Найти точку остановки и исправить

Сейчас на форуме: Lohmaty (+6 невидимых)

Посл.ответ	Сообщение
sarsmen Ранг: 1.3 (гость) Активность: 0.02↘0 Статус: Участник	Создано: 04 августа 2018 12:54 · Поправил: sarsmen · Личное сообщение · #1 Помогите найти точку остановки программы и убрать дату по которой программа перестаёт работать, хочу понять для себя как это крэкнуть и где. Программа работает с 25.07.2018 - 5 дней потом не запускается 5840_04.08.2018_EXELAB.rU.tgz - bild.rar

SDK Ранг: 54.0 (постоянный), 49thx Активность: 0.72↗1.1 Статус: Участник	Создано: 04 августа 2018 13:05 · Поправил: SDK · Личное сообщение · #2 крякми) Добавлено спустя 21 минуту пропатчил на сегодня) за 10 секунд, не имея отладчика даже,работает с 04.08.2018 по 09. смотри по сигнатуре 481146000030342E30382E3230313800 в отладчике будет как то так: Code: 0040** 48 DEC EAX 0040 1146 00 ADC DWORD PTR DS:[ESI],EAX 0040 0030 ADD BYTE PTR DS:[EAX],DH 0040 34 2E XOR AL,2E 0040 3038 XOR BYTE PTR DS:[EAX],BH 0040 2E:3230 XOR DH,BYTE PTR CS:[EAX] 0040 3138 XOR DWORD PTR DS:[EAX],EDI 0040 0090 90909090 ADD BYTE PTR DS:[EAX+90909090],DL сам поищи или через апи обращения к системной дате Добавлено спустя 22 минуты** dc8c_04.08.2018_EXELAB.rU.tgz - bild.zip
sarsmen Ранг: 1.3 (гость) Активность: 0.02↘0 Статус: Участник	Создано: 04 августа 2018 13:54 · Поправил: sarsmen · Личное сообщение · #3 я так ничерта не понимаю, можно как то на примере это показать новичку небольшую гифку снять. и как по апи смотреть я не догоняю пока в этих дебагерах как глядеть и скать и фиксить, пример было бы не плохо.
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 04 августа 2018 14:35 · Личное сообщение · #4 sarsmen Смотри обучающие видео, читай туторы. Если будешь задавать вопросы без самостоятельной работы, то тебе не сюда. Статьи Перевод - Введение в реверсинг с нуля, используя IDA PRO. ----- EnJoy!
BiteMoon Ранг: 15.7 (новичок), 12thx Активность: 0.05↗0.07 Статус: Участник	Создано: 04 августа 2018 15:46 · Личное сообщение · #5 sarsmen Загляни в личку. Добавлено спустя 1 час 18 минут sarsmen В твоём случае дата,от которой ведётся отсчёт дней использования,жёстко вшита в файл программы и может быть найдена и отредактирована в любом Hex-редакторе...вот,например так. 5aba_04.08.2018_EXELAB.rU.tgz - data.JPG
sarsmen Ранг: 1.3 (гость) Активность: 0.02↘0 Статус: Участник	Создано: 04 августа 2018 18:35 · Поправил: sarsmen · Личное сообщение · #6 я уже это увидел, но есть программы тоже вшито в файл но дату не найти как её найти и отредактировать
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 04 августа 2018 18:38 · Личное сообщение · #7 sarsmen Повторяю для ленивых, но упорных: либо ты демонстрируешь результаты самостоятельной работы, либо двигай в запросы: --> Запросы на взлом программ <-- --> Поиск специалистов <-- ----- EnJoy!
sarsmen Ранг: 1.3 (гость) Активность: 0.02↘0 Статус: Участник	Создано: 05 августа 2018 11:32 · Поправил: sarsmen · Личное сообщение · #8 Закинул в Олю получил Code: 004012A0 > $ 83EC 1C SUB ESP,1C 004012A3 . C70424 020000>MOV DWORD PTR SS:[ESP],2 004012AA . FF15 D0714000 CALL NEAR DS:[<&msvcrt.__set_app_type>] ; msvcrt.__set_app_type 004012B0 . E8 4BFDFFFF CALL soft.00401000 Дохожу до адреса 004012B0 по F8 нажимаю F7 перекидывает в Code: 00401000 /$ 53 PUSH EBX 00401001 \|. 83EC 38 SUB ESP,38 00401004 \|. A1 6C414000 MOV EAX,DS:[40416C] 00401009 \|. 85C0 TEST EAX,EAX 0040100B \|. 74 1C JE SHORT soft.00401029 0040100D \|. C74424 08 000>MOV DWORD PTR SS:[ESP+8],0 00401015 \|. C74424 04 020>MOV DWORD PTR SS:[ESP+4],2 0040101D \|. C70424 000000>MOV DWORD PTR SS:[ESP],0 00401024 \|. FFD0 CALL NEAR EAX 00401026 \|. 83EC 0C SUB ESP,0C 00401029 \|> C70424 101140>MOV DWORD PTR SS:[ESP],soft.00401110 ; \| 00401030 \|. E8 2F140000 CALL <JMP.&KERNEL32.SetUnhandledExceptio>; \SetUnhandledExceptionFilter 00401035 \|. 83EC 04 SUB ESP,4 00401038 \|. E8 73150000 CALL soft.004025B0 0040103D \|. E8 4E160000 CALL soft.00402690 00401042 \|. 8D4424 2C LEA EAX,SS:[ESP+2C] 00401046 \|. 894424 10 MOV SS:[ESP+10],EAX 0040104A \|. A1 28304000 MOV EAX,DS:[403028] 0040104F \|. C74424 04 006>MOV DWORD PTR SS:[ESP+4],soft.00406000 00401057 \|. C70424 046040>MOV DWORD PTR SS:[ESP],soft.00406004 0040105E \|. C74424 2C 000>MOV DWORD PTR SS:[ESP+2C],0 00401066 \|. 894424 0C MOV SS:[ESP+C],EAX 0040106A \|. 8D4424 28 LEA EAX,SS:[ESP+28] 0040106E \|. 894424 08 MOV SS:[ESP+8],EAX 00401072 \|. E8 751C0000 CALL <JMP.&msvcrt.__getmainargs> 00401077 \|. A1 90634000 MOV EAX,DS:[406390] ; \|\|\| 0040107C \|. 85C0 TEST EAX,EAX ; \|\|\| 0040107E \|. 74 42 JE SHORT soft.004010C2 ; \|\|\| 00401080 \|. 8B1D D8714000 MOV EBX,DS:[<&msvcrt._iob>] ; \|\|\|msvcrt._iob 00401086 \|. A3 2C304000 MOV DS:[40302C],EAX ; \|\|\| 0040108B \|. 894424 04 MOV SS:[ESP+4],EAX ; \|\|\| 0040108F \|. 8B43 10 MOV EAX,DS:[EBX+10] ; \|\|\| 00401092 \|. 890424 MOV SS:[ESP],EAX ; \|\|\| 00401095 \|. E8 5A1C0000 CALL <JMP.&msvcrt._setmode> ; \|\|\_setmode 0040109A \|. A1 90634000 MOV EAX,DS:[406390] ; \|\| 0040109F \|. 894424 04 MOV SS:[ESP+4],EAX ; \|\| 004010A3 \|. 8B43 30 MOV EAX,DS:[EBX+30] ; \|\| 004010A6 \|. 890424 MOV SS:[ESP],EAX ; \|\| 004010A9 \|. E8 461C0000 CALL <JMP.&msvcrt._setmode> ; \|\_setmode 004010AE \|. A1 90634000 MOV EAX,DS:[406390] ; \| 004010B3 \|. 894424 04 MOV SS:[ESP+4],EAX ; \| 004010B7 \|. 8B43 50 MOV EAX,DS:[EBX+50] ; \| 004010BA \|. 890424 MOV SS:[ESP],EAX ; \| 004010BD \|. E8 321C0000 CALL <JMP.&msvcrt._setmode> ; \_setmode 004010C2 \|> E8 351C0000 CALL <JMP.&msvcrt.__p__fmode> 004010C7 \|. 8B15 2C304000 MOV EDX,DS:[40302C] 004010CD \|. 8910 MOV DS:[EAX],EDX 004010CF \|. E8 3C170000 CALL soft.00402810 004010D4 \|. 83E4 F0 AND ESP,FFFFFFF0 004010D7 \|. E8 94190000 CALL soft.00402A70 004010DC \|. E8 231C0000 CALL <JMP.&msvcrt.__p__environ> 004010E1 \|. 8B00 MOV EAX,DS:[EAX] 004010E3 \|. 894424 08 MOV SS:[ESP+8],EAX 004010E7 \|. A1 00604000 MOV EAX,DS:[406000] 004010EC \|. 894424 04 MOV SS:[ESP+4],EAX 004010F0 \|. A1 04604000 MOV EAX,DS:[406004] 004010F5 \|. 890424 MOV SS:[ESP],EAX 004010F8 \|. E8 D31C0000 CALL soft.00402DD0 004010FD \|. 89C3 MOV EBX,EAX ; \| 004010FF \|. E8 081C0000 CALL <JMP.&msvcrt._cexit> ; \|[msvcrt._cexit 00401104 \|. 891C24 MOV SS:[ESP],EBX ; \| 00401107 \. E8 60130000 CALL <JMP.&KERNEL32.ExitProcess> ; \ExitProcess Где тут копать?
f13nd Ранг: 271.2 (наставник), 331thx Активность: 0.32↗1.49 Статус: Участник	Создано: 05 августа 2018 11:40 · Поправил: f13nd · Личное сообщение · #9 sarsmen пишет: Где тут копать? Тебе ж всё уже показали в картинках. Ищешь проверку даты, ну так и ищи ее выборку, а не по main функции катайся (search for - intermodular calls): Code: 00413A90 /$ 83C4 E0 ADD ESP,-20 00413A93 \|. 8D4424 08 LEA EAX,[ESP+8] 00413A97 \|. 50 PUSH EAX ; /pSystemtime 00413A98 \|. E8 3FC60400 CALL <JMP.&KERNEL32.GetLocalTime> 00413A9D \|. 66:8B4C24 0 MOV CX,WORD PTR SS:[ESP+0E] 00413AA2 \|. 66:8B5424 0 MOV DX,WORD PTR SS:[ESP+0A] 00413AA7 \|. 66:8B4424 0 MOV AX,WORD PTR SS:[ESP+8] 00413AAC \|. E8 1BFEFFFF CALL 004138CC Code: 004138CC /$ 53 PUSH EBX 004138CD \|. 56 PUSH ESI 004138CE \|. 57 PUSH EDI 004138CF \|. 83C4 F8 ADD ESP,-8 004138D2 \|. 8BF9 MOV EDI,ECX 004138D4 \|. 8BF2 MOV ESI,EDX 004138D6 \|. 8BD8 MOV EBX,EAX 004138D8 \|. 54 PUSH ESP 004138D9 \|. 8BCF MOV ECX,EDI 004138DB \|. 8BD6 MOV EDX,ESI 004138DD \|. 8BC3 MOV EAX,EBX 004138DF \|. E8 20FFFFFF CALL 00413804;хункция проверки даты 004138E4 \|. 84C0 TEST AL,AL;тру/не тру? 004138E6 \|. 75 0A JNZ SHORT 004138F2;занопай тут, увидишь "ура" Вообще кракмисы имеют свойство не быть похожими ни на что, что ты увидишь на практике. Какой смысл в них ковыряться хз. Изучай защищенный режим и формат PE, получи хотя бы базовые знания о том какие есть API и зачем. Подковыринг лицензионных защит никак тебе в жизни не пригодится и изучать его как в школе по учебникам и тренажерам по-моему смысла нет. А если для души, ну так и ищи решение сам, так хотя бы интересно будет. ----- 2 оттенка серого

Для печати