Нужна помощь в исследовании.

Discussion in 'Реверсинг' started by m0le[x], 19 May 2009.

  1. m0le[x]

    m0le[x] Wardriver

    Joined:
    25 Oct 2006
    Messages:
    801
    Likes Received:
    580
    Reputations:
    105
    В общем, помогите пожалуйста разобраться с одной программой. Я в реверсе новичок, так что сильно не пинайте(
    Нашел в программе функцию вызова окна о неверном коде, выше увидел процедуру генерации серейника по имени, все вроде нормально, серийник генерится правильный, программа регается.
    Теперь хотел попробовать жесткий взлом, нашел переход jnz, поменял флаг, проверил, вылетает окно об успешной регистрации, поменял jnz на jmp, сохранил изменения, все изменения заносятся в dllку. Запускаю прогу, ввожу левые данные, окно об успешной регистрации вылетает, но не все так просто и программа не регается(
    Так же в дире с программой есть еще одна dllka auth.dll запакованная UPX, подозрения, что именно туда что то пишется. Короче помогите пожалуйста разобраться дальше по коду, и куда все таки заносятся данные об успешной регистрации. Код выкладывать не стал, выложу инсталлер программы:

    Скачать dump.ru(1.52 Mb)
    Скачать ifolder.ru(1.52 Mb)

    Заранее спасибо.
     
  2. s0l_ir0n

    s0l_ir0n Active Member

    Joined:
    14 Mar 2009
    Messages:
    399
    Likes Received:
    143
    Reputations:
    18
    Хоть бы наработками поделился, в каком месте застрял, что в стеке, что в регистрах.
    На сколько я помню в продуктах ImToo юзается RSA-256(кигенил пару их продуктов). Этот еще не смотрел.
    ---------
    Ахахаха! вааще лоловская защита :D
    Code:
    100044E4  |.  E8 37350100   call    UILib71.?IsValidRegInfo@ImRegDlg>
    Соответственно верефикация серала проходит в либе UILib71.
    Поэтому заходим в нее и переходим к проверке по адресу 10017A20 и меняем
    Code:
    10017A20 >/$  6A FF         push    -1
    10017A22  |.  68 FF0E0210   push    UILib71.10020EFF                 ;  SE handler installation
    
    На
    Code:
    10017A20 >    B0 01         mov     al, 1
    10017A22      C3            ret
    
    Вот и все
     
    #2 s0l_ir0n, 19 May 2009
    Last edited: 19 May 2009
    2 people like this.
  3. m0le[x]

    m0le[x] Wardriver

    Joined:
    25 Oct 2006
    Messages:
    801
    Likes Received:
    580
    Reputations:
    105
    Да уж действительно... блин спасибо большое.
     
Loading...