Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 10 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

<< Назад



Kosha ASProtect 1.2x[New Strain] Есть у меня прога Express WebPictures-1.85....



Kosha ASProtect 1.2x[New Strain] Есть у меня прога Express WebPictures-1.85. Так вот, после распаковки, я попытался восстановить импорт. Imprec выдал мне 3000! ф-ий unresolved. Почти всё оказался мусор.
Мне интересно.Это так должно быть, или что-то сделано неправильно?
Kerghan :: Скорее всего в поле OEP ты оставил текущее значение, а не изменил на OriginalEntryPoint.

Kosha :: Для Kerghan: OEP я находил разными способами -всё одинаково.

Kerghan :: А в ImpRec ты оставлял, какое было или вписывал найденное?

MoonShiner :: ImageBase учитывал?




RideX Чем это упаковано? http://www.aidagw.com/liubasik/liubasik.exe



RideX Чем это упаковано? http://www.aidagw.com/liubasik/liubasik.exe
Размер: 296 кб

PEiD её не определяет, OEP находит как 0006F0A0, но с этим OEP ImpREC не может восстановить импорт. В дампе у системных *.dll обрезаны начальные буквы, например kernel32.dll -> ....el32.dll
Эта прога, конечно, не имеет никакой ценности, но что-то подобное я видел раньше вроде в ChipTuning Pro, вполне реальная коммерческая прога для настройки инжекторов автомобилей.
dragon :: ASPack 1.06b.
Вот почему PE Tools надо пользоваться...

RideX :: Е-моё :)))
Спасибо.




MozgC [TSRh] Распаковку каких упаковщиков вы хотели бы увидеть в будущей...



MozgC [TSRh] Распаковку каких упаковщиков вы хотели бы увидеть в будущей статье? Вот решил статейку написать, поражает сколько народу не умеет распаковывать простейшие upx’ы , aspack’и и т.д. Причем они вроде даже умеют ченить легкое поломать, типа blueface =) или в этом духе, но как дело доходит до upx или aspack руки опускаются и в ход идут автоматические распаковщики. Я решил это дело исправить и написать статейку, в которую бы новички могли посмотреть как в справочник, т.е. статью включающую в себя распаковку нескольких простейших упаковщиков.
Пока думаю описать вот эти:

UPX
AsPack
PE Compact
ExeStealth

Принимаются заявки на другие упаковщики. В общем пишите, что еще распаковать.
-= ALEX =- :: Я вроде бы умею распаковывать все вышеперечисленные пакеры, так что если хочешь пиши, будет полезно новичкам... Написал бы про то как устроен АСПР :)

vins :: MozgC [TSRh]пиши про все.

MC707 :: Арму не забудь!

MozgC [TSRh] :: Дело в том, что чтобы распаковывать аспр и тем более арму, про которую я явно не буду писать в ближайшие пару-тройку-четверку месяцев, надо дать базу. В этом случае базой будет являться умение распаковывать простейшие упаковщики. Так что начну с них.

infern0 :: Для MozgC [TSRh]: а че ты так от армы отпихиваешься ? :)

UnKnOwN :: Для MozgC [TSRh]: Пиши про все которые ТЫ знаеш...

XoraX :: MozgC [TSRh], UPX, UPX давай!!!

infern0 :: Для XoraX: upx -d ‹application›
если скрамблеры юзались - то медленно и печально идем на wasm.ru и читаем статью как пропатчить upx или для особо ленивых (таких как я) можно скачать уче пропатченный upx который нагло распаковывает все скремблеры.
Удачи :)

MozgC [TSRh] :: infern0
Да ну его нах, самому сначала надо разобраться =)

UnKnOwN
Ну я не помню какие я уже смотрел, в любом случае это не надо, для примера хватит штук 5 за глаза.

XoraX
Зря смеёмся, новичкам полезно будет.

UnKnOwN :: infern0 пишет:
цитата:
для особо ленивых (таких как я) можно скачать уче пропатченный upx который нагло распаковывает все скремблеры.


Де взять....?

DeMoNiX :: MozgC [TSRh]
Даешь статью по HI-END протектору Extreme-Protector ??? =))

MC707 :: Молодец MozgC. Так держать. Благим делом занимаешься. В принципе даже 4 туториалов хватит для новичков. Главное не надо галопом_по_европам, но и сильно в подробности не углубляйся.

infern0 :: Для UnKnOwN: wasm.ru написал ведь... Или внимательно читать уже не принято ?

infern0 :: MozgC [TSRh] пишет:
цитата:
nfern0
Да ну его нах, самому сначала надо разобраться =)


У того-же HEXа есть пару отличных туторов - вперед :)

Kerghan :: MozC:
Neolite добавить можно, там тоже легко(хотя он уже почти не встречается), для общего образования полезно будет. Можно еще про InstallSheild написать, тока я его даже распаковывать никогда не пытался(нафиг надо), хотя статейку бы почитал. Да, кстати Petite не забудь, тоже иногда встречается. А в принципе не очень понятно, что ты собрался описывать
popad
jmp xxxxxx ‹--oep
dd 0
dd 0

bpx on oep, f9, dump,import,fix damp
ни это ли :) ???

MozgC [TSRh] :: Kerghan
Нет не это, но и не как на васме вторая часть про упаковщики

Я еще сам толком не знаю. По сути дела писать там конечно немного, однако я постараюсь сделать так, чтобы у новичка после прочтения статьи не оставалось вопросов. Если все будет понятно с 10 строк, оставлю и 10 строк. Если понадобится 15 страниц, будет 15 страниц.

[RU].Ban0K! :: MozgC [TSRh] пишет:
цитата:
UPX
AsPack
PE Compact
ExeStealth


Да блин... ну опять про них.. а надо ли? статей полно про них написано... (хотя про ExeStealth я видел..) лучше уж месяцок ... и... нормальную статью по Аспр написать.

freeExec :: А что айс делает по нажатию Ф9?

MozgC [TSRh] :: [RU].Ban0K! пишет:
цитата:
Да блин... ну опять про них.. а надо ли? статей полно про них написано... (хотя про ExeStealth я видел..) лучше уж месяцок ... и... нормальную статью по Аспр написать.


Ну решил просто все вместе собрать, да и если бы все ок у новичков с этим было, то не спрашивали бы постоянно как упх или аспак распаковать... А потом и месяцок на аспр =)

angel_aka_k$ :: MozgC [TSRh]
ты воть лучше скажи аспр 1.3 распоковал ???

MozgC [TSRh] :: angel_aka_k$ пишет:
цитата:
MozgC [TSRh]
ты воть лучше скажи аспр 1.3 распоковал ???


Нет, надо будет как нить заняться...

[RU].Ban0K! :: MozgC [TSRh] пишет:
цитата:
Ну решил просто все вместе собрать


Ну если будет одна большая статья... будет просто супер...

angel_aka_k$ :: MozgC [TSRh]
лентяй
нащет аспров можем вместе написать (если есть желание )

GL#0M :: MozgC [TSRh] пишет:
цитата:
если бы все ок у новичков с этим было, то не спрашивали бы постоянно как упх или аспак распаковать...


Да просто ленятся они все. Эти новички даже на гугл ленятся зайти и upx unpack написать, а это ведь решило бы все их проблемы. Про ExeStealth действительно ничего нет, правда на форуме каком-то видел что-то, но там тоже настолько всё тривиально. Хотя может я и не прав...

Kerghan :: angel_aka_k$
ты ж вроде писал про 1.3 ?

nice :: патченый upx -d не все распаковывает, возьмите например
SYD, фига, его руками то не просто

MozgC - если будешь писать, удели внимание dll
Очень мало инфы, да и сумбурная, вот у хекса про релоки читал,
такая каша, статья «лишь бы-была».

nice :: Кстати NEO’x говорил, что для распаковки в его тулзе Pe Tools достаточно
опции,
Full Dump: paste header from disk
но это не так , необходимо ещё поставить
Full Dump: fix header

angel_aka_k$ :: Kerghan
неа я писал про 1.23 rc3 а про 1.3 мене пока лень писать вот думаю мож с кем нибуть напишу я писал на каком то форуме его структуру и как его снять но статью я не писал а вообще наскоко я понял HEX и я распаковывали аспр 1.3 настоящий так как статья которая на xtin лежит там не 1.3 !!! там толи помежуточный аспр толи не совсеми фичами сжимали то ли я х.... знает кстате MozgC смотрел настоящий 1.3 !!! вот только ленится его распоковать так бы статью мож написал у него хорошо получается

nice :: angel_aka_k$
Дай линку на 1_3
И как его различить?

MozgC [TSRh] :: Ну я бы может и написал, но для этого надо его сначала распаковать, а щас пока не хватает то ли времени, то ли мозгов =) Но надо будет заняться конечно... Вообще че-то я отставать начал, надо блин как-нить собраться и распаковать аспр 1.30 и армадилло...

MozgC [TSRh] :: nice а ты если распаковывал 1.2х последние версии, то когда наткнешься на 1.30 то сразу поймешь что что-то не так =)) Начиная со странного ОЕП и организации импорта.. Потом будет веселый дельфовский инит и т.д.

nice :: MozgC [TSRh]
А PEiD его знает?
Или пишет 1_2xRC...

MozgC [TSRh] :: Пишет 1.23 вроде

DeMoNiX :: MozgC [TSRh]
Не бзди, PEiD 0.91 пишет 1.3:))))))))

MozgC [TSRh] :: У меня весия 0.9, где 0.91 взять ?

freeExec :: http://www.mesa-sys.com/~snaker/peid/

MozgC [TSRh] :: Скачал я этот PeID, не понравился он мне, на все аспры которые только не лень пишет 1.23 RC4 - 1.30 08.24
И на 1.30 это говорит и на 1.23. Еще бы написал 1.0 - 1.30...

nice :: MozgC [TSRh]
Буть человеком, дай линку на программу про аспронуют 130 со всех сторон

DeMoNiX :: MozgC [TSRh] пишет:
цитата:
Скачал я этот PeID, не понравился он мне, на все аспры которые только не лень пишет 1.23 RC4 - 1.30 08.24
И на 1.30 это говорит и на 1.23. Еще бы написал 1.0 - 1.30...


Зато скорость повысилась:)

MozgC [TSRh] :: А я не знаю ссылки =) У меня просто на винте валяется и все...

GL#0M :: Для MozgC [TSRh]:
Вот в тему:
UPX, AsPack, PE Compact, ExeStealth, Petite, NeoLite, а также FSG, TELock, Orien и YodaCrypter.

nice :: GL#0M
Что то , ты все подрят написал, ты сам то телок пробовал распаковывать?
Yoda тоже не для новичков, не было б авто распаковщика, постоянно в
темах Yoda бегал

Mario555 :: О upx и т.п действительно написано много статей, и в них во всех примерно однои тоже.
Но объясните мне пожалуйсто, почему в некоторых прогах запакованых upx происходит такая фигня:
после распаковки вручную либо в ProcDump прога не запускается - ошибка 0000005 (сразу скажу, что характеристики секций делать executable я не забывал), при этом самим upx она распаковывается прекрасно.

freeExec :: В Header’e пропатч SizeOfImage

Mario555 :: А можно подробнее ? (первый раз слышу, что при распаковке Upx нужно менять SizeOfImage).
У распакованного вручную SizeOfImage совпадает с оригинальным - 004BB000 , а у распакованного Upx’oм - 004AB000.
Если подставить 004AB000 в тот, который вручную, то пишет: » не является приложением Win32 ».

MozgC [TSRh] :: Может ошибка C0000005 ? Косяк с импортом...

Mario555 :: Sorry, C0000005. Как исправить ?

MozgC [TSRh] :: Восстановить импорт ... как исправить... А потом говорят некоторые что это только мне статья нужна по распаковке =)

MozgC [TSRh] :: Ты восстановил импорт после снятия дампа?

Mario555 :: Восстановление импорта в Upx ???

GL#0M :: nice пишет:
цитата:
Что то , ты все подрят написал, ты сам то телок пробовал распаковывать?


Да ладно подряд, конечно же я распаковывал всё из перечисленного. Просто они по сравнению с армой и аспром ботва. Или MozgC хочет 3 статьи ниписать? Easy, Normal & Hard.
MozgC говорил же от 15 строк до 15 страниц. Вот и напишет про всё это. Зато как круто будет. Век не забудут.
P.S. Хотя у меня про всё это уйма статей на буржуйском и в переводе (моём).
Это я просто предложил, а так мозгу решать про что писать.

GL#0M :: Mario555 пишет:
цитата:
Восстановление импорта в Upx ???


А ты думал?

Mario555 :: Вот что я делал:
IAT Autosearch ---› get import ---› fix dump, если на этом остановиться, то » Runtime error 216 at ... » , потом из секции .idata переписал Virtual Size и Virtual Offset в Directory (Import Table) - результатом чего стало возвращение ошибки С0000005.
Что сделано не так ?

MozgC [TSRh] :: Значит загружаешь прогу, загружаешь Imprec, выбираешь в списке процессов прогу, исправляешь OEP RVA на то что нужно, например если ты нашел OEP = 404128 то ты там пишешь 4128, потом IAT AuTOSEARCH, потом Get Imports. После этого смотри что появилось в окне и размер таблицы испорта. В окне должны быть строки испортируемых длл и после каждой написано: YES. Размер IAT должен быть обычно от 700h до 1000h. Для VB только одна библиотека будет исспользоваться и размер iAT 200-300h обычно. Если так как я написал, т.е. получается что скорее всего импорт выделился правильно, то жми fix dump. После этого прога должна запускаться. До этого у тебя было runtime error 215 at скорее всего из за того что ты не исправлял OEP RVA и там оставалось значение EP = начало тела upx, это значение и записывалось при Fix Dump в дамп как EP, а должно писаться OEP. Разницу чуешь? Пишу в спешке так что может быть непонятно =) Но надеюсь поймешь и исправишь.

Runtime_err0r :: Нафиг это нужно - в 99% случаев UPX даже после скрамлера можно распаковать самим же UPX’ом - вот в этой статье ( http://www.wasm.ru/article.php?article=packers2 ) всё очень подробно описано !!!!!

MozgC [TSRh] :: Runtime_err0r пишет:
цитата:
Нафиг это нужно - в 99% случаев UPX даже после скрамлера можно распаковать самим же UPX’ом - вот в этой статье ( http://www.wasm.ru/article.php?article=packers2 ) всё очень подробно описано !!!!!


1. Тебя походу мало спрашивали как upx или aspack распаковать.
2. Мое мнение о той статье в качестве пособия по распаковке для новичков все знают.

Mario555 :: MozgC [TSRh] пишет:
цитата:
В окне должны быть строки испортируемых длл и после каждой написано: YES


У меня после одной написано NO, от удаления неопределённых функций результат не изменился. С OEP всё делал правильно, если кинуть получившийся дамп в OllyDbg то он останавливается на OEP, а ошибка происходит уже при трассировке кода.

MozgC [TSRh] :: Ну вот не должно быть No написано, наверно какой-то косяк там, попробуй Auto Trace нажать.

nice :: Mario555
Пошли на мыло оригинал и патченый файл:
niceSC собака yandex _ ru

MozgC, не надо в upx автотрейс нажимать, лишнее это

PS MozgC, а V0land у вас давно в команде, ник больно знакомый, а вспомнить не могу...

MozgC [TSRh] :: Да вроде было пару раз что приходилось auto trace нажимать. Может глючу, но на всяк случай сказал.
V0land в команде с сегодняшнего дня.

Runtime_err0r :: Я как-то на форуме TSRH читал, что импорт после UPX’а лучше восстанавливать ReVirgin’ом. Сам не пробывал, но TSRH-овцы плохого не посоветуют

цитата:
1. Тебя походу мало спрашивали как upx или aspack распаковать.


По поводу UPX’а и ASPack’а у Feuerrader’а хорошие статьи - если кому надо могу скинуть ...

MozgC [TSRh] :: Да после upx’a все равно чем восстанавливать =) У меня всегда работает, косяков не бывает.

UnKnOwN :: Для MozgC [TSRh]:
Всё хотел тебя попросить, кинь мне на мыло хоть один релиз твоего последнего кряка, просто так, хочу посмотреть...

Mario555 :: Видимо я каким-то образом изначально дамп испортил потому и ошибки были. Вобшем сделал всё заново и дамп заработал (кстати насчёт того, что не должно быть No - то у меня и с NO заработало). Спасибо вам всем.

Я заметил одну странность: когда «кидаешь» в DeDe файл распакованный вручную, то не распознаются процедуры, хотя в распакованном UPX’ом всё распознаётся.

MozgC [TSRh] :: У меня и так и так распознается =) Что насчет того что заработало с No то значит у тебя No было напротив той строки, которая не содержала информацию об ИАТ, а просто удрес был неправильный.




Все ясно. Я тоже не в Росии живу - такое добро (3 версию) пока не встречал....



Все ясно. Я тоже не в Росии живу - такое добро (3 версию) пока не встречал.
Образ бесполезен.

ps. Всем проффи: почему умные люди, коих здесь (по их высказываниям) я насчитал не менее десятка,
не собирутся, да не напишут полезную тулзу для снятия StarForca? Почему-то каждый изучает защиту
в одного, а потом, как обычно, не хватает терпения (мозгов) чтобы завершить начатое :-\
Почему до сих пор не было попыток сделать что-то полезное командой ? Вязли target v3.0, нацелились первой задачей восстановить импорт -› кто не принес умных идей/предложений из команды автоматом выбывает. Главное разобраться, а написАть распаковщик, зная принципы работы - никогда трудностей не представляло.

-= ALEX =- :: -Что мы будем делать сегодня? - Как всегда, ЗАВОЁВЫВАТЬ МИР! (с) MozgC

-= ALEX =- :: Народ, дайте мне пожалуйста хоть какой-нить диск со StarForce 3... охота посмотреть на защиту... мож у кого из NSK есть ?

Ромка :: Guest› Объясни пожалуйста, чем образ так плох. Просто эта защита хитрая, не стартует даже с Оригинального SCSI Привода, если в системе установлены одновременно иде приводы, а алкаш прикидывается под скази, вот почему иде приводы надо отключать.
Если ты в Германии живёшь, проблем выслать никаких, будет в подарок.
Всё таки крид вышел в Августе, в новом алкаше за декабрь все блэклисты почистили, улучшена физическая эмуляция. Так чем же образ хуже оригиналки, простите за чайниковский вопрос.

Алекс›значит без образие :), образ выслать?

Ромка ::
цитата:
Кстати VSO эта французская компания, тоесть создатель blindwrite, заявила, что уже были успехи практически 100% сделать копию со старфорца3 на приводе Plextor Premium (наверное многие знают, что Plextor Premium уже давно способен создавать практически 1:1 копию на новых Securom’ах, где также применяется физическая метка). Так вот возможно в скорем времени эти новые успехи будут внедрены в новых версиях blindwrite под этот writer, а пока что это невозможно.


Один чувак правда ещё заявлял, что можно корректировать под каждую партию CD-R ролингов lead in и lead out образа так, чтобы позиция старта дорожки и тем самым относительной плотности цд, совпадали. Короче муздыханья навалом, правда эдакий способ якобы пошёл бы на всех приводах, позволяющих приводам писать lead’ы.

Guest ::
цитата:
Объясни пожалуйста, чем образ так плох. Просто эта защита хитрая, не стартует даже с Оригинального SCSI Привода, если в системе установлены одновременно иде приводы, а алкаш прикидывается под скази, вот почему иде приводы надо отключать.


Сойдет хоть образ, хоть часть (*.exe/protect.dll), да хоть что - главное чтобы запустилось и работала защищенная прога, пусть даже не правильно. Если образ нерабочий - что с ним делать? может ты знаешь?

ps. Ладно, буду ждать, может sf3 и до Австралии дойдет.

Ромка :: Сейчас ftpпшник организую, чтобы мог снять образ, правда отдача 16кб. На большее мой нет не тянет. Тебе понадобится новый алкаш, и если позволяет bios, надо отключить шлейф, где твои иде приводы сидят, иначе отключи их от шлейфа физически.

цитата:
Если образ нерабочий - что с ним делать? может ты знаешь?


Если образ нерабочий, то единственное, что с ним можно сделать, разве что грубо стереть!
Опять же, нерабочий только потому что его заболванить нельзя, так сказать трудно. Проблема в том, что скорее всего к твоему образу не хватает физического отпечатка, без него игра не стартует, так как эмулятор не знает, какая у оригинала физструктура. Если захочешь заболванить, то физический отпечаток пока что бесполезен со старфорце3, так как там измеряется угловая скорость относительно плотности секторов на цд, а она изначально у любого цд ролинга разная, потому для каждого ролинга, на который ты захочешь записать и даже для каждого CD-Rw writer’a даже одинаковой модели подгонять в имидже lead in надо, но это как в чёрной комнате искать чёрную кошку.
Некоторым везёт, и купленные ролинги имеют физически схожее начало дорожки, но и это как играть в лотто.
Проблема в том, что на криде очень нестандартное начало цд, потому там процент везения мизерный, когда кто то хочет её заболванить.
Давай спишемся, мыло brief@front.ru

odIsZaPc :: Любую защиту можно сломать. Или я не прав?

Kerghan :: odIsZaPc
ну сломай

mnalex :: odIsZaPc
Все зависит от уровня подготовки... Неломаемого пока нет (ну разве что кроме встроенной защиты (это когда работа самой программы быдет основанна на коде, но это уже не ШароВарэз)), есть еще мало подготовленный исследователь, хотя нельзя сказать, что плохой...

Ромка :: Что то гость не даёт о себе знать, а я ведь образ предлагал, но похоже обращаться не хочет.
Да ломать старфорце3, легче цд пополам поломать

Serg Re: Ромка ::
цитата:
Что то гость не даёт о себе знать, а я ведь образ предлагал, но похоже обращаться не хочет.
Да ломать старфорце3, легче цд пополам поломать


Образ = ~600Mb Вы издиваетесь :) такие объемы по инету ворочить :-\ лишь только для анализа sf3

br, Serg

MoonShiner :: mnalex пишет:
цитата:
Неломаемого пока нет (ну разве что кроме встроенной защиты (это когда работа самой программы быдет основанна на коде, но это уже не ШароВарэз))


Случаем, ты не водяные знаки имеешь в виду? Дык оно тож ломаемо, вопрос в том, скока ты угробишь времени.... И в том, кто это реализовал...

qwqw :: зайди на яндекс и набери kreed crack

Ромка :: Serg написал:

цитата:
Образ = ~600Mb Вы издиваетесь :) такие объемы по инету ворочить :-\ лишь только для анализа sf3»



Я не издЕваюсь, возможно для России это не мало, а человек из Австралии. Если вы себе этого позволить не можете, например живя в дальнем уголке России, то для живущих за рубежом скачать это обойдётся чуть ли не бесплатно, вам же может легче купить оригинал. Так что не надо сравнивать то, что не поддаётся сравнению.

qwqw написал:

цитата:
зайди на яндекс и набери kreed crack


Блин, ну что у людей за дурная привычка куда то посылать что либо найти.
Ну раз даёте наводку, где искать, то дайте сразу конкретно ссылку, где это есть.
Неужели это сложно? Другое дело, что вы возможно даже не знаете, что взломки на крид пока нет и посылаете, лишь бы послать? Так я сам могу кому хочешь, что хочешь посоветовать.
Но тут ведь не дураки сидят на посыльных. Я и яндекс и гугля вдоль и поперёк облазил, но кроме накрутки, фальшивок и прочей шняги больше ничего не нашёл, осталось на тот свет ещё обратиться. Аж зло порой берёт от таких бездарных сообщений.

odIsZaPc :: Kerghan пишет:
цитата:
ну сломай


Зачем? Сломана она уже. Да, отключать шлейф... Да, только через эмуляцию на новом Alcohol’e... Да - это гимор... Но раз поиграть в игрушку с другого диска можно (сам играл), то защита ломана... И данный Пост - лишь поиск способа облегчить ее снятие... И это возможно, умные люди тут вроде как есть... Доломают рано или поздно...




Все ясно. Я тоже не в Росии живу - такое добро (3 версию) пока не встречал....



Все ясно. Я тоже не в Росии живу - такое добро (3 версию) пока не встречал.
Образ бесполезен.

ps. Всем проффи: почему умные люди, коих здесь (по их высказываниям) я насчитал не менее десятка,
не собирутся, да не напишут полезную тулзу для снятия StarForca? Почему-то каждый изучает защиту
в одного, а потом, как обычно, не хватает терпения (мозгов) чтобы завершить начатое :-\
Почему до сих пор не было попыток сделать что-то полезное командой ? Вязли target v3.0, нацелились первой задачей восстановить импорт -› кто не принес умных идей/предложений из команды автоматом выбывает. Главное разобраться, а написАть распаковщик, зная принципы работы - никогда трудностей не представляло.

-= ALEX =- :: -Что мы будем делать сегодня? - Как всегда, ЗАВОЁВЫВАТЬ МИР! (с) MozgC

-= ALEX =- :: Народ, дайте мне пожалуйста хоть какой-нить диск со StarForce 3... охота посмотреть на защиту... мож у кого из NSK есть ?

Ромка :: Guest› Объясни пожалуйста, чем образ так плох. Просто эта защита хитрая, не стартует даже с Оригинального SCSI Привода, если в системе установлены одновременно иде приводы, а алкаш прикидывается под скази, вот почему иде приводы надо отключать.
Если ты в Германии живёшь, проблем выслать никаких, будет в подарок.
Всё таки крид вышел в Августе, в новом алкаше за декабрь все блэклисты почистили, улучшена физическая эмуляция. Так чем же образ хуже оригиналки, простите за чайниковский вопрос.

Алекс›значит без образие :), образ выслать?

Ромка ::
цитата:
Кстати VSO эта французская компания, тоесть создатель blindwrite, заявила, что уже были успехи практически 100% сделать копию со старфорца3 на приводе Plextor Premium (наверное многие знают, что Plextor Premium уже давно способен создавать практически 1:1 копию на новых Securom’ах, где также применяется физическая метка). Так вот возможно в скорем времени эти новые успехи будут внедрены в новых версиях blindwrite под этот writer, а пока что это невозможно.


Один чувак правда ещё заявлял, что можно корректировать под каждую партию CD-R ролингов lead in и lead out образа так, чтобы позиция старта дорожки и тем самым относительной плотности цд, совпадали. Короче муздыханья навалом, правда эдакий способ якобы пошёл бы на всех приводах, позволяющих приводам писать lead’ы.

Guest ::
цитата:
Объясни пожалуйста, чем образ так плох. Просто эта защита хитрая, не стартует даже с Оригинального SCSI Привода, если в системе установлены одновременно иде приводы, а алкаш прикидывается под скази, вот почему иде приводы надо отключать.


Сойдет хоть образ, хоть часть (*.exe/protect.dll), да хоть что - главное чтобы запустилось и работала защищенная прога, пусть даже не правильно. Если образ нерабочий - что с ним делать? может ты знаешь?

ps. Ладно, буду ждать, может sf3 и до Австралии дойдет.

Ромка :: Сейчас ftpпшник организую, чтобы мог снять образ, правда отдача 16кб. На большее мой нет не тянет. Тебе понадобится новый алкаш, и если позволяет bios, надо отключить шлейф, где твои иде приводы сидят, иначе отключи их от шлейфа физически.

цитата:
Если образ нерабочий - что с ним делать? может ты знаешь?


Если образ нерабочий, то единственное, что с ним можно сделать, разве что грубо стереть!
Опять же, нерабочий только потому что его заболванить нельзя, так сказать трудно. Проблема в том, что скорее всего к твоему образу не хватает физического отпечатка, без него игра не стартует, так как эмулятор не знает, какая у оригинала физструктура. Если захочешь заболванить, то физический отпечаток пока что бесполезен со старфорце3, так как там измеряется угловая скорость относительно плотности секторов на цд, а она изначально у любого цд ролинга разная, потому для каждого ролинга, на который ты захочешь записать и даже для каждого CD-Rw writer’a даже одинаковой модели подгонять в имидже lead in надо, но это как в чёрной комнате искать чёрную кошку.
Некоторым везёт, и купленные ролинги имеют физически схожее начало дорожки, но и это как играть в лотто.
Проблема в том, что на криде очень нестандартное начало цд, потому там процент везения мизерный, когда кто то хочет её заболванить.
Давай спишемся, мыло brief@front.ru

odIsZaPc :: Любую защиту можно сломать. Или я не прав?

Kerghan :: odIsZaPc
ну сломай

mnalex :: odIsZaPc
Все зависит от уровня подготовки... Неломаемого пока нет (ну разве что кроме встроенной защиты (это когда работа самой программы быдет основанна на коде, но это уже не ШароВарэз)), есть еще мало подготовленный исследователь, хотя нельзя сказать, что плохой...

Ромка :: Что то гость не даёт о себе знать, а я ведь образ предлагал, но похоже обращаться не хочет.
Да ломать старфорце3, легче цд пополам поломать

Serg Re: Ромка ::
цитата:
Что то гость не даёт о себе знать, а я ведь образ предлагал, но похоже обращаться не хочет.
Да ломать старфорце3, легче цд пополам поломать


Образ = ~600Mb Вы издиваетесь :) такие объемы по инету ворочить :-\ лишь только для анализа sf3

br, Serg

MoonShiner :: mnalex пишет:
цитата:
Неломаемого пока нет (ну разве что кроме встроенной защиты (это когда работа самой программы быдет основанна на коде, но это уже не ШароВарэз))


Случаем, ты не водяные знаки имеешь в виду? Дык оно тож ломаемо, вопрос в том, скока ты угробишь времени.... И в том, кто это реализовал...

qwqw :: зайди на яндекс и набери kreed crack

Ромка :: Serg написал:

цитата:
Образ = ~600Mb Вы издиваетесь :) такие объемы по инету ворочить :-\ лишь только для анализа sf3»



Я не издЕваюсь, возможно для России это не мало, а человек из Австралии. Если вы себе этого позволить не можете, например живя в дальнем уголке России, то для живущих за рубежом скачать это обойдётся чуть ли не бесплатно, вам же может легче купить оригинал. Так что не надо сравнивать то, что не поддаётся сравнению.

qwqw написал:

цитата:
зайди на яндекс и набери kreed crack


Блин, ну что у людей за дурная привычка куда то посылать что либо найти.
Ну раз даёте наводку, где искать, то дайте сразу конкретно ссылку, где это есть.
Неужели это сложно? Другое дело, что вы возможно даже не знаете, что взломки на крид пока нет и посылаете, лишь бы послать? Так я сам могу кому хочешь, что хочешь посоветовать.
Но тут ведь не дураки сидят на посыльных. Я и яндекс и гугля вдоль и поперёк облазил, но кроме накрутки, фальшивок и прочей шняги больше ничего не нашёл, осталось на тот свет ещё обратиться. Аж зло порой берёт от таких бездарных сообщений.

odIsZaPc :: Kerghan пишет:
цитата:
ну сломай


Зачем? Сломана она уже. Да, отключать шлейф... Да, только через эмуляцию на новом Alcohol’e... Да - это гимор... Но раз поиграть в игрушку с другого диска можно (сам играл), то защита ломана... И данный Пост - лишь поиск способа облегчить ее снятие... И это возможно, умные люди тут вроде как есть... Доломают рано или поздно...

Kerghan :: odIsZaPc пишет:

цитата:
Доломают рано или поздно...


скорее поздно...
людей которые ломают старфорс еще меньше, чем тех кто распаковывает арму

Inferno[mteam] :: друзья, нужно всего-то навсего дождаться третьей части упаковщиков на wasm.ru. Там volodya обещает разватрушить SF3, так что ждем-с




TankMan Восстановление импорта... не понятны некоторые функции Я тут по...



TankMan Восстановление импорта... не понятны некоторые функции Я тут по туториалу (нашел я его всетаки :) ) распаковывал файл... правда не тот что был в туториале... поэтому возникают несколько вопросов... когда я восстанавливал импорт imprect как положенно не определил несколько функций, насколько я помню, их нужно в ручную выбирать из списка, а для этого нужно определять что же за функцию туда нужно поставить, методом простого анализа возвращаемых данных... вот например если функция возвращает адресс по которому находится строка, с путем к файлу, то значит это - GetCommandLineA.... и все... это все что осталось в моем мозгу, по остальным возвращаемым данным я не могу вспомнить что за функция возвращает такое же :(....
может есть какой-то способ определения какая именно функция должна стоять на месте не определенной функции?(кроме того что предложил(повторил) я), или может есть статья с всевозможными вариантами? или еще чего-нибудь?
А если нет, то скажите что за функция возвращает:
FFFFFFFF - ?
80C800C0 -?
0A280105 - ?
И еще, откуда брать ворованные файлы? или они всегда в разных местах? или есть алгоритм их поиска?

nice :: TankMan
Эти ф-ии указывают в небо, тебе нужно их УДАЛИТЬ
00хххххх - а вот такие имеет смысл востанавливать...

DiveSlip :: FFFFFFFF - GetCurrentProcess
0A280105 - GetVersion

MoonShiner :: TankMan пишет:
цитата:
80C800C0


А вот это вродь пустышка... Но точно не уверен, надо зырить

TankMan :: А что вместо нее нужно ставить? LockResource? или еще чего?

TankMan :: Эх... распаковать распаковал... другая проблема возникла :( - почему-то выдает ошибку Internal Error...:(... отловил этот messageboxa, но ничего от туда не нарыл, функция чертзнает откуда вызывается :(... наверное он проверяет на распакованность?... а как это можно отловить? я думаю есть какие-то стандартные уловки на поиск того места где это проверяется?

nice :: TankMan
Что это за программа? Чем запакована?

DiveSlip :: А можно ли с помощью OllyDbg восстановить импорт? Имеется ввиду вручную определить те функции, которые не распознал ИмпРек или Revirgin (например, как в Айсе, ставя бряк на адрес и смотря, что является результатом функции).

nice :: DiveSlip
Смотришь CTRL+g и вводишь адрес ф-ии

TankMan :: nice
Программа LanTalk XP а запакована аспром 1.23... или что-то в этом духе (рядом)...

TankMan :: nice
Программа LanTalk XP а запакована аспром 1.23... или что-то в этом духе (рядом)...

nice :: TankMan
Дома гляну, кажется я её распаковывал

Mario555 :: TankMan пишет:
цитата:
Эх... распаковать распаковал... другая проблема возникла :( - почему-то выдает ошибку Internal Error


У меня вроде никакой ошибки не выдавал... Хотя точно уже не помню, давно было.
Ты байты то восстановил ?

00414AB7 ›/$ 55 PUSH EBP
00414AB8 ¦. 8BEC MOV EBP,ESP
00414ABA ¦. 6A FF PUSH -1
00414ABC ¦. 68 906F4300 PUSH dumped_.00436F90
00414AC1 ¦. 68 88874100 PUSH dumped_.00418788
00414AC6 ¦. 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00414ACC ¦. 50 PUSH EAX
00414ACD ¦. 64:8925 000000›MOV DWORD PTR FS:[0],ESP
00414AD4 ¦. 83EC 58 SUB ESP,58
00414AD7 ¦. 53 PUSH EBX
00414AD8 ¦. 56 PUSH ESI
00414AD9 ¦. 57 PUSH EDI
00414ADA ¦. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP

TankMan :: Да дело в том, что она запускается, и просит выбрать язык интерфейса, т.е. стартовала она нормально, но вот после того, как язык выбран, она вылетает :(

А кстати, а вот эти байты, что ты дал, они всегда одинаковые?

Madness :: TankMan
Ссылку на reg_name поправил?

DiveSlip :: Madness , а можно про reg_name поподробнее? Просто у меня тоже иногда распакованные программы не запускаются, хотя вроде все правильно восстановил, и я никак не могу понять почему.

Madness :: DiveSlip
В программе есть адрес, по которому хранится offset имени зарегистрированного юзера или нуля в противном случае. Этот адрес указывает на код аспра, который после распаковки будет отсутствовать, соответственно получится access violation. При распаковке с валидным ключем, изменении оффсета имени, динамической раскриптовки кода возможно падение при этой самой распаковке, причина в 1 бите, из-за которого прога опять-таки лезет в код аспра, лечится его изменением и выдиранием этих самых кусков.

Madness :: TankMan
›А кстати, а вот эти байты, что ты дал, они всегда одинаковые?
Нет, конечно.

Madness :: TankMan
›А кстати, а вот эти байты, что ты дал, они всегда одинаковые?
Нет, конечно.

DiveSlip :: А как эти куски обнаружить? Как узнать адрес, где хранится имя юзера?

Madness :: DiveSlip
Ищи апи аспра.

DiveSlip :: Madness , спасибо, правда я не понял, что такое апи аспра.

-= ALEX =- :: TankMan прочитал бы хотябы мою статью www.alex2kx.nm.ru/aspr123rc4unp.html
P.S. мож кто статью подправит для сайта cracklab ? а то влом самому...

Madness :: DiveSlip
Скачай аспр, да в справке поищи что-нить типа GetRegistrationName или че-нить в этом духе.

TankMan
Насчет импорта, кста, http://kpteam.com/index.php?show=tools




TankMan Восстановление импорта... не понятны некоторые функции Я тут по...



TankMan Восстановление импорта... не понятны некоторые функции Я тут по туториалу (нашел я его всетаки :) ) распаковывал файл... правда не тот что был в туториале... поэтому возникают несколько вопросов... когда я восстанавливал импорт imprect как положенно не определил несколько функций, насколько я помню, их нужно в ручную выбирать из списка, а для этого нужно определять что же за функцию туда нужно поставить, методом простого анализа возвращаемых данных... вот например если функция возвращает адресс по которому находится строка, с путем к файлу, то значит это - GetCommandLineA.... и все... это все что осталось в моем мозгу, по остальным возвращаемым данным я не могу вспомнить что за функция возвращает такое же :(....
может есть какой-то способ определения какая именно функция должна стоять на месте не определенной функции?(кроме того что предложил(повторил) я), или может есть статья с всевозможными вариантами? или еще чего-нибудь?
А если нет, то скажите что за функция возвращает:
FFFFFFFF - ?
80C800C0 -?
0A280105 - ?
И еще, откуда брать ворованные файлы? или они всегда в разных местах? или есть алгоритм их поиска?

nice :: TankMan
Эти ф-ии указывают в небо, тебе нужно их УДАЛИТЬ
00хххххх - а вот такие имеет смысл востанавливать...

DiveSlip :: FFFFFFFF - GetCurrentProcess
0A280105 - GetVersion

MoonShiner :: TankMan пишет:
цитата:
80C800C0


А вот это вродь пустышка... Но точно не уверен, надо зырить

TankMan :: А что вместо нее нужно ставить? LockResource? или еще чего?

TankMan :: Эх... распаковать распаковал... другая проблема возникла :( - почему-то выдает ошибку Internal Error...:(... отловил этот messageboxa, но ничего от туда не нарыл, функция чертзнает откуда вызывается :(... наверное он проверяет на распакованность?... а как это можно отловить? я думаю есть какие-то стандартные уловки на поиск того места где это проверяется?

nice :: TankMan
Что это за программа? Чем запакована?

DiveSlip :: А можно ли с помощью OllyDbg восстановить импорт? Имеется ввиду вручную определить те функции, которые не распознал ИмпРек или Revirgin (например, как в Айсе, ставя бряк на адрес и смотря, что является результатом функции).

nice :: DiveSlip
Смотришь CTRL+g и вводишь адрес ф-ии

TankMan :: nice
Программа LanTalk XP а запакована аспром 1.23... или что-то в этом духе (рядом)...

TankMan :: nice
Программа LanTalk XP а запакована аспром 1.23... или что-то в этом духе (рядом)...

nice :: TankMan
Дома гляну, кажется я её распаковывал

Mario555 :: TankMan пишет:
цитата:
Эх... распаковать распаковал... другая проблема возникла :( - почему-то выдает ошибку Internal Error


У меня вроде никакой ошибки не выдавал... Хотя точно уже не помню, давно было.
Ты байты то восстановил ?

00414AB7 ›/$ 55 PUSH EBP
00414AB8 ¦. 8BEC MOV EBP,ESP
00414ABA ¦. 6A FF PUSH -1
00414ABC ¦. 68 906F4300 PUSH dumped_.00436F90
00414AC1 ¦. 68 88874100 PUSH dumped_.00418788
00414AC6 ¦. 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00414ACC ¦. 50 PUSH EAX
00414ACD ¦. 64:8925 000000›MOV DWORD PTR FS:[0],ESP
00414AD4 ¦. 83EC 58 SUB ESP,58
00414AD7 ¦. 53 PUSH EBX
00414AD8 ¦. 56 PUSH ESI
00414AD9 ¦. 57 PUSH EDI
00414ADA ¦. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP

TankMan :: Да дело в том, что она запускается, и просит выбрать язык интерфейса, т.е. стартовала она нормально, но вот после того, как язык выбран, она вылетает :(

А кстати, а вот эти байты, что ты дал, они всегда одинаковые?

Madness :: TankMan
Ссылку на reg_name поправил?

DiveSlip :: Madness , а можно про reg_name поподробнее? Просто у меня тоже иногда распакованные программы не запускаются, хотя вроде все правильно восстановил, и я никак не могу понять почему.

Madness :: DiveSlip
В программе есть адрес, по которому хранится offset имени зарегистрированного юзера или нуля в противном случае. Этот адрес указывает на код аспра, который после распаковки будет отсутствовать, соответственно получится access violation. При распаковке с валидным ключем, изменении оффсета имени, динамической раскриптовки кода возможно падение при этой самой распаковке, причина в 1 бите, из-за которого прога опять-таки лезет в код аспра, лечится его изменением и выдиранием этих самых кусков.

Madness :: TankMan
›А кстати, а вот эти байты, что ты дал, они всегда одинаковые?
Нет, конечно.

Madness :: TankMan
›А кстати, а вот эти байты, что ты дал, они всегда одинаковые?
Нет, конечно.

DiveSlip :: А как эти куски обнаружить? Как узнать адрес, где хранится имя юзера?

Madness :: DiveSlip
Ищи апи аспра.

DiveSlip :: Madness , спасибо, правда я не понял, что такое апи аспра.

-= ALEX =- :: TankMan прочитал бы хотябы мою статью www.alex2kx.nm.ru/aspr123rc4unp.html
P.S. мож кто статью подправит для сайта cracklab ? а то влом самому...

Madness :: DiveSlip
Скачай аспр, да в справке поищи что-нить типа GetRegistrationName или че-нить в этом духе.

TankMan
Насчет импорта, кста, http://kpteam.com/index.php?show=tools




TankMan Может кто-нибудь написать туториал взлома WarCraft3 FT? Пробовал я...



TankMan Может кто-нибудь написать туториал взлома WarCraft3 FT? Пробовал я взломать WarCraft3 FT 1.14 - как ни старался - не получилось ничего :( - как просил диск так и просит... я но-сд то нашел, но просто интересно, каким именно образом он защищен, и как можно обойти? Может кто уже ломал и поможет мне написанием мАААаленького туториалчика?
dmitrys :: Отучаем WarCraft 3 (1.01b) от SecuROM

Инструменты : SoftICE, ProcDump, бумага, Win32DAsm
+!!!оригинальный!!! CD с игрой.

SecuROM считывает нечитабельные(другими прогами) сектора
сд-диска. Сравнивает эту инфу со своей и если все сходится
то далее exe’шник дешифруется и идет прыжок на OEP.
И так начнем...
Ставим в СофтАЙСЕ бряк на GetDriveTypeA (bpx GetDriveTypeA).
КОгда выскочит САЙС жмем F12 и записываем EIP. Потом просто
выходим из САЙСА. Затем загружаем в Win32DAsm war3.exe и
идем на тот адрес который вы записали :00465A31 и поднимаемся
пока не увидим такое место :

-------cut here-------

:00463549 CC int 03
:0046354A CC int 03
:0046354B CC int 03
:0046354C CC int 03
:0046354D CC int 03
:0046354E CC int 03
:0046354F CC int 03
:00463550 55 push ebp
:00463551 8BEC mov ebp, esp
:00463553 56 push esi
:00463554 6A01 push 00000001
:00463556 6A00 push 00000000
:00463558 6A00 push 00000000
:0046355A A190B44900 mov eax, dword ptr [0049B490]
:0046355F 50 push eax
:00463560 FF1554D84900 call dword ptr [0049D854]

-------cut here-------

Снова запускаем игру, только из SILoader’a. Ставим брак на
:00463550 - это начало всей прцедуры чтения секторов CD.
Когда стопнется САЙС смотрим что у нас в ESP (d esp). А в
ESP должен быть адрес места гуда нужно вернуться после
этой процедуры (т.е. если вместо push ebp написать ret
то мы должны вернуться именно на этот адрес). А адрес у
нас оказался :00461692. Если посмотреть на это место в
ВинДАсм’е, то мы увидим всякую фигню, значит SecuROM
дешифрует это место во время выполнения. Нам нужно сдампить
exe’шник тогда когда этот кусок памяти будет дешифрован.
Опять ставим бряк на GetDriveTypeA. Когда стопнемся жмем
F12 и оказываемся в exe’шнике. Меняем cmp eax,05 на
jmp EIP (команды : a, jmp EIP). Выходим из САЙСА и запускаем
ProcDump. Сдампим весь exe’шник и убъем процесс. Загружаем
в ВинДасм сдампеный exe’шник. Идем на :00461692 и если там
нормальный код, то вы все сделали правильно...
Предыдущий call - это как раз вызов той процедуры. Если вы
туда зайдете то не пугайтесь, что там совсем другой код.
Просто SecuROM использует одно и тоже место в памяти для
разных процедур. Смотрим далеко вниз и видим такое :

-------cut here-------

:00461876 FF1590A94900 call dword ptr [0049A990]
:0046187C C70558A4490000000000 mov dword ptr [0049A458], 00000000

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
¦:00461864(C), :0046186D(C)
¦
:00461886 B816124000 mov eax, 00401216
:0046188B 90 nop
:0046188C 90 nop
:0046188D 50 push eax
:0046188E EB03 jmp 00461893

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
¦:00461A35(U)
¦
:00461890 58 pop eax
:00461891 FFE0 jmp eax

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
¦:0046188E(U)
¦
:00461893 A340C64900 mov dword ptr [0049C640], eax
:00461898 E8F3C0FFFF call 0045D990
:0046189D C7055CAA490000000000 mov dword ptr [0049AA5C], 00000000

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
¦:004619B5(U)
¦
:004618A7 8B155CAA4900 mov edx, dword ptr [0049AA5C]
:004618AD 6BD20A imul edx, 0000000A

-------cut here-------

По адресу :00461886 видим что в EAX кладется какое-то число
(странно!!!). Ставим в САЙСЕ бряк на :00461886. Когда стопнемся
проходим все до :00461A35. Дело в том что далее идут циклы
дешифровки... Дойдя до :00461A35 видим прыжок на :00461890.
Смело прыгаем и оказывается мы вернулись почти туда же где
стопнулись. Тут восстанавливается EAX (pop eax) и прыгаем на
адрес который в EAX. А в EAX оказывается то число, которое до
этого мы видели (mov eax, 00401216). Значит?... это и есть OEP.
OK..самое трудное мы сделали. Теперь запишем свеженайденый OEP
на бумажку. Теперь осталось сделать нормальный дамп. Ставим
в САЙСЕ бряк на :00461891 и когда стопнемся меняем jmp eax
на jmp EIP. Выходим из САЙСА и дампим exe’шник ПрокДамп’ом.
Не забудте убить процесс. Меняем EP на OEP всеми доступными
средствами. Иногда еще придется восстановить Импорт(Import
table) это можно сделать Import ReConstructor’ом, когда игра
будет запущена, только в поле EP нужно ввести OEP.
Вот и все не такая уж и крутая защита...
Также ломается и WorldEditor.(пусть это будет вышим домашним
заданием)

Ну и как всегда, этот тутор только для образовательных целей.
Здесь ничего не ломается, а описывается защита. Даже не думайте
что-то ломать ;-). За все последствия Автор(т.е. Я) ответственности
НЕ НЕСЕТ!

Все вопросы в мыло...

writer : EGOiST[TSRh]
cracker : EGOiST[TSRh]
web : http://www.ego1st.cjb.net/
: http://kickme.to/tsrh
e-mail : egoist_tsrh@rbcmail.ru
: tsrh@mail.ru

Взято с сайта http://cd-check.tk/

Cigan :: Полный Бред!!! Он ламал пиратку!!! А на лицензии Securom!!! И много гемороя!!!

TankMan :: И что и только 1.01? Не учто ни кто сдесь не ломал Warcraft3 FT 1.14? Может защита слишком сложная, и поэтому ни кто не хочет тратить времени на бедного смертного, чтобы объяснить в чем загвоздка? или как?

-= ALEX =- :: просто прошел уже тот период когда все в нее рубились и искали пути решения траблы с диском...

GL#0M :: TankMan

Во-первых не у всех она есть... мало кто играет на этом форуме... ИМХО
Во-вторых ничего там сложного нет, защиту можно снять по любому из туторов в сети...

Cigan
Никакая это не пиратка, а оригинал. Сам снимал с оригинала, всё также. По Securom дохера инфы, вам просто в гугле лень поискать!!!

Mario555 :: GL#0M пишет:
цитата:
По Securom дохера инфы, вам просто в гугле лень поискать!!!


Ыгы... Всё на буржуйском и старое...

odIsZaPc :: Mario555
Ну дык буржуйский учи!

Cigan :: GL#0M
Ты не прав!!! Dr.Golova мне еще на wasm ответил так что извени!!! :))) А если ты говоришь что все очень просто то снеми 1.14 по туториалу!!! И потом ссылку подкинь на етот туториал, если не влама будет !!! Или сам напишы тутор !!!! :)))

RideX :: Cigan пишет:
цитата:
Dr.Golova мне еще на wasm ответил так что извени!!! :)))


SecuROM снять не ХХХХХ распаковать и одним ImpRec’ом (Mangled import и т.д.) тут ничего не сделаешь, надо DLL свою писать, импорт раскручивать, и т.д. и т.п. в том же духе. Ведь так ответил, а ты тут прикалываешься :)))

TankMan :: Все ясно, значит, не судьба? Но ведь кто-то же снял этот SecuROM, не учто.... ай ну ладно, раз времени нет, то нет...




Gloomy Монстр DarkMailer - очень странная защита Была на днях тема про эту...



Gloomy Монстр DarkMailer - очень странная защита Была на днях тема про эту прогу, прога конечно плохая но защита в ней это просто жуть какая-то! PEiD при общении с ней уходит в партизаны, нормально (если можно так выразиться) работает только один дампер PE Tools, сечется SoftIce, с помощью IceExt 0.62 удается его скрыть но только до первого перезапуска проги после чего она его опять-таки обнаруживает, с Олей прогу исследовать невозможно потому что Оля в итоге сдыхает от огромного числа исключений (Армадилла с Аспром нервно курят в сторонке), в SoftIce прогу тоже исследовать невозможно т.к. нужно будет постоянно перезагружаться, оба дизассемблера W32Dasm и IDA показывают чушь. Кстати любые мониторы файлов и реестра прога тоже безжалостно уничтожает, после установки нет никаких новых веток реестра.
Даже не знаю что придумать, все крякерские инструменты можно смело отправлять в трэш УРЛ вроде бы еще работает: http://216.158.130.132/gen/dm132.zip

Посмотрите плз, можно даже не ломать - просто жутко интересно что же это за зверюга такая - рукотворная (созданная самими разработчиками программы) или это все-таки какая-то неизвестная PEiD навесная защита? И как с такими зверями обращаться если еще где встретятся?
fuck it :: кул, если все так как ты сказал то эта кул !

SLV :: Она чем-то хитрожопым зрпакована (Corupt resourses)...

SLV :: Gloomy , а что за прога-то. Про что она, а то эта хрень отладчик детектирует и мне её не запустить (пока, надеюсь )

Gloomy :: SLV пишет:
цитата:
Corupt resourses


А ты как хотел чтобы тебе все ресурсы были? И что ты с ними будешь делать? Искать их в дизассемблере бесполезно там не код а ахинея. В Айсе кстати я пробовал ловить GetWindowTextA - поймал и в итоге вышел на адрес такого вида: 6C291DCC. ИМХО, даже для стека и памяти это многовато.

Не знаю для чего прога, в данном случае это неважно - защита гораздо интереснее.

Gloomy :: Мда, пошел уже пятый час с момента запуска простого скрипта:

Lagain:
esto
jmp Lagain

И до сих пор даже окно нага не появилось Возникают глубокие сомнения в полезности этой процедуры...

ZX :: Прикольная защита, конечно не такая страшная, но прикольная.

Gloomy :: ZX
Очень информативно Нормально сдампить и импорт прикрутить чтобы работала смог?

-= ALEX =- :: я тоже скачал, решил полностью весь код пройти, задолбался, столько циклов прошел полиморфных :)

Gloomy :: -= ALEX =-
И как успехи с прохождением кода? Прошел? В принцпе я даже дамп умудрился сделать (правда не на ОЕР а где-то неизвестно где, в районе проверки введенного серийника) и ресурсов в этом дампе живых много но вот с импортом (брал ОЕР 47CF8C, его показал PEiD) полный завал - там такая гора функций не обнаруживается что дизассемблировать каждую просто нереально, нужна какая-то автоматизация.

test Re: Gloomy :: Кстати если поставить бряк на FindWindowA то все понятно почему
Gloomy пишет:
цитата:
любые мониторы файлов и реестра прога тоже безжалостно уничтожает


Заодно и до OEP дойти быстрее можно.

ZX :: Gloomy
Я вчера просто посмотрел, сейчас вот решил занятся. Попробую импорт восстановить.

infern0 :: там самое прикольное - это ее определение айса. Когда это обходишь то сдампить на оепе уже не проблема. А вот с импортом пока тоже туго.

Gloomy :: Всем занятие нашел, все DarkMailer ломают

infern0 пишет:
цитата:
сдампить на оепе


А как до него дойти? Стандартный «bpm esp-4» не катит т.к. вызывается очень много раз.

ZX :: Да импорт это что-то.
Gloomy
А ОЕР я в PEiD посмотрел, как и ты. Потом когда распаковалось все вбил туда int 3, и приземлился уже там. Ну импорт это...
Нафиг он тебе только нужен был, я уже четвертый час бьюсь, свои дела стоят...
ЗЫ Когда на ОЕР стоишь загляни в карту памяти (ужас) и какие-то намеки на UPX.

infern0 :: По адресу c00000 находится DLL защиты. Она выполняет всю инициализацию
импорта и расшировку секции кода. У нее подпорчен заголовок но это легко
лечится (четыре секции, границы определяются на глаз)
В ней каждая функция предваряется достаточно прикольным прологом.
Вот например экспортируемая функция SI_detection (на самом деле это фэйк -
просто вывод месбокса :)

code:00C02206 ; Exported entry 1. SI_detection
code:00C02206
code:00C02206 public SI_detection
code:00C02206 SI_detection:
code:00C02206 push eax
code:00C02207 jmp short loc_C0220D
code:00C02209 ; -------------------------
code:00C02209
code:00C02209 loc_C02209:
code:00C02209 jmp short loc_C02212
code:00C02209 ; -------------------------
code:00C0220B db 93h ; У
code:00C0220C db 7Ah ; z
code:00C0220D ; -------------------------
code:00C0220D
code:00C0220D loc_C0220D:
code:00C0220D call loc_C02209
code:00C02212
code:00C02212 loc_C02212:
code:00C02212 pop eax ; EAX = C02212
code:00C02213 add eax, 1Dh ; EAX = C0222F - начало обработчика SEH
code:00C02219 push eax
code:00C0221A xor eax, eax
code:00C0221C push dword ptr fs:[eax]
code:00C0221F mov fs:[eax], esp ; установка SEH
code:00C02222 mov eax, [eax] ; вызов исключения
code:00C02224 test [edi+ecx*4+0], ah
code:00C02228 pop eax ; тут после SEH получаем адрес
code:00C02229 xchg eax, [esp] ; исключения минус 3ch = c021e6
code:00C0222C retn

смотрим обработчик SEH

code:00C0222F sub_C0222F proc near
code:00C0222F
code:00C0222F _CONTEXT = dword ptr 18h
code:00C0222F
code:00C0222F push edi
code:00C02230 push ebp
code:00C02231 push ebx
code:00C02232 mov eax, [esp+_CONTEXT]
code:00C02239 mov ebp, [eax+_CONTEXT.Esp]
code:00C0223F mov ebx, 486262DEh
code:00C02244 xor ebx, 486262E2h
code:00C0224A mov edx, [eax+_CONTEXT.Eip]
code:00C02250 sub edx, ebx ; EIP = EIP - 3ch
code:00C02252 mov [ebp+4], edx ; запишем в стек
code:00C02258 sub [eax+_CONTEXT.Eip], 0FFFFFFFDh ; пропустим пару левых байт
code:00C02262 pop ebx ; для корректного выхода
code:00C02263 pop ebp
code:00C02264 pop edi
code:00C02265 push 0
code:00C02267 pop eax
code:00C02268 retn
code:00C02268 sub_C0222F endp

Т.о. после обработки сгенерированного исключения мы попадаем на реальный код процедуры
расположенный по адресу c021e6

code:00C021E6 sub_C021E6 proc near
code:00C021E6 mov eax, ds:dword_C2CBB4
code:00C021EB push esi
code:00C021EC push 0Dh
code:00C021EE mov esi, [eax]
code:00C021F0 call getErrorMessage
code:00C021F5 pop ecx
code:00C021F6 push eax
code:00C021F7 push 0
code:00C021F9 push ds:dword_C2CBB4
code:00C021FF call dword ptr [esi]
code:00C02201 add esp, 0Ch
code:00C02204 pop esi
code:00C02205 retn
code:00C02205 sub_C021E6 endp

Все остальные процедуры обрабатываются аналогично. Немного пристальнее взглянув видна следующая
система: берется процедура, перед ней ставится байт 0xe9 (что-бы наебать дизассемблер), в конце
добавляется отстой с SEH и все. Если идти с начала секции кода, пропуская лидирующие e9h то можно
легко ручками отметить все процедуры. А гуляя по коду жмем на call и нужная нам процедура будет
вверху. Пока так - продолжаю ковырять :)

infern0 / TSRh team

ps: как хоть протектор этот называется ?

pps: а еще нашел вот такие интересные строки:

"License from TimeHASP is expired"
"No TimeHASP found"
"No HASP found"
"No Fidus key found"

типа она и с донглами умее дружить или очередная подъебка :)

infern0 :: да - процедура определения айса начинается с адреса c0876a вроде...

Gloomy :: ZX пишет:
цитата:
Нафиг он тебе только нужен был, я уже четвертый час бьюсь, свои дела стоят...


Ну я вообще-то никого не заставлял, дело чисто добровольное - не хочешь дальше копать так забрось ее, лучше своими делами займись.

infern0 пишет:
цитата:
ps: как хоть протектор этот называется?


Мне почему-то кажется что это вообще самодельная защита. Но если это какой-то новый криптор тогда стоит раскапывать его дальше чтобы знать как снять при необходимости.

infern0 пишет:
цитата:
типа она и с донглами умее дружить или очередная подъебка :)


Это вряд ли, с ней никаких драйверов даже нет.

Заметил интересную штуку: дамп что на ОЕР что просто так (вообще без отладчика) получается одинаковый - это меня глючит или это опять какие-то штучки защиты? Пытаюсь вручную восстановить импорт но судя по объему неопределенных функций это минимум на неделю. Нельзя ли как-то автоматизировать восстановление?

Чем добрался до кода - судя по листингу вроде бы IDA? Я уже заколебался все время перезагружаться чтобы SoftIce прятать а IDA файл не берет, анализирует немного и падает. Потыкал в настройки поставил режим чтобы как бинарник анализировала - вроде дело пошло но очень медленно, оставлю на ночь может что и получится. Какая версия IDA? У меня древняя 4.15 наверное потому и не работает

ZX :: infern0 пишет:
цитата:
ps: как хоть протектор этот называется ?


Да мне бы тоже хотелось это знать. Такого импорта я еще не видал. Там видать кроме импорта будут заморочки, еще какая-то беда с ресурсами. Не получается их перестроить в дампе, возможно заголовок файла испорчен, пока не смотрел.

ZX :: Gloomy пишет:
цитата:
Ну я вообще-то никого не заставлял


Так интересно же.
Gloomy пишет:
цитата:
Нельзя ли как-то автоматизировать восстановление?


Пытаюсь что-нибудь придумать

infern0 :: Gloomy пишет:
цитата:
Чем добрался до кода - судя по листингу вроде бы IDA?


дык я же написал - сдампил дллку поправил малек и грузанул в иду :)
в общем я спать - ну ее в сад эту защиту - никуда она не денется...

infern0 :: если я правильно понимаю то пропатчив эти единички на нолики можно спрятать от нее айс

code:00C09A8A mov [ebp+var_4], 1

code:00C09F93 push 1

Dr.Golova :: Аааа, злые кракеры добрались до моего пакера :)
А его уже два года не обновляли, так штаа меня больше интересует как он попал на DarkMailer если его никому не давали!!!

RottingCorpse :: А где еще применялось?

-= ALEX =- :: Dr.Golova хех, дак ты оказывается пакеры писал или пишешь... :)

infern0 :: если меня не обманули то это Tristana (c) DrGolova / RedPlait

.::D.e.M.o.N.i.X::. :: Dr.Golova пишет:
цитата:
А его уже два года не обновляли, так штаа меня больше интересует как он попал на DarkMailer если его никому не давали!!!


Варез еще никто не отменял:) Значит кто-то из своих либо сам пишет DarkMailer, либо «одолжил» разработчикам DarkMailer’а... В любом случае надо искать среди тех у кого он был на руках...

infern0 :: я так понял что все забили на этот протектор, да ?

Gloomy :: Никто не забыт, ничто не забыто - у меня вчера Инет кончился, не успел ничего написать в форум ИДУ оставлял на ночь но она все-таки повисла - видимо черезчур старая, не понимает приколов протектора Dr.Golova . Придется идти напролом и вручную восстанавливать импорт потому что злой Dr.Golova явно не поделится исходниками и не скажет как его восстановить.

Если кто дойдет до победного конца раньше хорошо было бы написать статью т.к. оказывается этот «Tristana (c) DrGolova / RedPlait» штука редкая, экзотичная но мощная.

RottingCorpse :: копаем потихоньку :)

ZX :: Копаем.

infern0 :: Разобрался с айсом - теперь прога его не видит. С импортом действительно весело, виртуальная машина рулит :)

-= ALEX =- :: infern0 странно, у меня прога всегда работает под отладчиком :)

infern0 :: а там прикол был просто... Кстати я импорт получаю чистые весь кроме user32.dll...

Gloomy :: infern0 пишет:
цитата:
виртуальная машина рулит :)


А в каких еще протекторах она еще применяется? Было бы очень любопытно взглянуть... Да и чисто теорию почитать не мешало бы...

infern0 пишет:
цитата:
импорт получаю чистые весь кроме user32.dll...


Плагин для Imprec писал или просто так само получается? У меня вообще завал с неопознанными функциями

ыыч :: Dr.Golova пишет:
цитата:
Аааа, злые кракеры добрались до моего пакера :)
А его уже два года не обновляли, так штаа меня больше интересует как он попал на DarkMailer если его никому не давали!!!


Это не тот «подаруночек», что был на reversing.net?
Помнится на форуме в итоге появился репак :)
«В жестоком мире живем» :)

SLV :: ыыч , ты вроде забыл поменять раскладку (RUS/ENG)

ssx :: SLV пишет:
цитата:
ыыч, ты вроде забыл поменять раскладку (RUS/ENG)


ага, есть маленько :)

интересно, Доктор сюда снова зайдет?

infern0 :: Gloomy пишет:
цитата:
Плагин для Imprec писал или просто так само получается


само. ну ессно после небольшого патча.

Dr.Golova :: ыыч пишет:
цитата:
Это не тот «подаруночек», что был на reversing.net?
Помнится на форуме в итоге появился репак :)


Немного доработанный.

ssx :: :) И как это интересно такая приватная вещь попала в дикую природу?






<< Назад
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS