eXTracted INternals

eXTracted INternals
 
ФорумФорум  ЧаВоЧаВо  ПоискПоиск  РегистрацияРегистрация  ПользователиПользователи  ГруппыГруппы  Вход  

Поделиться | 
 

 Вопрос к гуру по новой навесной защите

Предыдущая тема Следующая тема Перейти вниз 
АвторСообщение
arger



Количество сообщений : 2
Дата регистрации : 2007-03-13

СообщениеТема: Вопрос к гуру по новой навесной защите   Вт 13 Мар - 8:16

Столкнулся тут с маленькой прогой для хим. расчетов http://www.elchsoft.com/DigiElch/DigiElch.zip (1.8Мб)
Защита, похоже навесная, после запуска прога лезет на сайт www.copyminder.com, проверяется по базе и если все ОК запускается.
Привязывается к конфигурации.
Интересно было бы узнать мнение специалистов по вопросу стойкости. Можно хотя бы остановить триал?
Вернуться к началу Перейти вниз
Посмотреть профиль
Hex

avatar

Количество сообщений : 397
Возраст : 35
Дата регистрации : 2006-07-12

СообщениеТема: Re: Вопрос к гуру по новой навесной защите   Ср 14 Мар - 0:59

Здесь гуру нет, потому что ты пришел за информацией, а не за духовным наставлением Smile

Прикольно, код который трейсит сам себя без внешнего отладчика. Я давно думал как такое можно написать, оказывается все-таки можно и люди сделали.

OEP RVA= B05C8
Импорт вроде как есть в чистом виде в самом EXE
import RVA=F89FC. size = 118

Но все таки прога еще не хочет запускаться. Потому что имена импортируемых функций испорчены. Надо сдампить импорт в запущеном состоянии. У меня она чо-то на серваке даже в триальный режим не хочет входить.
Вернуться к началу Перейти вниз
Посмотреть профиль
arger



Количество сообщений : 2
Дата регистрации : 2007-03-13

СообщениеТема: Re: Вопрос к гуру по новой навесной защите   Ср 14 Мар - 10:15

Спасибо Hex, что обратил внимание!
На триал тоже надо получить "добро" с www.copyminder.com. Помнится там надо заполнить простую форму и указать мыл(можно левый), после чего дают триал на 14 дней. Триал-мод функционален, но не дает сохранять и распечатывать.
Похоже уже сборка неск. другая вот новый дамп работающей проги - http://ifolder.ru/1382434
Хотелось бы еще понять, что за файлы *.cm и чем занимается dll ?
Вернуться к началу Перейти вниз
Посмотреть профиль
Hex

avatar

Количество сообщений : 397
Возраст : 35
Дата регистрации : 2006-07-12

СообщениеТема: Re: Вопрос к гуру по новой навесной защите   Пн 19 Мар - 23:59

.cm - код защиты. Это position independent код. Можешь его открыть идой как x86 код и все увидишь. Чо делает dll - хз.

Чтобы дамп начал запускаться, надо восстановить импорт и поменять размер заголовков в PE. А то протектор пишет туда 0x300. А надо чтобы в дампе было 0x400.

Твой дамп мне не подошел, как будто совсем другая версия программы.
У тебя OEP RVA: AB022.
Поэтому надо чтобы ты еще и импорт сдампил сам. И нужно сделать дамп на OEP. Потому есть много глобальных переменных, которые уже инициализированы чем-то, а код на старте пытается использовать готовые значения.

p.s. в дампе еще есть куча антидебажного кода и какие-то вызовы в протектор.
Вернуться к началу Перейти вниз
Посмотреть профиль
Спонсируемый контент




СообщениеТема: Re: Вопрос к гуру по новой навесной защите   

Вернуться к началу Перейти вниз
 
Вопрос к гуру по новой навесной защите
Предыдущая тема Следующая тема Вернуться к началу 
Страница 1 из 1

Права доступа к этому форуму:Вы не можете отвечать на сообщения
eXTracted INternals :: Вопросы и ответы :: Общий форум-
Перейти: