eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Крэки, обсуждения —› CFF Explorer
. 1 . 2 . >>
Посл.ответ Сообщение


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 23 апреля 2009 07:35 New!
Цитата · Личное сообщение · #1

В CFF Explorer есть ограничение на размер файлов в 40 мб
Если файл больше то он спрашивает грузить его или нет
Но даже если загрузить такой файл, то он неправильно работает с секциями,
импортом и не показывает содержимое последних секций.
Кто-нибудь сталкивался с этой проблемой?
И есть ли пути обхода?
(а то неудобно дампить некоторые ВМ )


Ранг: 526.1 (!)
Статус: Участник
5KRT

Создано: 23 апреля 2009 09:13 New!
Цитата · Личное сообщение · #2

Nightshade
Скорее всего он аллочит под файл 40 метров в памяти и грузит его туда. Если это так, то можно попробывать отловить вызов VirtualAlloc и прописать значение побольше.

Ранг: 35.8 (посетитель)
Статус: Участник

Создано: 23 апреля 2009 09:34 New!
Цитата · Личное сообщение · #3

Если быть точным, выводится такое сообщение:
---------------------------
CFF Explorer
---------------------------
This file is bigger than 40MBs. Would you like to load in memory just the first 40MBs?
---------------------------
Да Нет Отмена
---------------------------
(Загружать только первые 40мб?)
Если ответить "Да", то, естественно, загрузятся только первые 40мб, и некоторые поля будут не валидными, в таких случаях нужно давить "Нет". ПО крайней мере у меня так.


Ранг: 1115.7 (!!!!)
Статус: Участник

Создано: 23 апреля 2009 10:09 New!
Цитата · Личное сообщение · #4

Nightshade пишет:
Если файл больше то он спрашивает грузить его или нет


ты бы внимательней читал, что он пишет: This file is bigger than 40MBs. Would you like to load in memory just the first 40MBs?


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 23 апреля 2009 10:59 New!
Цитата · Личное сообщение · #5

Т.е. если нажать нет то загрузится весь?
Сейчас не могу проверить т.к. не дома.
Если файл можно загрузить весь - то тема закрыта.
З. Ы.
Клеил просто вчера в 2 ночи файл и читал соответсвенно невнимательно.
Кстати склеил Старфорс 4.60 - работает
(Кингс Баунти: Принцесса в доспехах - в сети кряка нет ..... пока )

Ранг: 35.8 (посетитель)
Статус: Участник

Создано: 23 апреля 2009 11:56 New!
Цитата · Личное сообщение · #6

Nightshade пишет:
Кингс Баунти: Принцесса в доспехах - в сети кряка нет ..... пока

Там стар самый последний, вроде, а значит и антидамп тоже не простой... но в любом случае можно будет расчитывать на какую-либо информацию по взлому?)

Ранг: 138.7 (ветеран)
Статус: Участник

Создано: 23 апреля 2009 12:38 New!
Цитата · Личное сообщение · #7

Psalmopoeus Pulcher пишет:
Там стар самый последний, вроде

Хуясе последний
5.60.2.8 вроде последний

Ранг: 7.7 (гость)
Статус: Участник

Создано: 23 апреля 2009 12:59 New!
Цитата · Личное сообщение · #8

Последний 5.70
А на сабже как раз 5.60.2.8, последний на тот момент.


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 23 апреля 2009 13:32 New!
Цитата · Личное сообщение · #9

Почитай как дампится ВМ SecuRom'a там тот же принцип
Но я не люблю такие недокряки - лучше снимать ВМ.
Дампится так же, только я приклеил Protect.dll как секцию ну и пару кусков памяти.
Единственное, чем хорош такой Nocd - можно разбирать ВМ без проверки дисков и BSOD.
Так же там ввызывается VirtualProtect и на несколько кусочков кода ставится NoAcess
При дампе они могут залится нулями - я изменял доступ на память.
Вот в принципе и вся инфа.
Если у кого есть эта игра - могу помочь с информацией
Можно сделать тутор - но люди, которые хоть раз собирали дамп по кускам
памяти из него ничего нового не узнают.
Антидампа, кроме ВМ, я там не видел - хотя и не смотрел все внимательно,
ведь и так работает.

Ранг: 146.7 (ветеран)
Статус: Участник

Создано: 23 апреля 2009 14:14 New!
Цитата · Личное сообщение · #10

Nightshade
может еще TAGES на Chronicles of Riddick - Assault on Dark Athena поразбираем...?


Ранг: 259.8 (наставник)
Статус: Участник
Advisor

Создано: 23 апреля 2009 14:47 New!
Цитата · Личное сообщение · #11

Nightshade пишет:
Почитай как дампится ВМ SecuRom'a там тот же принцип

Я так понял кроме статей Дероко по секурому, на тему дампа с ВМ, больше нет???
Но в старике ВМ намного забойнее, чем в секуроме.
Из того что попадалось по секурому отдиралось полностью без ВМ, а вот про СтарФорс сказать такое не могу.

Ранг: 7.7 (гость)
Статус: Участник

Создано: 23 апреля 2009 15:04 New!
Цитата · Личное сообщение · #12

s0cpy
С моей колокольни видится что на Chronicles of Riddick - Assault on Dark Athena проблема не в тагесе, а в довеске к нему под названием солидшилд.


Ранг: 114.1 (ветеран)
Статус: Участник

Создано: 23 апреля 2009 15:36 New!
Цитата · Личное сообщение · #13

Nightshade Кстати последный старфорс вроде как 5.80, на штырлице 4 попадался. С твоими навыками анпака старфорса, мог бы помочь форумчанам сайта antistarforce.com, тебе было бы много благодарных людей.....

Ранг: 7.7 (гость)
Статус: Участник

Создано: 23 апреля 2009 15:52 New!
Цитата · Личное сообщение · #14

Путаем-с, 5.60.8.2.

З.Ы. В топку антстарфорц, сборище нытиков. Все толковые оттуда давно сбежали)


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 23 апреля 2009 15:57 · Поправил: Nightshade New!
Цитата · Личное сообщение · #15

Launcher
И куда сбежали?
P S Перенесите тему в оффтоп.


Ранг: 114.1 (ветеран)
Статус: Участник

Создано: 23 апреля 2009 16:02 New!
Цитата · Личное сообщение · #16

Launcher
"Sneg" никуда не ушел, а кто ушел....даже не знаю, а насчет знаний, если умешь что-то делать надо помагать другим, а так толку с твоих знаний.....да и не к тебе вообще обращался

Ранг: 35.8 (посетитель)
Статус: Участник

Создано: 23 апреля 2009 16:30 New!
Цитата · Личное сообщение · #17

SemDJ пишет:
насчет знаний, если умешь что-то делать надо помагать другим

Согласен, что нужно делиться знаниями, но, как мне кажется, не о старе, во всяком случае на паблике, потому как старовцы очень живо реагируют на то, как их защиту ломают. Взять к примеру первую версию Сталкера - Чистое Небо, с новейшим на тот момент старом: отломали за неделю (ну плюс-минус), в следующей версии защиты эту дыру уже прикрыли, так что у меня только такие выводы...


Ранг: 1986.5 (!!!!)
Статус: Модератор
retired

Создано: 23 апреля 2009 17:51 New!
Цитата · Личное сообщение · #18

Всех понесло куда-то не туда, завязывайте с этим, всё равно ничего толкового не получится.
А по теме отмечу, что в каком-то туторе от Артима (про секуром, что ли, не помню) патчили они цфф экслорер, чтоб глупых вопросов не задавал. Вроде, грузить может он любые файлы, просто вопросы глупые задаёт.


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 23 апреля 2009 19:13 New!
Цитата · Личное сообщение · #19

Кто-нить может посмотреть этот файл
multi-up.com/83749
У меня работает - у других падает
(возможно импорт кривой)
Кряк к кингс баунти
В CFF действительно достаточно ответить нет


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 23 апреля 2009 19:34 · Поправил: 4kusNick New!
Цитата · Личное сообщение · #20

del

ADD:
Арчи, да,я понял, нарыл какую-то
binkw32.dll
у себя, но она не проканала,
Nightshade
Кинь binkw32.dll из папки с игрой чтоли, ну и все остальные dllки, которые могут понадобиться тоже.


Ранг: 1986.5 (!!!!)
Статус: Модератор
retired

Создано: 23 апреля 2009 19:34 · Поправил: Archer New!
Цитата · Личное сообщение · #21

Если это старфорс, то там должны быть антидампы (ну либо очень повезло, что бывает не часто). Они на cpuid в частности, поэтому погонял бы сначала сам на другой тачке, а потом релизил. Это моя была мысль.
А вот идея от толковых и разбирающихся в этом челов:
вручную он антидамп не обойдет. тут надо логать сами цпуиды, дергать криптоалгосы, подменяя при этом результат криптовки, чтобы найти все. проверок там может быть пару десятков, причем железозависимых, и куча фейковых. вручную не реально. знаю
2 focus:
Это просто не все либы на месте, это норм, либа для проигрывания мувиков, не в этом дело, в общем.


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 23 апреля 2009 22:29 New!
Цитата · Личное сообщение · #22

насколько реально написать драйвер подменяющий CPUID?
И есть ли люди разобравшие ВМ старфорса - просто да или нет

Ранг: 35.8 (посетитель)
Статус: Участник

Создано: 23 апреля 2009 22:37 · Поправил: Psalmopoeus Pulcher New!
Цитата · Личное сообщение · #23

Nightshade пишет:
насколько реально написать драйвер подменяющий CPUID?

Под интеловские процы ищи cpuid_break от deroko. На амдэшные не видел.


Ранг: 259.8 (наставник)
Статус: Участник
Advisor

Создано: 24 апреля 2009 02:54 · Поправил: Bronco New!
Цитата · Личное сообщение · #24

Nightshade пишет:
И есть ли люди разобравшие ВМ старфорса - просто да или нет

Служебного кода метров 50 и больше.
По старым версиям, на форуме были наброски, поищи.
Основная сложность востановить краденный код процедур.
Процедуры как правило цикличные, да и размерчики минимум по 1000-1500 байт.
По CFF Explorer, там же вроде текстовое поле для ограничения размера, можно править, хотя по дефолту стоит 40.

Ранг: 53.9 (постоянный)
Статус: Участник

Создано: 24 апреля 2009 03:45 · Поправил: Zorn New!
Цитата · Личное сообщение · #25

Nightshade пишет:
насколько реально написать драйвер подменяющий CPUID?

Кряк с драйвером по моему чересчур... Я например иногда специально не играю (разумное время ) пока кряк не появится чтоб всякое гуано в систему не ставилось (это в случае с старфорсом).
Archer пишет:
проверок там может быть пару десятков,

С пятой версии пару сотен Вручную не реально. Патчить тоже не получится - целостность ВМ проверяется (опкод ксорится кусками ВМ в которые частенько попадают опкоды cpuid).
Bronco пишет:
По CFF Explorer, там же вроде текстовое поле для ограничения размера, можно править, хотя по дефолту стоит 40.

А можно просто галку убрать чтоб не спрашивал


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 24 апреля 2009 07:39 New!
Цитата · Личное сообщение · #26

Zorn
Т. е. единственный вариант снимать ВМ?
Подменять CPUID я хотел чтоб потом пропатчить их на что то типа xor eax, eax и т. д.
Пойду перекурю еще раз доки от reloaded...

Ранг: 238.7 (наставник)
Статус: Участник

Создано: 24 апреля 2009 10:09 New!
Цитата · Личное сообщение · #27

CPUID по-человечески перехватить не получится, она не привилегированная.
Исходник на который выше ссылались использует Intel VT, для AMD тоже есть технологии виртуализации.
Но в качестве конечного решения это вообще не вариант - виртуализацию далеко не все процессоры поддерживают.


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 24 апреля 2009 12:57 New!
Цитата · Личное сообщение · #28

Можно ли убрать проверку CRC(xor) с ВМ?
И как работает CPUID в VMware?


Ранг: 1986.5 (!!!!)
Статус: Модератор
retired

Создано: 24 апреля 2009 17:41 New!
Цитата · Личное сообщение · #29

Драйвер написать реально. Можно через аппаратную виртуализацию. Можно без драйвера с динамическим пересканированием кода.
Люди есть.
Теоретически можно и цпуид спатчить, но метод хреновый, лучше декомпилять.
Проц в варе используется реальный, вернёт сигнатуру реального проца цпуид.


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 24 апреля 2009 22:29 New!
Цитата · Личное сообщение · #30

Разобрался с вызовами stolen jump в ВМ....
Узнал как определять вызовы stolen code в ВМ
И узнал что в дампе примерно 970 вызовов ВМ
Вообщем все идет хорошо, но почему-то на ХХХ...
. 1 . 2 . >>
 eXeL@B —› Крэки, обсуждения —› CFF Explorer

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS