Вот решил я для интереса эту прогу посмотреть:
www.systemsoftlab.com/artmoneypro721eng.exe

Что-то там непонятное происходит, при загрузке в дебагере пишут "bad format of 32-bit executable" и попадаешь в ntdll. Peid молчит а судя по секциям она запакована как минимум 5-тью пакерами/протекторами...
Кто-нибудь чего умного по поводу этой проги сказать может?

| Сообщение посчитали полезным:

Какую версию ковыряешь? На винте нашел ArtMoney SE v.7.15, там ASPack 2.12 навешен, ASPack full reconstruct легко снимает. Скачал с офф. сайта artmoneypro721rus.exe при установке требует ввести пароль, при запуске создет 2 процесс из папки Temp, который проверяет пароль по MD5, если исправить переход проиходит "кривая" установка, создаются только папки, а сами файлы не устанавливаются (повидимому расшифровываются heshem).
Если интересует вот адреса которые я нарыл во 2 процессе:

004648C4 PUSH EBP начало процедуры проверки пароля
004648F1 CALL 00414A60 ; Берем пароль
004649B8 CALL 004744D4 ; MessageBox - Неверный пароль

Думаю для дальнейшего взлома необходимо найтии верный hesh, и сунуть его в PasswordsPro.

P.S ко второму процессу необходимо делать attach
P.P.S По-моему это гиблое дело

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

У меня на винте версия 7,12 , в ней ключевой файл есть, т.е. в нем части проги, если не покупать, то сломать врятли возможно .

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

sliderZ пишет:
при загрузке в дебагере пишут "bad format of 32-bit executable" и попадаешь в ntdll.
Это легко побороть. Смотришь точку входа ( любой утилитой) и в окне CPU по Go to идешь на этот адрес.
Ставишь бряк - оля ругнется, что это не команды, но брякнется, если F9(Run) сделаешь. Ну дальше уже смотрим и работаем.

| Сообщение посчитали полезным:

Flint
Я ковыряю 7.18 pro. Я так и не понял она вобще запакована чем-то или это просто защита хитрая?

tundra37
Вроде работает. Это разрабы специально так делают против таких как я или специфика какая-то?

| Сообщение посчитали полезным:

sliderZ Сама рабочая программа? У меня ее нету. А инсталлятор вроде самопальный и написан кажись на Borland Delphi. Вот ежели кто из инсталлятора выковырит рабочую программу, тогда посмотрим чем там упаковано.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Читайте пост доктора фитца - часть кода вынесена в ключевой файл, со всеми вытекающими...

| Сообщение посчитали полезным:

Тут версия 7.18 pro.
rapidshare.de/files/24093817/ArtMoney.v7.18.PRO.incl.Key.by.SWR.rar.html

В аттаче рабочий ключ и пароль. Все-таки хотелось бы узнать чем она запакована почему ее peid не бурет...




6245_29.09.2006_CRACKLAB.rU.tgz - key.rar

| Сообщение посчитали полезным:

sliderZ, пароль неподходит, сам проверял-то?

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Google как всегда вырулил, пароль на архив в аттаче, в архиве есть и ключ, и пасс на запуск артмани

73fd_29.09.2006_CRACKLAB.rU.tgz - password.txt

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

Ну раз уж тут в топиках такие новички как и я, то можно помочь, слушай мою историю, в файлах PE формата, есть поле, оно называется Number of RVA and Sizes, оно зарезервированно, незнаю под какие цели на будующее, но вот, оно щас в программах всегда ставится равным 10h , значит откроешь PETools, туда на окно перетянеш артмани и откроется PE-editor, затем на кнопочку надавишь Optional Header (опциональный заголовок), ну и в открывшемся окошке поправишь поле Number of RVA and Sizes на соответствующий размер 10. И программа больше небудет писать "bad format of 32-bit executable". А защита прежняя - аспак+спертая часть проги в ключевом файле.
P.S: только зря сидел в инете по диалапу качая Если ты пользуешься этой программой - лучше купи её - стоит недорого, да и поддержишь автора.

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

KingSise
Странно, у меня подходит.
DrFits
Спасибо. Помогло.
P.S: Ну извини что заставил тебя целый мег скачать, следущий раз предупреждать буду, честно.
У самого-то на компе небось все сплошь лицензионное? Тады жму руку.

| Сообщение посчитали полезным:

sliderZ пишет:
Странно, у меня подходит - KingSise имел ввиду пароль на распаковку архива. Насчет лицензии - пользуюсь бесплатными прогами, а по поводу защиты-там аспак модифицированный(т.к. еще одна секция добавлена модификатора) который не сложнее обычного снять "наверное ;)" можно.

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

KingSise
Просто я пару месяцев назад оттуда скачивал прогу, завершенно забыл что там еще и архив запароленный...
если че пасс "rl-team.net"

DrFits

Я ее распаковал уже, действительно не намного сложнее обычного aspack, правда esp-4 почему-то тут не работает, пришлось руками трейсить и по-моему мусора или х.з чего в коде упаковщика много, выглядит совсем не так как другие проги на aspacke что я распаковывал. Под "модифицированной" имеется ввиду какой-то самопал?

| Сообщение посчитали полезным:

Пакер в конце проги,обычно, добавляет свои секции, для аспака - это 2 штуки, ну после .rsrc (её переименовывать обычно боятся), т.к. видно 3 секции + код распаковщика не похож на нормальный аспак, то там значит применяется просто скрамблер какой-то (прога прячущая нормальный код распаковщика аспака).

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

Неужели наш дорогой Armoney с версии 7,21 стал использовать "нормальную" процедуру реганья(ну в смысле без высылания пароля на РАР) ?
А насчёт защиты, то это чистый ASPack 2.12 дяди Солодникова. И распаковывается секунд за 45, но удаление секций пока ещё не для меня.

| Сообщение посчитали полезным: