acdel
23.07.2009, 00:00
Переоценил себя, думал сломал но оказалось совсем не так все. Хорошо что тему не снесли, а то не так бы поняли если бы еще раз запостил.
Пациент AtomicMailSender (http://www.epochta.ru/download/mailer.exe) (дистр. 6.1 Мб)
Гружу софтину в ольку > F9 > Help/Registration > bp ShowWindow > ввожу серийник/ ОК и вываливаемся в отладчике здесь:
7E37AF56 U> B8 2B120000 MOV EAX,122B ; Тут бряк
7E37AF5B BA 0003FE7F MOV EDX,7FFE0300
7E37AF60 FF12 CALL DWORD PTR DS:[EDX]
7E37AF62 C2 0800 RETN 8
7E37AF65 837D 14 00 CMP DWORD PTR
Снимаем бряк, далее идем в конец функции по (Ctrl+F9), пока не вывалилось окно, жму ОК и приземляюсь здесь:
7E3776B6 C2 1000 RETN 10 ; Тут приземлился
7E3776B9 395D 10 CMP DWORD PTR SS:[EBP+10],EBX
7E3776BC 0F84 F7A40000 JE USER32.7E381BB9
7E3776C2 395D 0C CMP DWORD PTR SS:[EBP+C],EBX
7E3776C5 74 22 JE SHORT USER32.7E3776E9
7E3776C7 FF75 0C PUSH DWORD PTR SS:[EBP+C]
7E3776CA E8 441C0000 CALL USER32.IsWindow
7E3776CF 85C0 TEST EAX,EAX
7E3776D1 0F84 09140200 JE USER32.7E398AE0
7E3776D7 395D 0C CMP DWORD PTR SS:[EBP+C],EBX
7E3776DA 74 0D JE SHORT USER32.7E3776E9
7E3776DC 3BFB CMP EDI,EBX
7E3776DE 74 09 JE SHORT USER32.7E3776E9
7E3776E0 395D FC CMP DWORD PTR SS:[EBP-4],EBX
7E3776E3 0F84 B9700100 JE USER32.7E38E7A2
7E3776E9 8B4D 08 MOV ECX,DWORD PTR SS:[EBP+8] ; USER32.7E360000
7E3776EC B2 01 MOV DL,1
7E3776EE E8 2E510000 CALL USER32.7E37C821
7E3776F3 85C0 TEST EAX,EAX
7E3776F5 ^ 0F84 60FFFFFF JE USER32.7E37765B
7E3776FB F646 2B C0 TEST BYTE PTR DS:[ESI+2B],0C0
7E3776FF ^ 0F85 56FFFFFF JNZ USER32.7E37765B
7E377705 E8 021DFFFF CALL USER32.WaitMessage
7E37770A ^ E9 3EFFFFFF JMP USER32.7E37764D
Далее трассировал по F8 пока не вышел из функции и попал сюда:
005D766F . 50 PUSH EAX
005D7670 . 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
005D7673 . E8 F87AE9FF CALL _AtomicM.0046F170
005D7678 . 50 PUSH EAX ; |hOwner = 00000001
005D7679 . E8 1E19E3FF CALL <JMP.&user32.MessageBoxW> ; \MessageBoxW
005D767E > 33C0 XOR EAX,EAX ; тут вышли из функции
005D7680 . 5A POP EDX ; 0012F258
005D7681 . 59 POP ECX ; 0012F258
005D7682 . 59 POP ECX ; 0012F258
005D7683 . 64:8910 MOV DWORD PTR FS:[EAX],EDX
005D7686 . 68 CA765D00 PUSH _AtomicM.005D76CA
Спрашиваю у оли откуда мы пригаем сюда>> 005D767E > 33C0 XOR EAX,EAX
Она мне в ответ
EAX=00000001
Jumps from 005D7159, 005D7185, 005D71E3, 005D7229, 005D727C, 005D75C1, 005D75E6, 005D763A
Иду на самый верхний джамп 005D7159
005D7159 . /0F84 1F050000 JE _AtomicM.005D767E
005D715F . |6A 10 PUSH 10
005D7161 . |8D45 A8 LEA EAX,DWORD PTR SS:[EBP-58] ; Тут так понимаю наш код
005D7164 . |E8 6737F1FF CALL _AtomicM.004EA8D0
005D7169 . |8B45 A8 MOV EAX,DWORD PTR SS:[EBP-58]
005D716C . |E8 DFF0E2FF CALL _AtomicM.00406250
005D7171 . |50 PUSH EAX
005D7172 . |68 48775D00 PUSH _AtomicM.005D7748 ; UNICODE "This key is for Atomic Email Studio, but the program is not installed."
005D7177 . |8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
005D717A . |E8 F17FE9FF CALL _AtomicM.0046F170
005D717F . |50 PUSH EAX ; |hOwner = 00000001
005D7180 . |E8 171EE3FF CALL <JMP.&user32.MessageBoxW> ; \MessageBoxW
005D7185 . |E9 F4040000 JMP _AtomicM.005D767E
005D718A > |8B55 F8 MOV EDX,DWORD PTR SS:[EBP-8] ; Тут наш код
005D718D . |B8 E0775D00 MOV EAX,_AtomicM.005D77E0 ; ASCII "ATLK-"
005D7192 . |E8 21ECE2FF CALL _AtomicM.00405DB8
005D7197 . |48 DEC EAX
Там огляделся нашел какие-то серийники, точнее их части
ATLK3-
AMSES-
ASTU7-
ASTU7-
ATLK-
AMSES-
Дальше совсем потерялся, направьте на путь истинный новичка) Чуствую что совсем немного до кряка осталось)
Пациент AtomicMailSender (http://www.epochta.ru/download/mailer.exe) (дистр. 6.1 Мб)
Гружу софтину в ольку > F9 > Help/Registration > bp ShowWindow > ввожу серийник/ ОК и вываливаемся в отладчике здесь:
7E37AF56 U> B8 2B120000 MOV EAX,122B ; Тут бряк
7E37AF5B BA 0003FE7F MOV EDX,7FFE0300
7E37AF60 FF12 CALL DWORD PTR DS:[EDX]
7E37AF62 C2 0800 RETN 8
7E37AF65 837D 14 00 CMP DWORD PTR
Снимаем бряк, далее идем в конец функции по (Ctrl+F9), пока не вывалилось окно, жму ОК и приземляюсь здесь:
7E3776B6 C2 1000 RETN 10 ; Тут приземлился
7E3776B9 395D 10 CMP DWORD PTR SS:[EBP+10],EBX
7E3776BC 0F84 F7A40000 JE USER32.7E381BB9
7E3776C2 395D 0C CMP DWORD PTR SS:[EBP+C],EBX
7E3776C5 74 22 JE SHORT USER32.7E3776E9
7E3776C7 FF75 0C PUSH DWORD PTR SS:[EBP+C]
7E3776CA E8 441C0000 CALL USER32.IsWindow
7E3776CF 85C0 TEST EAX,EAX
7E3776D1 0F84 09140200 JE USER32.7E398AE0
7E3776D7 395D 0C CMP DWORD PTR SS:[EBP+C],EBX
7E3776DA 74 0D JE SHORT USER32.7E3776E9
7E3776DC 3BFB CMP EDI,EBX
7E3776DE 74 09 JE SHORT USER32.7E3776E9
7E3776E0 395D FC CMP DWORD PTR SS:[EBP-4],EBX
7E3776E3 0F84 B9700100 JE USER32.7E38E7A2
7E3776E9 8B4D 08 MOV ECX,DWORD PTR SS:[EBP+8] ; USER32.7E360000
7E3776EC B2 01 MOV DL,1
7E3776EE E8 2E510000 CALL USER32.7E37C821
7E3776F3 85C0 TEST EAX,EAX
7E3776F5 ^ 0F84 60FFFFFF JE USER32.7E37765B
7E3776FB F646 2B C0 TEST BYTE PTR DS:[ESI+2B],0C0
7E3776FF ^ 0F85 56FFFFFF JNZ USER32.7E37765B
7E377705 E8 021DFFFF CALL USER32.WaitMessage
7E37770A ^ E9 3EFFFFFF JMP USER32.7E37764D
Далее трассировал по F8 пока не вышел из функции и попал сюда:
005D766F . 50 PUSH EAX
005D7670 . 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
005D7673 . E8 F87AE9FF CALL _AtomicM.0046F170
005D7678 . 50 PUSH EAX ; |hOwner = 00000001
005D7679 . E8 1E19E3FF CALL <JMP.&user32.MessageBoxW> ; \MessageBoxW
005D767E > 33C0 XOR EAX,EAX ; тут вышли из функции
005D7680 . 5A POP EDX ; 0012F258
005D7681 . 59 POP ECX ; 0012F258
005D7682 . 59 POP ECX ; 0012F258
005D7683 . 64:8910 MOV DWORD PTR FS:[EAX],EDX
005D7686 . 68 CA765D00 PUSH _AtomicM.005D76CA
Спрашиваю у оли откуда мы пригаем сюда>> 005D767E > 33C0 XOR EAX,EAX
Она мне в ответ
EAX=00000001
Jumps from 005D7159, 005D7185, 005D71E3, 005D7229, 005D727C, 005D75C1, 005D75E6, 005D763A
Иду на самый верхний джамп 005D7159
005D7159 . /0F84 1F050000 JE _AtomicM.005D767E
005D715F . |6A 10 PUSH 10
005D7161 . |8D45 A8 LEA EAX,DWORD PTR SS:[EBP-58] ; Тут так понимаю наш код
005D7164 . |E8 6737F1FF CALL _AtomicM.004EA8D0
005D7169 . |8B45 A8 MOV EAX,DWORD PTR SS:[EBP-58]
005D716C . |E8 DFF0E2FF CALL _AtomicM.00406250
005D7171 . |50 PUSH EAX
005D7172 . |68 48775D00 PUSH _AtomicM.005D7748 ; UNICODE "This key is for Atomic Email Studio, but the program is not installed."
005D7177 . |8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
005D717A . |E8 F17FE9FF CALL _AtomicM.0046F170
005D717F . |50 PUSH EAX ; |hOwner = 00000001
005D7180 . |E8 171EE3FF CALL <JMP.&user32.MessageBoxW> ; \MessageBoxW
005D7185 . |E9 F4040000 JMP _AtomicM.005D767E
005D718A > |8B55 F8 MOV EDX,DWORD PTR SS:[EBP-8] ; Тут наш код
005D718D . |B8 E0775D00 MOV EAX,_AtomicM.005D77E0 ; ASCII "ATLK-"
005D7192 . |E8 21ECE2FF CALL _AtomicM.00405DB8
005D7197 . |48 DEC EAX
Там огляделся нашел какие-то серийники, точнее их части
ATLK3-
AMSES-
ASTU7-
ASTU7-
ATLK-
AMSES-
Дальше совсем потерялся, направьте на путь истинный новичка) Чуствую что совсем немного до кряка осталось)