Города на Мурмане

Привет всем знающим людям города и области.
Одно из моих хобби - ревёрсинг, посему хотелось бы найти ещё кого нибудь занимающегося темже для общения в этой области.

Best regards, No(c)sM.

Это игра в Реверси?

Не, на самом деле, а что это такое, а то вдруг я этим занимаюсь, а не знаю, что именно этим и занимаюсь.

No(c)sM, #1 >> ДА! ДА! О ДА!!!!!
есть! IDApro & SoftIce 4ever!

ответь в форум, если что - мылами обменяемся.

Привет всем! Вот я и вернулся из из этого гр****ого отпуска, чтоб его.... На следующий год никуда не поеду, буду отдыхать в своём любимом городе Мурманске. Смортрю ответами моя тема не пестрит, но я вообщето и не ожидал многого, реверсинг как ни как это вам не квака.

terrorrr, #3 >> С удовольствием. моё мыло nocsm@rambler.ru. Пиши если чёто интересное будеш ломать. Всегда рад поковыряться. Я сейчас пока ничё не ломаю(некогда), но думаю через месяцок все проблемы утрясутся - тогда и поковыряемся.

Best regards, No(c)sM.

No(c)sM, #4 >> хых, я тебе письмецо месяца 2 назад отправлял (http:////forum.murman.ru/images/smilies/smile.gif) с pgp ключом...
 если что, могу повторить

terrrorrr, #5 >>повтори pls.

All>> Ура! Ура! Ура! WWW.ReVeRsInG.NET опять с нами!!! Дай Бог ему здоровья и защити от багов и глюков всевозможных.
УУУУ-РРРР-АААА!

[ Добавление от 26-09-2003 01:17 ]

No(c)sM, #7 >>
угу, только адресс немного изменился (http:////forum.murman.ru/images/smilies/wink.gif)
кстати, перешли мне еще раз письмо, твой ключ не хочет работать что-то (http:////forum.murman.ru/images/smilies/weep.gif)

Alarm! Вышел новый номер журнала Codebreakers! качаем с www.wasm.ru
(для просмотра понадобится Adobe Acrobat)

Hi All, если сюда вообще кто нибудь заглядывает кроме меня с t3rr0R. Конечно немного не по теме, но вдруг кто знает как можно отключить систему plug&play под 98 окнами?(толи дело в ХР - остановил службу - и всё.) И есчё, уже по теме, подскажите ктонть, где бы слить какойнть драйвер сьют версии 2.7 и выше(ходят такие слухи что под ХР софтайс кооректно работает только начиная с версии 2.7)

driverSuite ? хмм... (http:////forum.murman.ru/images/smilies/smile.gif)
в интернете коечно-же (http:////forum.murman.ru/images/smilies/wink.gif)
можно просто поискать в яндексе (тока мусор весь фильтровать придется, а его там много (http:////forum.murman.ru/images/smilies/wink.gif) я так его нашел, вот тока линк забыл)
или воспользоваться пиринговыми сетями (E-Donkey мне очень помогла в поиске IDApro)
сам я сижу под DS 2.7 на Win2K, под ХР он тож работает (если не работает, то там в конфиге winice.dat нада поменять одну строчку...какую? на яндекс идите (http:////forum.murman.ru/images/smilies/smile.gif)
вот вроде и все

Ура!!! Наконец-то я нашёл саратников!!!
Здорово ребята!!! Я тоже крякингом занимаюсь.
Как бы с вами встретится. Короче No(c)sM
я тебе на мыло напишу.
З.Ы. Это круто! (http:////forum.murman.ru/images/smilies/super.gif)

GL#0M, #12 >> Ну пиши (http:////forum.murman.ru/images/smilies/smile.gif). Ну вот, с горем пополам уже за пол года коекакая компания сформировывается.(если честно, то я вообщето думал что это будет намного быстрее - в России как ни как живём).

To All>> слил я наконец себе Driver Suite 3.0! Поставил - всё отлично пашет. Сразу же был немного удивлён - не прописана функция CreateWindow, интересно почему? Ну да ладно, на неё помоему можно через AddAtom влезть. Ну а так вроде всё нормально работает. Да, кстати, в XP софтайс запускается в любой момент работы в системе(без перезагрузки - кул!), но вот назад уже не выгружается(не кул). По идее, если его можно запустить, значит и остановить както можно(первая идея - net stop - нифига не работает). Если кто чё знает - поделитесь.

No(c)sM, #13 >>функция CreateWindow
afaik imho etc CreateWinowA/W & CreateWindowExA/W, еще причина может быть в том, как стартует сайс, т.е. в каком режиме ты его запускаешь, для наших целей идеальо подходит boot. Останавливать сайс я как-то не пытался, проблема такая не возникала. А вот примочка IceExt только так и работает net start IceExt || net stop IceExt

GL#0M, #12 >>Рад, чертовски рад, приветствовать еще одного сумашедшего (http:////forum.murman.ru/images/smilies/amiss.gif)
то-то я один раз подумал, а кто все книжки Пирогова в городе скупил, а я не успел (http:////forum.murman.ru/images/smilies/wink.gif)
2all: с VisualB..... кто либо работал? в смысле не с системой (http:////forum.murman.ru/images/smilies/smile.gif) а с реверсингом этого пи-кода, а то вот попросили одну прогу присмирить, я как глянул - так и завис (http:////forum.murman.ru/images/smilies/insane.gif)

to rrr0tten
намыль мне!!!
RE forever!!!
p.s. Пирогова я не покупал...
насчёт vb связывайся поговорим.
to No(c)sM
сегодня я полюбому напишу. 100 пудово!!!

Hi Geeks!

Hi-grade респект нашим крякерам !!!
Чем конкретно чуваки занимаетесь,
в смысле, что все реальные проги уже
похаканы, а нам пока остается только
тренится на всяких крякмисах и русских
недоделках, в которых защита от кряка реализована в виде сноса винды.

No(c)sM ny ti konsperator xrenov )) Vezde pod raznimi nickami.. vse ravno pojmaut ))
Da lana shy4y.. ya yzh dymal v murmanske bolshe net takix percev )))

Итак, Zerkella aka Андрею Циркусу посвящается....
Поскольку бороться с багами и недоработками этой проги я устал, а на письма автор реагирует на одно через двадцатьодно, то, дабы подвергнуть автора на какие нибудь телодвижения, решил выложить данную писанину, авось кому интересно будет.

Короче, жертва - ZShell v2.91y.
Exe'шники - zshell.exe и option.exe (сорри, за ZServer'ом надо на сервак лезть, а это геморойно да и лень. После разбора option.exe, я думаю, что защита zserver(а точнее её отсутствие) сделана абсолютно аналогично.)
Прога ничем не шифрована(и правильно - вначале надо баги поубирать, а потом уж пытаться бабки делать.).
При запуске видим  такую байду: "ZShell не лицензирован для запуска на этом компьютере.", после чего он соотв. завершается. Поскольку с первого вида эта байда похожа на стандартный MessageBox(ну или там какуюнть его вариацию типа MessageBoxIndirect.....), соотв-но первая идея брякнуться на него. Делаем, после чего видим большой бенч - всё то же самое окно. Сразу же возникает куча остальных таких же идей подобного рода(  всевозможные CreateWindow и т.д.), но конец рабочего дня пятницы взял своё и руки, проигнорировав сигналы мозга потянулись к пиву, после чего спинной мозг подсказал альтернативное решение - ведь прога ничем не шифрована. Соотв-но отдаём её на растерзание IDA. Параллельно с этим открываем WinHex'сом её exe'шник и ищем строку типа "ZShell не лицензирован.......". У меня она нашлась по смещению 77B0C. Перемещаемся на то же смещение в IDA, где видим ссылку, переходим по ней и видим откуда эта байда вызывается. Перед ней соотв-но видим условный переход и проверку некоего байта на ноль(можно конечно пофиксить этот переход, но тада мы рискуем получить облом чего нибудь другого где нибудь в дугом месте.).


CODE:00478538                 call    sub_478134
CODE:0047853D                 mov     eax, ds(http:////forum.murman.ru/images/smilies/shame.gif)ff_47AC40     <--смотрим куда ссылается этот адрес
CODE:00478542                 cmp     byte ptr [eax], 0 ;      <--проверка на лицензию
CODE:00478545                 jnz     short loc_478551
CODE:00478547                 mov     eax, offset aZshellAxIs ; ZShell не лицензирован для запуска на этом компьютере
CODE:0047854C                 call    sub_448D1C
CODE:00478551

Смотрим куда ссылается off_47AC40. А ссылается он на

BSS:004809B0 byte_4809B0     db ?                    ; DATA XREF: sub_478134 49w
BSS:004809B0                                         ; CODE:0047824Dw ...

Смотрим что ссылается на этот байт и видим:

CODE:00478244                 sub     ds:dword_4809B4, 1
CODE:0047824B                 jnb     short locret_47825B      <-----чтобы перехода небыло забьём просто эту инструкцию нопами(0x90h)
CODE:0047824D                 mov     ds:byte_4809B0, 0         <---- меняем 0 на 1
CODE:00478254                 mov     ds:byte_4809B8, 0         <-----меняем 0 на 1

(нижнюю переменную не смотрел чё от неё зависит, но по ходу алгоритма предполагаю, что её тоже стоит установить в 1, если кому не лень возиться с таким отстоем - посмотрите сами)

Далее:

CODE:0047816D                 lea     eax, [ebp var_4]
CODE:00478170                 call    sub_403D10
CODE:00478175                 mov     eax, [ebp var_4]
CODE:00478178                 call    sub_4776C8         <----если не лень можете поковыряться в этой функции
CODE:0047817D                 mov     ds:byte_4809B0, al      <-----забьём инструкцию нопами
CODE:00478182                 xor     eax, eax
CODE:00478184                 pop     edx
CODE:00478185                 pop     ecx
CODE:00478186                 pop     ecx
CODE:00478187                 mov     fs:[eax], edx
CODE:0047818A                 jmp     short loc_4781A7


После исправления всего этого в WinHex'е, наблюдаем, что всё прекрасно работает.
Открыв в Ida option.exe, и увидив абсолютно аналогичную картину, я даже не стал загружать его в софтайс. Исходя из этого думаю что у zserver.exe всё будет точно также.

Ну а для кого всё вышенаписанное полная мутотень - ниже привожу какие байты по каким смещениям в файлах менять:

ZShell.exe

7757D:   A2   90
7757E:   B0   90
7757F:   09   90
77580:   48   90
77581:   00   90
7764B:   73   90
7764C:   0E   90
77653:   00   01
7765A:   00   01

Option.exe

84C71:   A2   90
84C72:   80   90
84C73:   AC   90
84C74:   48   90
84C75:   00   90
84D3F:   73   90
84D40:   0E   90
84D47:   00   01
84D4E:   00   01

Используемые инструменты: IDA v4.1.5.520 ,Soft-Ice 4.05, WinHex 9.4, Brain.sys, Direct_hand.sys.

P.S: причём помоему brain.sys тут даже не использовался.

Рад всем присоединившимся.

X-Train >> насчёт сноса винды - приколы приколами, а я один раз с такой шуткой столкнулся! Игрушка Kyodai Mahjongg v10.00.
Глаза скажем так нимного оквадратели (http:////forum.murman.ru/images/smilies/smile.gif) После взлома остался рад, что не попался на неё.

SpectatoR -=GhosT=- >> Hi! Ты мать его кто? Мы знакомы? Напомни ради бога, ато чёто плох я совсем стал.

No(c)sM, #18 >> link в студию pls!

а мы вот ASprotect новый ковыряем (http:////forum.murman.ru/images/smilies/smile.gif)
уковырялись ужо в мясо %)
для желающих http://www.stampz.ru/kassy/kassy03d.zip
аспр 1.3 (или оооччень похожий), без IAT .
Все по взрослому (http:////forum.murman.ru/images/smilies/smile.gif)

t3rr4in, #20 >>
в смысле чё ковыряеете - регистрацию его или уже пакованые им проги распаковываете?

All>> кстати, случаём никто не знает кто такой System:4 под ХП? Хотелось бы поподробнее узнать, ато висит эта дрянь, ещё и порты разные юзает. Вот чё у меня TCPView выдаёт:
alg.exe:1288   TCP   127.0.0.1:3002   0.0.0.0:0   LISTENING   
LSASS.EXE:580   UDP   0.0.0.0:500   *:*      
MyIE.exe:1552   UDP   127.0.0.1:3053   *:*      
SVCHOST.EXE:744   TCP   0.0.0.0:135   0.0.0.0:0   LISTENING   
SVCHOST.EXE:808   TCP   127.0.0.1:3003   0.0.0.0:0   LISTENING   
SVCHOST.EXE:808   TCP   127.0.0.1:3004   0.0.0.0:0   LISTENING   
SVCHOST.EXE:808   UDP   127.0.0.1:2234   *:*      
SVCHOST.EXE:868   UDP   0.0.0.0:3008   *:*      
SVCHOST.EXE:868   UDP   0.0.0.0:3010   *:*      
System:4   TCP   0.0.0.0:445   0.0.0.0:0   LISTENING   
System:4   TCP   0.0.0.0:1027   0.0.0.0:0   LISTENING   
System:4   TCP   111.111.111.111:139   0.0.0.0:0   LISTENING   
System:4   UDP   0.0.0.0:445   *:*      
System:4   UDP   111.111.111.111:137   *:*      
System:4   UDP   111.111.111.111:138   *:*      
Всё бы ничего, да уж больно меня 137,138,139 порты смущают - через ник какраз всякие мсбласты ползают наскоко я знаю.

No(c)sM, #21 >>
зачем нам регистрация? мы законов не нарушаем (http:////forum.murman.ru/images/smilies/wink.gif) пока распаковать пытаемся. дамп то снимается, а вот весь импорт надо к ниму самому приделывать.

х.з. что утебя там висит за процесс, но у меня в вин2к им и не пахнет. Процесс как видно висит на некторых стандартных портах и на некоторых нестандартных... х.з. что это. либо к касперскому за антивирем, либо дампить его и в иду (http:////forum.murman.ru/images/smilies/glasses.gif)

упс, есть такой процесс, при модемном соединении появляется.. это не страшно, это так и надо

Всех с новым годом, счастья удачи и побольше кряков (http:////forum.murman.ru/images/smilies/smile.gif). Кстати никто с защитой от копирования StarForce3 не сталкивался? Ато есть тут пара компашек, охота содрать, а невыходит.

Hi No(c)sM, давно тебя невидно было (http:////forum.murman.ru/images/smilies/smile.gif)
по поводу старфорса: сам не сталкивался, только 7й вольк, а на реверсинге(когда там кроме форума еще чего было) была статейка о нем

Всем большой респект я тоже начал недавно реверсить несколько крякмиксов и прог подправил щас на АСПР'е запарился по тутору Alexa учусь но чегото iceext глючит... никто не знает почему? синий экран смерти после запуска ...

2 AnteC
ну тут много вариантов, все зависит от того что за операционка, что за билд айса и т.д.
если что, стучись в 1999389, чем смогу - помогу

чуваки взломаете kassy03d дайте мне на мыло, а в замен я дам, если хотите Stamp084 с кряком