XRumer 5.04 реверсинг

hardware id
если кому и поможет(

Code:

unit ProgressUnit;

interface

uses
  Windows, Messages, SysUtils, Classes, Graphics,
  Controls, Forms, Dialogs, StdCtrls
type
  TProgressForm=class(TForm)
    TeProgressBar1: TTeProgressBar;
    Timer1: TTimer;
    procedure FormShow(Sender : TObject);
    procedure FormClose(Sender : TObject);
    procedure FormHide(Sender : TObject);
    procedure Timer1Timer(Sender : TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end ;

var
  ProgressForm: TProgressForm;


implementation

{$R *.DFM}

procedure TProgressForm.FormShow(Sender : TObject);
begin
(*
005998EC   55                     push    ebp
005998ED   8BEC                   mov     ebp, esp
005998EF   83C4F8                 add     esp, -$08
005998F2   8955F8                 mov     [ebp-$08], edx
005998F5   8945FC                 mov     [ebp-$04], eax
005998F8   8B1548FC6F00           mov     edx, [$006FFC48]
005998FE   8B12                   mov     edx, [edx]
00599900   8B45FC                 mov     eax, [ebp-$04]

* Reference to : TTeThemeEngine._PROC_00598D7C()
|
00599903   E874F4FFFF             call    00598D7C
00599908   B201                   mov     dl, $01
0059990A   8B45FC                 mov     eax, [ebp-$04]

* Reference to control TProgressForm.Timer1 : TTimer
|
0059990D   8B8064030000           mov     eax, [eax+$0364]

* Reference to : TPage._PROC_0044B124()
|
00599913   E80C18EBFF             call    0044B124
00599918   59                     pop     ecx
00599919   59                     pop     ecx
0059991A   5D                     pop     ebp
0059991B   C3                     ret

*)
end;

procedure TProgressForm.FormClose(Sender : TObject);
begin
(*
0059991C   55                     push    ebp
0059991D   8BEC                   mov     ebp, esp
0059991F   83C4F4                 add     esp, -$0C
00599922   894DF4                 mov     [ebp-$0C], ecx
00599925   8955F8                 mov     [ebp-$08], edx
00599928   8945FC                 mov     [ebp-$04], eax
0059992B   33D2                   xor     edx, edx
0059992D   8B45FC                 mov     eax, [ebp-$04]

* Reference to control TProgressForm.Timer1 : TTimer
|
00599930   8B8064030000           mov     eax, [eax+$0364]

* Reference to : TPage._PROC_0044B124()
|
00599936   E8E917EBFF             call    0044B124
0059993B   8BE5                   mov     esp, ebp
0059993D   5D                     pop     ebp
0059993E   C3                     ret

*)
end;

procedure TProgressForm.FormHide(Sender : TObject);
begin
(*
00599940   55                     push    ebp
00599941   8BEC                   mov     ebp, esp
00599943   83C4F8                 add     esp, -$08
00599946   8955F8                 mov     [ebp-$08], edx
00599949   8945FC                 mov     [ebp-$04], eax
0059994C   33D2                   xor     edx, edx
0059994E   8B45FC                 mov     eax, [ebp-$04]

* Reference to control TProgressForm.Timer1 : TTimer
|
00599951   8B8064030000           mov     eax, [eax+$0364]

* Reference to : TPage._PROC_0044B124()
|
00599957   E8C817EBFF             call    0044B124
0059995C   59                     pop     ecx
0059995D   59                     pop     ecx
0059995E   5D                     pop     ebp
0059995F   C3                     ret

*)
end;

procedure TProgressForm.Timer1Timer(Sender : TObject);
begin
(*
00599960   55                     push    ebp
00599961   8BEC                   mov     ebp, esp
00599963   33C9                   xor     ecx, ecx
00599965   51                     push    ecx
00599966   51                     push    ecx
00599967   51                     push    ecx
00599968   51                     push    ecx
00599969   51                     push    ecx
0059996A   8955F8                 mov     [ebp-$08], edx
0059996D   8945FC                 mov     [ebp-$04], eax
00599970   33C0                   xor     eax, eax
00599972   55                     push    ebp

* Possible String Reference to: 'йґ»жялл‹е]Г'
|
00599973   68139A5900             push    $00599A13

***** TRY
|
00599978   64FF30                 push    dword ptr fs:[eax]
0059997B   648920                 mov     fs:[eax], esp
0059997E   8D45F0                 lea     eax, [ebp-$10]
00599981   50                     push    eax
00599982   8B0D48FC6F00           mov     ecx, [$006FFC48]
00599988   8B09                   mov     ecx, [ecx]

* Possible String Reference to: 'SELFCAPTION'
|
0059998A   BA289A5900             mov     edx, $00599A28

* Possible String Reference to: 'ProgressForm'
|
0059998F   B83C9A5900             mov     eax, $00599A3C

|
00599994   E89BFBFFFF             call    00599534
00599999   FF75F0                 push    dword ptr [ebp-$10]
0059999C   68549A5900             push    $00599A54
005999A1   8B45FC                 mov     eax, [ebp-$04]

* Reference to control TProgressForm.TeProgressBar1 : TTeProgressBar
|
005999A4   8B8060030000           mov     eax, [eax+$0360]
005999AA   DB80A8020000           fild    dword ptr [eax+$02A8]
005999B0   8B45FC                 mov     eax, [ebp-$04]

* Reference to control TProgressForm.TeProgressBar1 : TTeProgressBar
|
005999B3   8B8060030000           mov     eax, [eax+$0360]
005999B9   DB80A0020000           fild    dword ptr [eax+$02A0]
005999BF   DEF9                   fdivp   st(1), st(0)
005999C1   D80D589A5900           fmul    dword ptr [$00599A58]

* Reference to : TInterfacedObject._PROC_004038B0()
|
005999C7   E8E49EE6FF             call    004038B0
005999CC   52                     push    edx
005999CD   50                     push    eax
005999CE   8D45EC                 lea     eax, [ebp-$14]

|
005999D1   E87A31E7FF             call    0040CB50
005999D6   FF75EC                 push    dword ptr [ebp-$14]
005999D9   68649A5900             push    $00599A64
005999DE   8D45F4                 lea     eax, [ebp-$0C]
005999E1   BA04000000             mov     edx, $00000004

* Reference to : TInterfacedObject._PROC_004061AC()
|
005999E6   E8C1C7E6FF             call    004061AC
005999EB   8B55F4                 mov     edx, [ebp-$0C]
005999EE   A1D8317600             mov     eax, dword ptr [$007631D8]

|
005999F3   E83C64ECFF             call    0045FE34
005999F8   33C0                   xor     eax, eax
005999FA   5A                     pop     edx
005999FB   59                     pop     ecx
005999FC   59                     pop     ecx
005999FD   648910                 mov     fs:[eax], edx

****** FINALLY
|

* Possible String Reference to: '‹е]Г'
|
00599A00   681A9A5900             push    $00599A1A
00599A05   8D45EC                 lea     eax, [ebp-$14]
00599A08   BA03000000             mov     edx, $00000003

* Reference to : TInterfacedObject._PROC_00405E3C()
|
00599A0D   E82AC4E6FF             call    00405E3C
00599A12   C3                     ret


* Reference to : TInterfacedObject._PROC_004055CC()
|
00599A13   E9B4BBE6FF             jmp     004055CC
00599A18   EBEB                   jmp     00599A05

****** END
|
00599A1A   8BE5                   mov     esp, ebp
00599A1C   5D                     pop     ebp
00599A1D   C3                     ret

*)
end;

end.

 

Code:

 .text:0045FD30 mov     eax, edi
.text:0045FD32 mov     si, 0FFCDh
.text:0045FD36 call    sub_404FF4
.text:0045FD3B mov     [edi+57h], bl
.text:0045FD3E push    0
.text:0045FD40 movzx   ecx, bl
.text:0045FD43 mov     edx, 0B00Bh
.text:0045FD48 mov     eax, edi
.text:0045FD4A call    sub_461128
.text:0045FD4F mov     eax, edi
.text:0045FD51 mov     edx, [eax]
.text:0045FD53 call    dword ptr [ed

Вот тут вроде формируется проверка hardware id.. (5.02)

Вообщем тому кому интересно и кто соображает - стучимся...

 

оффтоп

зачем выкладывать километровые результаты работы DeDe ? кому надо может сам воспользоваться, достаточно было привести для примера адрес обработчика соответствующего

 

1) Не уверен что версии совпадают
2) Не уверен что есть вообще хрумер

ps: 2-e - ida

++ .text:0047E72C

 

а 5.0x где то в сети есть (не демо с оффсайта) а рабочая после привязки ?

 

5ого в сети не видел.

видел full4 exe.... 4ка..

ps вроде получилось убрать проверку id...
смотрим где-то тут: .text:0067F9EB

ps2 только что узнал что 5.02 от 5.04 ехе не отличаются...

 

вот я какои то 5 хрумер нашол.
http://www.bizzytalk.com/xrumer/

и такие php фаили тоже нашол

http://rapidshare.com/files/200007091/www.zip

 

Очень буду благодарен если кто подскажет где искать ответ на ответ от сервера на лицензионность. Найти никак не могу(

Есть предположение что тут: .text:0047F2F3
но я не уверен.

выше выложены ссылки на хрумер... теперь все могут попробовать в нем покопаться...

 

В дополнение тем кто будет реверсить скажу: через Nнное кол-во перезапусков он отказывается вообще запускаться...
решается заменой всего оригинальными файлами (кроме exe ессно)

 

Ищем тут: .text:0067FBDD

 

Ответ от сервера на лицензионность имеет что-то вроде:
203cb682ab48075b944b37142d154b60@XRumer123b421b124y79K-//- @DDDH321[b154]b421!y79&K-!!---- =HRR-JVIUJQDK;Thats all XUPDATES2006=On site: XUPDATES2006...который формируицо на основе переданных программой данных.От верности этих даных зависит, будет прога постить или нет

 

Возможно это помогает:

3x Key.lic и другой xrumer_key.txt

http://rapidshare.com/files/215268506/key.rar.html

 

Пятый хрумер фулл + куча всего. Кто ж его поломает то)))

Архив содержит:
full5.rar - xrumer v5.07 (5.0.0.747) - полная версия (с сайта botmasterru.com)
all_avatars.zip - набор аватар (с сайта botmasterru.com)
control.exe - контроль приложения на отключение (с сайта botmasterru.com)
Help.exe - русский хелп по хрумеру 5 версии (с сайта botmasterru.com)
hrefer.rar - hrefer v2.98 (с сайта botmasterru.com)
mgen.exe
rgen.exe
secure.exe
www.botmasterru.com.txt - логин и пароль.
xrumer_key.txt - ключ
XrumerAddin-Setup.msi

Линк:
http://rapidshare.com/files/242898861/xrumer_v5.07_full_pack.rar.html
Пароль: язнаюпароль

Итак, хрумер пытается соедениться с серверами:
http://www.botmaster.ru
http://botmaster.ru
http://www.toplib.ru
http://toplib.ru

Примерный запрос хрумера на сервер со скриптом rem.php (на botmaster.ru такой же скрипт):

http://www.toplib.ru/crash/rem.php?from=nsys&d00=crash&rpp=7848&tcrep=DDpmmzugK2zD&d11=luMEDA==&d22=c4x7jaUmj3zjYQ==&d33=yA==&d44=KXOKDqE9&clienttime=19:52:58&clientdate=19.05.2008

Все принятые\переданные данные хрумеров можно посмотреть через прогу CaptureNet. Может кто поковыряет этот скрипт?)) Ссылка есть выше на него.. Но тут ещё проблемка.. хрумеру пофиг на виртуальный сервер.. даже если в хостс будут прописаны его родные серваки, он всё равно будет лезть в интернет.

 

Кто его способен поломать или купить - у того он есть,
а у кого он есть - прекрасно знает, почему нельзя такой софт делать общедоступным. И дело совсем не в 500$, которые он стоит...

 

Да понятно что будет, если он в паблик пойдет рабочий.. 8) Тут есть программеры на пхп?

 

форум большой, много кого есть

 

ССылка неработает. Перезалей, плз.

 

Да, пожалуйста, мне нужно это слишком. Может ли кто-нибудь повторно загрузить его?
Большое спасибо.

 

Перезалил: http://depositfiles.com/files/8p0t935qo
Пароль: язнаюпароль

 

Спасибо. Скачал.
Могу сказать,что демку 5.05 я уговорил поработать на меня. В частности меняю на свое:
- название топика;
- текст сообщения (но в нем должно быть слово xrumer, проверку пока не обошел);
- текст подписи;
- логин и пасс для регистрации.
Уговорил работать в многопоточном режиме.
Пустил демку через proxyfier и tor.
Ну и, естественно, не сижу и не нажимаю каждый раз на кнопку Тест>>>.
На сегодня из 25000 тысяч пробито успешных чуть более 4000. Возможно в демке урезан функционал пробива.
Все это написал не для того, чтобы похвастаться, а для того, чтобы у тех, кто бьется над этой темой не опускались руки.
С уважением отношусь к разработчикам и их продукту, если заработаю на этом поприще (я в SEO новичок), то приобрету лицензионную.