| Сейчас на форуме: (+6 невидимых) |
 |
eXeL@B —› Протекторы —› StarForce? You can fuck it! |
| . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 08 ноября 2008 22:55 · Поправил: SVIN95 · Личное сообщение · #1 Доброго времени суток. я наконец смог снять стар 4.7 бэйсик. взялся за 3 про. а тут проблема - куча исключений в анпакнутом файле. в оригинале же их нет. это обработчик исключений в оригинале? буду благодарен за любую зацепку.  |
|
|
Создано: 08 ноября 2008 23:15 · Личное сообщение · #2 Да, есть люди. Нет, никто не скажет. Статьи есть, 2, вроде. Топик пока закрывать не буду, хотя даю гарантию в 99%, что абсолютно ничего никто не скажет полезного. Ну разве что линки на те статьи кинет. Потому что это явно не для новичков, не стоит и браться. |
|
|
Создано: 02 декабря 2008 17:08 · Личное сообщение · #3 я тут наткнулся на блокнот накрытый старом. короче нашел оеп, снял дамп, а вот импорт... даже руками ничего не видно... но ладно с этим. ДЛЯ ЭКСЕРИМЕНТА прикрутил импорт с обычного блокнота. работает. значит вся проблема с анпаком стара именно в восстановлении импорта? или это всего лишь учебный старфорс? |
|
|
Создано: 02 декабря 2008 23:02 · Личное сообщение · #4 В основном проблема в ВМ. Блокнот уже не помню, возможно, и не было ничего там накрыто ВМ (может, импорта часть была через неё, хз). |
|
|
Создано: 02 декабря 2008 23:31 · Личное сообщение · #5 до этого во всех протах которые я видел (кроме фемиды) я восстанавливал импорт автоматически (auto trace). все восстанавливалось! даже на аспротект 2.41 ске! а здесь... а я до сих пор не умею восстанавливать импорт руками  
мда-а-а... что бы почитать такого? з.ы наверно у меня руки кривые |
|
|
Создано: 03 декабря 2008 17:10 · Личное сообщение · #6 кто-нибудь пробовал распаковывать это: tuts4you.com/request.php?1945 ? там стар 4.7 basic. достаточно снять дамп и восстановить импорт 
если кто унпакал напишите в ПМ, плиз
|
|
|
Создано: 03 декабря 2008 20:55 · Личное сообщение · #7 Кто-нибудь хоть знает, как сбросить триал старика? (на блокнот дается всего 2 часа и нужно сбросить триал). |
|
|
Создано: 03 декабря 2008 21:46 · Личное сообщение · #8 Правкой постов пользовался бы что ли, 3 подряд-не айс. Почитай 2 пост, вопросы на эту тему задавать обычно бессмысленно. |
|
|
Создано: 04 декабря 2008 12:02 · Личное сообщение · #9 SVIN95 пишет: кто-нибудь пробовал распаковывать это: tuts4you.com/request.php?1945 ? Че тут анпакать? Всего одиннадцать функций восстановить. Почитай статейку, думаю все поймешь  42e1_04.12.2008_CRACKLAB.rU.tgz - StarForce_Unpack.chm
|
|
|
Создано: 04 декабря 2008 12:38 · Личное сообщение · #10 Сбросить триал легко Если нужно могу поискать - я раньше писал батник для сброса триала на блокноте. |
|
|
Создано: 04 декабря 2008 13:01 · Личное сообщение · #11 SVIN95 пишет: до этого во всех протах которые я видел (кроме фемиды) я восстанавливал импорт автоматически (auto trace). все восстанавливалось! Смешно
|
|
|
Создано: 04 декабря 2008 15:05 · Личное сообщение · #12 crc1, ну я смотрю в импреке не найденые функции потом dissassembler/hex view копирую адрес иду туда в ольке ставлю бряк Ф9. И вижу я там типа этого: 00C314D8 mov edx,7FFE0000 00C314DD mov eax,[edx] 00C314DF mul dword ptr [edx+4] 00C314E2 shrd eax,edx,18 00C314E6 retn retn ведет не в какую-либо функцию а просто возращает в секцию кода. Это я тупой или этот call не вызывает никаких функций? Или здесь вообще импрек не нужен? |
|
|
Создано: 04 декабря 2008 15:38 · Поправил: Veliant · Личное сообщение · #13 Это эмуляция GetTickCount которая выглядит так Code:
и ничем не отличается от того кода crc1: импорт восстановить не проблема, а мог бы обьяснить по какому приницпу настройки секций менять? а то в статье образно все сказано а если методом тыка на глаз то местами вылетает на недоступность к памяти |
|
|
Создано: 04 декабря 2008 15:58 · Личное сообщение · #14 Veliant, спасибо тебе огромное!!! Я думал обязательно должны быть вызовы из сис библиотек (например связкой push - ret). Я ошибался. Посмотрел kernel32 в дизассемблере и правда GetTickCount! Значит надо просто искать в дллках байты? А могут ли быть совпадения? |
|
|
Создано: 04 декабря 2008 16:09 · Личное сообщение · #15 команды обычно разительно отличаются, посему и байты тоже, поэтому искать проще по константам в данном случае например по 7FFE0000 |
|
|
Создано: 04 декабря 2008 16:15 · Личное сообщение · #16 Veliant, ага. Например PUSH EBP заменяется этим: lea esp,[esp-4] mov [esp],ebp mov ebp,esp Правильно? |
|
|
Создано: 04 декабря 2008 16:21 · Личное сообщение · #17 SVIN95 пишет: ну я смотрю в импреке не найденые функции Нах в импреке смотреть? Гляди в отладчике на таблицу импорта. Ты статью прочитал? Там черным по русскому написано: открываем две ольги смотрим вызовы SF и во второй ищем какой функции этот вызов принадлежит. Естественно ищи в нужной библиотеке. Находим, правим. В этой проге делов на 10 минут. Veliant пишет: местами вылетает на недоступность к памяти Ты глянь на VirtualSize и RawSize секции .idata Исправь на 1000 и фсе Nightshade пишет: Сбросить триал легко Если нужно могу поискать - Поищи |
|
|
Создано: 04 декабря 2008 16:29 · Личное сообщение · #18 последний вопрос (ну уж извините) 
как отличить обычный переходник от эмуляции? |
|
|
Создано: 04 декабря 2008 16:39 · Личное сообщение · #19 ну в переходнике обычно сразу видно адреса вида 77... в связке с ret и перед ними call для вычисления адреса возврата |
|
|
Создано: 04 декабря 2008 16:42 · Личное сообщение · #20 Что ты понимаешь под словом переходник? Помоему, ты путаешься в понятиях |
|
|
Создано: 04 декабря 2008 16:50 · Личное сообщение · #21 на самом деле там все эмулируется, только некоторые функции вызывают функции из оригинала а некоторые полностью эмулируют, вот первые он и имел ввиду как переходники |
|
|
Создано: 04 декабря 2008 17:09 · Личное сообщение · #22 00403A76 FF15 64E24000 call dword ptr ds:[40E264] ; kernel32.GetVersion ds:[0040E264]=7C8114AB (kernel32.GetVersion) Этот переходник ведет прямо на API функцию А этот переходник ведет в выделенную память, куда SF полностью скопировал API функцию, видоизменил до неузнаваемости и разбавил мусором. Вот этот код в выделенной памяти и есть эмуляция API 004048DD FF15 5CE24000 call dword ptr ds:[40E25C] ds:[0040E25C]=00A91244 ==> адрес в выделенной памяти |
|
|
Создано: 04 декабря 2008 19:11 · Личное сообщение · #23 crc1, мне уже помог Veliant. прога работает |
|
|
Создано: 04 декабря 2008 23:29 · Личное сообщение · #24 кто знает где триал блокнота? |
|
|
Создано: 05 декабря 2008 08:14 · Личное сообщение · #25 |
|
|
Создано: 05 декабря 2008 12:42 · Поправил: SVIN95 · Личное сообщение · #26 Nightshade, спасибо. но у меня не прокатилою. я переустанавливал драйвер. поэтому пишет активация не прошла. мне надо очистить реестр чтобы прокатило. |
|
|
Создано: 05 декабря 2008 15:55 · Личное сообщение · #27 Вообщем я решил забить на блокнот и заняться старом 3 !про!. все сделал. запустилось! постойте... после заставки вылет! что я сделал не так? |
|
|
Создано: 05 декабря 2008 16:51 · Личное сообщение · #28 SVIN95 Забей! В третьем старе идёт трюк с обработкой исключений. Или пиши прогу для переключения обработчика исключений или начинай копать четвёртый стар. Логичнее последовать четвёртому варианту))) ----- Research For Food |
|
|
Создано: 05 декабря 2008 17:01 · Личное сообщение · #29 daFix, а 4 вроде тока бэйсик. или я ошибаюсь? хочу про. (бэйсик уже унпакал). ну вот с 3 про почти получилось вот и хочу уже закончить. |
|
|
Создано: 05 декабря 2008 17:35 · Личное сообщение · #30 Насколько известно мне, 4ка это не только бэйсик, а 3ка не только про. В про версии часть кода защищена ВМ, в бэйсике же она отсутствует. поправьте если я не прав. |
| . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >> |
|
eXeL@B —› Протекторы —› StarForce? You can fuck it! |
Для печати