зеленый путь 2006

Discussion in 'Реверсинг' started by kajan, 18 Nov 2008.

  1. kajan

    kajan New Member

    Joined:
    18 Nov 2008
    Messages:
    20
    Likes Received:
    1
    Reputations:
    1
    Уважаемые форумчане!
    Обращаюсь к вам за помощью по-поводу взлома программы "Зеленый путь 2006" от Компан-Украина.
    Данная программа переписана с компьютера, по которому происходит обучение в автошколе, она свежая, не содержит ошибок, но к сожалению зашищена от копирования.
    Программа выдрана путем тупого копирования директории Green way 2006 из папки C:\Program Files\
    После копирования папки с программой (Green way 2006) на другой компьютер в директорию C:\Program Files\, при запуске файла ClassWin.exe происходит следующее:
    В папке с программой находится файл Registration.exe при запуске которого мы узнаем следующее:
    Перед первым запуском программы Вам необходимо пройти следующую процедуру регистрации:
    1. Заполните нижеперечисленные поля и нажмите кнопку "Регистрация".
    2. Откройте директорию C:/Program files/Green Way 2006/ и убедитесь в наличии файла "RegInfo.int".
    3. Файл "RegInfo.int" необходимо отправить по электронной почте фирме "Компан-Украина" на адрес: "office@kompan.com.ua".
    3. После обработки регистрационных данных на Ваш email будет отправлен файл активации "Product.key"
    4. Процедура регистрации заканчивается после записи файла "Product.key" в директорию C:/Program files/Green Way 2006/.
    5. Программа "Зеленый путь 2006" готова к работе.

    Благодарим за покупку.

    Телефон службы поддержки: (044) 407-61-32

    Файл RegInfo.int видимо как-то привязывает установленную программу к аппаратным средствам ПК. По содержимому этого файла генерится ключ Product.key, который позволяет запустить программу.

    Я уже несколько дней пытаюсь както сам обойти защиту но что больше я сижу то больше понимаю что один несправлюсь поетому помогите пожалуйста юному автомобилисту :)

    Вот програмка:
    http://upload.com.ua/get900384989

    Уже рабочая:
    http://torrents.ru/forum/viewtopic.php?t=1517603

    П.С знаю что похожый запрос уже писал кто-то но до конца никто нерешил проблему((
     
    #1 kajan, 18 Nov 2008
    Last edited: 5 Feb 2009
  2. ProTeuS

    ProTeuS --

    Joined:
    26 Nov 2004
    Messages:
    1,266
    Likes Received:
    542
    Reputations:
    445
    обы4ная аппаратная привязка. пока нет времени смотреть, может кто и поможет. а 4тобы я не прибивал топик, лу4еш бы помог и проделал хоть какую-то работу по взлому, написал результат проверки программы PEID'ом, на 4ем писана, протек4ена ли 4ем-то, ато не у всех есть возможность 50 метров ка4ать просто так вот
     
  3. kajan

    kajan New Member

    Joined:
    18 Nov 2008
    Messages:
    20
    Likes Received:
    1
    Reputations:
    1
  4. kajan

    kajan New Member

    Joined:
    18 Nov 2008
    Messages:
    20
    Likes Received:
    1
    Reputations:
    1
    PEID
    Encryption: 000B68BC
    FILE OFSET: 000B5CBC
    Linker Info: 2.25
    EP Section: CODE
    FIrst Bytes: 55, 8B, EC. 83
    Sybsystem: Win32 GUI

    Borland Delphi 6.0 - 7.0
     
    1 person likes this.
  5. ProTeuS

    ProTeuS --

    Joined:
    26 Nov 2004
    Messages:
    1,266
    Likes Received:
    542
    Reputations:
    445
    хоть 1 машина лицензированная есть с купленой версией? если да, то можно быстро крякнуть. шли атта4 сюда клю4евой файл и имя тома диска C:\ лиценизрованного компа
     
  6. ProTeuS

    ProTeuS --

    Joined:
    26 Nov 2004
    Messages:
    1,266
    Likes Received:
    542
    Reputations:
    445
    кстате порадовала прикоьная проверка на VmWare в софте)
     
  7. kajan

    kajan New Member

    Joined:
    18 Nov 2008
    Messages:
    20
    Likes Received:
    1
    Reputations:
    1
    я отосласл там в архиве файлы но именно назву тома ненаю(

    а лицензирована была только на компе в ГАИ, доступа туда нету
     
  8. ProTeuS

    ProTeuS --

    Joined:
    26 Nov 2004
    Messages:
    1,266
    Likes Received:
    542
    Reputations:
    445
    4итается хек, как я понял из файла лицензий, декриптится бловфишем и подс4итывается хеш от с4итаной апаратуры: метки тома и винтов в вистеме.
    вот код в цикле формирования одного из хешей
    00408ED9 |. E8 FA0B0000 CALL ClassWin.00409AD8 ; \ClassWin.00409AD8
    там код муторный в цикле, уныло трейсить руками, да и щас времени нет. если кто захо4ет - продолжит работу
     
  9. ProTeuS

    ProTeuS --

    Joined:
    26 Nov 2004
    Messages:
    1,266
    Likes Received:
    542
    Reputations:
    445
    и да
    вот код подс4ета SHA-1 хеша
    00487254 . 53 PUSH EBX

    последний бряк-это уже хешерования, "рядом" со сравнениями где-то

    вот мой предположительно с4итаный из файла хеш, рядом валялся в стеке хеш от моего железа
    0012FD28 00AD6ED0 ASCII "68FADCA37CD8A92467C0C1514AB7D8D09455FB6F"
    0012FD2C 00AD663C ASCII "C:\Documents and Settings\Administrator\Desktop\anti\Product.key"

    апд: а нет, вот функа далее, которая декриптит AES'ом лицензию с помощью про4итаного хеша 004829F8 . 55 PUSH EBP
     
    #9 ProTeuS, 19 Nov 2008
    Last edited: 19 Nov 2008
    1 person likes this.
  10. zeppe1in

    zeppe1in Elder - Старейшина

    Joined:
    12 Jul 2006
    Messages:
    352
    Likes Received:
    66
    Reputations:
    18
    RegInfo.int криптуеца twofish.
     
  11. kajan

    kajan New Member

    Joined:
    18 Nov 2008
    Messages:
    20
    Likes Received:
    1
    Reputations:
    1
    Вот походу информация какую собирает из компа файл REGISTRATION.exe
    [​IMG]
     
  12. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    915
    Likes Received:
    274
    Reputations:
    59
    Это не та информация, вас куда-то батенька занесло. Четко видно что это данные из ntdll библиотеки, которая никаким боком к защите сабжа не относится
     
  13. kajan

    kajan New Member

    Joined:
    18 Nov 2008
    Messages:
    20
    Likes Received:
    1
    Reputations:
    1
    Я покраснел))) ну ето моя одна с первых попиток крякнуть прогу))
    http://rapidshare.com/files/165388632/anti.rar.html
     
  14. zeppe1in

    zeppe1in Elder - Старейшина

    Joined:
    12 Jul 2006
    Messages:
    352
    Likes Received:
    66
    Reputations:
    18
    Registration.exe
    зашифровывает фаил twofish'ем. вот ключ)
    Code:
    36DE349E6CB7881F7B4697F6EAAD6AA06690CA4C00000000
    а вот что получилось с фаилом из гаи
    Code:
    .eФ 3„ACKаaF9нчЅ 2.2 Award Software International, Inc. 6.00 PG 04/09/2001 ABIT  6A69RA1U BIOS Rev:0.1 SL30TR01 <not set> SAMSUNG SV1021H PJ100-23 0272J1ER805089 19932192 10205282304 4 SHCOOL-87ACC6CC Auto 24.10.2007 11:55:17 IntelR - 42302e31 .1 rd Modular BIOS v6.00PG  AT/AT COMPATIBLE 04/09/01 2.2 Award Software International, Inc. 6.00 PG 04/09/2001 i815E-W83627HF ABIT  6A69RA1U BIOS Rev:0.1 SL30TR01 FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF Windows XP Professional 5.1.2600 Service Pack 2 55274-640-4302982-23427 Auto Shcool 14.05.2007 14:24:26 1  Pentium III 800 1 SAM1055 (Samsung SyncMaster 550b(T)) 1146106165 1 SV1021H PJ10 0272J1ER805089 SAMSUNG JetFlashTS2GJF150 Ы‹ОІ)CЯ«Јmc*
     
    1 person likes this.
  15. zeppe1in

    zeppe1in Elder - Старейшина

    Joined:
    12 Jul 2006
    Messages:
    352
    Likes Received:
    66
    Reputations:
    18
    значит вот расшифрованый файлик с оборудованием того компа.
    http://www.sendspace.com/file/cqzy01
    расшифровывать например свой фаил нужно начиная с байтов D3 1C 06 6A. ключом написаным выше. там небольшие проблемы с 1 и последней строкой, если надо напишу как решить.
    в ClassWin.exe ставим бряк на 00402680. и жмём в оли ф9 пока в стеке не увидим интерестные штуки. а там видно как собираеца инфа с компа в кучу.(даже в 2 кучи), а потом генеряца два хэша. второй зависит как раз от железа изменяя один байт меняеца весь хеш. ну а потом мы поподаем вместе со 2рым хешем в функцию о которой писал ProTeuS 004829F8 . 55 PUSH EBP
    у меня всё). по идее всё просто, у нас есть нужное железо из него мы генерим нужный хеш и в дамках). а на практике хз.)
     
  16. kajan

    kajan New Member

    Joined:
    18 Nov 2008
    Messages:
    20
    Likes Received:
    1
    Reputations:
    1
    но ведь ключевым файлом для запуска являеться Product.key
     
  17. kajan

    kajan New Member

    Joined:
    18 Nov 2008
    Messages:
    20
    Likes Received:
    1
    Reputations:
    1
    нужно наверно расшифровать продакт.кей чтобы видеть из чего он сосотои или создать как-то файл из таким хешом как нам надо, вот только как создать такой файл?(
     
  18. kajan

    kajan New Member

    Joined:
    18 Nov 2008
    Messages:
    20
    Likes Received:
    1
    Reputations:
    1
    помогите довести до конца ато я здесь спух уже а толку никакого((
     
  19. ProTeuS

    ProTeuS --

    Joined:
    26 Nov 2004
    Messages:
    1,266
    Likes Received:
    542
    Reputations:
    445
    вот тот самый расшифрованый файл

     
  20. zeppe1in

    zeppe1in Elder - Старейшина

    Joined:
    12 Jul 2006
    Messages:
    352
    Likes Received:
    66
    Reputations:
    18
    ээ нет. это RegInfo(SHCOOL-87ACC6CC).int