Есть у меня дистрибутив греческой разработки с названием Server JP и Client JP. Делает следующее. Сервер - это система управлением однорукими бандитами по локальной сети, клиент - это непосредственно сами бандиты :) Написано всё дело на Visual Basic. Защищён всем, чем только можно.
1) Зашифрован yoda's crypter 1.1. Распаковал.
2) Пропускает дебаггеры, используя функцию IsDebuggerPresent()
3) Пытался отрубить её софтайсом. Но при включёном софтайсе прога и до этого места не доходит, видимо ещё какая-то защита от софтайса вставлена.
4) Подозреваю, что она ещё привязывается к компу через версию BIOS.
5) Заносит в регистр кучу зашифрованных непонятных мне значений. Также создаёт файл, в котором тоже что-то зашифрованное. По-моему частично в шестнадцатиричном коде.

Итак: Я сам в этих делах не силён. Что сделал - то сделал. Жду советов. Кому интересно, могу прислать дистрибутив. Попробовать разобраться. Можно и небескорыстно, так как данная прога мне нужна для работы.

С уважением,
Тсатидис

„бандиты“ прикольно :)
„Написано всё дело на Visual Basic“ плохо
„Жду советов“ что нужно для и как проходит регистрация проги (подробно) ?
„могу прислать дистрибутив“ сколько весит ?

Дистрибутив состоит из двух частей. Сервер и клиент. Сервер ставится на одном компе и весит порядка 3 Мб. КЛиент на остальных и весит порядка 50 Мб. Клиента ломать нет необходимости. Он не защищён, просто после установки в настройках указываешь айпи сервера и всё. Когда включаешь клиента, на компе блокируется клава и мышь и начинает играть скринсейвер. В это время на сервере показано, что такой-то комп готов к работе. Потом через сервер ему подаётся команда, например запустить такого-то бандита и выдать для игры столько-то кредитов. Начинается игра. Когда кредиты заканчиваются, снова запускается скринсейвер.
Сервер при установке регистрирует .dll и .ocx компоненты на компе (видимо большая часть Visual basic run-time library), записывает на C:\Program Files\Server\ Две папки, в одной картинки, ресурсы сервера, в другой звук. Плюс к этому создаёт ServerJP.exe для запуска. Но эта гадость ни за что не хочет запускаться.
На компе, откуда я всё это списал, там был также файл для добавления значений в реестр, где все значения были непонятно что. Также был небольшой файл с белибердой, посреди которой была написана дата BIOS того компа. Также есть файл с названием Marouda, в котором тоже непонятный шифр. Если при запуске проги этот файл удалить, то она (естественно не запустившись) заново его создаёт и записывает туда всякую белиберду. Каждый раз одинаковую, по-моему 514 байт.
У него там были версии 6, 6.4 и 7. Все дистрибутивы я взял, но результат одинаковый. Однако у него был также отдельно екзешник версии 6.4 незашифрованный криптором. Могу прислать отдельно.

„Но эта гадость ни за что не хочет запускаться.“

Т.е. у кого-то есть лицензионные "бандиты" (сервер) и у них всё нормально работает . А ты захотел установить и себе "бандитов" (сервер) , но т.к. комп другой (привязка к БИОС,файлы с шифрами) , то сервер у тебя отказываеться запускаться . Кажеться теперь я понял , сначала была мысль , что ты "бандит" (клиент) хочешь добавить себе кредитов :)

„там был также файл для добавления значений в р“

.reg - файл ? Может это регистрационный (ключевой) файл для того компа ? Т.е. твой "знакомый" скачал бандитов , запустил их , у него создался „небольшой файл с белибердой, посреди которой была написана дата BIOS того компа“ , потом он этот файл отправляет авторам , а они присылают этот .reg - файл ?

„Также есть файл с названием Marouda, в котором тоже непонятный шифр“

Гм... Marouda , название никому ничего не говорит ?

„заново его создаёт и записывает туда всякую белиберду. Каждый раз одинаковую“

Для чего бы это ей делать , гм...
Если делает , значит надо , если надо для "регистрации" , значит с .reg - файлом не всё ясно (точнее ничего не ясно) . Может эта Marouda тоже отсылаеться автору ?

Если приатачишь сюда "подозрительные" файлы (с шифрами,с биосом,ветки реестра) , может какая мысля у кого и появиться ...

„екзешник версии 6.4 незашифрованный “

Это ServerJP.exe ? Сколько весит если зажать ?

Ну бандиты вовсе нелицензионные :) В Греции всё это дело под замком, играть на деньги можно только в казино. Это подпольная продукция, так что было бы правильнее сказать, что я ворую у вора :)

Названия ключей в .reg файле встречаются в exe-шнике. Он зажатый весит 97 Кб.

Файл маруда вполне иожет делать то, что ты сказал. Прилагаю его, а также info.txt, где шифр с биосом, также добавляю .reg файл. Прилагаю в том виде, в каком взял. если маруду удалить, она заново появляется, но уже с другим содержанием.

Эх, убрать бы у него защиту от софтайса, тогда хоть что-то было бы ясно, а так у меня уже мозги опухли от защиты, куда не сунусь, везде засада.

_924937395__SERVER.REG

Вот это маруда.

1341402324__MAROUDA

А это info.txt Он при установке не создаётся и вообще не существует. Я его оттуда скачал из директории установки. Не знаю даже, нужен ли он, но в нём дата БИОСА того компа.

548521078__info.txt

Попробую прилепить запакованный exe-шник, разбитый на две части RARом.

843928442__ServerJPV64.part1.rar

Вторая часть архива

1351607321__ServerJPV64.part2.rar

Так'с ... А что ты скажешь по поводу EUTRON Smartkey USB-шного ключа ? Ты его своровать не смог ? :)

Ты уверен, что таковой там используется ?:)

А нах. тогда эта прога вызывает ф-цию MSCLINK из skeydrv.dll , а та (видимо не находя ключа) делает TerminateProcess ?
Вернее возникает EXCEPTION_FLT_INEXACT_RESULT at 793AA4E1 (Результат операции над числами с пла вающей точкой нельзя точно представить я виде десятичной дроби) . Что за х. ?

Ты уверен , что там никакого ключа (ну или его эмулятора) небыло ?

Эмулятора не было..
Ключ - а фиг его знает... я даже и не подумал, что до этого может дойти... пойду гляну, он ведь ещё и изнутри может быть. Есть у Eutron такой ключ - внутрь вставляется и снаружи не видно нифига.

А вообще реально такую хрень нейтрализвоать?

„Эмулятора не было.. “

Эмулятор , это может быть переделанный файл skeydrv.dll . Я не знаю есть ли он у тебя и какой (а он у тебя видимо есть иначе прога бы выдавала месагу об его отсутствии). Т.к. ты его не предоставил , то я стянул с инета первый попавшийся .

„Есть у Eutron такой ключ - внутрь вставляется и снаружи не видно нифига.“

Есть вроде только LPT или USB . У тебя видимо последний , прога пытаеться открыть так :
KERNEL32.CreateFileA,"\\.\eusk23",GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,0,NULL

„А вообще реально такую хрень нейтрализвоать?“

Если у тебя есть доступ к компу , где эта прога работает то 100% реально . Иначе будет реально только если прога не юзает шифрование , а ключ для расшифровки храниться в евтроне .

Вызов Ф-ции MSCLINK в проге встречаеться 5-6 раз , я посмотрел только первый ,режим "Locating" (L) там передаёться такая х-ня "L.KODIKORANIAGAMESZBUNOSGAMESCODES" , это наверное метка ключа . Короче ставь бряк на адрес "00420B43 JMP EAX" , а дальше пошагово ты сразу попадаешь в skeydrv.dll и там смотри за структурой по адресу 0013B272 (там лежит эта метка и туда пишеться статус работы евтрона) , а дальше анализируешь и пишешь свой skeydrv.dll который только будет заносить eax и в структуру нужные результаты и возвращать управление . Иши в нете , есть доки по евтронам и на русском .
Или плати ребятам , они сделают эмулятор , поганяешь его пару минут на "рабочей" проге и будет у тебя замена ключу .

Мне одно непонятно :
Твои рег,инфо,маруда файлы не оказывают никакого воздействия на прогу , она даже к ним не обращаеться .
Я бы подумал , что это мусор , но :

„если маруду удалить, она заново появляется, но уже с другим содержанием. “

У меня этого не происходит , а значит у тебя всё-таки прога больше отрабатывает , интересно почему ?
Ты попробуй поработать только с теми файлами , что ты сюда приаттачил ...