Установил я на днях демку Infernal с диска из журнала, проверил exe-шник PEiD'ом, ничё он не нашёл, секция запуска - .shield, есть ещё dll-ка в папке с игрой, в свойствах которой написано Solidshield Library, производитель Solidshield Technologies. Попробовал я запустить под Олей, пишет, что обнаружен отладчик. Запустил игру, приаттачился, в коде около 20 джампов в виртуальную машину типа старфорса. Может, кто знает, как снимать такое ?

| Сообщение посчитали полезным:

ага, есть что-то такое
www.solidshield.com/en/Products

можешь выложить какие-нибудь файлы его ?

-----
in search of sunrise

| Сообщение посчитали полезным:

да эт ты прав действительно новая беда
а что на демке инфернала солид? вроде на самой игре стар был

хорошо бы услышать хоть какую нибудь информацию по теме солидшилда, а то я даже игр с ним не встречал
только одни слухи

bloom дело говорить
кинь на рапиду файлы солида -- глянем

| Сообщение посчитали полезным:

Сорри, файлы выложить не могу, на моём момеде хрен когда закачается, там ~ 13 Мб

| Сообщение посчитали полезным:

Я так понимаю это оно - www.playlogicgames.com/data/downloads/infernal/game/infernal_efis_demo.rar
Но полгига мало кто будет качать

| Сообщение посчитали полезным:

да демка на пол гектара это зло

но все же может кто имел дело с солидшилд расскажет кратенько о защите? ну с позиции крякера а не что на офф сайте написано

| Сообщение посчитали полезным:

Наконец закачал я файлы игры, пробуйте распаковать, у кого что-нибудь получится, пишите

part 1
slil.ru/24695687

part 2
slil.ru/24695850

part 3
slil.ru/24695941

| Сообщение посчитали полезным:

У меня 7зип говорит файлы покоцанные... Может у кого-нибудь еще откроется?

| Сообщение посчитали полезным:

overloaded пишет:
ну с позиции крякера а не что на офф сайте написано

слил демку, глянул, проблем по распаковке особых нет, OEP не испорчен, импорт целый поймать можно.
проблема - это переходники из экзэхи в библиотеку защиты, типа ВМ походу. Особо пока дальше не копал.
На всякий случай скажу, что ковырял это дело под ring0.
OEP:449812

| Сообщение посчитали полезным:

BoOMBoX/TSRh пишет:
OEP:449812
Ну, это если без imagebase.
Я ковырял под олей. Плагин phantom помог с антиотладкой, установил hardware бряк на оеп, сдампил, восстановил импорт, сдампил кусок памяти с ВМ, дописал её к дампу в виде новой секции, запускаю, падает (при первом прыжке в ВМ) где-то в середине ntdll.RtlEnterCriticalSection Чё делать не пойму

| Сообщение посчитали полезным:

huckfuck пишет:
сдампил кусок памяти с ВМ, дописал её к дампу в виде новой секции
если я правильно понял, ты сдампил сам метаморфный переходник, который ведет в библиотеку hc.dll , но в распакованном файле она не подгружается, соответственно переходники идут в никуда....

В общем - задача сводится к эмуляции переходников....

| Сообщение посчитали полезным:

Я пробовал 2 варианта:

1. Сдампил секцию .shield библиотеки hc.dll и присобачил её к дампу экзешника в виде новой секции, всё нормально грузится до первого вызова вм, после чего благополучно валится (ошибка в EnterCriticalSection)

2. Создал в дампе новую секцию, в которой подгружалась hc.dll, после чего был прыжок на оеп, при этом в этой секции дописал код типа
PUSH 232A77A6
JMP VM
PUSH 548277A6
JMP VM
PUSH 7FC83CA6
JMP VM
и т.д.
а в секции .text все джампы типа
СС
СС
jmp XXXXXXXX
СС
СС
перенаправил в новую секцию на эти PUSH XXXXXXXX/JMP VM

Результат плачевный: падает падла опять где-то в вм

Имхо, надо копать 1 вариант: видимо, в какой-то момент вм инициализирует какие-то значения, которые и портят дамп

| Сообщение посчитали полезным:

HoBleen пишет:
У меня 7зип говорит файлы покоцанные
HoBleen, напиши CRC32 всех 3-х файлов, я проверю, если какой-то не совпадает, может, перезалью

| Сообщение посчитали полезным:

В-общем, я так понимаю, защита большинству участникам форума не по зубам, остальные не хотят делиться информацией. Если ни у кого больше соображений по распаковке нет, тему можно закрывать.

| Сообщение посчитали полезным:

huckfuck пишет:
Если ни у кого больше соображений по распаковке нет, тему можно закрывать

Погодь, закрывать.... Ща просто нет времени..... будут результаты, поднимем просто тему

| Сообщение посчитали полезным:

ОЕР похерен вм:

008499F2 - E9 09660001 jmp 01850000
008499F7 CC int3
008499F8 CC int3
008499F9 CC int3
008499FA CC int3
008499FB CC int3

...

01850000 68 A66E0607 push 7066EA6
01850005 - E9 18B0A3FF jmp 0128B022 ; hc.0128B022

...

а вот как он должен выглядеть:

call 00858E79
jmp 00849812

тему можно закрывать сомневаюсь что кто-то справится тут с этой вм...

| Сообщение посчитали полезным:

тему можно закрывать сомневаюсь что кто-то справится тут с этой вм...

глупость, справимся, только дай время

| Сообщение посчитали полезным:

Ага, также как и со старфорсом справились даже ОЕР неправильный нашли про что тут говорить...

ПС: Защита не популярна пока, потому недумаю что это можно назвать новой бедой.

| Сообщение посчитали полезным:

V0ldemAr пишет:
ОЕР похерен вм:
НЕ похерен
OEP:
00849812: 6A 60 push 60
00849814: 68 28 B1 9E 00 push 9EB128
00849819: E8 6E E7 00 00 call 00857F8C

| Сообщение посчитали полезным:

huckfuck пишет:
НЕ похерен


именно, я уже указывал этот адрес выше, а то, что по адресу 858E79, это похоже на API прота.

| Сообщение посчитали полезным:

гы, никакой не АПИ прота, стандартный ОЕР для MSVC8.0 учите мат. часть...

| Сообщение посчитали полезным:

V0ldemAr пишет:
никакой не АПИ прота, стандартный ОЕР для MSVC8.0

да, похоже на правду
упустил я это, в восьмой студии мелкие переходник добавили перед привычным OEP, но прога и с моего "OEP" стартует нормально....
так что это не принципиально.

| Сообщение посчитали полезным:

BoOMBoX/TSRh пишет:
прога и с моего "OEP" стартует нормально....
Значит, распаковал всё-таки ? А как же ВМ ?

| Сообщение посчитали полезным:

BoOMBoX/TSRh, может, напишешь туториальчик по распаковке солидшилда ?

| Сообщение посчитали полезным:

Тема заглохла, пора закрывать ...

| Сообщение посчитали полезным:

huckfuck пишет:
Тема заглохла, пора закрывать ...
Ну так жми ссылку внизу страницы

-----
in search of sunrise

| Сообщение посчитали полезным: