| Сейчас на форуме: rtsgreg1989, zds, _MBK_ (+5 невидимых) |
 |
eXeL@B —› Основной форум —› SolidShield - новая беда |
| Посл.ответ | Сообщение |
|
|
Создано: 01 августа 2007 22:22 · Личное сообщение · #1 Установил я на днях демку Infernal с диска из журнала, проверил exe-шник PEiD'ом, ничё он не нашёл, секция запуска - .shield, есть ещё dll-ка в папке с игрой, в свойствах которой написано Solidshield Library, производитель Solidshield Technologies. Попробовал я запустить под Олей, пишет, что обнаружен отладчик. Запустил игру, приаттачился, в коде около 20 джампов в виртуальную машину типа старфорса. Может, кто знает, как снимать такое ?  |
|
|
Создано: 01 августа 2007 22:44 · Личное сообщение · #2 ага, есть что-то такое www.solidshield.com/en/Products можешь выложить какие-нибудь файлы его ? ----- in search of sunrise |
|
|
Создано: 01 августа 2007 22:46 · Поправил: overloaded · Личное сообщение · #3 да эт ты прав действительно новая беда 
а что на демке инфернала солид? вроде на самой игре стар был хорошо бы услышать хоть какую нибудь информацию по теме солидшилда, а то я даже игр с ним не встречал только одни слухи bloom дело говорить кинь на рапиду файлы солида -- глянем |
|
|
Создано: 02 августа 2007 13:29 · Личное сообщение · #4 Сорри, файлы выложить не могу, на моём момеде хрен когда закачается, там ~ 13 Мб |
|
|
Создано: 02 августа 2007 13:45 · Личное сообщение · #5 Я так понимаю это оно - www.playlogicgames.com/data/downloads/infernal/game/infernal_efis_demo.rar Но полгига мало кто будет качать 
|
|
|
Создано: 02 августа 2007 14:23 · Личное сообщение · #6 да демка на пол гектара это зло но все же может кто имел дело с солидшилд расскажет кратенько о защите? ну с позиции крякера а не что на офф сайте написано
|
|
|
Создано: 02 августа 2007 19:39 · Личное сообщение · #7 Наконец закачал я файлы игры, пробуйте распаковать, у кого что-нибудь получится, пишите part 1 slil.ru/24695687 part 2 slil.ru/24695850 part 3 slil.ru/24695941 |
|
|
Создано: 02 августа 2007 21:19 · Личное сообщение · #8 У меня 7зип говорит файлы покоцанные... Может у кого-нибудь еще откроется? |
|
|
Создано: 02 августа 2007 21:24 · Личное сообщение · #9 overloaded пишет: ну с позиции крякера а не что на офф сайте написано слил демку, глянул, проблем по распаковке особых нет, OEP не испорчен, импорт целый поймать можно. проблема - это переходники из экзэхи в библиотеку защиты, типа ВМ походу. Особо пока дальше не копал. На всякий случай скажу, что ковырял это дело под ring0. OEP:449812 |
|
|
Создано: 02 августа 2007 21:39 · Личное сообщение · #10 BoOMBoX/TSRh пишет: OEP:449812 Ну, это если без imagebase. Я ковырял под олей. Плагин phantom помог с антиотладкой, установил hardware бряк на оеп, сдампил, восстановил импорт, сдампил кусок памяти с ВМ, дописал её к дампу в виде новой секции, запускаю, падает (при первом прыжке в ВМ) где-то в середине ntdll.RtlEnterCriticalSection  Чё делать не пойму
|
|
|
Создано: 02 августа 2007 21:45 · Поправил: BoOMBoX · Личное сообщение · #11 huckfuck пишет: сдампил кусок памяти с ВМ, дописал её к дампу в виде новой секции если я правильно понял, ты сдампил сам метаморфный переходник, который ведет в библиотеку hc.dll , но в распакованном файле она не подгружается, соответственно переходники идут в никуда.... В общем - задача сводится к эмуляции переходников.... |
|
|
Создано: 03 августа 2007 02:23 · Личное сообщение · #12 Я пробовал 2 варианта: 1. Сдампил секцию .shield библиотеки hc.dll и присобачил её к дампу экзешника в виде новой секции, всё нормально грузится до первого вызова вм, после чего благополучно валится (ошибка в EnterCriticalSection) 2. Создал в дампе новую секцию, в которой подгружалась hc.dll, после чего был прыжок на оеп, при этом в этой секции дописал код типа PUSH 232A77A6 JMP VM PUSH 548277A6 JMP VM PUSH 7FC83CA6 JMP VM и т.д. а в секции .text все джампы типа СС СС jmp XXXXXXXX СС СС перенаправил в новую секцию на эти PUSH XXXXXXXX/JMP VM Результат плачевный: падает падла опять где-то в вм Имхо, надо копать 1 вариант: видимо, в какой-то момент вм инициализирует какие-то значения, которые и портят дамп |
|
|
Создано: 03 августа 2007 02:25 · Личное сообщение · #13 HoBleen пишет: У меня 7зип говорит файлы покоцанные HoBleen, напиши CRC32 всех 3-х файлов, я проверю, если какой-то не совпадает, может, перезалью |
|
|
Создано: 06 августа 2007 21:22 · Личное сообщение · #14 В-общем, я так понимаю, защита большинству участникам форума не по зубам, остальные не хотят делиться информацией. Если ни у кого больше соображений по распаковке нет, тему можно закрывать. |
|
|
Создано: 06 августа 2007 21:29 · Личное сообщение · #15 huckfuck пишет: Если ни у кого больше соображений по распаковке нет, тему можно закрывать Погодь, закрывать.... Ща просто нет времени..... будут результаты, поднимем просто тему |
|
|
Создано: 08 августа 2007 00:51 · Поправил: V0ldemAr · Личное сообщение · #16 ОЕР похерен вм: 008499F2 - E9 09660001 jmp 01850000 008499F7 CC int3 008499F8 CC int3 008499F9 CC int3 008499FA CC int3 008499FB CC int3 ... 01850000 68 A66E0607 push 7066EA6 01850005 - E9 18B0A3FF jmp 0128B022 ; hc.0128B022 ... а вот как он должен выглядеть: call 00858E79 jmp 00849812 тему можно закрывать сомневаюсь что кто-то справится тут с этой вм...
|
|
|
Создано: 08 августа 2007 03:32 · Личное сообщение · #17 тему можно закрывать сомневаюсь что кто-то справится тут с этой вм... глупость, справимся, только дай время |
|
|
Создано: 08 августа 2007 11:00 · Личное сообщение · #18 Ага, также как и со старфорсом справились  даже ОЕР неправильный нашли про что тут говорить...
ПС: Защита не популярна пока, потому недумаю что это можно назвать новой бедой. |
|
|
Создано: 08 августа 2007 22:32 · Личное сообщение · #19 V0ldemAr пишет: ОЕР похерен вм: НЕ похерен OEP: 00849812: 6A 60 push 60 00849814: 68 28 B1 9E 00 push 9EB128 00849819: E8 6E E7 00 00 call 00857F8C |
|
|
Создано: 08 августа 2007 23:01 · Личное сообщение · #20 huckfuck пишет: НЕ похерен именно, я уже указывал этот адрес выше, а то, что по адресу 858E79, это похоже на API прота. |
|
|
Создано: 08 августа 2007 23:32 · Личное сообщение · #21 гы, никакой не АПИ прота, стандартный ОЕР для MSVC8.0 учите мат. часть... |
|
|
Создано: 09 августа 2007 06:24 · Поправил: BoOMBoX · Личное сообщение · #22 V0ldemAr пишет: никакой не АПИ прота, стандартный ОЕР для MSVC8.0 да, похоже на правду 
упустил я это, в восьмой студии мелкие переходник добавили перед привычным OEP, но прога и с моего "OEP" стартует нормально.... так что это не принципиально. |
|
|
Создано: 09 августа 2007 17:39 · Личное сообщение · #23 BoOMBoX/TSRh пишет: прога и с моего "OEP" стартует нормально.... Значит, распаковал всё-таки ? А как же ВМ ? |
|
|
Создано: 12 августа 2007 11:32 · Личное сообщение · #24 BoOMBoX/TSRh, может, напишешь туториальчик по распаковке солидшилда ? |
|
|
Создано: 23 августа 2007 21:51 · Личное сообщение · #25 Тема заглохла, пора закрывать ... |
|
|
Создано: 23 августа 2007 21:58 · Личное сообщение · #26 huckfuck пишет: Тема заглохла, пора закрывать ... Ну так жми ссылку внизу страницы 
----- in search of sunrise |
|
eXeL@B —› Основной форум —› SolidShield - новая беда |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати