| Сейчас на форуме: bartolomeo, -Sanchez- (+3 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Hdd temperature 1.4.0 (#206) |
| Посл.ответ | Сообщение |
|
|
Создано: 24 февраля 2006 20:26 · Личное сообщение · #1 Скачать можно отсюда www.hddtemp.com/hddt1.exe. Peid 0.94 показал что это ASProtect 2.0x Registered -> Alexey Solodovnikov, почитав немного статей по нахождению OEP я так его и не нашел. В статье "Медосмотр AsProtect 2.0" OEP выглядит так: 01012475 6A70 PUSH 70 01012477 68E0150001 PUSH 010015E0 0101247C E847030000 CALL 010127C8 01012481 33DB XOR EBX, EBX 01012483 53 PUSH EBX 01012484 8B3D20100001 MOV EDI, DWORD PTR DS:[1001020] В HDD TEmperature такого небыло, мож кто подскажет как вычислить этот OEP или как можно подругому крякнуть эту прогу. PS: для исследования пользовался OllyDbg  |
|
|
Создано: 24 февраля 2006 21:57 · Личное сообщение · #2 Попробуй скриптами дойти до OEP. А ОЕР ты как находил? |
|
|
Создано: 25 февраля 2006 00:06 · Личное сообщение · #3 Скриптами это хорошо знать бы какими . Я скачивал с этого сайта плугины и скрипты для олли, так вот там этих скриптов...... А оеп находил следующим образом: сначала нажал F9 потом посчитал сколько Shift-F9 до запуска, заново запустил и просчитал на 1 меньше нажал alt-m для вызова memory map, на строке с надписью code поставил set memory breakpoint on acsess и начал искать оеп но ненашел. |
|
|
Создано: 25 февраля 2006 10:09 · Личное сообщение · #4 denacid пишет: начал искать оеп но ненашел Это как так?После того, как поставил бряк на секцию кода жмешь Shift+F9 и ты в секции кода. Запости первые несколько инструкций, на которые ты попадаешь. Это или OEP или первая функция программы, а OEP в какой то выделенной области памяти (фича такая начиная с версии 1.35). ----- Yann Tiersen best and do not fuck |
|
|
Создано: 25 февраля 2006 11:52 · Личное сообщение · #5 Вот первые несколько функций: 1) 00406998 FF DB FF 2) 00406260 8B DB 8B 3) 00406266 89 DB 89 4) 00406268 A3 DB A3 5) 0040626D C3 DB C3 6) 00404374 ? 31D2 XOR EDX,EDX ; HDDTempe.004C00A8 Стоило только приподнять вверх как эта строка заменилась на 2 00404371 8D400031 DD 3100408D 00404375 D2 DB D2 7)00404376 8D DB 8D 8) 00404379 64 DB 64 ; CHAR 'd' ...) 0040441C 55 PUSH EBP И какая из них может быть ОЕП и вообще как можно вычислить ОЕП это или не ОЕП ?? |
|
|
Создано: 25 февраля 2006 13:30 · Личное сообщение · #6 Я бы сказал, что на OEP похоже 0040441C 55 PUSH EBP (это вроде Дельфи) |
|
|
Создано: 25 февраля 2006 13:59 · Личное сообщение · #7 Klajnor пишет: PUSH EBP (это вроде Дельфи) Так может любая прога начинаться denacid у тебя инструкции не распознаюся. Когда стоишь в этом месте нажми Ctrl+A. Если после этого опять не распознаются, то снова нажми Ctrl+A и пока прогресбар не добежал до конца (надо успеть) жми пробел. После этого запость, что распозналось. Только не скроллируй окно а то заглючит. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 25 февраля 2006 14:23 · Поправил: Klajnor · Личное сообщение · #8 PE_Kill пишет: denacid у тебя инструкции не распознаюся. Когда стоишь в этом месте нажми Ctrl+A. Если после этого опять не распознаются, то снова нажми Ctrl+A и пока прогресбар не добежал до конца (надо успеть) жми пробел. После этого запость, что распозналось. Только не скроллируй окно а то заглючит. - лучше выдели нераспознанные команды и нажми правыю кнопку мыши analisis->during next analisis... -> commands. Потом Ctrl+A А если глючит при поднятии на строку вверх, то сделай тоже самое для одной комманды analisis->during next analisis... -> command и снова Ctrl+A. |
|
|
Создано: 25 февраля 2006 16:08 · Личное сообщение · #9 Мужики по ходу там все намного сложнее. Там вылетает окно типа, хочешь иди на сайт регистрироваться или продолжить? И оно как бы встроенно в аспр( правда я никогда не встречался с таким может ошибаюсь). А импорт вообще как востанавливать? Все мудрено. Я вообще после всех стандартных типа предпоследних остановок и так далее, вылетаю на переход апи. Короче надо разбираться. |
|
|
Создано: 25 февраля 2006 16:11 · Личное сообщение · #10 Вот распознанные до Push EBP 1) 00B8E6A9 893B; MOV DWORD PTR DS:[EBX],EDI ; HDDTempe.005A5835 2) 00406998 .-FF25 D4624C00; JMP DWORD PTR DS:[4C62D4] ; kernel32.GetModuleHandleA 3) 00406260 . 8B15 38004C00; MOV EDX,DWORD PTR DS:[4C0038] 4) 00406266 . 8910 ; MOV DWORD PTR DS:[EAX],EDX 5) 00406268 . A3 38004C00 MOV DWORD PTR DS:[4C0038],EAX ; HDDTempe.004C00A8 6) 0040626D . C3 ; RETN 7) 00404374 . 31D2 ; XOR EDX,EDX ; HDDTempe.004C00A8 8) 00404376 . 8D45 F4 ; LEA EAX,DWORD PTR SS:[EBP-C] 9)00404379 . 64:8B0A ; MOV ECX,DWORD PTR FS:[EDX] 10)0040437C . 64:8902 ; MOV DWORD PTR FS:[EDX],EAX 0040437F . 8908 ; MOV DWORD PTR DS:[EAX],ECX 00404381 . C740 04 D44240>MOV DWORD PTR DS:[EAX+4],HDDTempe.004042> 00404388 . 8968 08 ; MOV DWORD PTR DS:[EAX+8],EBP 0040438B . A3 3C364C00; MOV DWORD PTR DS:[4C363C],EAX 00404390 . C3 ; RETN 11) 0040441C . 55 ; PUSH EBP 0040441D . 8BEC ; MOV EBP,ESP 0040441F . 53 ; PUSH EBX 00404420 . 56 ; PUSH ESI 00404421 . 57 ; PUSH EDI 00404422 . A1 40364C00 ; MOV EAX,DWORD PTR DS:[4C3640] 00404427 . 85C0 ; TEST EAX,EAX 00404429 . 74 4B ; JE SHORT HDDTempe.00404476 0040442B . 8B30 ; MOV ESI,DWORD PTR DS:[EAX] 0040442D . 33DB ; XOR EBX,EBX 0040442F . 8B78 04 ; MOV EDI,DWORD PTR DS:[EAX+4] 00404432 . 33D2 ; XOR EDX,EDX 00404434 . 55 ; PUSH EBP 00404435 . 68 62444000 ; PUSH HDDTempe.00404462 0040443A . 64:FF32 ; PUSH DWORD PTR FS:[EDX] 0040443D . 64:8922; MOV DWORD PTR FS:[EDX],ESP 00404440 . 3BF3; CMP ESI,EBX 00404442 . 7E 14 ; JLE SHORT HDDTempe.00404458 00404444 > 8B04DF; MOV EAX,DWORD PTR DS:[EDI+EBX*8] 00404447 . 43 ; INC EBX 00404448 . 891D 44364C00 MOV DWORD PTR DS:[4C3644],EBX 0040444E . 85C0 ; TEST EAX,EAX 00404450 . 74 02 ; JE SHORT HDDTempe.00404454 00404452 . FFD0 ; CALL EAX 00404454 > 3BF3 ; CMP ESI,EBX |
|
|
Создано: 25 февраля 2006 16:15 · Личное сообщение · #11 Cadet там окно хоть и вылетает нажимаешь континуе в трее появляется сам hdd нажимаешь правой кнопкой и выбираешь registred там и вводишь ключ при неправильном ключе у меня вылетает сообщение "t9" . |
|
|
Создано: 25 февраля 2006 16:28 · Личное сообщение · #12 denacid Да это я понял. Дело не в этом. Сейчас немного полазил, то мне вообще показалось, что оеп размыт, как-то об это марио555 говорил, но сам я никогда такого не встречал. Прикольный аспр, я тащусь, может докопаемся до истины? |
|
|
Создано: 25 февраля 2006 17:31 · Поправил: cadet · Личное сообщение · #13 denacid Нашел интересное место B96A00 , IAT B9A104-B9A350. ТОЛЬКО ПРИ ПРИКРУЧИВАНИИ ИМПОРТА сообщение "Invalid file! Can't match RVA to Offset in the dump file" , наверное уже рядом. Все оказалось проше, оеп 004A7D78 |
|
|
Создано: 26 февраля 2006 00:23 · Личное сообщение · #14 Если не трудно объясни как ты нашел ОЕП и поподробнее плиз!!!!! |
|
|
Создано: 26 февраля 2006 13:47 · Поправил: cadet · Личное сообщение · #15 Вот вчера посидели.... Попробую вспомнить. доходим до предпоследнего исключения ставим бряк на строчку чуть ниже add esp,4 шифт + ф9 убираем бряк шифт +ф9 появилось окно ф12-останавливаем прогу контр+ф8-смотрим где происходит прорисовка окна ф8 чуть ниже ставим бряк 00471а2с запускаем прогу нажимаем в окне континуе а дальше пешком ф8,ф7 Я сам еще только учусь, так что не воспринимай все это как тутор. У меня кстати есть сомнения, а может оеп=4a7ff8(исправил). Импорт прикрутился, кроме одного , но это наверное процедура аспра. Сегодня со свежей головой вечерком надо посмотреть. |
|
|
Создано: 26 февраля 2006 16:29 · Личное сообщение · #16 Завтра скачаю гляну. По листингу вроде ОЕП размыт и юзается VM. Завтра точно скажу. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 26 февраля 2006 23:28 · Личное сообщение · #17 Я внутрь не лазил, но обратите внимание, если не заметили, прога запускается при запущенном HDDTService, проверка, возможно, происходит там, а не в самой проге. |
|
|
Создано: 27 февраля 2006 10:08 · Личное сообщение · #18 Чего то не получается у меня прогу слить. Говорит сервер не найден. Может кто в другое место выложит. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 27 февраля 2006 13:15 · Поправил: cadet · Личное сообщение · #19 PE_Kill Скинул на webfile/832330. Попробуй скачать. Интересно, что это и с чем едят. |
|
|
Создано: 28 февраля 2006 08:00 · Личное сообщение · #20 Вот мой вердиткт. Это ASProtect 2.0x Registered -> Alexey Solodovnikov. ОЕП находится в выделенной памяти и превращено в кучу мусора. Присутствует VM. Более 100 спертых инструкций, выполняемых в VM. Защиты импорта нет. Блин сегодня постараюсь дописать статью по снятие второго аспра, а то смотрю у многих с ним проблемы. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 28 февраля 2006 08:40 · Личное сообщение · #21 PE_Kill Это выше моих сил и знаний. Будем ждать статью. |
|
|
Создано: 28 февраля 2006 12:59 · Личное сообщение · #22 PE_Kill все ждем твою статью |
|
|
Создано: 28 февраля 2006 20:33 · Личное сообщение · #23 Всё, написал про ОЕП и про ВМ, осталось про импорт и всё. Какая то урезаная сиатья получилась... ----- Yann Tiersen best and do not fuck |
|
|
Создано: 03 марта 2006 18:14 · Личное сообщение · #24 PE_Kill напишешь сюда когда статью выложишь |
|
|
Создано: 06 марта 2006 16:18 · Личное сообщение · #25 Выложил статью, если модерыторы одобрят, то смотри в разделе RAR-статьи ----- Yann Tiersen best and do not fuck |
|
|
Создано: 06 марта 2006 20:47 · Личное сообщение · #26 PE_Kill Взял и убил! Что ж будем ждать одобрения. |
|
|
Создано: 06 марта 2006 22:32 · Личное сообщение · #27 Cadet по-моему её уже одобрили. |
|
|
Создано: 07 марта 2006 10:19 · Личное сообщение · #28 |
|
eXeL@B —› Вопросы новичков —› Hdd temperature 1.4.0 (#206) |
Для печати