 |
eXeL@B —› Основной форум —› Вопрос по StarForce |
| << . 1 . 2 . 3 . |
| Посл.ответ | Сообщение |
|
|
Создано: 04 июля 2006 19:06 · Поправил: ByteHunter · Личное сообщение · #1 Распаковываю старика по методу PAKHAN'а, распаковал protect.dll, пропатчил защиту от отладчика, CRC, проверку дров, метки диска, попытки чтения файлов с GetTickCount, загрузку GUI. Кидаю файл игре (Ядерный титбит: Flashback) - хавает как родной 
Вопрос вот в чем - мне надо прерваться на GetVersionExA, чтобы сдампить гаму, но я прерываюсь в виртуальной машине старика. Прерваться еще раз не могу - BSOD 
Прерывался на GetVersion - она вызывается из какой-то дллки игры - игра в памяти уже распакованная, ОЕР видно на глаз но дампить поздно. Пропатчивал в отладчике GetVersionExA чтобы она сравнивала адрес возрата с 430000 и если он меньше прыгала на мой бряк - получаю BSOD (патчил правильно 100%). Если кто знает что делать - напишите или скажите как пропатчить дрова старика чтобы не было BSOD или хотя-бы где искать. Если у кого есть дрова Soft-Ice'а, которые пашут со стариком поделитесь ПЛИЗЗ. У меня Soft-Ice не палится но и не работает со стариком. Причину знаю, но пропачить не могу. P. S. ver SF 3.3.36.1(pro) - sound.dll  |
|
|
Создано: 12 сентября 2006 10:59 · Личное сообщение · #2 Раз уж здесь про старфорс вопросы задают, я тоже задам. А "Принц персии 2T2" кто нибудь ковырял. |
|
|
Создано: 12 сентября 2006 11:00 · Личное сообщение · #3 Nemo Prince of Persia - The Two Thrones ?? там же вроде StarForce 3.7 ... логгер от RLD не берет  
|
|
|
Создано: 12 сентября 2006 11:06 · Личное сообщение · #4 А ручками никак не получится? |
|
|
Создано: 12 сентября 2006 11:07 · Личное сообщение · #5 Nemo А как руками ? туторов нету так что распаковать тока может какой нить Гуру 
|
|
|
Создано: 12 сентября 2006 11:09 · Личное сообщение · #6 А я думаю, что это у меня ничего не получается
|
|
|
Создано: 12 сентября 2006 11:17 · Личное сообщение · #7 Nemo Сообственно либо придется ждать следущего релиза логгера от RLD если он будет , потому как он ниже 3.5 и выше не берет.... |
|
|
Создано: 12 сентября 2006 14:22 · Личное сообщение · #8 Поискал по форуму, нашол вот что: Цытата:
Только вот ссылка больше недоступна, у кого эта статейка сохранилась, на форум не зальете? На самом сайте на нашол... ----- -=истина где-то рядом=- |
|
|
Создано: 13 сентября 2006 04:32 · Личное сообщение · #9 KingSise пишет: Только вот ссылка больше недоступна Ты запятую из адреса убери) |
|
|
Создано: 14 сентября 2006 15:49 · Личное сообщение · #10 HoBleen В конце запятую убери www.reteam.org/papers/e53.pdf |
|
|
Создано: 14 сентября 2006 17:04 · Личное сообщение · #11 Спасибо... Как запятую не заметил сам не знаю, наверное когда форум тормозил, главное было хоть что-то открыть... Статью почитал, только коментаринв недостает, хотелось бы более подробно, не очень понятно так... ----- -=истина где-то рядом=- |
|
|
Создано: 15 сентября 2006 00:05 · Личное сообщение · #12 У меня такой вопросик есть: Что надо патчить в sfdrv01.sys для того чтобы не получать синий экран при работе в файлами старфорса. (protect.dll) ? |
|
|
Создано: 15 сентября 2006 00:33 · Поправил: KingSise · Личное сообщение · #13 ShEriF, думаю смотреть нужно protect.dll Вот еще нашол интересную тему на кряк лабе, --> ломание protect.dll <-- И вот еще наткнулся случайно на вот этот форум, тоже о старфорсе, вот ссылка: --> Link <--, может кому пригодится.. ----- -=истина где-то рядом=- |
|
|
Создано: 15 сентября 2006 01:28 · Личное сообщение · #14 ShEriF Надо убрать хуки с прерываний отладчика. А такое у тебя врядли удастся, ибо они используются в работе прота. ----- Недостаточно только получить знания:надо найти им приложение |
|
|
Создано: 15 сентября 2006 01:47 · Личное сообщение · #15 Убрать надо только int 1 (если снесешь int 3, то через пару минут система падает) IceExec в помощь. Сначало вводишь команду !intsave 1, после устанавливаешь бряк, и перед тем как нажать F10 !intrest 1 ... и все нормально отлаживается. |
|
|
Создано: 15 сентября 2006 14:13 · Личное сообщение · #16 Осталось убедить мой монитор не гаснуть при появлени окна сайса ----- Недостаточно только получить знания:надо найти им приложение |
|
|
Создано: 15 сентября 2006 15:05 · Поправил: KingSise · Личное сообщение · #17 Faza пишет: IceExec в помощь Ок, будем пробовать... ----- -=истина где-то рядом=- |
|
|
Создано: 15 сентября 2006 21:30 · Личное сообщение · #18 iceext? ;) |
|
|
Создано: 15 сентября 2006 22:55 · Личное сообщение · #19 StarForce использует AntiINT3?, т.е protect.dll блокирует все INT3, INT1 прерывания, во время проверки диска, или при загрузке GUI интерфейса? и еще такой вопрос: для чего эта dll использует KERNEL32.DeviceIoControl? не подскажите. |
|
|
Создано: 16 сентября 2006 01:51 · Поправил: Faza · Личное сообщение · #20 ShEriFKERNEL32.DeviceIoControl? не подскажите. Работает с драйвером со своим .... заставляет установить хуки на инт 1 (3 инт он при инициализации ставит ), проверить еще раз на предмет запущен ли софтайс (или он еще при инициализации драйвера это делает..... немного пропатченый драйвер в аттаче, там только обнаружение отладчика патчено остальное не патчил из-за ненадобности ), запускает подобие потока который циклирует в драйвере и принимает мессаги от приложения и проверяет свои хуки, проверяет он весьма криво так как раз через два у него получается обращение по нулевому указателю и синий экран соответственно (если инты править ) ну тд... короче чтобы не булькал на отладчик нужно в 2 х местах в dll пропатчить(где-то на форуме писалось где и как в dll) и точно такое же место в драйвере (new), там еще не подолеку от проверки отладчика идет проверка на wmvare ... .
ShEriF блокирует все INT3, INT1 прерывания, нет он их испольует только для загрузки dll... потом в 1 инте нужда у него отпадает а с 3 он еще работает как-то, не разобрался как, но взлому сильно не мешает если этот инт не трогать ( не трож гавно, вонять не будет )
Av0id верно ... опечатался .  1664_16.09.2006_CRACKLAB.rU.tgz - sfdrv01.sys
|
|
|
Создано: 17 сентября 2006 10:33 · Поправил: ShEriF · Личное сообщение · #21 FAZA спасибо, за советы) А кто нибуть знает адрес процебуры которая вызываетяс при нажатии кнопки Повторить в GUI интерефейсе защиты? И как можно поставить хук на нажатие кнопки в GUI интерфейсе защиты? Заранее спасибо, |
|
|
Создано: 17 сентября 2006 16:00 · Личное сообщение · #22 Faza пишет: а с 3 он еще работает как-то, не разобрался как, но взлому сильно не мешает если этот инт не трогать ( не трож гавно, вонять не будет на int3/CCh у sf держалась ихняя система хуков для перехвата системных функций - тоже в sfdrv01 кстати. |
|
|
Создано: 20 сентября 2006 04:27 · Личное сообщение · #23 Z0oMiK откуда знаешь, что ниже и више 3.5 не берет? у них в текстовиках нигде не написано об этом... правда у меня на он 3.4 действительно не берет и кстати что за sf3.sys not found? |
|
|
Создано: 20 сентября 2006 06:10 · Личное сообщение · #24 overfault пишет: откуда знаешь, что ниже и више 3.5 не берет? ндя... Ты знаешь я наверна проверял берет только 3.5 и 3.6 ( 3.6.0.1 )
|
|
|
Создано: 25 сентября 2006 00:31 · Личное сообщение · #25 ясно... а как что на счет sf3.sys ? |
| << . 1 . 2 . 3 . |
|
eXeL@B —› Основной форум —› Вопрос по StarForce |
Для печати