Сейчас на форуме: (+4 невидимых)

 eXeL@B —› Вопросы новичков —› Наг в WebCopierPro 4.3
Посл.ответ Сообщение

Ранг: 21.7 (новичок)
Активность: 0.050
Статус: Участник

 Создано: 11 мая 2006 22:44
· Личное сообщение · #1

WebCopierPro 4.3 - скачивает сайты
www.maximumsoft.com/downloads/wcopier_pro.exe
Пакер: нет
Размер: 2394
нахожу диалог о регистрации в Hdasm выше вижу 3 call, как их найти и занопить не представляю, что можете подсказать?



Ранг: 21.7 (новичок)
Активность: 0.050
Статус: Участник

 Создано: 11 мая 2006 22:45
· Личное сообщение · #2

да, в олли всё тормозится на mov, жму shift+f7,8,9 потом ещё раз и прога вылетает




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

 Создано: 12 мая 2006 08:24
· Личное сообщение · #3

Так ты же уже создавал про нее топик и там тебе помогли аж на два листа
http://www.exelab.ru/f/action=vthread&forum=5&topic=4354

Зачем новый топ?

-----
Yann Tiersen best and do not fuck

Ранг: 21.7 (новичок)
Активность: 0.050
Статус: Участник

 Создано: 12 мая 2006 09:18
· Личное сообщение · #4

Там я дал просто ссылку притом на другую прогу, здесь Pro, притом мне самому охота её сломать, но я уже бессилен, т.к. не имею опыта для взлома подобных защит, вот и спрашиваю у народа. Так что это не дубль



Ранг: 36.9 (посетитель)
Активность: 0.050
Статус: Участник

 Создано: 12 мая 2006 15:06
· Личное сообщение · #5

Предлагаю поставить бряк на SendMessageA и после последнего трейсить до появления нага, а потом просто его занопить..



Ранг: 21.7 (новичок)
Активность: 0.050
Статус: Участник

 Создано: 19 мая 2006 22:52
· Личное сообщение · #6

Black9_Byte пишет:
Предлагаю поставить бряк на SendMessageA
Не, это не выход, так и остаёмся в user32, причём с нагом.Black9_Byte пишет:
и после последнего трейсить до появления нага, а потом просто его занопить..
если будешь трейсить, программы вылетает, тут надо по-другому.
ставим бряк на Push, найдённый в дизасме, и попадаем в модуль WebCopierPro, здесь заветные call вроде где-то должен быть. Завтра будет время, может добью.



Ранг: 88.0 (постоянный)
Активность: 0.070
Статус: Участник

 Создано: 20 мая 2006 01:36 · Поправил: rep0A
· Личное сообщение · #7

Kishv
Так там вроде всё просто, наг ловится банально на ShowWindow, остальное дело техники .
По адресу 544E00 находится переменная отвечающая за появление/ не появление нага.
Можно ещё подправить переход по адресу 45E0DC с условного на безусловный.

PS. У проги прикольный перевод на немецкий, наверное чел сам со словарём переводил.



Ранг: 21.7 (новичок)
Активность: 0.050
Статус: Участник

 Создано: 20 мая 2006 16:00
· Личное сообщение · #8

Я так понял, что развязка где-то здесь:

004D37E0 \. C2 1800 RETN 18
004D37E3 /$ 8B41 38 MOV EAX,DWORD PTR DS:[ECX+38]
004D37E6 |. 85C0 TEST EAX,EAX
004D37E8 75 0F JNZ SHORT WebCopie.004D37F9
004D37EA |. FF7424 04 PUSH DWORD PTR SS:[ESP+4] ; /ShowState = SW_SHOWNORMAL
004D37EE |. FF71 1C PUSH DWORD PTR DS:[ECX+1C] ; |hWnd = 0010094C ('WebCopier Pro TRIAL version',class>
004D37F1 |. FF15 58765000 CALL DWORD PTR DS:[<&USER32.ShowWindow>] ; \ShowWindow
004D37F7 |. EB 0E JMP SHORT WebCopie.004D3807
004D37F9 |> 8B10 MOV EDX,DWORD PTR DS:[EAX]
004D37FB |. FF7424 04 PUSH DWORD PTR SS:[ESP+4]
004D37FF |. 8BC8 MOV ECX,EAX
004D3801 |. FF92 A0000000 CALL DWORD PTR DS:[EDX+A0]
004D3807 \> C2 0400 RETN 4
004D380A /$ 8B41 38 MOV EAX,DWORD PTR DS:[ECX+38]
004D380D |. 85C0 TEST EAX,EAX
004D380F |. 75 0A JNZ SHORT WebCopie.004D381B
004D3811 |. FF71 1C PUSH DWORD PTR DS:[ECX+1C] ; /hWnd = 0010094C ('WebCopier Pro TRIAL version',class>
004D3814 |. FF15 18765000 CALL DWORD PTR DS:[<&USER32.IsWindowEnabled>] ; \IsWindowEnabled
004D381A |. C3 RETN
004D381B |> 8B10 MOV EDX,DWORD PTR DS:[EAX]
004D381D |. 8BC8 MOV ECX,EAX
004D381F \.- FFA2 A4000000 JMP DWORD PTR DS:[EDX+A4]
004D3825 /$ 8B41 38 MOV EAX,DWORD PTR DS:[ECX+38]
004D3828 |. 85C0 TEST EAX,EAX
004D382A |. 75 0F JNZ SHORT WebCopie.004D383B
004D382C |. FF7424 04 PUSH DWORD PTR SS:[ESP+4] ; /Enable = TRUE
004D3830 |. FF71 1C PUSH DWORD PTR DS:[ECX+1C] ; |hWnd = 0010094C ('WebCopier Pro TRIAL version',class>
004D3833 |. FF15 38785000 CALL DWORD PTR DS:[<&USER32.EnableWindow>] ; \EnableWindow
004D3839 |. EB 0E JMP SHORT WebCopie.004D3849
004D383B |> 8B10 MOV EDX,DWORD PTR DS:[EAX]
004D383D |. FF7424 04 PUSH DWORD PTR SS:[ESP+4]
004D3841 |. 8BC8 MOV ECX,EAX
004D3843 |. FF92 A8000000 CALL DWORD PTR DS:[EDX+A8]
004D3849 \> C2 0400 RETN 4

так?



Ранг: 21.7 (новичок)
Активность: 0.050
Статус: Участник

 Создано: 20 мая 2006 17:22
· Личное сообщение · #9

сорри, нето, вот, где находятся 2 нага:

0045F270 . 6A FF PUSH -1
0045F272 . 68 E1DF4F00 PUSH WebCopie.004FDFE1 ; SE handler installation
0045F277 . 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
0045F27D . 50 PUSH EAX
0045F27E . 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
0045F285 . 81EC D4000000 SUB ESP,0D4
0045F28B . A1 70ED5300 MOV EAX,DWORD PTR DS:[53ED70]
0045F290 . 894424 00 MOV DWORD PTR SS:[ESP],EAX
0045F294 . C78424 DC000000 00>MOV DWORD PTR SS:[ESP+DC],0
0045F29F . E8 258A0800 CALL WebCopie.004E7CC9
0045F2A4 . 8B48 04 MOV ECX,DWORD PTR DS:[EAX+4]
0045F2A7 . E8 C44EFAFF CALL WebCopie.00404170
0045F2AC . 83C0 14 ADD EAX,14
0045F2AF . 8D4C24 00 LEA ECX,DWORD PTR SS:[ESP]
0045F2B3 . 50 PUSH EAX
0045F2B4 . E8 54E80600 CALL WebCopie.004CDB0D
0045F2B9 . 6A 00 PUSH 0
0045F2BB . 8D4C24 08 LEA ECX,DWORD PTR SS:[ESP+8]
0045F2BF E8 4C12FDFF CALL WebCopie.00430510
0045F2C4 . 8B8C24 E4000000 MOV ECX,DWORD PTR SS:[ESP+E4]
0045F2CB . C68424 DC000000 01 MOV BYTE PTR SS:[ESP+DC],1
0045F2D3 . 898C24 84000000 MOV DWORD PTR SS:[ESP+84],ECX
0045F2DA . 8D4C24 04 LEA ECX,DWORD PTR SS:[ESP+4]
0045F2DE . C78424 80000000 00>MOV DWORD PTR SS:[ESP+80],0
0045F2E9 . E8 27360700 CALL WebCopie.004D2915
0045F2EE . E8 D6890800 CALL WebCopie.004E7CC9
0045F2F3 . 8B48 04 MOV ECX,DWORD PTR DS:[EAX+4]
0045F2F6 . E8 754EFAFF CALL WebCopie.00404170
0045F2FB . C740 08 EC030000 MOV DWORD PTR DS:[EAX+8],3EC
0045F302 . 8D8C24 88000000 LEA ECX,DWORD PTR SS:[ESP+88]
0045F309 . C68424 DC000000 02 MOV BYTE PTR SS:[ESP+DC],2
0045F311 . E8 4A09FBFF CALL WebCopie.0040FC60
0045F316 . 8D4C24 04 LEA ECX,DWORD PTR SS:[ESP+4]
0045F31A . C68424 DC000000 00 MOV BYTE PTR SS:[ESP+DC],0
0045F322 . E8 EB310700 CALL WebCopie.004D2512
0045F327 . 8D4C24 00 LEA ECX,DWORD PTR SS:[ESP]
0045F32B . C78424 DC000000 FF>MOV DWORD PTR SS:[ESP+DC],-1
0045F336 . E8 99E60600 CALL WebCopie.004CD9D4
0045F33B . 8B8C24 D4000000 MOV ECX,DWORD PTR SS:[ESP+D4]
0045F342 . B8 01000000 MOV EAX,1
0045F347 . 64:890D 00000000 MOV DWORD PTR FS:[0],ECX
0045F34E . 81C4 E0000000 ADD ESP,0E0
0045F354 . C2 0800 RETN 8
0045F357 90 NOP
0045F358 90 NOP
0045F359 90 NOP
0045F35A 90 NOP
0045F35B 90 NOP
0045F35C 90 NOP
0045F35D 90 NOP
0045F35E 90 NOP
0045F35F 90 NOP
0045F360 . 6A FF PUSH -1
0045F362 . 68 11E04F00 PUSH WebCopie.004FE011 ; SE handler installation
0045F367 . 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
0045F36D . 50 PUSH EAX
0045F36E . 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
0045F375 . 81EC D4000000 SUB ESP,0D4
0045F37B . A1 70ED5300 MOV EAX,DWORD PTR DS:[53ED70]
0045F380 . 894424 00 MOV DWORD PTR SS:[ESP],EAX
0045F384 . C78424 DC000000 00>MOV DWORD PTR SS:[ESP+DC],0
0045F38F . E8 35890800 CALL WebCopie.004E7CC9
0045F394 . 8B48 04 MOV ECX,DWORD PTR DS:[EAX+4]
0045F397 . E8 D44DFAFF CALL WebCopie.00404170
0045F39C . 83C0 14 ADD EAX,14
0045F39F . 8D4C24 00 LEA ECX,DWORD PTR SS:[ESP]
0045F3A3 . 50 PUSH EAX
0045F3A4 . E8 64E70600 CALL WebCopie.004CDB0D
0045F3A9 . 6A 00 PUSH 0
0045F3AB . 8D4C24 08 LEA ECX,DWORD PTR SS:[ESP+8]
0045F3AF E8 5C11FDFF CALL WebCopie.00430510
0045F3B4 . 8B8C24 E4000000 MOV ECX,DWORD PTR SS:[ESP+E4]
0045F3BB . C68424 DC000000 01 MOV BYTE PTR SS:[ESP+DC],1
0045F3C3 . 898C24 84000000 MOV DWORD PTR SS:[ESP+84],ECX
0045F3CA . 8D4C24 04 LEA ECX,DWORD PTR SS:[ESP+4]
0045F3CE . C78424 80000000 01>MOV DWORD PTR SS:[ESP+80],1
0045F3D9 E8 37350700 CALL WebCopie.004D2915
0045F3DE . E8 E6880800 CALL WebCopie.004E7CC9
0045F3E3 . 8B48 04 MOV ECX,DWORD PTR DS:[EAX+4]
0045F3E6 . E8 854DFAFF CALL WebCopie.00404170
0045F3EB . C740 08 EC030000 MOV DWORD PTR DS:[EAX+8],3EC
0045F3F2 . 8D8C24 88000000 LEA ECX,DWORD PTR SS:[ESP+88]
0045F3F9 . C68424 DC000000 02 MOV BYTE PTR SS:[ESP+DC],2
0045F401 . E8 5A08FBFF CALL WebCopie.0040FC60
0045F406 . 8D4C24 04 LEA ECX,DWORD PTR SS:[ESP+4]
0045F40A . C68424 DC000000 00 MOV BYTE PTR SS:[ESP+DC],0
0045F412 . E8 FB300700 CALL WebCopie.004D2512
0045F417 . 8D4C24 00 LEA ECX,DWORD PTR SS:[ESP]
0045F41B . C78424 DC000000 FF>MOV DWORD PTR SS:[ESP+DC],-1
0045F426 . E8 A9E50600 CALL WebCopie.004CD9D4
0045F42B . 8B8C24 D4000000 MOV ECX,DWORD PTR SS:[ESP+D4]
0045F432 . B8 01000000 MOV EAX,1
0045F437 . 64:890D 00000000 MOV DWORD PTR FS:[0],ECX
0045F43E . 81C4 E0000000 ADD ESP,0E0
0045F444 . C2 0800 RETN 8
0045F447 90 NOP
0045F448 90 NOP
0045F449 90 NOP
0045F44A 90 NOP
0045F44B 90 NOP
0045F44C 90 NOP
0045F44D 90 NOP
0045F44E 90 NOP
0045F44F 90 NOP
0045F450 . 6A FF PUSH -1
0045F452 . 68 41E04F00 PUSH WebCopie.004FE041 ; SE handler installation
0045F457 . 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
0045F45D . 50 PUSH EAX
0045F45E . 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
0045F465 . 81EC D4000000 SUB ESP,0D4
0045F46B . A1 70ED5300 MOV EAX,DWORD PTR DS:[53ED70]
0045F470 . 56 PUSH ESI
0045F471 . 8BF1 MOV ESI,ECX
0045F473 . 894424 04 MOV DWORD PTR SS:[ESP+4],EAX
0045F477 . C78424 E0000000 00>MOV DWORD PTR SS:[ESP+E0],0
0045F482 . E8 42880800 CALL WebCopie.004E7CC9
0045F487 . 8B48 04 MOV ECX,DWORD PTR DS:[EAX+4]
0045F48A . E8 E14CFAFF CALL WebCopie.00404170
0045F48F . 83C0 1C ADD EAX,1C
0045F492 . 8D4C24 04 LEA ECX,DWORD PTR SS:[ESP+4]
0045F496 . 50 PUSH EAX
0045F497 . E8 71E60600 CALL WebCopie.004CDB0D
0045F49C . 6A 00 PUSH 0
0045F49E . 8D4C24 0C LEA ECX,DWORD PTR SS:[ESP+C]
0045F4A2 E8 6910FDFF CALL WebCopie.00430510
0045F4A7 . 8B8C24 E8000000 MOV ECX,DWORD PTR SS:[ESP+E8]
0045F4AE . C68424 E0000000 01 MOV BYTE PTR SS:[ESP+E0],1
0045F4B6 . 898C24 88000000 MOV DWORD PTR SS:[ESP+88],ECX
0045F4BD . 8D4C24 08 LEA ECX,DWORD PTR SS:[ESP+8]
0045F4C1 . C78424 84000000 02>MOV DWORD PTR SS:[ESP+84],2
0045F4CC E8 44340700 CALL WebCopie.004D2915
0045F4D1 . 8B56 1C MOV EDX,DWORD PTR DS:[ESI+1C]
0045F4D4 . 6A 00 PUSH 0 ; /lParam = 0
0045F4D6 . 6A 00 PUSH 0 ; |wParam = 0
0045F4D8 . 6A 10 PUSH 10 ; |Message = WM_CLOSE
0045F4DA . 52 PUSH EDX ; |hWnd = 547648
0045F4DB . FF15 EC765000 CALL DWORD PTR DS:[<&USER32.PostMessageA>] ; \PostMessageA
0045F4E1 . E8 E3870800 CALL WebCopie.004E7CC9
0045F4E6 . 8B48 04 MOV ECX,DWORD PTR DS:[EAX+4]
0045F4E9 . E8 824CFAFF CALL WebCopie.00404170
0045F4EE . C740 0C EE030000 MOV DWORD PTR DS:[EAX+C],3EE
0045F4F5 . 8D8C24 8C000000 LEA ECX,DWORD PTR SS:[ESP+8C]
0045F4FC . C68424 E0000000 02 MOV BYTE PTR SS:[ESP+E0],2
0045F504 . E8 5707FBFF CALL WebCopie.0040FC60
0045F509 . 8D4C24 08 LEA ECX,DWORD PTR SS:[ESP+8]
0045F50D . C68424 E0000000 00 MOV BYTE PTR SS:[ESP+E0],0
0045F515 . E8 F82F0700 CALL WebCopie.004D2512
0045F51A . 8D4C24 04 LEA ECX,DWORD PTR SS:[ESP+4]
0045F51E . C78424 E0000000 FF>MOV DWORD PTR SS:[ESP+E0],-1
0045F529 . E8 A6E40600 CALL WebCopie.004CD9D4
0045F52E . 8B8C24 D8000000 MOV ECX,DWORD PTR SS:[ESP+D8]
0045F535 . B8 01000000 MOV EAX,1
0045F53A . 5E POP ESI
0045F53B . 64:890D 00000000 MOV DWORD PTR FS:[0],ECX
0045F542 . 81C4 E0000000 ADD ESP,0E0
0045F548 . C2 0800 RETN 8

только не могу найти нужный call, если занопить

0045F3D9 5. Removed CALL WebCopie.004D2915 NOP nopim i net naga
0045F4CC 8. Removed CALL WebCopie.004D2915 NOP timenag,

прога вылетает, когда не обнаруживает наг. Как быть?



Ранг: 21.7 (новичок)
Активность: 0.050
Статус: Участник

 Создано: 20 мая 2006 17:51
· Личное сообщение · #10

Всё, добил, оказывается снова не в том месте побывал, топик можно закрывать


 eXeL@B —› Вопросы новичков —› Наг в WebCopierPro 4.3
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати