AtomicMailSender [первый кряк]

Discussion in 'Реверсинг' started by acdel, 23 Jul 2009.

  1. acdel

    acdel Elder - Старейшина

    Joined:
    7 Jan 2008
    Messages:
    131
    Likes Received:
    57
    Reputations:
    3
    Переоценил себя, думал сломал но оказалось совсем не так все. Хорошо что тему не снесли, а то не так бы поняли если бы еще раз запостил.

    Пациент AtomicMailSender (дистр. 6.1 Мб)


    Гружу софтину в ольку > F9 > Help/Registration > bp ShowWindow > ввожу серийник/ ОК и вываливаемся в отладчике здесь:

    Code:
    [B]7E37AF56 U>  B8 2B120000                MOV EAX,122B[/B] ; Тут бряк
    7E37AF5B     BA 0003FE7F                MOV EDX,7FFE0300
    7E37AF60     FF12                       CALL DWORD PTR DS:[EDX]
    7E37AF62     C2 0800                    RETN 8
    7E37AF65     837D 14 00                 CMP DWORD PTR 
    
    Снимаем бряк, далее идем в конец функции по (Ctrl+F9), пока не вывалилось окно, жму ОК и приземляюсь здесь:

    Code:
    [B]7E3776B6     C2 1000                    RETN 10  [/B] ; Тут приземлился
    7E3776B9     395D 10                    CMP DWORD PTR SS:[EBP+10],EBX 
    7E3776BC     0F84 F7A40000              JE USER32.7E381BB9
    7E3776C2     395D 0C                    CMP DWORD PTR SS:[EBP+C],EBX
    7E3776C5     74 22                      JE SHORT USER32.7E3776E9
    7E3776C7     FF75 0C                    PUSH DWORD PTR SS:[EBP+C]
    7E3776CA     E8 441C0000                CALL USER32.IsWindow
    7E3776CF     85C0                       TEST EAX,EAX
    7E3776D1     0F84 09140200              JE USER32.7E398AE0
    7E3776D7     395D 0C                    CMP DWORD PTR SS:[EBP+C],EBX
    7E3776DA     74 0D                      JE SHORT USER32.7E3776E9
    7E3776DC     3BFB                       CMP EDI,EBX
    7E3776DE     74 09                      JE SHORT USER32.7E3776E9
    7E3776E0     395D FC                    CMP DWORD PTR SS:[EBP-4],EBX
    7E3776E3     0F84 B9700100              JE USER32.7E38E7A2
    7E3776E9     8B4D 08                    MOV ECX,DWORD PTR SS:[EBP+8]                      ; USER32.7E360000
    7E3776EC     B2 01                      MOV DL,1
    7E3776EE     E8 2E510000                CALL USER32.7E37C821
    7E3776F3     85C0                       TEST EAX,EAX
    7E3776F5   ^ 0F84 60FFFFFF              JE USER32.7E37765B
    7E3776FB     F646 2B C0                 TEST BYTE PTR DS:[ESI+2B],0C0
    7E3776FF   ^ 0F85 56FFFFFF              JNZ USER32.7E37765B
    7E377705     E8 021DFFFF                CALL USER32.WaitMessage
    7E37770A   ^ E9 3EFFFFFF                JMP USER32.7E37764D
    

    Далее трассировал по F8 пока не вышел из функции и попал сюда:


    Code:
    005D766F    .  50                       PUSH EAX
    005D7670    .  8B45 FC                  MOV EAX,DWORD PTR SS:[EBP-4]
    005D7673    .  E8 F87AE9FF              CALL _AtomicM.0046F170
    005D7678    .  50                       PUSH EAX                                          ; |hOwner = 00000001
    005D7679    .  E8 1E19E3FF              CALL <JMP.&user32.MessageBoxW>                    ; \MessageBoxW
    [B]005D767E    >  33C0                     XOR EAX,EAX[/B] ; тут вышли из функции
    005D7680    .  5A                       POP EDX                                           ;  0012F258
    005D7681    .  59                       POP ECX                                           ;  0012F258
    005D7682    .  59                       POP ECX                                           ;  0012F258
    005D7683    .  64:8910                  MOV DWORD PTR FS:[EAX],EDX
    005D7686    .  68 CA765D00              PUSH _AtomicM.005D76CA
    
    Спрашиваю у оли откуда мы пригаем сюда>> 005D767E > 33C0 XOR EAX,EAX

    Она мне в ответ
    EAX=00000001
    Jumps from 005D7159, 005D7185, 005D71E3, 005D7229, 005D727C, 005D75C1, 005D75E6, 005D763A


    Иду на самый верхний джамп 005D7159

    Code:
    [B]005D7159    . /0F84 1F050000            JE _AtomicM.005D767E[/B] 
    005D715F    . |6A 10                    PUSH 10
    005D7161    . |8D45 A8                  LEA EAX,DWORD PTR SS:[EBP-58] ; Тут так понимаю наш код
    005D7164    . |E8 6737F1FF              CALL _AtomicM.004EA8D0
    005D7169    . |8B45 A8                  MOV EAX,DWORD PTR SS:[EBP-58]
    005D716C    . |E8 DFF0E2FF              CALL _AtomicM.00406250
    005D7171    . |50                       PUSH EAX
    005D7172    . |68 48775D00              PUSH _AtomicM.005D7748                            ;  UNICODE "This key is for Atomic Email Studio, but the program is not installed."
    005D7177    . |8B45 FC                  MOV EAX,DWORD PTR SS:[EBP-4]
    005D717A    . |E8 F17FE9FF              CALL _AtomicM.0046F170
    005D717F    . |50                       PUSH EAX                                          ; |hOwner = 00000001
    005D7180    . |E8 171EE3FF              CALL <JMP.&user32.MessageBoxW>                    ; \MessageBoxW
    005D7185    . |E9 F4040000              JMP _AtomicM.005D767E
    005D718A    > |8B55 F8                  MOV EDX,DWORD PTR SS:[EBP-8] ; Тут наш код
    005D718D    . |B8 E0775D00              MOV EAX,_AtomicM.005D77E0                         ;  ASCII "ATLK-"
    005D7192    . |E8 21ECE2FF              CALL _AtomicM.00405DB8
    005D7197    . |48                       DEC EAX
    
    
    
    Там огляделся нашел какие-то серийники, точнее их части
    ATLK3-
    AMSES-
    ASTU7-
    ASTU7-
    ATLK-
    AMSES-


    Дальше совсем потерялся, направьте на путь истинный новичка) Чуствую что совсем немного до кряка осталось)
     
    #1 acdel, 23 Jul 2009
    Last edited: 24 Jul 2009
    2 people like this.
  2. s0l_ir0n

    s0l_ir0n Active Member

    Joined:
    14 Mar 2009
    Messages:
    399
    Likes Received:
    144
    Reputations:
    18
    Code:
    006515B6  \. /E9 14000000   jmp     de_Atomi.006515CF
    006515BB     |8D            db      8D
    006515BC     |FC            db      FC
    006515BD     |AB            db      AB
    006515BE     |9C            db      9C
    006515BF     |53            db      53                               ;  CHAR 'S'
    006515C0     |90            nop
    006515C1     |71            db      71                               ;  CHAR 'q'
    006515C2     |B8            db      B8
    006515C3     |D0            db      D0
    006515C4     |0D            db      0D
    006515C5     |26            db      26                               ;  CHAR '&'
    006515C6     |BB            db      BB
    006515C7     |86            db      86
    006515C8     |1A            db      1A
    006515C9     |AF            db      AF
    006515CA     |11            db      11
    006515CB     |95            db      95
    006515CC     |16            db      16
    006515CD     |D1            db      D1
    006515CE     |2C            db      2C                               ;  CHAR ','
    006515CF  /> \8D45 C0       lea     eax, dword ptr ss:[ebp-40]
    
    Шифрованые участки кода. Без валидной пары делать нечего
     
  3. -=Nicon=-

    -=Nicon=- Banned

    Joined:
    26 Sep 2008
    Messages:
    18
    Likes Received:
    3
    Reputations:
    0
    Тема называется первый кряк, а ты хочешь найти ключ в этой программе, запатчи программу и не трать время на нахождения серийнека.
     
    #3 -=Nicon=-, 25 Jul 2009
    Last edited: 25 Jul 2009
  4. -=Nicon=-

    -=Nicon=- Banned

    Joined:
    26 Sep 2008
    Messages:
    18
    Likes Received:
    3
    Reputations:
    0
    По теме, вот еще почитай _http://wasm.ru/forum/viewtopic.php?id=32817 автор уже ломал эту прогу.
     
  5. s0l_ir0n

    s0l_ir0n Active Member

    Joined:
    14 Mar 2009
    Messages:
    399
    Likes Received:
    144
    Reputations:
    18
    При чем здесь патчинг, РТФМ "Криптование участков кода"
     
  6. -=Nicon=-

    -=Nicon=- Banned

    Joined:
    26 Sep 2008
    Messages:
    18
    Likes Received:
    3
    Reputations:
    0
    Сразу не отписал теперь пишу, Патчить надо однако...


    При чем здесь патчинг, РТФМ "Криптование участков кода"

    О_о мега кул крекер s0l_ir0n, и что ты этим хочешь сказать что эту прожку не лзя золомать без валидного кляча. Взломать можно всё, что шивелится и запускается!!!!!!!
     
    #6 -=Nicon=-, 26 Jul 2009
    Last edited: 26 Jul 2009
  7. Loginator

    Loginator New Member

    Joined:
    3 Aug 2009
    Messages:
    13
    Likes Received:
    2
    Reputations:
    0
    Сейчас попробую разобраться с этим нечто,думаю запаковано,сначала нужно распаковать,а потом ломать...

    Я был прав,вот он гад

    "ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov"

    Сначала его нужно распаковать,а потом уже в коде ковыряться...продолжаю дальше...

    Потом,когда распакуешь упаковщик,найди вызов API-функции MessageBoxA или родственной ей,с выводом текста "You have entered the wrong key",посмотри откуда вызывается эта бяка и исправь условие перехода так,чтобы софтина обрадовалась от того,что ей ввели неверный серийник. :cool:

    Чтобы было ещё проще подскажу что OEP(Original Entry Point) находится вроде бы по адресу 00663CDC,так что дерзай.)

    Хочу ещё добавить в помощь статью:

    http://www.cracklab.ru/rar/dl/CRACKLAB.rU_79.rar -распаковка ASProtect 1.35.
     
    #7 Loginator, 3 Aug 2009
    Last edited: 5 Aug 2009
    1 person likes this.