Решил тряхнуть стариной. Глянул прожку dxtory для записи видео из игр, шустро бегает, во время записи отзывчивость мышки практически не уменьшается, фпс держится - идеально для FPS аля BF. Сцыль тут http://dxtory.com/v2-download-en.html . Из ограничений вроде простая текстура посреди видео.

Первый же взгляд на гуй - дотнет. Загнал в рефлектор - имена конечно не фонтан, но работать можно. На глаз глянул DxtoryCore.dll в редакторе ресурсов - явно виднеется подозрительный ресурс triallogo. Судя по первым буквам DDS - это то что надо. Отрыл просмотрщик DDS и экспортнул сию шнягу - и правда то что надо. Нашел размеры, поправил, ширину сделал 1 пиксел - в просмотрщике все как надо, полоска шириной в пиксел, но при запуске софтины ругается. Полез в рефлекторе изучать, что там за защита - обычный флаг. В рефлекторе f.a. Но много дублей проверок. Решил все таки убрать проверку файлов дабы выпилить нах текстуру и не париться. Нашел место, где все проверяется: ds.a. С двумя параметрами - выдергивание своей подписи из хвоста файла(байтики "FILESIGN", 80 байт ЭЦП на sha1, 4 байта контрольной длины видимо). ds.a с тремя параметрами - собсно проверка эцп. И тут я встрял. Не могу изменить код программы ибо хз что делать с подписями, файл не стартует. Так как в подписях дотнета нибумбум решил как умею сделать - накатал быстренько хук на CreateFileW и если дергают DxtoryCore.dll - меняю путь на непатченую длл. Сама же DxtoryCore.dll уже с пропатченой текстурой. С таким раскладом программа стартует, но длл работать не желает.

Олли не пашет на моей венде, все делаю на глаз =\ Так что вот в думках, стоит ли ваще заморачиваться? Есть ли способ обойти strong name? Судя по всему паблик ключ привязан ко всему - и к проверке файлов, и к лицензии, и хз к чему еще. Японцы сцуко все технологии дрочат до перфектного состояния чтоли =\



-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

StrongName можно снять CFF

| Сообщение посчитали полезным:

я через рефлексил добавил в список непроверяемых - падает программа. Хз отчего и почему. Есть спецы по донету?

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

Тут спецы нужны по переподписи, наверное...
Есть такая тулза Strong.Name.Helper - www.datafilehost.com/download-55be28ef.html
Правда мне с ее помощью что-то ничего толкового сделать ни разу не удалось... )

| Сообщение посчитали полезным:

Rascal
если убрать подпись с одного файла - нужно (!) также пропатчить все длл-ки что ссылаются на ету
Есть хорошие утилиты для етого - например AdmiralDebilitate
он сам ищет на кого ссылается длл и делает все патчи. Удобно.

| Сообщение посчитали полезным:

sendersu пишет:
Есть хорошие утилиты для етого - например AdmiralDebilitate

В даном случае AdmiralDebilitate не помощник...

| Сообщение посчитали полезным:

я пока склоняюсь к идее не трогать бинарник шарповый. он по большей части за гуй отвечает, и вызов функций из нативных либ. то ли попробовать убедить их что прога зарегана, то ли просто отрезать отрисовку гавнокартинки. Но видимо и в нативных есть какие то проверки. Геморно без отладчика.

С подписями там замуты. Судя по всему автор хорошо понимает, как усложнить жизнь. Собсно зависимых либ нету. Все либы на плюсах написаны насколько я успел заметить. Именно ключевые, которые и выполняют работу.

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

А сделать лоадер, который будет патчить память шарпового экзешника, не вариант?

| Сообщение посчитали полезным:

Kaimi
нет

| Сообщение посчитали полезным:

sniper пишет:
нет

Лично знаешь, что думает автор топика, или у тебя есть какие-то конкретные причины считать это неприемлемым/невозможным?

| Сообщение посчитали полезным:

А там думать особо нечего и не над чем...
Надо просто изменить в подписаном строгим именем файле в НЕХ-редакторе один из переходов с true на false или наоборот и соорудить лоадер оригинального файла...
Я когда-то пробовал и если не изменяет склироз - попытка оказалась безуспешной...

| Сообщение посчитали полезным:

Патчил я ехешник, убирал проверку подписи файлов - мешает подпись самого ехе. Убираю подпись сборки этой - не стартует. Как выше уже писал лоадер сделал для подмены длл - Если так подсунуть оригинальную длл - все норм пашет. Если пропатчить хоть байт в ресурсах в версии файла - все стартует но длл не работает, не перехватывает ничего, не инжектится в процессы.

Патчить шарп в памяти занятие наверно веселое, не пробовал, ибо там все же jit компилер, который компилит код куда придется.

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

Не надо трогать код после компиляции. Запусти из лоадера шапровский экзешник с флагом CREATE_SUSPENDED, посмотри базу по которой он загрузился, прибавь статичный оффсет, поменяй байты в памяти, распаузи и все отработает нормально.

| Сообщение посчитали полезным:

Ок, попробую.

Лол бля, скажите мне, чем можно посмотреть смещение байтика в дотнете. Рефлекторы, илдасмы и прочее показывает только код. А после модификации байта в рефлексиле и сохранении перекуроченым получается весь файл. Файл компейры дают пелену листингов смещений и изменений.

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

- загрузить файл в ildasm.exe -> View -> Show Bytes -> галочка;
- найти нужный метод и скопировать RVA;
- загрузить файл в CFF Explorer.exe и ввести RVA в Address Converter.

| Сообщение посчитали полезным:

Такс, я через иду сделал, так вот что интересно, исправил байтик ради интереса, без рефлекторов, которые пересобирают ехе. Запустился таки... Возможно удастся зарезать все проверки.

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

Rascal пишет:
так вот что интересно, исправил байтик ради интереса, без рефлекторов, которые пересобирают ехе. Запустился таки...
Интересно, вообще-то...
Я пробовал в НЕХ-редакторе изменить байтик тоже без никакого пересбора, но прога начала при запуске падать...

| Сообщение посчитали полезным: