Не могу найти обработчик нажатий клавиатуры и
другие обработчики. Смотрел в ida вызовы pretranslatemessage находит ненужные вещи.
Можете дать совет как искать подобные функции ?

Собственно сама программа это эмулятор калькуляторов.
http://rgho.st/82Pf7NMpf

| Сообщение посчитали полезным:

trololp

У гуя механизмы крайне запутанны, обработка обычно общая, что бы что то конкретно узнать необходимо понимать как работает механизм нотифи из ядра в юзермод(apfnDispatch etc). Возможно вам даже не нужно событие от кнопок(а оно кстате не отличимо от софтверного ввода, это общее событие, именно событие - можно устройство отдельно опросить). Обычно всё сводится к отлову не события в таких случаях, а поиска референса в памяти на нужную строку. У гуя ключевой для этого механизм - пакетная обработка запроса в ядро, это сложный механизм, который позволяет выполнить множество действий за один вызов сервиса, таким образом повысить общий профайл. Между ядром и клиентом общий буфер и он описан в TEB - это поля GdiTebBatch и StaticUnicodeString, это ключевая инфа.

-----
vx

| Сообщение посчитали полезным: trololp

trololp пишет:
Можете дать совет как искать подобные функции ?

Не надо их вообще искать.
Надо обойти триальный наг? - Ну так и обходите триальный наг.

-Добавлено-
Вот --> лоадер <--

-Добавлено2-
Перезалил



| Сообщение посчитали полезным:

dosprog

> trial!.rar (4.4 КБ)
Загружен 12 минут назад

Скачан 0 раз

Файл удален

) лол

-----
vx

| Сообщение посчитали полезным:

trololp пишет:
Не могу найти обработчик нажатий клавиатуры
Р.Нарваха в 15-й главе своего сборника рассматривает установку
точки останова на сообщение отжатия кнопки - может вам подойдёт?
В этом случае сообщение: 202 WM_LBUTTONUP

| Сообщение посчитали полезным:

dosprog пишет:
Надо обойти триальный наг? - Ну так и обходите триальный наг.
Лишь бы занопить.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

difexacaw

Спасибо за полезную информацию.

ksol
попробую. в ollydbg так можно ?

difexacaw
просто надо понять где функция находится и что делает.

| Сообщение посчитали полезным:

dosprog

Глянул я отладчиком вашу поделку. С первого взгляда это какая то ламерская поделка - кривейший морф с запрет конструкциями. Оно ничего не делает, кроме запуска некого fx-82EX_85EX_350EX Emulator.exe которого есно нет.

Ну и нахуй вы это сюда показали ?

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Оно ничего не делает, кроме запуска некого fx-82EX_85EX_350EX Emulator.exe которого есно нет.

Ну и нахуй вы это сюда показали ?

)) Ты чо, бешеный?
А архив в стартпосте ТС для чего выложил?
Там и лежит запускаемая программа.

"Кривейший морф с запретными инструкциями" это стаб PECOmpact'a.
Хоть бы ото не позорился уже

) Интронет оно не ломает, да



| Сообщение посчитали полезным:

dosprog

Не знаю ни про какие доп архивы - я посмотрел малварный семпл и написал что оно делает.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Не знаю ни про какие доп архивы - я посмотрел малварный семпл и написал что оно делает.

) Написано же было - "лоадер". Угадай, что делает лоадер? Можешь в педивикию заглянуть.

)) Потом бери и разглядывай до посинения, пока понимание не придёт.
А можешь забить, тоже вариант.



| Сообщение посчитали полезным:

dosprog

Апи создания процесса тоже лодер" по вашему и по описанию на том жидовском ресурсе(вики). Вы же сюда вкинули викс семпл, с морфом и без пайлода - createprocess + msgbox

Да и вообще какое это имеет отношение к вопросу тс, запутать людей морфом - так такой примитив дебажится за пару минут.

-----
vx

| Сообщение посчитали полезным:

) Забей короче.

| Сообщение посчитали полезным:

Господа-с, что-то с Вы тут нафлуди накурили так-с
Итак-с, имѣемъ сiе программное творѣние fx-82EX_85EX_350EX Emulator.exe от извѣстной иностранной конторы-с CASIO. Нiкаких-с денувс, секуромовс, старфорсовфс там нѣма. И помниться нѣчто подожѣе было на форуме за эмультор casio какулькуляторов.

В первую очередь внимание падает на ActivationFx.dll:

Уже понятно, на чём завязано всё. Остается уточнить в самом ексешнике fx-82EX_85EX_350EX Emulator.exe xref'ы:
№1 - откуда лицуха читается и хранится. там, кстати, пошифрованная строка

№2 - непосредственно критичные функи из которой ошибки лезут

№3 - какая сволочь нам показывает nag??

остальное тс будет сам разбирать!

так-же что я заметил - в Activation.pdf нет русского языка, что как-бэ уже намекает на взлом. Не, ну а что - японцы сами виноваты: я ничего не понял из манулала активации и решил корректно активировать с помощью OllyDbg

| Сообщение посчитали полезным: Diabolic, samtehnik

difexacaw пишет: Да и вообще какое это имеет отношение к вопросу тс, запутать людей морфом - так такой примитив дебажится за пару минут.

да обычный загрузчик, создает процесс и патчит память. хотя использовать в наше время пекомпакт, без комментариев, видимо какая то дисфункция мозга.

| Сообщение посчитали полезным: difexacaw, Rainbow

)) обычная ностальгия, чувак.

| Сообщение посчитали полезным:

neshta

Если бы это был загрузчик то и вопросов бы небыло. А собственно зачем в нём морф ?
Морф юзается для трёх целей, иных нет - прервать ресерч, что в данном случае не приемлемо, чтобы изменить мнение авера и сбить автоматику. Вторые два случая очевидно тут не причём. Зачем накрывать морфом элементарную одну единственную апи, какая цель ?

По теме же что выше ответили - не это тс хочет, он понять, разобраться желает, а не получить лог.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: изменить мнение авера и сбить автоматику

пекомпакт в статике анпачат, по крайне мере топ антивирусов.
а что касается сабжа, в IDA автопереименование и пробежаться до обработчика сообщений, по константам будет видна нужна ветвь в switch\case, а дальше по графу дойти до вызова. подобное может любой новичок. достаточно немного знать архитектуру gui frameworka и базовых функций оси, а обезьянье подражание, делай как я, это путь в никуда. в общем нужно изучать систему с библиотеками, а не чьи то там советы с форумов, будет больше пользы.

| Сообщение посчитали полезным:

neshta

Смысл в том, что мне к примеру без разницы какой там известный пакер/криптор/етс. У меня в уме на это сигнатур не имеется, более того что бы выяснить что кодес делает всегда юзается динамика - лог по сиссервисам(шаблон: аллокатор - дрочево с памятью(анпак етц) - загрузка либ - инит гуя), код я вижу только когда отладчик открылся . Я вижу кривой морф. Я вижу морф. Я вижу факт морфа. Я не могу понять зачем оно было использовано и вылажено. А тех детали нас не интересуют, можно дойти до абсурда интересующего только меня - почему юзается фиксап на сегмент стека етц. Это никакого значения не имеет.

-----
vx

| Сообщение посчитали полезным: neshta

difexacaw пишет: Я не могу понять зачем оно было использовано и вылажено

сам не понимаю подобного, решил помочь человеку и к чему что то усложнять, тем более из за подобного могут возникнуть проблемы с загрузкой. отдай чистый файл, зачем морочить голову себе и людям. можно подумать какая то секретная разработка пентагона.

| Сообщение посчитали полезным:

neshta

То же самое что захотел показать сурец - накрыл обфускатором, потом есчо чем и пароль не дал. Это что то не здоровое, согласитесь, что то с разумом не в порядке.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Это что то не здоровое, согласитесь, что то с разумом не в порядке.

)) Угу. А здоровей про запутанность гуя в теме лязгать.

Хорош посты набивать, мужчины



| Сообщение посчитали полезным:

dosprog

Автор когда раскурит инфу вернётся и спросит. А пока вопросы к вам. Зачем вы вылажили накрытый морфом семпл

Тут даже при вопросе сразу закрывают топик про такое. А вы взяли и вкинули викс кодес сюда, ответив автору который скорее всего наивен и не смыслет в этих всех малварях/морфах/етц. Разве так нормальный человек поступить может ?

А количество постов как бы нам пох, что мне толку от этого.)

-----
vx

| Сообщение посчитали полезным: Rainbow

difexacaw пишет:
Автор когда раскурит инфу вернётся и спросит. А пока вопросы к вам. Зачем вы вылажили накрытый морфом семпл

)) Чуваг, какую инфу автор когда раскурит? Про запутанность гуя?

)) Ко мне вопросы типа, ну почему не был вылАжен готовый кряк на две строчки?
Удовлетворю любопытство - Ну потому.

Что до твоих умничаний, то я тебя уже было просил, чтоб ты не ошарашивал своей эрудицией людей с элементарными вопросами

)) Про морфы и прочую твою маньку, так скачай себе детектор пакеров и не сношай воздух.
Будут вопросы - познакомлю с Коллаком, спросишь его, чойта он там в 2000-м начудил со стеком
) Сделаешь ему замечание.


difexacaw пишет:
Разве так нормальный человек поступить может ?

)) Ты отдыхай давай, нормальный человек.
Челу был дан совет, чтоб он не ковырялся в стороне от проблемы,
и совет был подкреплён примером готового решения.

А от тебя, кроме пиздежа, ничего не слыхать.
Разве так нормальный человек поступить может ?

) Нет, нормальные люди так не делают, чуваг.

И хватит флудить уже.



| Сообщение посчитали полезным: samtehnik

dosprog

> А здоровей про запутанность гуя в теме лязгать.

Я ответил тс соответственно его уровню знаний. Тех детали ему пока очевидно не нужны. Не так давно я подробно разбирал батч процессинг, значительный вклад в это внёс Ionescu. Когда тех детали понадобятся, что крайне маловероятно, то нет проблем это обсудить.

Добавлено спустя 3 минуты
dosprog

> Ко мне вопросы типа, ну почему не был выложен готовый кряк на две строчки?

Ты не выложил кряк" и вообще ничего не вылажил, ты выложил малварный семпл - элементарный вызов createprocess накрытый морфом(в надежде что никто не заметит). Возможно ты мог наебать тс, но это не получилось. Вопросы есчо есть ?

-----
vx

| Сообщение посчитали полезным:

difexacaw
Пациент, похоже, у вас нтоскернел головного мозга.
ТСу нужно найти функцию RegisterClass, посмотреть адрес WndProc, которая указывается при регистрации класса нужного ему окна, в ней найти ветку, выполняющуюся при msg равном WM_COMMAND и в ней найти подветку, выполняющуюся для конкретной кнопки. Кокие нотифи из ядра в юзермод? Кокие сложные пакетные запросы в ядро?..

| Сообщение посчитали полезным: dsrabot1, samtehnik

rmn

Из какого материала хрустальный шар ваш выполнен

-----
vx

| Сообщение посчитали полезным:

Может я не правильно выразился, мне не нужно было взламывать программу.
я хотел лишь найти обработчик сообщений.
difexacaw

Из вашего ответа не ясно что делать с TEB или PEB . какие функции для этого искать ?

Сама программа не вызывает не каких GetMessage, TranslateMessage или DispatchMessage.
она просто вызывает SendMessage при нажатии клавиш, то есть обрабатывает сообщении по
другому механизму.

Добавлено спустя 11 минут
rmn
Программа не использует RegisterClass. поиск по константе WM_COMMAND нечего не дал
только значение аргумента для postmessage
Да и зачем ведь надо найти нажатие клавиш.

| Сообщение посчитали полезным:

trololp
Попробуй бряк на GetKeyState.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

difexacaw пишет:
Автор когда раскурит инфу вернётся и спросит. А пока вопросы к вам. Зачем вы вылажили накрытый морфом семпл
Инде, ты бл*ать наркоша ! Это факт. Человек всего-то навсего упаковал лодырь... 0day сцена (CORE, Mesmerize и т.д.) всегда паковали кейгены (UPX, PeCompact). Упаковал как дань прошлому/по приколу/ хз для чего еще, но тут аналогичный случай, а ты хрень в этой теме пишешь... морф, боже, ты не задетектил PeCompact по стабу ?! facepalm.

rmn
+1

| Сообщение посчитали полезным: dosprog