранг: 253.5 (наставник), 684thx Активность: 0.26↘0.25 Статус: Участник radical	Создано: 16 июля 2016 09:56 · Личное сообщение · #4 VodoleY пишет: 98проц.. это виндовая длл-ка Ему отладчик подсказал даже что он в ntdll... Бред какой-то, это типа "я хоть что-то, но делал" ----- ds
VodoleY Ранг: 488.1 (мудрец), 272thx Активность: 0.35↘0 Статус: Участник	Создано: 16 июля 2016 10:40 · Личное сообщение · #5 DimitarSerg ну я тоже самое пытался сказать ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....
Jaa Ранг: 134.1 (ветеран), 246thx Активность: 0.22↘0.1 Статус: Участник realist	Создано: 16 июля 2016 13:42 · Личное сообщение · #6 Maxim73 став бряк 00ad2d38 и жмакай Зарегистрировать, потом трассируй вниз и разбирайся что и как
Maxim73 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 16 июля 2016 15:17 · Личное сообщение · #7 Jaa поставил бряк, пока ничего дельного не нашел. Еще ищу, но мне один вопрос интересует. Мой введенный неверный ключ нигде не отображается в программе, а еще программа сама говорит, что ключ начинается и заканчивается на *, поиск по * тоже ничего не дает. Серийник точно есть в программе, или он может быть в другом месте? А правила форума обязательно изучу поподробнее, всем спасибо.
unknownproject Ранг: 95.1 (постоянный), 247thx Активность: 0.26↘0.01 Статус: Участник	Создано: 16 июля 2016 15:56 · Поправил: unknownproject · Личное сообщение · #8 Обрамление символами звездочек - это первичное условие.Он кодируется в base64 и там еще идет запрос к бд формата MSJET.Там, судя по именам секций, седьмая делфя, значит бряки на память ничего не дадут, да и на железо тоже.Отталкиваться надо от генерации хвида - смотреть как он формируется при запуске софта. Лог HCD - http://pastie.org/private/wye6lrtojb1gktqpvjcsa Лог KANAL - http://pastie.org/private/tseyhgianjnodyaszxh1uq //Шляпа ----- TEST YOUR MIGHT
Maxim73 Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 16 июля 2016 16:17 · Личное сообщение · #9 Нашел введенный ключ "1234", это мне что-то даст? ebe9_16.07.2016_EXELAB.rU.tgz - Безымянный.jpg
unknownproject Ранг: 95.1 (постоянный), 247thx Активность: 0.26↘0.01 Статус: Участник	Создано: 16 июля 2016 16:39 · Личное сообщение · #10 Выше я скинул ссылки с логами анализаторов, которые показали огромное кол-во криптофункций.Делаете бряки на виртуальные адреса и смотрите, какие из них вызываются после нажатия кнопки регистрации и какие им передаются данные для шифрования.Простого пути нет. ----- TEST YOUR MIGHT
Prober Ранг: 51.8 (постоянный), 58thx Активность: 0.03=0.03 Статус: Участник	Создано: 16 июля 2016 20:32 · Личное сообщение · #11 На ключе сверху Base64, под ним - Blowfish. Для первого раза лучше найти что-нибудь попроще. \| Сообщение посчитали полезным: Jaa, gajemuxi

Для печати