Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Реверсинг (https://forum.antichat.xyz/forumdisplay.php?f=94)
-   -   Нужна помощь в исследовании. (https://forum.antichat.xyz/showthread.php?t=121333)

m0le[x] 19.05.2009 12:17
Нужна помощь в исследовании.
 
В общем, помогите пожалуйста разобраться с одной программой. Я в реверсе новичок, так что сильно не пинайте(
Нашел в программе функцию вызова окна о неверном коде, выше увидел процедуру генерации серейника по имени, все вроде нормально, серийник генерится правильный, программа регается.
Теперь хотел попробовать жесткий взлом, нашел переход jnz, поменял флаг, проверил, вылетает окно об успешной регистрации, поменял jnz на jmp, сохранил изменения, все изменения заносятся в dllку. Запускаю прогу, ввожу левые данные, окно об успешной регистрации вылетает, но не все так просто и программа не регается(
Так же в дире с программой есть еще одна dllka auth.dll запакованная UPX, подозрения, что именно туда что то пишется. Короче помогите пожалуйста разобраться дальше по коду, и куда все таки заносятся данные об успешной регистрации. Код выкладывать не стал, выложу инсталлер программы:

Скачать dump.ru(1.52 Mb)
Скачать ifolder.ru(1.52 Mb)

Заранее спасибо.

s0l_ir0n 19.05.2009 14:15
Хоть бы наработками поделился, в каком месте застрял, что в стеке, что в регистрах.
На сколько я помню в продуктах ImToo юзается RSA-256(кигенил пару их продуктов). Этот еще не смотрел.
---------
Ахахаха! вааще лоловская защита :D
Код:
100044E4  |.  E8 37350100  call    UILib71.?IsValidRegInfo@ImRegDlg>
Соответственно верефикация серала проходит в либе UILib71.
Поэтому заходим в нее и переходим к проверке по адресу 10017A20 и меняем
Код:
10017A20 >/$  6A FF        push    -1
10017A22  |.  68 FF0E0210  push    UILib71.10020EFF                ;  SE handler installation
На
Код:
10017A20 >    B0 01        mov    al, 1
10017A22      C3            ret
Вот и все

m0le[x] 19.05.2009 14:50
Да уж действительно... блин спасибо большое.


Время: 04:56