IUnknown

Recommended Posts

graycrow    0

graycrow
Odesláno

А что ты ломать собрался? ;)

 

 

Подсказать не смогу, я этой штукой никогда не пользовался

Sdílet tento příspěvek

Odkaz na příspěvek
Sdílet na ostatní stránky

IUnknown    0

IUnknown
Odesláno

Да есть тут одна прога. у меня серийный номер и ключ для одного пользователя. Очень нужно расширить лицензию хотя бы для 10 пользователей.К сожалению фирма которая занималась разработкой уже давно в дауне и купитьь лицензии невозможно.

 

Сама софтина имеет одно диалоговое окно. Но не совсем простая, как кажется. Например судя по трейсу софт айсом использует малтитрединг, но синхронизация реализована через критические секции. В общем не в этом дело.

 

Серийный номер и ключ хранится в реестре. Я сделал брейкпоинты на RegCloseKey. Там всего где то шесть обращений к этой функции.

 

Проблема номер один. Почему то когда пытаюсь ставить брейкпоинты на сишные фугкции говорит, что их незнает То есть undefined function.

 

Проблема номер два. В софт айсе на очередном прейкпоинте (RegOpenKey или RegCloseKey, неважно) пытаюсь сделать поиск командой "S" с указанием начального адреса и маски. Непонятно какой длинны ставить маску. Я пробовал ставить маску 4 байта. Но софт айс находит сам себя. то есть показывает мне облась памяти где я только что сам в него же вбил искать переменную. Непонимаю. Я думал он ищет только в области памяти отведенной исследуемой программе.

 

Еще была идея проанализировать мой серийный номер и ключ. может там используется какой то сдвиг, что бы получить кол-во разрешенных юзеров. Но у меня к сожалению нет никакого софта на анализ таких последовательностей.

 

Воот.

Sdílet tento příspěvek

Odkaz na příspěvek
Sdílet na ostatní stránky

testtest    0

testtest
Odesláno

А родной SPY из студии не пробовали?

Что за программа? Может где генератор есть?

Sdílet tento příspěvek

Odkaz na příspěvek
Sdílet na ostatní stránky

GDV    10051

GDV
Odesláno

IUnknown - предлагаю подпись сменить на "кулхацкер".

:)

Sdílet tento příspěvek

Odkaz na příspěvek
Sdílet na ostatní stránky

Jin    0

Jin
Odesláno

кулхацкеры таких проблем как раз не имеют :)

Sdílet tento příspěvek

Odkaz na příspěvek
Sdílet na ostatní stránky

IUnknown    0

IUnknown
Odesláno

QUOTE (testtest @ Feb 2 2005, 17:07) А родной SPY из студии не пробовали?

это что?

 

программа - небольшей мостик на мини АТС. Найти хак нереально.

 

Остальным: "блаблабла" это мы знаем, а по теме?

Sdílet tento příspěvek

Odkaz na příspěvek
Sdílet na ostatní stránky

IUnknown    0

IUnknown
Odesláno

QUOTE (Smith @ Feb 2 2005, 17:51) через IDA смотрел? может проще окажется?

вот. уже теплее.

IDA у меня нет, я пользуюсь FRHED.

Незнаю, если мне поможет. Боюсь там будет дофига функций. Единственная моя зацепка в том, что программа внизу окна пишет в статусбар сколько у меня есть лицензий. Я хоте софт асом найти облась памяти где она хранит эту строку, посмотреть на ближайшую функцию и уже ее искать в hex эдиторе. но как я и описывал у меня не получается искать в айсе.

 

 

Думаешь мне сможет IDA помочь?

 

QUOTE (testtest @ Feb 2 2005, 17:07)
А родной SPY из студии не пробовали?

это что?

 

Кажется понял о чем ты. Spy++ ?

Нет, он мне вряд ли поможет.

Sdílet tento příspěvek

Odkaz na příspěvek
Sdílet na ostatní stránky

Smith    0

Smith
Odesláno

IDA умеет вытаскивать всякую интересную информацию - иногда при линковке остаются оригинальные имена функций и переменных. Всякие CheckRegCode итд. Так же обычно можно найти текст о неправильной регистрации, по нему отследить кусок который его выдает - тк обычно это стандартная процедура и IDA может показать где этот текст выводится , а там уже пройтись выше - посмотреть условия.

Sdílet tento příspěvek

Odkaz na příspěvek
Sdílet na ostatní stránky

IUnknown    0

IUnknown
Odesláno

QUOTE (Smith @ Feb 2 2005, 18:12) IDA умеет вытаскивать всякую интересную информацию - иногда при линковке остаются оригинальные имена функций и переменных. Всякие CheckRegCode итд. Так же обычно можно найти текст о неправильной регистрации, по нему отследить кусок который его выдает - тк обычно это стандартная процедура и IDA может показать где этот текст выводится , а там уже пройтись выше - посмотреть условия.

А ты не мог бы мне намылить иду?

 

И еще. Я обнаружил, что пога регистрирует оконные классы как TfrmProxy, TPanel, TStaticText, TStatusBar. Вроде это классы дельфи, но ведь дельфиные файлы меньше 3 мега небывают. А этот екзешник размером всего ~600 Kb.

Sdílet tento příspěvek

Odkaz na příspěvek
Sdílet na ostatní stránky

Smith    0

Smith
Odesláno
А ты не мог бы мне намылить иду?

 

Увы - под рукой нет - да и намылить наврятли удалось бы. там архив больше 20 метров был.

 

И еще. Я обнаружил, что пога регистрирует оконные классы как TfrmProxy, TPanel, TStaticText, TStatusBar. Вроде это классы дельфи, но ведь дельфиные файлы меньше 3 мега небывают. А этот екзешник размером всего ~600 Kb.

Может быть запакован чем-то типа UPX - в таком случае геммору больше - искать распаковщик, под IDA писанны плагины, но я с этим не разбирался.

Sdílet tento příspěvek

Odkaz na příspěvek
Sdílet na ostatní stránky

IUnknown    0

IUnknown
Odesláno

Позвольте небольшей ремарк, он же итоги конкурса.

 

Вчера пр0грамма была успешно сл0мана собственными силами. Тем не менее в течение всего времени в приват обратились два человека, в том числе от одного из них было получено положительное решение проблемы.

 

Спасибо за помощь.

Sdílet tento příspěvek

Odkaz na příspěvek
Sdílet na ostatní stránky

OKV    0

OKV
Odesláno
Позвольте небольшей ремарк, он же итоги конкурса.

 

Вчера пр0грамма была успешно сл0мана собственными силами. Тем не менее в течение всего времени в приват обратились два человека, в том числе от одного из них было получено положительное решение проблемы.

 

Аплодисменты...

Помочь ничем не мог, но слушать было интересно.

Sdílet tento příspěvek

Odkaz na příspěvek
Sdílet na ostatní stránky

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Odpovědět na toto téma...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Přejít na přehled témat


  • Kdo si právě prohlíží tuto stránku

    Žádný registrovaný uživatel si neprohlíží tuto stránku