Доброго времени суток.
я наконец смог снять стар 4.7 бэйсик. взялся за 3 про. а тут проблема - куча исключений в анпакнутом файле. в оригинале же их нет. это обработчик исключений в оригинале? буду благодарен за любую зацепку.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Ну тогда, может, в двух словах
вот покапайся тут, что есть в компе свалил в одно
rapidshare.com/files/310739301/StarForce.rar
StarForce 3 Reverse-Engineering Tools by RLD
StarForce (OllyScripts)
AntiStarForce5 v1.01.exe
StarForce_Unpack.chm

PS:
Nightshade пишет:
Качать за 7 баксов файл
USDownloader скачает без 7 баксов
я не знаю хороших обменников подскажи
зеркало: www.onlinedisk.ru/file/274776/

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev
Спасибо, посмотрю.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Выложите на другой обменник. Качать за 7 баксов файл... Зачем выкладывать на такие обменники?

| Сообщение посчитали полезным:

Nightshade на www.1filesharing.com/mirror/1RUKYL3K/StarForce.rar

| Сообщение посчитали полезным:

Isaev пишет:
StarForce 3 Reverse-Engineering Tools by RLD
никто так наверное до сих пор не знает как им пользоваться
На новых версиях не актуален, только для трёшки.

Isaev пишет:
StarForce (OllyScripts)
старенькие скрипты, проскакивали тут на форуме.

Isaev пишет:
AntiStarForce5 v1.01.exe
Полная шняга, аналог StarFuck, ваще непонятно чё тут делает.

Isaev пишет:
StarForce_Unpack.chm
Не оч свежая статейка от PAKHAN у которого "всё просто"

| Сообщение посчитали полезным:

Блин, просил выложить архив, чтобы посмотреть что там за скрипты. Скачал. Посмотрел на свои старые скрипты(их писал я), посмеялся и удалил.)

| Сообщение посчитали полезным:

MasterSoft пишет:
Не оч свежая статейка от PAKHAN у которого "всё просто"
а что ты хотел, в распаковке стара, кроме ВМ, - на самом деле "всё просто"
снимается не сложнее упха, чуть подольше, правда

оеп находится банально после аттача к запущенному процессу, после чего циклится лоадером
импорт в последних версиях не портится
а вот ВМ -

| Сообщение посчитали полезным:

Импорт в последних версиях портится, но редко. Восстанавливается также как и переходники. А на оеп можно попасть с еп нажав ф7, бряк через ф2 на секцию кода, ф9 и ты на оеп

| Сообщение посчитали полезным:

huckfuck пишет:
оеп находится банально после аттача к запущенному процессу, после чего циклится лоадером
Нихера! Мне бы надоело так каждый раз делать, ты про какую версию стара говоришь?

Nightshade пишет:
А на оеп можно попасть с еп нажав ф7, бряк через ф2 на секцию кода, ф9 и ты на оеп
Вот это уже правдоподобно

huckfuck пишет:
а вот ВМ -
Кто-нить CodeDoctor на либе стара пробывал? ИМХО часть кода становится сразу более-менее приемлемой

| Сообщение посчитали полезным:

MasterSoft пишет:
Кто-нить CodeDoctor на либе стара пробывал?
Это как ???
Зачищать что-ли от слабенького морфа тыренные системные функи?
//так гадить импорт у стара не самая сильная фича
MasterSoft пишет:
ИМХО часть кода становится сразу более-менее приемл
Можно уточнить какого кода???

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Можно уточнить какого кода???
Ну например вот это до использования плага:



А вот это после:



Конечно не акти, но всё же выглядит приятнее чем было

| Сообщение посчитали полезным:

MasterSoft а что так критично?
я и не говорил, что там что-то новое... Кинул почитать, что было.
пока мы все ждём твою статью

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет:
пока мы все ждём твою статью
В принципе статья уже есть, просто она ждёт публикации, после этого я её выложу тут.
Там нет ничего сверхъестественного, я не разбираю вм, а просто делаю рабочей одну игруху, метод проверял на нескольких играх и прогах - работает, а на некоторых нет, ну в принципе везде есть свои нюансы. Мну кажется ,что эт даже лучше, будет "поле" для деятельности.
Кстати, огромная благодарность Bronco, который мне оч помог.....правда он сам ещё об этом не знает
Планирую написать несколько статей по стару, начал с азов. (всё по порядку)

| Сообщение посчитали полезным:

MasterSoft пишет:
а просто делаю рабочей одну игрух
что за игра?

MasterSoft пишет:
Конечно не акти, но всё же выглядит приятнее чем было
попробуй обработать плагином всю секцию с ВМ

там же црц проверки - почищенный код не будет работать

| Сообщение посчитали полезным:

huckfuck пишет:
что за игра?
Не скажу

huckfuck пишет:
попробуй обработать плагином всю секцию с ВМ
С ума сошёл?

huckfuck пишет:
там же црц проверки - почищенный код не будет работать
Не правда это! Ещё как будет, ты возьми и попробуй CRC проверяется в файле, но никак не в памяти.

| Сообщение посчитали полезным:

Есть проверки CRC вм (ксор опкодов) и есть проверки CRC кода самого ехе.
Второе не страшно. С первым туго.
Если бы не было проверок кода вм, ее бы дампили направо и налево.
Там есть проверки CPUID и PID, которые сложно обойти.

| Сообщение посчитали полезным:

CodeDoctor не всегда корректно сворачивает код.
Доки от Reloaded'цев - наиболее полное описание работы стара3.

Если интересно поразбираться с ВМ:
ВМ загружается из оверлея, как и другие ресурсы, каждый со своим индексом (индекс ВМ вроде 0xD), у Reloaded в папке src\init даже есть распаковщик ресурсов. Также там хранятся устанавливаемые драйверы, фоновая картинка, шрифты.

Морфинг кода не особо изощрённый, и ВМ всего одна!!!

ВМ состоит из 256 опкодов (если не ошибаюсь), которые могут вызываться как в прикладном так и ядерном режиме.

ВМ напичкана crc-проверками, очистками dr-регистров, динамически расшифровывающимся кодом, также проверки на работу под Виртуальной Машиной, cpuid, прыжками UserMode-KernelMode

проверка валидности диска - в драйвере синхронизации (*sync.sys - не шифрован)

драйверы защиты - упакованы кусками, для выполнения участка, он распаковывается, выполняется, при выходе буфер с распакованными данными очищается. В версиях 4 и 5 драйверы уже не пакуются.

ВМ-опкоды разбиты на несколько этапов.
Подготовка данных, операция, выборка адреса следующей инструкции, jmp на следующую инструкцию.
Также прыжок может быть не на ВМ-опкод, а на кусок x86-кода.

Пример mov-инструкции: http://www.reteam.org/papers/e53.pdf

В логгере от Reloaded, перехватываются все ВМ-опкоды, в user-mode внедряется библиотека, в kernel-mode используется драйвер (в доках его нет). Когда выполняется перехваченый ВМ-опкод, логгер его анализирует, пытается собрать несколько опкодов, согласно шаблону в одну команду, выводит результат в лог и продолжает выполнение.
Т.е. вообщем можно отловить условный переход после проверки диска, и даже переписать ВМ-код в х86-код. если конечно у вас есть время
в Heroes of Annihilated Empires, например, Reloaded написали мини интерпретатор ВМ, с выдранным ВМ-кодом (опкоды занимали вместо сотен байт - 10-20 байт).

имхо лучшая защита из серии Starforce\Frontline

| Сообщение посчитали полезным:

В новой вм нет ядерного уровня и антидебага. Еще нет вызова кусков х86

| Сообщение посчитали полезным:

Nightshade пишет:
В новой вм нет ядерного уровня и антидебага. Еще нет вызова кусков х86
Вродь им пришлось убрать из-за многочисленных исков.

| Сообщение посчитали полезным:

huckfuck пишет:
оеп находится банально после аттача к запущенному процессу Это в версии 4 товаришь
Попробуй сделать это в третей
Насчёт третей я так делалГлавное найти оеп, он всегда целый))

Пример:

/*4019B2*/ PUSH 60
/*4019B4*/ PUSH Game.00407270
/*4019B9*/ CALL Game.00402CA0
/*4019BE*/ MOV EDI,94
/*4019C3*/ MOV EAX,EDI
/*4019C5*/ CALL Game.00401730
/*4019CA*/ MOV DWORD PTR SS:[EBP-18],ESP
/*4019CD*/ MOV ESI,ESP
/*4019CF*/ MOV DWORD PTR DS:[ESI],EDI
/*4019D1*/ PUSH ESI
/*4019D2*/ CALL DWORD PTR DS:[<&kernel32.GetVersionExA>]=======> во всех версиях вседа целый на эту айпи мы поставим нашь умный хук))

/*7C812B6E*/ MOV EDI,EDI
/*7C812B70*/ PUSH EBP
/*7C812B71*/ MOV EBP,ESP
/*7C812B73*/ SUB ESP,130============>ищем свободное место и заменяем его на jmp

/*7C812B6E*/ JMP kernel32.7C8840E5========>заменённый

Умный хук

/*7C8840E5*/ CMP DWORD PTR SS:[ESP],4019D8======>обьеснять ненадо откуда взялись числа
/*7C8840EC*/ JE SHORT kernel32.7C8840FE======>если равно то прыгаем на зацикливалку если нет то
/*7C8840EE*/ MOV EDI,EDI исполняем всё в штатном режиме
/*7C8840F0*/ PUSH EBP
/*7C8840F1*/ MOV EBP,ESP
/*7C8840F3*/ SUB ESP,E9000130
/*7C8840F9*/ JMP kernel32.7C812B73
/*7C8840FE*/ JMP SHORT kernel32.7C8840FE зацикливание программы чтобы можно было снять рабочий дамп

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
Это в версии 4 товаришьПопробуй сделать это в третей
зачем вязаться к словам, и так понятно, что существует множество методов определения ОЕП, я привел лишь один пример
тем более, что третья версия уже неактуальна

| Сообщение посчитали полезным:

huckfuck пишет:
зачем вязаться к словам, и так понятно, что существует множество методов определения ОЕП, я привел лишь один примертем более, что третья версия уже неактуальна
Да и четвёрка уже тоже медленно покидает нас, правда некоторые разработчики до сих пор защищают свой софт именно этой версией (экономят чтоли )

| Сообщение посчитали полезным:

Ну, знаете, это всего лишь финты ушами какие-то. Ясен пень, что по теории код из первой секции никуда не делся, и как бы разрабам ни хотелось его оттуда куда-то деть - хрен. Ясно также, что псоле того, когда найдёшь ОЕР, можно уже и переходники импорта восстанавливать, и пытаться что-то с ВМ сделать. Но нет нормального описания - завтра там добавят эмуляцию GetVersionExA, GetModuleHandleA, и прочих фунок, которые могут быть вызваны около ОЕР - и все пойдут лесом. Хочется прочитать про то, как была обнаружена и устранена антиотладка, как на VMware запустить тот же блокнот, т.к. там есть детект эмуляторов, как запустить его после истечения триального срока - т.е. где заисываются ключи. Т.е. интересуют исследования.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Для "знающих" как на вмваре запустить: isolation.tools.getVersion.disable = "TRUE"
тулзы работать небудут но дальше колупать можно или пропатчить проверку in eax, dx на что-то типа cli/sti итд. На паблик описаний как ломать стар никто делать не будет описание от РЛД довольно подробное у кого есть голова разберется.

| Сообщение посчитали полезным:

V0ldemAr пишет:
тулзы работать небудут
А вместе с ними и любой из имеющихся ядерных отладчиков - SoftIce либо Syser. Поэтому колупать дальше придётся ментально.
описание от РЛД довольно подробное
Оно, если я правильно понял, вместе с тулзами идёт? Или нет?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
А вместе с ними и любой из имеющихся ядерных отладчиков - SoftIce либо Syser.
WinDbg никто не запрещал.
ARCHANGEL пишет:
вместе с тулзами идёт?
Да

| Сообщение посчитали полезным:

Ядерный отладчик уже давно там не нужен. А если точнее-с версии 4.7, где они отказались от дров. Точнее, в дрове только идёт работа с диском и хвид.

| Сообщение посчитали полезным:

Люди помогите распознать функцию:

В Kernel32 нашёл аналог, только он не экспортируется...
Или не стоит замарачиваться и прикрутить эту фигню прямо к дампу?
Версия стара 3.xx

| Сообщение посчитали полезным:

GetLastError

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Dart Sergius
В табличке должно быть
RtlGetLastWin32Error.ntdll
а функа выглядить должна так

MOV EAX,DWORD PTR FS:[18]
MOV EAX,DWORD PTR DS:[EAX+34]
ret


-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: