Вот такой вот он них%на не ломающийся. Помогите разобраться. PLS

0ba2_CrackMe.exe.zip

| Сообщение посчитали полезным:


00404C1C |. FF15 E8664000 CALL DWORD PTR DS:[4066E8] ; KERNEL32.CreateThread

KERNEL32.CreateThread - функция посмотрим, что она делает:

The CreateThread function creates a thread to execute within the address space of the calling process.
читаем дальше....
HANDLE CreateThread(
LPSECURITY_ATTRIBUTES lpThreadAttributes, // pointer to thread security attributes
DWORD dwStackSize, // initial thread stack size, in bytes
LPTHREAD_START_ROUTINE lpStartAddress, // pointer to thread function
LPVOID lpParameter, // argument for new thread
DWORD dwCreationFlags, // creation flags
LPDWORD lpThreadId // pointer to returned thread identifier );

вот что нас интересует - pointer to thread function (адресс функции, которая будет выполняться в потоке!)
почитай инфу по Thread (потокам, что это вообще такое...)

значит нам нужно узнать адресс фукции...
для этого посотрим в стек перед вызовом KERNEL32.CreateThread

...
0064F948 00404AD0 |ThreadFunction = UNPACKED.00404AD0
...

ставим бряк на адресс 00404AD0, отпускаем прогу....
потом приземляемся на бряке.. ну а дальше смотрим код =)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Большое спасибо. Попробуем разобраться.

| Сообщение посчитали полезным:

Hellspawn пишет:
00404AD0 . 803D 54524000 00 CMP BYTE PTR DS:[405254],0 <-- патчим здесь
00404AD7 . 74 28 JE SHORT UNPACKED.00404B01 <-- или здесь

Чавот не могу найти где запатчить. Т.е. твое место я нашел, но толку нету. И за нопить пыталя и изменить прыги. И нифига. В чем проблема???

p/s совсем не в тему. Что значит страничка с плюсиком [слева от топика]

| Сообщение посчитали полезным:

00404AD7 . 74 28 JE SHORT UNPACKED.00404B01 <-- или здесь
вот этот прыжок поменять на
00404AD7 . EB 28 JMP SHORT UNPACKED.00404B01

или
CMP BYTE PTR DS:[405254],0
на
CMP BYTE PTR DS:[405254],1

или вообще вписать по адрессу 405254 что то отличное от нуля...
че не понятно то....

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
че не понятно то....
Понтно то понятно, но я уже пробовал и у меня результатов "0". Так же выскакивает 2 месага. Вот.

| Сообщение посчитали полезным:

тока, что посмотрел =) всё ок... распаковывашь, патчишь в олии, закрываешь олли..
запускаешь кракми... и усё =)
кстати можно ещё так запатчить:

00404C01 0F9405 54524000 SETE BYTE PTR DS:[405254]
на
00404C01 FE05 54524000 INC BYTE PTR DS:[405254]
00404C07 90 NOP

так более красиво... когда проверять будешь, на зарегенность =)
выйди из олли... кракми там что то в себя пишет...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Странно а в чем проблема может быть. [ну явно не в olly???].???

| Сообщение посчитали полезным:

Hellspawn пишет:
00404AD7 . 74 28 JE SHORT UNPACKED.00404B01 <-- или здесь
вот этот прыжок поменять на
00404AD7 . EB 28 JMP SHORT UNPACKED.00404B01 - джамп надо нопить

ЗЫ Странно. Пропатчил в памяти оллей - нифига не заработало. Сохранил - всё работает( кроме случая, когда патчишь джамп)
Ща снова патчил "на лету"- как работает. Глюки какие-то =)

| Сообщение посчитали полезным:

Да уж странно так странно. nop'иш джамп [Hiew]---> 2 мессага выскакивает, но после нажатия OK в заголовке формы registered version итд. Вот так.

| Сообщение посчитали полезным:

buka пишет:
Да уж странно так странно. nop'иш джамп [Hiew]---> 2 мессага выскакивает, но после нажатия OK в заголовке формы registered version итд. Вот так.

да не парься, при вводе правильного серийника, заголовок всё равно не меняется... =\

Klajnor пишет:
00404AD7 . EB 28 JMP SHORT UNPACKED.00404B01 - джамп надо нопить

ой.. описался +)

Klajnor пишет:
ЗЫ Странно. Пропатчил в памяти оллей - нифига не заработало. Сохранил - всё работает( кроме случая, когда патчишь джамп)
Ща снова патчил "на лету"- как работает. Глюки какие-то =)

если патчишь и проходишь код по F8, то всё будет пахать, а
если отпускаешь прогу по F9 то всё равно не зарегена...
Или что то автор этого кракми перемутил... или проблемма в олли

00404AE2 . A3 F4664000 MOV DWORD PTR DS:[4066F4],EAX ; UNPACKED.00404A6E
00404AE7 . A1 E4664000 MOV EAX,DWORD PTR DS:[4066E4]
00404AEC . 8B40 18 MOV EAX,DWORD PTR DS:[EAX+18]
00404AEF . 8B40 18 MOV EAX,DWORD PTR DS:[EAX+18]
00404AF2 . A3 48524000 MOV DWORD PTR DS:[405248],EAX ; UNPACKED.00404A6E
00404AF7 . C705 4C524000 40>MOV DWORD PTR DS:[40524C],40
00404B01 . C3 RETN

т.е. кракми из треда пишет в основной файл... =\

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
т.е. кракми из треда пишет в основной файл... =\
Что такое тред???

| Сообщение посчитали полезным:

Hellspawn пишет:
т.е. кракми из треда пишет в основной файл... =\ - не в файл всё-же, а в память =)

buka пишет:
Что такое тред??? - с таким словом столкнулся лишь вчера (на wasm'е в какой-то статейке), до этого знал как нить или поток, и долго не мог понять что это такое =) . В оригинале(т.е. на английском) - Thread

| Сообщение посчитали полезным:

Klajnor пишет:
с таким словом столкнулся лишь вчера (на wasm'е в какой-то статейке), до этого знал как нить или поток, и долго не мог понять что это такое =) . В оригинале(т.е. на английском) - Thread

А ну блин точна. Ох уж эти мне Thread'ы блин.


Klajnor & Hellspawn Respect

| Сообщение посчитали полезным:

А на кой тогда всякие пакеры если олей можно к рабочему процессу присоединиться?

| Сообщение посчитали полезным:

Alexus2006 пишет:
А на кой тогда всякие пакеры если олей можно к рабочему процессу присоединиться?
А пакеры по идее своей и не предназначены для защиты программ Они именно пакуют файлы, уменьшают их размер. Не путай их с протекторами - вот те как раз для защиты программ созданы.

| Сообщение посчитали полезным:

Ну все спасиба. Думаю вопросов более не имею.

| Сообщение посчитали полезным: