Заломать EXE файл

Gadeyka · Apr 15, 2005

Добрый день всем!!!
Трабла такая, есть прога, писанная на VB. Привязка стоит к системной дате.

Немного истории. У нас на фирме был программист, он ее писал. Так вот, каждый раз, 1 числа месяца прога отказывалась пускать юзеров, программер приходил перезаписывал один исполняемый EXE файл и так жили до следующего 1 числа. Пробывали откатывать системную дату, в прогу можно было входить, но не работали некоторые важные функции.

И недавно программер, срочно уехал в штаты, даже не сообщил нашему начальству, как потом выяснилось навсегда.

От сюда вытекает вопрос, кто чем может помочь. Прога, конкретно мне очень нужна.
Заранее благодарен.

Msha · Apr 15, 2005

Gadeyka, находишь подходящие disassembler, debagger и вперёд. Я вижу только такой путь - в проге надо поковыряться.

Gadeyka · Apr 15, 2005

Уважаемый Msha, а каким именно дебагером или десемблером воспользоваться, и что конкретно искать то.....

Msha · Apr 16, 2005

Gadeyka, а откуда я знаю что исакть?

Это надо саму прогу смотреть.

Лучший дизассемблер - IDA, а лучший дебаггер - SoftICE. В варезе есть. Но боюсь без знания ассемблера ты далеко не уйдёшь.

Egoizte · Apr 16, 2005

Да уж, без знания ассемблера будет очень сложно. По-моему приожения на Vb нельзя дизассемблировать, потому что в отличие от других экзешник Vb представляет собой набор комманд для интерпретатора, ну или что-то в этом роде, точно не помню.

Msha · Apr 17, 2005

Heralt, дизассемблировать как мне кажется можно что угодно, главное чтобы защиты не было...

MOCKuT · Apr 17, 2005

Gadeyka, а не сохранилось ли старых версий этого файла? И вообще, прогу в студию!

Gadeyka · Apr 17, 2005

MOCKuT, версии старые у меня есть. Могу выложить, но дело в том что, прога работает с SQL-2000 и соответственно она у тебя не запустится вообще.

Egoizte · Apr 17, 2005

Msha, в принципе можно, но там есть свои заморочки, что не замечается в других языках программирования. Набери в поисковике "Дизассемблирование VB" и ты меня поймешь

Msha · Apr 17, 2005

Heralt, ну я посмотерл. Всё что пишут так это то, что скомпилированый фал после дизассемблирования нельзя перевести в исходник на VB. Но это и так понятно.

Я то предлагал протсо дизассемблировать, а с этим проблем-то нет, я ничего такого не заметил...

MOCKuT · Apr 17, 2005

Gadeyka, Хм... VB и SQL ещё хуже, чем VB... Нормальный человек в здравом уме за это не возьмётся... Вариант номер 1: найти общий язык с програмистом чтобы он прислал нормальную рабочую версию.

Если версии имеют одинаковый размер с точностю до байта, то может тогда программист менял только даты, и SQL может не понадобиться (маловероятно), хотя если перевод даты роли не сыграл, то тогда программа должна считывать не только текущую дату, но и какую-то другую, например, создание (изменение) какого-то файла или лог использований программы из БД... Дальше пока не придумал...

Gadeyka · Apr 17, 2005

Люди......я нашел где в этой проге меняется дата. Пользовался дизассемблером W32Dasm v10, только как поменять эту дату???? Не получается из-за незнания данного дебагера. Получается только сохранить файл с расширением *alf. Мож кто знает подробный мануал.....поделитесь.

А вытащил вот что

* Possible StringData Ref from Code Obj ->"01/04/2005"
|
:00894239 C745A838AA4500 mov [ebp-58], 0045AA38
:00894240 C745A008000000 mov [ebp-60], 00000008

т.е. реально у нас 1 апреля она перестала работать...

[ADDED=Gadeyka]1113758900[/ADDED]
Уважаемый MOCKuT, действительно все версии имеют одинаковй размер до байта, и как я понял из вышеизложенного программер менял только дату.

MOCKuT · Apr 17, 2005

1. Берём программу тут: http://dumpz.ru/showthread.php?t=2341&page=3&highlight=Ultraedit
В ней открываем нужный файл и ищем строку "01/04/2005", которую меняем на "01/05/2005".
2. В той же программе открываем 2 разных версии. Идем в меню File -> Compare Files -> Binary compare. Если меняется только строчка с датой - то всё отлично, а если нет...

Gadeyka · Apr 17, 2005

Уважаемый MOCKuT, посмотри пожалуйста аттач..................а в UltraEdit файл открывается совсем в другом виде и дату в таком виде я не смог найти....что дальше посоветуешь делать

MOCKuT · Apr 18, 2005

Gadeyka, скинь мне архив со старым и новым файлом на [email protected], а судя по скрину, там ниже что-то интересное (судя по функции rtcDateDiff)...

Gadeyka · Apr 18, 2005

Еще раз убеждаюсь, что нет проги которую нельзя было-бы заломать и есть на свете добрые и отзывчивые люди. Большое человеческое тебе спасибо MOCKuT.

Уважаемые модераторы, я понимаю что такие сообщения не желательно постить, но действительно MOCKuT, человек с большой буквы.

Msha · Apr 18, 2005

Gadeyka, ну думаю по такому поводу можно

. Поздравляю с решением проблемы!

там ниже что-то интересное (судя по функции rtcDateDiff)...

И как, оно оказалось?

[ADDED=Msha]1113844896[/ADDED]
Heralt, как видешь прекрасено дизассемблируется

.

MOCKuT · Apr 18, 2005

Msha, ага. Если дата в файле меньше текущей - то гамовер.

_Andrey_ · Apr 26, 2005

Msha said:
Heralt, как видешь прекрасено дизассемблируется .

Потому что файл скомпилен в native, если был бы в p-code то
пришлось бы декомпилировать.

Заломать EXE файл

Gadeyka

Member

Msha

ex-Team DUMPz

Gadeyka

Member

Msha

ex-Team DUMPz

Egoizte

ex-Team DUMPz

Msha

ex-Team DUMPz

MOCKuT

Member

Gadeyka

Member

Egoizte

ex-Team DUMPz

Msha

ex-Team DUMPz

MOCKuT

Member

Gadeyka

Member

MOCKuT

Member

Gadeyka

Member

MOCKuT

Member

Gadeyka

Member

Msha

ex-Team DUMPz

MOCKuT

Member

_Andrey_