Я не могу понять, почему, когда я для окна ставлю бряк на ВСЕ события - они не отлавливаются? Ведь система событий не зависит от языка программирования, так же? Почему же не ловится WM_LBUTTONDOWN или все остальные?
Читал я, что надо взять DEDE и смотреть там какие-то адреса... Неужели нельзя обойтись одним Olly? DEDE открыл - какая-то муть, как использовать из него инфу для Olly?...
Сказали, что можно вводить пароль и потом ослеживать его в памяти, но я сканю дампы, однако строку пароля (равно как и логина) не вижу - видимо, он шифруется...

Какие стандартные ходы в этом случае, как отследить пароль?

p.s. Delphi7, прога - fotobatch, может кто знает... По нажатию на OK не происходит ничего, если пароль введен неверно - т.е. никаких сообщений не вываливается. Возможно, отрабатывает функция cmp? В любом случае, не хочу тупо и очень долго жать F7/F8 в надежде увидеть что-то интересное

| Сообщение посчитали полезным:

NAVДля нас с тобой (новичков) лучше юзать не DeDe а Source Rescuer by EMS (http://wasm.ru/baixado.php?mode=tool&id=272) т.к. все более проще: открыл файл посмотрел форму(узнал имя кнопки), посмотрел листинг(в нем как и в дельфи/С только заместо текста процедуры стоит адресс на нее). Можно еще отслеживать GetDialogItemTextA

| Сообщение посчитали полезным:

NAV Если не можеш найти адрес кнопки то как сказал Veliant качай ту прогу... Если и сней не можеш то сохроняй сохроненный исходники открывай с помощью делфи и иши ту кнопку...

| Сообщение посчитали полезным:

А лудше дай ссылку на программу...Будет легче понять проблему...И объяснить её...

| Сообщение посчитали полезным:

NAV
Когда прога загрузица в DEDE выбирай вкладку Procedures там в столбце Class Name ищи чтонибуть типа TRegForm и т.д., когда найдеш выдиляй эту форму и ищи событие на нажатие кнопки OK, Registration или чтото вроде этого.

| Сообщение посчитали полезным:

Ок, спасибо Сдох биос - как будет всё ок, гляну и постараюсь сам решить проблему.

| Сообщение посчитали полезным:

Добрался до проги на работе, а еще плюс один чел уже проследил адресок.
Короче говоря - поблагодарило за регистрацию... Открываю прогу - пишет evaluation version! Вот же задница.... И некоторые кнопки задизэйблены! Естественно, это как-то по частям можно похакать, но хотелось бы знать, в чем секрет. Может, этот адресок прослеженный - приманка? А настоящий хранится в другом месте и сравнивается тоже в другом месте?

Теперь просто уже очень интересно - что на самом деле за защита тут? Вот ссылка на прогу:
www.download.com/3001-2192_4-10527709.html

| Сообщение посчитали полезным:

NAVТа как олей работал, изменил ей немного код... программа все заработала..А когда вышел из отладчика программа сказала что она не регана? так я понял или нет?

| Сообщение посчитали полезным:

Gluk
там так было - я в процессе отладки нашел код регистрации для введенного имени. Ввел его - после чего после нажатия на Ok оно меня поблагодарило за регистрацию и пустило в главное окно проги. Но там стало писать - Evaluation version и некоторые кнопки задизэйблены (т.е. не все функции работают)

| Сообщение посчитали полезным:

попробуй вбить код, только без отладчика
возможно это уловка разработчиков или ещё что-то

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Запускал конечно и без отладчика - без разницы

| Сообщение посчитали полезным:

попробуй поставить бряк на GetDlgItemTextA

| Сообщение посчитали полезным:

Ну скачал и поставил. И без ArmaFP вижу второй процесс
<------- 26-10-2006 18:05:43 ------->
W:\test\FotoBatch\fotobatch.exe
!- Protected Armadillo
Version 4.40.0250 (Custom Build)
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Memory-Patching Protections
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
==============
Где ты там смог ключ подглядеть ?! Ты наверно кнопки перепутал и нажал юзать evaluation ?!

| Сообщение посчитали полезным:

Скачал прогу посмотрел. Короче там по адресу 4F67DD есть call на процедуру сравнения номеров. Ставим бряк на адрес выше 4F67DD запускаем прогу вводим левые данные жмем OK и прерываемся на бряке.Выделяем адрес 4F67DD жмем Enter и мы в процедуре. Там заменяем это
005A4C18 55 PUSH EBP
005A4C19 8BEC MOV EBP, ESP
005A4C1B 83C4 F0 ADD ESP, -10
на это
xor al, al
inc al
retn
Теперь прога при любом серийнике скажет что зарегана и не будет выводить окно с напоминанием о триале, но в Aboute будет писать что она не зарегестрирована и при конвертировнии в углу будет написано Created with Unregistered version... но если ввести правильный рег код(его видно в процедуре сравнения) то все равно будет такая херня.
Правда может там программеры прикололись и какую нибудь левую процедуру сделали.
Завтра еще покопаюсь.

| Сообщение посчитали полезным:

Ты скажи ты ее хоть для начала та распаковал.
Как ты ее патчил то
Armadillo CopyMemII+Memory Patching Protection

это на ней висит.

| Сообщение посчитали полезным:

Если надо то отламал куда нибудь закину распакованную.
Ну и зее...ся PE Header восстанавливать.

| Сообщение посчитали полезным:

Я уж хотел было прослеживать GetDlgItemTextA, но вижу, что тут всё не так просто...

Что касается взлома, то я вначале арму откусил с помощью DilloDie (экзешник распух до 6 метров - сказало, что всё удачно выкусило)...

Кстати. Не знаю, в правильном ли я направлении думаю, но обратите внимание, что там, справа от "Order online" есть невидимая кнопка "Unlock". И есть процедура SetVisible. Мне кажется, что при введении НАСТОЯЩЕГО кода она должна сработать. Я уже нашел в коде ссылки на нее - их много... Но как найти нужную (если, опять-таки, я мыслю в верном направлении).

P.S. При введении того кода, что мы все тут обнаружили, "благодарение" за регистрацию появляется, но кнопка "Unlock" видимой не становится! Точно "липа"...

| Сообщение посчитали полезным:

Ты экзешник запускал то хоть потому что Petools и LordPe RebuildPe сделать не могут.
Не знаю про какую ты кнопку но начни с MessageBoxA наверно отследи откуда вызывается, поднимись по коду ну и смотри. Я честно говоря зае..лся искать и плюнул если найдеш то напиши.

| Сообщение посчитали полезным:

NAV
Чтобы сделать кнопку Unlock видимой нужно загрузить прогу в Restorator там зайти в RCDATA потом выбрать TREGFRM и там поменять у кнопки unlock свойство Visible на True и её станет видно.

| Сообщение посчитали полезным:

hell пишет:
Чтобы сделать кнопку Unlock видимой нужно загрузить прогу в Restorator там зайти в RCDATA потом выбрать TREGFRM и там поменять у кнопки unlock свойство Visible на True и её станет видно.

Да ну если тока ее невидимость задается не во время выполнения программы

| Сообщение посчитали полезным:

В общем, Resource Hacker-ом видимой я ее сделал. Появляется, значит, OK, Cancel, Order online и Unlock. Там такая ситуация:
жму на эту кнопку unlock - оно вывело окно и меня спрашивает, мол, уверен ли я, что анлочить хочу. Потому что это только один раз можно делать. Ну, это, конечно, фигня - предупреждения. Решил посмотреть, что будет дальше. При тех регистрационных данных, что всегда нажал подтверждение: дальше ничего не изменилось, кроме как исчезла эта кнопка с диалога, а в разделе меню крайнем правом Register-пункт тоже исчез. Остальные все дурости - evaluation version, disabled buttons - осталось как есть. Т.е., видимо, если бы код был верный, то при нажатии на Unlock всё бы "отлипло"... Короче, ничего не получается Пытался отслеживать сравнения строк - оно слишком часто срабатывает. GetItemDlgTextA там не используется. MessageBoxA (или как там его) ничего отследить не помогает...

| Сообщение посчитали полезным:

NAV
Там вроде как эта кнопка вобще никогда не появится потомучто никакой процедуры OnChange для поля ввода серийника нет, а как еще проверять можно я даже и не знаю хз мож че пропустил?
Если найдешь че напиши в личку!

| Сообщение посчитали полезным:

Вообщем нашел где прога хранит инфу об дате установки.
В Win.ini удаляем дату и все.
Кстати после переустановки также триал обнуляется.

| Сообщение посчитали полезным:

Снять наг можно так по адресу 6aa145 условный на безусловный поменяй и все.

| Сообщение посчитали полезным:

Я так понял что Ok это пустышка а там юзается таймер и при правильном коде кнопка Unlock активируется и становиться видимой. Может кто хочет исследовать по подробней то вот адресс
ее процедуры
4f6ad8 но чета там геморно не стал далеко копать.

| Сообщение посчитали полезным:

Dark Star пишет:
там юзается таймер
Вроде нет. Я не нашел ни одного события OnTimer для этой формы и вобще в самой проге.
Мож там в другоом потоке реализована проверка.

| Сообщение посчитали полезным:

Для тех, кто любит сидеть в танке. Чтобы, правильно распаковать эту прогу, нужен ключ. То что вы подглядели, скорее всего evaluation key(есть в Армадилло такой) - соответственно она в этом режиме и работает. Для нормального ключа Армадилло позволяет сделать unlock : снять ключ на данной машине и перенести(зарегать) прогу на другой. Не надо выдумывать себе проблем - сначала теорию выучите.

| Сообщение посчитали полезным:

tundra37

М-да... Тут с моими мини-хакерскими способностями не справиться...

| Сообщение посчитали полезным:

Ну так дай ссылку на теорию чтоли, просто первый раз с такой шнягой сталкиваюсь с удовольствием почитаю.

tundra37 пишет:
Чтобы, правильно распаковать эту прогу, нужен ключ.
Ну тогда проще все таки просто наг убрать.

| Сообщение посчитали полезным:

Dark Star пишет:
дай ссылку на теорию чтоли
Так теория неутишительная : без ключа распаковать нельзя, точнее в паблике такой инфы нет. Я могу посмотреть ее попозже на предмет, какой уровень ключа там - тогда может что-то можно будет сделать.

Dark Star пишет:
просто наг убрать.
Что ты называешь наг-ом ?! Если запрос на регистрацию, то это защита Армадилло. Сделано очень добротно и простым патчем не сломаешь. Надо знать "секрет". Я его пока не знаю, но копаю.

| Сообщение посчитали полезным: