Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Реверсинг (https://forum.antichat.xyz/forumdisplay.php?f=94)
-   -   HidCrackMeImp (https://forum.antichat.xyz/showthread.php?t=30521)

hidden 04.01.2007 01:06
HidCrackMeImp
 
Вложений: 1
Вот мой новый крякми, должен быть интерестным, и не слишком простым, во всяком случае необычным ;)

Язык: fasm
Защита: Зашифрован и разшифровователь метоморфиторован.
Нововведение: Интерфейс и Импортер
Прошли:
1) ProTeuS
2) Ra$cal
3) TAHA

После егистрации в заголовке должно появится Registred

ProTeuS 04.01.2007 01:36
00401720 837d 0c 02 Cmp Dword Ptr Ss:[ebp+c],2

по видимому, проверка здесь

hidden 04.01.2007 01:41
Цитата:
Сообщение от ProTeuS
00401720 837d 0c 02 Cmp Dword Ptr Ss:[ebp+c],2

по видимому, проверка здесь
Неа... Это одработчик WM_DESTROY ;)
А вообще это не звучит как ключь или патчь ;)

ProTeuS 04.01.2007 01:48
ага, уже вижу 4то там код обработ4иком нажатий, пертастикания мыши етц

>>А вообще это не звучит как ключь или патчь
ага, мы пока обсуждаем, не вертолеты, епт )

ProTeuS 04.01.2007 01:49
>>Защита: Зашифрован и разшифровователь метоморфиторован.
хых, hidden, это называется декриптор )

ЗЫ: 4ето я там только СМК видил, никаких метаморфных мутаций...

hidden 04.01.2007 02:00
Цитата:
Сообщение от ProTeuS
ЗЫ: 4ето я там только СМК видил, никаких метаморфных мутаций...
Это потому-что у тебя только одна версия, после перекомпиляции, было бы уже подругома, хотя это не столь важно для крякми :)

ProTeuS 04.01.2007 02:04
слабо верится )
лан...

ну вроде тут какие-то замысловатые проверки

00401598 EX D0000000 JNZ HidCreck.0040166D

taha 04.01.2007 02:05
посл вот этой функции:
00401009 E8 02040000 CALL HidCreck.00401410
подгрузились новые библиотеки и я понял что нужна туды зайти

Код:
00401421  AC              LODS BYTE PTR DS:[ESI]
00401422  3C FD            CMP AL,0FD
00401424  77 33            JA SHORT HidCreck.00401459
00401426  74 2D            JE SHORT HidCreck.00401455
00401428  88C4            MOV AH,AL
0040142A  FF76 FF          PUSH DWORD PTR DS:[ESI-1]
0040142D  FF36            PUSH DWORD PTR DS:[ESI]
0040142F  57              PUSH EDI
00401430  E8 30FFFFFF      CALL HidCreck.00401365
00401435  75 07            JNZ SHORT HidCreck.0040143E
00401437  50              PUSH EAX
00401438  57              PUSH EDI
00401439  E8 77FFFFFF      CALL HidCreck.004013B5
0040143E  66:8338 8B      CMP WORD PTR DS:[EAX],0FF8B
00401442  75 03            JNZ SHORT HidCreck.00401447
00401444  83C0 02          ADD EAX,2
00401447  83E8 04          SUB EAX,4
0040144A  29F0            SUB EAX,ESI
0040144C  C646 FF E9      MOV BYTE PTR DS:[ESI-1],0E9
00401450  8906            MOV DWORD PTR DS:[ESI],EAX
00401452  AD              LODS DWORD PTR DS:[ESI]
00401453  ^EB CC            JMP SHORT HidCreck.00401421
Подгружает библиотеки и функции. Если бряк по середине поставить и жать f9 то в eax адреса функций. Просмотрел подгружаемыые апи пока ни чего подозрительного.

hidden 04.01.2007 02:11
Цитата:
Сообщение от ProTeuS
слабо верится )
лан...

ну вроде тут какие-то замысловатые проверки

00401598 EX D0000000 JNZ HidCreck.0040166D
Эти "замысловатые проверки" :) проверяют, находится ли точка внутри прямоугольника.

ProTeuS 04.01.2007 02:28
я был прав )
завтра продолжим - заодно народу поприбавится


Время: 18:29
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице