Всем привет! Нужна помощь, я пытаюсь отучить приложение от USB ключа. В данный момент нету самого ключа (доступ к нему получу где-то на следующей неделе). Хотел просто убрать проверку ключа через OllyDBG, но столкнулся с проблемой. Мои действия. ExeinfoPE пишет: *** Unknown EXE - First section Delphi NOT Packed - Self Write code ! unknown protection [Signed] / Self Write code ? unknown Protection В OllyDBG: при старте сразу же попадаю в раздел за пределами секции кода, через несколько шагов подхожу к инструкции PUSHAD, делаю один шаг, и перехожу в дамп регистра ESP, но там я вижу только 0x0. Вот незадача... Кстати поле PUSHAD идут непонятные мне DB E8 DB 00 DD 5D000000 DB 81 И т.д. и это продолжается очень очень долго... Я так понял мне нужно найти OEP чтобы все прояснилось и я нашел то место где проверяется ключ и мне выдает ошибку "Please insert original USB key!" Уважаемые эксперты, помогите пожалуйста чем сможете, хоть маленький совет!!
Проверь файл с помощью PeID, DiE, virustotal, может что-то узнаешь. Или выкладывай файл, чтобы можно было смотреть
Спасибо Kaimi. PEiD пишет: .... Nothing found [Overlay] * DiE выдает: .... PE: compiler: Borland Delphi(2006)[-] .... PE: linker: Turbo Linker(2.25*,Delphi)[EXE32,signed] И вот Virustotal из этого всего мне кажется что никакой защиты там и нет, и я просто не понимаю чего-то важного... я продолжаю шагать с начала когда снова и снова, пытаюсь понять может я что-то упустил. Вот сам файл: http://rgho.st/74wDLYHlR
Получает импорт VX'ерскими методами, через PEB. Но сам код не пакован. Писали какие-то узбекские наркоманы) Если хочешь поковырять стаб лодыря, то измени BaseOfCode на 00590000 и SizeOfCode на 00005000, чтобы удобнее было. Но смотреть нужно в любом случае, с ключиком.
Тогда рекомендую взять http://kpnc.org/idr32/en/ и изучить в нем файл. Может понятнее будет, что делать с ключом.
@Kaimi спасибо, IDR отображает то, чего не было видно в OllyDBG! @#colorblind да, думаю ты прав у меня пока нету доступа к самой флешке, но я сделал её образ с помощью UltraISO, я могу как то его использовать? Когда просто его монтирую, ничего не работает. Есть какие то идеи на счёт этого?
Попробовал проверить на RDG Packer Detector v0.7.5, он выдаёт Microsoft Visual C++ V9.0, и ещё говорит что обнаружен IcebergLock v3.10
Идей нет, т.к. не экстрасенс. Смысла твоих сканирований, разными анализаторами не вижу. Я тебе уже сказал, что код не пакован, а навес который получает импорт из PEB'a скорее всего самописный. Изучай как происходит общение с хардлоком и ковыряй лоадер - это единственно что можно и нужно делать.
Этот unlockme лучше с IdaPro ковырять, код будет лучше разбираться. Защита там на первый взгляд такая, что начало кода программы спрятано в обычной флешке, из которой он читается при помощи SCSI комманд DeviceIoControl(h, IOCTL_SCSI_PASS_THROUGH_DIRECT, ...); Для начала можно попробовать простое посекторное копирование на другую флешку. Если там внутри ещё и привязка к железу, тогда придётся копать глубже.
