Всем привет! Интересна защита CEG, которая встречается только в играх от Steam. Кто нибудь её ломал? Насколько я знаю, там ищутся Stollen Calls и патчатся... Но делать это вручную проблема. Кто нибудь ломал эту защиту? Если да, то подскажите, в каком направлении копать... Может есть какие нибудь скрипты для ольки, чтоб автоматизировать процесс?

| Сообщение посчитали полезным:

Скриптов в паблике нет, но сигнатурно вроде неплохо ищется. В вызовах есть переход "сработал триггер или нет", "вызвать проверку триггера или нет". Они и патчатся. (Сейчас может что-то новое придумали)

| Сообщение посчитали полезным:

Nightshade
Хмм... А как именно патчатся?

| Сообщение посчитали полезным:

Phantom007 в чем проблема самому в отладчике посмотреть? открыть старую версию, глянуть, что это за сигны. потом новую версию

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Найди лиандри. Он на кеге 2 собаки съел

| Сообщение посчитали полезным:

Nightshade
Я ему написал, но не думаю, что он ответит.. Все таки занятой человек =)

Я посмотрел, как патчатся новые версии CEG, и вроде понял ) Там ищутся по определённым сигнатурам некоторые строчки, в основном это:
0052CC31: B840754D00 mov eax, 004D7540h
0052CC36: FFD0 call eax

и патчатся (последнее заменяется нопами, а предыдущее - хз, как. Там адрес меняется как то, и я понятия не имею, по какому принципу этот адрес берется)

По сути берем сигнатуру (\xB8\x00\x00\x00\x00\xFF\xD0, её маску x????xx) и ищем, потом патчим. Но.. Там еще что то меняется, и я понятия не имею, что...

| Сообщение посчитали полезным:

ну посмотри, что по новому адресу храниться в примере - 004D7540h

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Я ступил Заменяется на адреса, которых просто не существует ) Теперь все становиться более менее ясно. Осталось разобрать, что еще нужно патчить, чтобы работало нормально

| Сообщение посчитали полезным:

Hellspawn пишет:
Заменяется на адреса, которых просто не существует
Phantom007 пишет:
call eax

и дальше?????

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB
О_о что дальше? call eax затирается nop'ами, я же писал.

| Сообщение посчитали полезным:

Phantom007 пишет:
mov eax, 004D7540h

тогда значение в ЕАХ или вообще не трогать (в случае если функция проверяет валидность и отваливает процес) либо помещать необходимое возвращаемое значение - результат работы функции от вызова которой отказываются (в случае если проверка значения в основном потоке), но никак ни случайное значение.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB
Я думаю, что достаточно будет затереть call eax, авось сработает

| Сообщение посчитали полезным:

Phantom007 пишет:
Я посмотрел, как патчатся новые версии CEG, и вроде понял
Новые версии, все сценовые группы, эмулируют вообще-то.
И кроме stolen calls там еще много чего есть, проверки crc, привязка к ПК, проверки реестра.
Судя по твоим вопросам, твой уровень знаний не позволит сломать защиту. В сети как раз была статья о сабже, в ней автор как раз показывает как можно сэмулировать. Ищи, авось поможет.

| Сообщение посчитали полезным:

если зайти в этот call eax то попадем в функу проверки. Там нас ждет ветвление вызвать код проверки, а потом ориг функу.
0052CC31: B840754D00 mov eax, 004D7540h заменяют на call origaddress.

http://sendfile.su/787083
попробуй это глянуть. Там вроде сырки эмуля стима. Может поможет.

| Сообщение посчитали полезным:

random
Видел я эту статью на кс рине... Эмуляция, это конечно хорошо, но есть еще патчин (один чел с группы COGENT сделал такую штуку, без всякой эмуляции и пр. фигни). Про проверку CRC, привязки и пр. знаю, но сейчас хотя бы с этим разобраться

| Сообщение посчитали полезным:

Nightshade пишет:
http://sendfile.su/787083
Можно ее на rghost перелить, а то сендфайл не отвечает что-то (прокси пробовал)?
Все, отбой, уже сайт попустило

| Сообщение посчитали полезным:

Если запустить ексешник, привязанный к стиму напрямую, то перед тем, как процесс закроется, вызывается стим-клиент. а вот через стим-клиент, файл уже в нормальном режиме запускается. он через WriteProcessMemory заправляет в процесс данные или через ивенты?

| Сообщение посчитали полезным:

ELF_7719116 ты че эльфийских пиченюшек под новый год обкушался?)) 1.5 года топ валяется))

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

любителям дельфей --> Link <--

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: ClockMan, unknownproject