eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: esa_r, korsaring, SDK (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› C-Dilla/SafeCast
Посл.ответ Сообщение


Ранг: 387.4 (мудрец)
Статус: Участник
системщик

Создано: 13 мая 2008 07:50 New!
Цитата · Личное сообщение · #1

Только-что начал смотреть софтину - Oxford English Dictionary. Работает в VmWare после замены файлов на патченые из "правильного комплекта".

запускается весь газен ваген вот так:

oedcd_v3.exe
|
|--cdilla64.exe
| |--ntvdm.exe
|--oedcd_v3.csx


Самое мерзкое что инсталится и запускается драйвер - secdrv.sys. Ещё выкладывается какой-то мусор в с:\c_dilla\ и в \windows\.

Начал смотреть драйвер - код разбавлен левыми джампами, но в IDA почти всё вычистилось - читать можно. Отладить, думаю, тем более, но вопрос не в этом. Минимум хочу избавиться от драйвера, а максимум отодрать всё user-mode говнище.

Народ, кто-нить видел это? Подскажите куда копать, а то я не знаю с какой стороны подступить.

Оригинальный комплект: rapidshare.com/files/114515252/_orig.rar.html
Патченый комплект: rapidshare.com/files/114515471/_curr.rar.html
c:\c_dilla: rapidshare.com/files/114515862/C_DILLA.rar.html
\windows\: rapidshare.com/files/114515902/cdilla.rar.html

Ранг: 22.8 (новичок)
Статус: Участник

Создано: 13 мая 2008 11:47 New!
Цитата · Личное сообщение · #2

А мини-образ диска можешь сварганить?


Ранг: 283.6 (наставник)
Статус: Участник
Author of GeTaOEP

Создано: 13 мая 2008 19:10 New!
Цитата · Личное сообщение · #3

Снимаете SafeCast, aka SafeDisc -- и всё должно встать на свои места.
Кстати,посмотри исполняемый файл каким-нибудь ProtectionID и напиши сюда,что он покажет.


Ранг: 387.4 (мудрец)
Статус: Участник
системщик

Создано: 13 мая 2008 20:14 · Поправил: s0larian New!
Цитата · Личное сообщение · #4

Yizahi, все exe-шники (весь ...\bin\ каталог) лежат в "патченый комплект". Вот весь набор: www.mininova.org/tor/613086

DillerInc, oedcd_v3.exe ничем не упакован, в ресурсах говорит что это он 32-bit SafeCast Toolkit, 1.11.91.0. oedcd_v3.csx вообще не PE (на диске)


Ранг: 283.6 (наставник)
Статус: Участник
Author of GeTaOEP

Создано: 13 мая 2008 21:24 New!
Цитата · Личное сообщение · #5

s0larian, так как проявляет себя защита?Приложение не запускается без диска?
За что отвечает файл SCRfrsh.exe?Похоже только там висит протектор.


Ранг: 387.4 (мудрец)
Статус: Участник
системщик

Создано: 13 мая 2008 23:36 · Поправил: s0larian New!
Цитата · Личное сообщение · #6

DillerInc, без диска запускается пропатченая копия. Я хочу отодрать драйвер, но не знаю кто и как его использует.


Ранг: 283.6 (наставник)
Статус: Участник
Author of GeTaOEP

Создано: 14 мая 2008 00:17 · Поправил: DillerInc New!
Цитата · Личное сообщение · #7

s0larian пишет:
Я хочу отодрать драйвер, но не знаю кто и как его использует.

...драйвер используется протектором,кем же ещё.Конкретно видел его использование в антиотладке на уровне ядра,которая иногда применяется этим протектором.Насчёт других применений драйвера сейчас боюсь соврать.
Ты так мне и не ответил: какую роль играет файл SCRfrsh.exe?

ADD.

s0larian пишет:
без диска запускается пропатченая копия

...кто патчил(_curr)??У меня всё равно при запуске oedcd_v3 требуется диск.

Ранг: 22.8 (новичок)
Статус: Участник

Создано: 14 мая 2008 00:41 · Поправил: Yizahi New!
Цитата · Личное сообщение · #8

DillerInc пишет:
без диска запускается пропатченая копия
...кто патчил(_curr)??У меня всё равно при запуске oedcd_v3 требуется диск.


Тоже самое, что оригинал, что запатченная требует диск, посему и спрашивал про мини-образ.


Ранг: 387.4 (мудрец)
Статус: Участник
системщик

Создано: 14 мая 2008 06:09 New!
Цитата · Личное сообщение · #9

DillerInc пишет:
Ты так мне и не ответил: какую роль играет файл SCRfrsh.exe?

Понятия не имею. Только-что переименовал его, прога фачит.

DillerInc пишет:
...кто патчил(_curr)??У меня всё равно при запуске oedcd_v3 требуется диск.

Не знаю, патченый комплект шёл с образами CD-шек. Там 2 CD, и возможна инсталяция индексов, когда данные на CD. Может это прога видит что нету данных и просит диск?

DillerInc, Yizahi, вот минимальный комплект, без баз данных. Прога запускается, показывает главное окно и просит индексы. Распакуй всё в c:\apps\oed\ и всё из "_curr" в oed\bin\
rapidshare.com/files/114746155/oed.rar.html

Registry: rapidshare.com/files/114747147/reg_export.rar.html


Ранг: 387.4 (мудрец)
Статус: Участник
системщик

Создано: 14 мая 2008 07:36 · Поправил: s0larian New!
Цитата · Личное сообщение · #10

DillerInc пишет:
...драйвер используется протектором,кем же ещё.Конкретно видел его использование в антиотладке на уровне ядра,которая иногда применяется этим протектором.Насчёт других применений драйвера сейчас боюсь соврать.

При первом запуске патченая копия показала диалог 524 из ресурсов. Прога была запущена в VmWare и видела виртуальный (daemon tools) CD от host OS В какой-то момент скотина проинсталила драйвер и попросила перезагрузку. После этого этот authentication прошёл.

ОК, начал копать патченый oedcd_v3.exe - непакованый VC++ код.

drvmgt.dll - тоже простой код. drvmgt.dll!Setup - инсталит драйвер, drvmgt.dll!Remove чистит... Только что написал мелкий зашрузчик и повызывал Remove() с разными аргументами - service исчез. Переименовал эту dll и драйвер, всё запускается. Перегрузил, всё дышит. Похоже, что всё уже отломано тут, и надо было вычистить то что насерил инстолер.

Народ, у вас запускается оболочка?


Ранг: 283.6 (наставник)
Статус: Участник
Author of GeTaOEP

Создано: 14 мая 2008 19:37 New!
Цитата · Личное сообщение · #11

s0larian
Выкладывай мини-образ.Мне неинтересны в данном случае чужие патченые варианты.


Ранг: 387.4 (мудрец)
Статус: Участник
системщик

Создано: 14 мая 2008 21:54 · Поправил: s0larian New!
Цитата · Личное сообщение · #12

DillerInc, кочни oed.rar и в него положи _orig.rar - это и будут минимальный (оригинальный) комплект. Т.е. сама прога запускается и просит db indexes.
 eXeL@B —› Основной форум —› C-Dilla/SafeCast

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS