Ну-с господа с чего начать советуете? Я что-то посмотрел все так уныло смотрят на старик, но уж очень хочется игрушку поламать (название Darkstar One) , а рабочих кряков в инете нету (версия Акеллы).
Отсюда напросился вопрос, какие маны/туторы посоветуете, чтобы не все подряд читать, может кто уже сталкивался с этой проблемой и имеет положительный опыт?

| Сообщение посчитали полезным:

lord_Phoenix
Ну с импортом это не такая уже и большая проблема его можно востановить ... кто то даже мне жертву присылал уже с импортом, возможно для данного блокнота и сойдет, но что делать с защищенными функциями ? кторые требуют sfdrv01 для работы ?
Там нужно свой драйверок писать который будет детектить начало и окончания работы вм и дампить код.

| Сообщение посчитали полезным:

Может немного не по теме, просто личное любопытство:
Faza пишет:
кто то даже мне жертву присылал уже с импортом, возможно для данного блокнота и сойдет, но что делать с защищенными функциями ? кторые требуют sfdrv01 для работы ?
насчёт дров теоретически понятно, на практике как всё работает даже и не представляю, но если говорить о местах, где код как вызывается, так и идёт в никуда, как же восстанавливать подобное? Притом когда защищённые функции обращаются к дровам стара, как узнать что им надо, а главное как их на этом запалить, если они насколько мне известно уходят в глубины протект.длл и естессно при снятии дампа, они уже будут мусором?

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Я их не востанавливал, каки их востанавливать теоретически это после выхода из декодера дампить по куску кода.
Притом когда защищённые функции обращаются к дровам стара
бонально int 1, дам дальнейший алгоритм распаковки.

| Сообщение посчитали полезным:

Faza пишет:
Там нужно свой драйверок писать который будет детектить начало и окончания работы вм и дампить код.
ну да, а там вм вм и еще раз вм =)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

расскажу как стар пихает свои обработчики для 1 и 3 прерываний. оно патчит ntoskrnl.
Идём в иде на KiDispatchInterrupt, далее ищем ниже дампу строчку
mov cl, 1
call sub_... - сдесь где-то в середине после mov cr3,eax будет виден джамп на кусок кода стара, который и ставит эти обработчики, когда в данный момент будет активен защищаемый процесс, и поэтому в идт не видно их, когда защищ. процесс неактивен. А там я смотрел в в версиях 3,3 при вызове int1 защита переходит в 0-кольцо и возвращается назад в свою ВМ в протект.длл, но при этом eip<8000000h, а что есть огромная дыра на компе, любой вирь может сразу получить привелегии 0-кульца и напрямую обращаться к ядерным функциям.. вроде как этот баг пофиксили.. но мне кажется идея таже самая, только код вм из протект.длл проэцируется в ядро и исполняетсся там(исп. MapLockedPagesSpecifyCache), короче пока инт1 и инт3 не отобрать у нее, порулить айсом не получица

| Сообщение посчитали полезным:

и еще: защита импорта слабая, в аспре или обсидиуме лучше(хотя тоже автотрейсингом отламывается)

| Сообщение посчитали полезным:

int256
При чем тупо забрать инты у него не получится.
lord_Phoenix
Ну это была всего лишь идея как сделать, возможно и бредовая
Выскажи свои идеи как можно это обойти...

| Сообщение посчитали полезным:

Faza пишет:
Ну это была всего лишь идея как сделать, возможно и бредовая
Выскажи свои идеи как можно это обойти...
да идея может и не бредовая.. длл+драйвер и инжектит.. вообщем как в рлд тулз, но под новую вм =)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Ну тогда давайте определимся с жертвой и будем сообщя коврять на её примере.
блокнот не рулит, так как версия старая и еще и за время 2 ух часов распаковывать это как то не сулит больших продвижений. Уж братся дак за 4 стар

| Сообщение посчитали полезным:

Faza пишет:
Уж братся дак за 4 стар
надо цель.. + чтобы была у всех =)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Faza
Предлагаю Корсары 3, суперская игра, но постоянно вылетает, наверняка из-за стара.. Если кто умеет нимать хоть старый стар, стукните в личку, очень интересно как это делается.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

может все таки тот самый "блокнот"

| Сообщение посчитали полезным:

Ну не знаю можно взять пресловутый Tрафик инспектор, там стар 4.7 есть защищенные функции скачать можно со smart-soft.ru весит порядка 10 метров и на его примере изучить стар,где то я еще видел карту киева там тоже говарят старом пакованно, к стати или я ошибаюсь но старфорс вырубила хуки интов в 4 старе из за поддержки висты.

цель убить легенду о неубиваемости старфрса. доки+ авто распаковшик если получится.

так как в игры играл последний раз года два назад то ни чего посоветовать не могу а качать с инета пару исошников ка то неохота.

| Сообщение посчитали полезным:

блокнот не рулит, так как версия старая и еще и за время 2 ух часов
судя по версии protect.dll, мы имеем старф-с v.4.50.007 (imho)...
триал блокнота сбросить можно...
блокнот интересен из-за продвинутой антиотладки...
предлагаю, если у большинства есть возможность заиметь AlphaPrime от 1С поковырять сначало ее, т.к. там версия та же, но вариант "Basic". У меня уже есть готовый NOCD/DVD, но остались вопросы. Из защиты там "испорченный" импорт и то, чего насколько я знаю в варианте "Basic" быть не должно - один единственный вызов в VM...

| Сообщение посчитали полезным:

Faza
к стати или я ошибаюсь но старфорс вырубила хуки интов в 4 старе из за поддержки висты.
а вот это уже интересно...

| Сообщение посчитали полезным:

Ну тогда дайте кто нить ссылку на блокнот этот его еще на предидущей странице просили, все пустота.

| Сообщение посчитали полезным:

Faza пишет:
Ну тогда дайте кто нить ссылку на блокнот этот его еще на предидущей странице просили, все пустота.
вот и я жду сцыль до сих пор.. аську мою ищи у себя в пм =)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

А это случайно не он?
rapidshare.com/files/14379603/NotePad_StarForce_3.xx.rar

| Сообщение посчитали полезным:

lord_Phoenix пишет:
вот и я жду сцыль до сих пор..
вот еще ссылка www.tuts4you.com/blogs/download.php?view.1277

-----
in search of sunrise

| Сообщение посчитали полезным:

aspirin пишет:
Предлагаю Корсары 3, суперская игра, но постоянно вылетает, наверняка из-за стара..

Суперская игра вылетает из-за недоКодеров, которые её пытались написать.

зы. lord_Phoenix, REVENGE релизили Gothic 3 v1.12? Встретился No-DVD, похожий на ваш для 1,09...

| Сообщение посчитали полезным:

спасибо за ссылку
зы. релизили ;)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

То что подсунули с блокнотом это вообще фуфло ..
1 антиотладки 0 кольца нет
2 защищеннх функций нет

только иморт маленько изгажен и все, исправляется плугом к имереку.


www.rapidshare.ru/203327

| Сообщение посчитали полезным:

Конечно блокнот позваляет снять дамп с запущенной программы и сделать его рабочим. Но я не совсем согласен с
010070FD FF15 0C110001 CALL DWORD PTR DS:[<&kernel32.MulDiv>] ; kernel32.MulDiv
в оригинале функция выглядит так:
01007700 64:A1 18000000 MOV EAX,DWORD PTR FS:[18]
01007706 8D12 LEA EDX,DWORD PTR DS:[EDX]
01007708 8B40 20 MOV EAX,DWORD PTR DS:[EAX+20]
0100770B 87FF XCHG EDI,EDI
0100770D C3 RET
тогда файл станет стопроцентно рабочим и ненадо будет сохранять значение по адресу:
010070DC A1 04960001 MOV EAX,DWORD PTR DS:[1009604]

Всё кончно хорошо на чистый дамп я вышел, но к процессу формирования кривого импорта я так и не смог подступился.

| Сообщение посчитали полезным:

SergSh
в оригинале функция выглядит так:
01007700 64:A1 18000000 MOV EAX,DWORD PTR FS:[18]
ты что то вообще не то смотришь

у стара
push dword ptr [esp+4]
00F60840 pop eax ;тоже самое что MOV EAX,DWORD PTR SS:[ESP+4]
00F60841 or eax,eax :
00F60843 js 00F6088D
00F60849 push dword ptr [esp+8] ; тут даже у старовцев короче получилось
00F6084D pop edx ; MOV EDX,DWORD PTR SS:[ESP+8]
00F6084E or edx,edx
00F60850 js 00F608C8
............................................
у krenell32
MulDiv
7C8097C6 MOV EAX,DWORD PTR SS:[ESP+4]
7C8097CA OR EAX,EAX
7C8097CC JS SHORT kernel32.7C809806
7C8097CE MOV EDX,DWORD PTR SS:[ESP+8]
7C8097D2 OR EDX,EDX
7C8097D4 JS kernel32.7C80988C
...................................................................... ..............
или ручками ручками или надо мне еще exe со старом чтобы проверить свои предположения по распаковке. Ни кто линк не подкинет на стар 4.5 4.7 ?

| Сообщение посчитали полезным:

SergSh
это MulDiv, не наю, что ты смотришь %)
Faza пишет:
Ни кто линк не подкинет на стар 4.5 4.7 ?
не встречал еще.. 4.5-4.7 про не встречал =(

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Faza пишет:
к стати или я ошибаюсь но старфорс вырубила хуки интов в 4 старе из за поддержки висты.
игра Armed Assault, версия protect.dll 4.50.7.0 хуков нет,только импорт изгажен и прыжки в ВМ.
может вправду от хуков отказались.

| Сообщение посчитали полезным:

KpeHDeJIb пишет:
но уж очень хочется игрушку поламать (название Darkstar One)

DarkStar One v1.0 (v1.1.1368) [ENGLISH] No-DVD/Fixed EXE [5.1 MB] и ещё много можеш найти здесь для етой игры смотри http://www.spacetarget.com/games/pc_darkstar_one.shtml http://www.spacetarget.com/games/pc_darkstar_one.shtml

| Сообщение посчитали полезным:

Olenevod
код вм приведи может это не вм совсем, а иморт гаженый

Сеня ходил в магазин за лицензионой игрой защищенной старом, на меня продовцы смотрели как на идеота, все спрашивают сюжет там графика, я чем диски проверяет. что сомое удивительное 4 стара так и не нашел.

| Сообщение посчитали полезным:

Faza пишет:
что сомое удивительное 4 стара так и не нашел.

Neverwinter Night 2 от акеллы. Оригинальная версия 4,5, патч 1,04 доводит до 4,7 (заблеклистены виртуалы).
Gothic 3. Оригинальная версия 4,5, патч 1,12 доводит до 4,7 (заблеклистены виртуалы).

| Сообщение посчитали полезным:

Gideon Vi пишет:
Gothic 3
баян ;)
Gideon Vi пишет:
Neverwinter Night 2
о, это могу в локалке найти.. Фаза, ты как?

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным: