Только-что начал смотреть софтину - Oxford English Dictionary. Работает в VmWare после замены файлов на патченые из "правильного комплекта".

запускается весь газен ваген вот так:

oedcd_v3.exe
|
|--cdilla64.exe
| |--ntvdm.exe
|--oedcd_v3.csx


Самое мерзкое что инсталится и запускается драйвер - secdrv.sys. Ещё выкладывается какой-то мусор в с:\c_dilla\ и в \windows\.

Начал смотреть драйвер - код разбавлен левыми джампами, но в IDA почти всё вычистилось - читать можно. Отладить, думаю, тем более, но вопрос не в этом. Минимум хочу избавиться от драйвера, а максимум отодрать всё user-mode говнище.

Народ, кто-нить видел это? Подскажите куда копать, а то я не знаю с какой стороны подступить.

Оригинальный комплект: rapidshare.com/files/114515252/_orig.rar.html
Патченый комплект: rapidshare.com/files/114515471/_curr.rar.html
c:\c_dilla: rapidshare.com/files/114515862/C_DILLA.rar.html
\windows\: rapidshare.com/files/114515902/cdilla.rar.html

| Сообщение посчитали полезным:

А мини-образ диска можешь сварганить?

| Сообщение посчитали полезным:

Снимаете SafeCast, aka SafeDisc -- и всё должно встать на свои места.
Кстати,посмотри исполняемый файл каким-нибудь ProtectionID и напиши сюда,что он покажет.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

Yizahi, все exe-шники (весь ...\bin\ каталог) лежат в "патченый комплект". Вот весь набор: www.mininova.org/tor/613086

DillerInc, oedcd_v3.exe ничем не упакован, в ресурсах говорит что это он 32-bit SafeCast Toolkit, 1.11.91.0. oedcd_v3.csx вообще не PE (на диске)

| Сообщение посчитали полезным:

s0larian, так как проявляет себя защита?Приложение не запускается без диска?
За что отвечает файл SCRfrsh.exe?Похоже только там висит протектор.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

DillerInc, без диска запускается пропатченая копия. Я хочу отодрать драйвер, но не знаю кто и как его использует.

| Сообщение посчитали полезным:

s0larian пишет:
Я хочу отодрать драйвер, но не знаю кто и как его использует.
...драйвер используется протектором,кем же ещё.Конкретно видел его использование в антиотладке на уровне ядра,которая иногда применяется этим протектором.Насчёт других применений драйвера сейчас боюсь соврать.
Ты так мне и не ответил: какую роль играет файл SCRfrsh.exe?

ADD.

s0larian пишет:
без диска запускается пропатченая копия
...кто патчил(_curr)??У меня всё равно при запуске oedcd_v3 требуется диск.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

DillerInc пишет:
без диска запускается пропатченая копия
...кто патчил(_curr)??У меня всё равно при запуске oedcd_v3 требуется диск.

Тоже самое, что оригинал, что запатченная требует диск, посему и спрашивал про мини-образ.

| Сообщение посчитали полезным:

DillerInc пишет:
Ты так мне и не ответил: какую роль играет файл SCRfrsh.exe?
Понятия не имею. Только-что переименовал его, прога фачит.

DillerInc пишет:
...кто патчил(_curr)??У меня всё равно при запуске oedcd_v3 требуется диск.
Не знаю, патченый комплект шёл с образами CD-шек. Там 2 CD, и возможна инсталяция индексов, когда данные на CD. Может это прога видит что нету данных и просит диск?

DillerInc, Yizahi, вот минимальный комплект, без баз данных. Прога запускается, показывает главное окно и просит индексы. Распакуй всё в c:\apps\oed\ и всё из "_curr" в oed\bin\
rapidshare.com/files/114746155/oed.rar.html

Registry: rapidshare.com/files/114747147/reg_export.rar.html

| Сообщение посчитали полезным:

DillerInc пишет:
...драйвер используется протектором,кем же ещё.Конкретно видел его использование в антиотладке на уровне ядра,которая иногда применяется этим протектором.Насчёт других применений драйвера сейчас боюсь соврать.
При первом запуске патченая копия показала диалог 524 из ресурсов. Прога была запущена в VmWare и видела виртуальный (daemon tools) CD от host OS В какой-то момент скотина проинсталила драйвер и попросила перезагрузку. После этого этот authentication прошёл.

ОК, начал копать патченый oedcd_v3.exe - непакованый VC++ код.

drvmgt.dll - тоже простой код. drvmgt.dll!Setup - инсталит драйвер, drvmgt.dll!Remove чистит... Только что написал мелкий зашрузчик и повызывал Remove() с разными аргументами - service исчез. Переименовал эту dll и драйвер, всё запускается. Перегрузил, всё дышит. Похоже, что всё уже отломано тут, и надо было вычистить то что насерил инстолер.

Народ, у вас запускается оболочка?

| Сообщение посчитали полезным:

s0larian
Выкладывай мини-образ.Мне неинтересны в данном случае чужие патченые варианты.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

DillerInc, кочни oed.rar и в него положи _orig.rar - это и будут минимальный (оригинальный) комплект. Т.е. сама прога запускается и просит db indexes.

| Сообщение посчитали полезным: