Всем привет. Вообщем краткая история, знакомый на пару дней дал диск ГИБДД Экз билеты. Ну как увидел стар и понеслась душа в рай ).

Вообщем вся проблема с нахождением ОЕР. Вообщем после проверки диска, ставлю на GetVersion бряк и через несколько остановок вижу в стеке адрес 40C313. При переходе вижу такую картину.

/*40C2F9*/ LEA EAX,DWORD PTR DS:[EAX]
/*40C2FC*/ ADD ESP,-94
/*40C302*/ MOV DWORD PTR SS:[ESP],94
/*40C309*/ PUSH ESP
/*40C30A*/ CALL bilet.004064FC
/*40C30F*/ TEST EAX,EAX
/*40C311*/ JE SHORT bilet.0040C363
/*40C313*/ MOV EAX,DWORD PTR SS:[ESP+10]
/*40C317*/ MOV DWORD PTR DS:[4850CC],EAX

В 4-ой линейке стара бэйсика аналогичным методом попадаю на ОЕР, и дальше проблем никаких нет.

Вопрос в следующем, если сдампить в этом месте, то прога отказывается запускаться, идут программные отчёты. Может есть у кого скрипт для нахождения ОЕР в бэйсике 5? Или кто знает более простой способ прохода до ОЕР? Если тут такие вещи в открытую никто сказать не может,да и выкладывать ехе смысла нет, т.к. к нему надо ещё пол диска прикреплять, отпишитесь в личку, кому не жалко.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Читай ридми вархиве все рулит на ура!!!

79c6_17.06.2008_CRACKLAB.rU.tgz - Anti StarForce 5.rar

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

SemDJ пишет:
Читай ридми вархиве все рулит на ура!!!

79c6_17.06.2008_CRACKLAB.rU.tgz - Anti StarForce 5.rar
Я смотрю ты шутник, ну шутка удалась, прочитай ещё раз верхний топ. Вообще спасибо конечно за софтину, найду в быту применение

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

я тебя прекрасно понял, я просто сомневаюсь что кто-то по стару что-то подскажет.

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

aspirin
диск ГИБДД Экз билеты - это тот который от Нового Диска и Рецепт Холдинг...?

| Сообщение посчитали полезным:

aspirin
Юзай лодырь от DillerInc'а
http://exelab.ru/f/action=vthread&topic=9834&forum=1&page= -1 (последний пост). У мну прокатывал на 3 и 4 старах, на 5 не пробовал

| Сообщение посчитали полезным:

crc1,выложи лодырь здесь,а то чёт даже нескачать,говорит что я не участник форума

| Сообщение посчитали полезным:

Leatherfase
Добавь "www" к ссылке - у тебя печенье на этот адрес

| Сообщение посчитали полезным:

aspirin
короче, ОЕР == 00484F30 (VA)...
прога на делфи, по-этому и на GetVersion ниче хорошего не получается...
что в 4.хх, что в 5.хх ОЕР находится одинаково (не зависимо Бейсик версия или Про)...

| Сообщение посчитали полезным:

s0cpy пишет:
короче, ОЕР == 00484F30 (VA)...
прога на делфи, по-этому и на GetVersion ниче хорошего не получается...
Чуть ошибся, пока копипастил апишку, ловил я на GetVersionExA. Ну хорошо, ОЕР == 00484F30 тогда получается вся трабла только в импорте, приаттачиваю дерево импорта, т.к. всё-равно пишет ошибки теже, что и если его не восстанавливать.

вот код, который вижу по адресу 00484F30.

/*484F30*/ PUSH EBP
/*484F31*/ MOV EBP,ESP
/*484F33*/ ADD ESP,-10
/*484F36*/ PUSH EBX
/*484F37*/ MOV EAX,bilet.00484CF0
/*484F3C*/ CALL bilet.00406204
/*484F41*/ MOV EBX,DWORD PTR DS:[486D70]
/*484F47*/ MOV EAX,DWORD PTR DS:[EBX]
/*484F49*/ CALL bilet.0045DB14
/*484F4E*/ PUSH bilet.00484FC0
/*484F53*/ CALL bilet.0040660C


9dd6_18.06.2008_CRACKLAB.rU.tgz - bilet.txt

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Ну так загляни в CALL bilet.00406204 , если увидишь типа
PUSH EBX
MOV EBX, EAX
XOR EAX, EAX
MOV DWORD PTR DS:[ХХХХХХХХ], EAX
PUSH 0 ; /pModule = NULL
CALL <JMP.&kernel32.GetModuleHandleA> ; \GetModuleHandleA
MOV DWORD PTR DS:[ХХХХХХХХ], EAX
значит OEP правильный, прога на делфях
А по поводу импорта, трудно сказать, не видя проги. StarForce хитро эмулирует импорт, мона где-то ошибиться

| Сообщение посчитали полезным:

[OFFTOP]
Сори, что малость не в тему.
А на паблике есть мануалы по анпаку старика?
[/OFFTOP]

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Вот такой тутор пробегал, а больше ничего путного не попадалось

160f_18.06.2008_CRACKLAB.rU.tgz - StarForce_Unpack.chm

| Сообщение посчитали полезным:

crc1 пишет:
StarForce хитро эмулирует импорт
можно вставить ему палки в колеса, если во все API сразу после загрузки дллок прописать что-нибудь типа RETN или JMP API

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

aspirin
вот рабочий вариант (как минимум для меня)...:
_hxxp://rapidshare.com/files/123326622/bilet.rar
тока запускается, если в образе заменить оригинальный ЕХЕ...

| Сообщение посчитали полезным:

s0cpy
Может тутор напишешь, как снимал старик.

| Сообщение посчитали полезным:

s0cpy большое спасибо, разобрался.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

s0cpy импорт сам восстонавливал?

| Сообщение посчитали полезным:

Можно ли тормознуться на SystemBreakPoint и подменить экспорты либ на свои переходники
Наподобие Jmp Api?
Для Сталкера для прохождения до оеп я накатал вот такой скрипт
(и пытался кое что сделать с импортом;)

| Сообщение посчитали полезным:

аттач не зацепился

6d82_18.06.2008_CRACKLAB.rU.tgz - StarForce.rar

| Сообщение посчитали полезным:

s0cpy и в правду напиши статью =) интересно как импорт востановил

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

2M2adn, mak...
там писать нечего, так как поиск ОЕР банален, а импорт восстанавливал ручками по аналогии с другой прогой написанной на делфи (автоматизировать или полуавтоматизировать процесс восстановления не могу, т.к. к своему великому стыду, кодить практически не умею , а писать скрипт под ольку муторно)...
aspirin
большое спасибо, разобрался. - да на здоровье...

| Сообщение посчитали полезным:

s0cpy пишет:
так как поиск ОЕР банален, а импорт восстанавливал ручками по аналогии с другой прогой написанной на делфи
Ну так про это и напеши

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
Ну так про это и напеши

про basic писать не интересно, вот если бы кто выложил статью про Professional хоть на 4-ую линейку, вот это было бы большое дело.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Не совсем в тему, но вопрос такой: стар в принципе не запускается на варе? Или это в опциях можно выставить? Есть ли софт со старом, который бы пропахал на варе? Варю патчить не предлагать-это знаю, просто не хочу её калечить. Есть тулза просто одна и есть подозрение, что вздрючит она стар легко, хочу проверить, но засирать тачку дровами стара не хочется.

| Сообщение посчитали полезным:

Archer пишет:
Есть тулза просто одна и есть подозрение, что вздрючит она стар легко
а что за тулза, просто интересно, если тут никак, в личку хоть чиркни.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Archer
кидай мне свою тулзу, у меня ребенок столько игр наустанавливал, что у меня теперь только один стар и стоит

| Сообщение посчитали полезным:

Archer пишет:
засирать тачку дровами стара не хочется.
Дык.. на последних, всего три дровины, а "киллятор" на офсайте мона забрать...
Есть тулза ...и есть подозрение
Круто...я даже не сомневаюсь положительном в результате.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Не знаю как опционально или нет, но я в своей практике не встречал ни одной софтины
спокойно запускающейся на варе. С другой стороны метод детекта всего один,
стандартный для вари
00E5FB45 ED IN EAX,DX ; I/O command

Если кому то нужны подробности как найти это место и обойти проверку без пропатчивания вари,
пишите в личку.

| Сообщение посчитали полезным:

Заметив вопросы, сразу скажу, что тулза приватная, посему выдать её никак. Буду тогда отучать детектить варю, самое безгеморное, имхо.

| Сообщение посчитали полезным: