Ну-с господа с чего начать советуете? Я что-то посмотрел все так уныло смотрят на старик, но уж очень хочется игрушку поламать (название Darkstar One) , а рабочих кряков в инете нету (версия Акеллы).
Отсюда напросился вопрос, какие маны/туторы посоветуете, чтобы не все подряд читать, может кто уже сталкивался с этой проблемой и имеет положительный опыт?

| Сообщение посчитали полезным:

[/edit]

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

UzVeR
никогда не пробовал секции с данными выставлять атрибуты на запись?
попробуй вдруг поможет...
А вобще, в дампе осталось до фига не фикшенных прыгов в вм, так что судя по всему
тебе на это дело можно смело забить и занятся чем попроще

| Сообщение посчитали полезным:

Olenevod пишет:
никогда не пробовал секции с данными выставлять атрибуты на запись?
попробуй вдруг поможет...
А вобще, в дампе осталось до фига не фикшенных прыгов в вм
Будем пробовать спасибо за мысль.
Olenevod пишет:
так что судя по всему
тебе на это дело можно смело забить и занятся чем попроще
Чем Upx-ом . Просто интересный прот, рано ли позно надо будет браться за что-нибудь сложное.

| Сообщение посчитали полезным:

В дампе кривой импорт 100%
+Прыжки в никуда(не пофикшена ВМ)
А вообще те кто копали стар
-Можете посоветовать игру, типа сталкера, с которой легко снять прот?
(со Сталкера снимал)
ifolder.ru/6343104

| Сообщение посчитали полезным:

Nightshade пишет:
А вообще те кто копали стар
-Можете посоветовать игру, типа сталкера,
Да дето тут читал что там басик версия стоит, и ВМ не используется.

Nightshade пишет:
В дампе кривой импорт 100%
Да, я на 70% был уверен что импорт кривой неверилось что все так просто.

| Сообщение посчитали полезным:

UzVeR пишет:
Да, я на 70% был уверен что импорт кривой неверилось что все так просто.

Твой дамп не верный ты сдампил рано так как прыжки в ВМ еще не инициализированны даже. Не говоря прото что дамп полный и фиксеный.

И вообще помоему ты за пиратов рано взялся там еще sffs и про версия , ищи игру где хотябы нет sffs (что такое sffs , юзай поиск) и пожалуй добавлю, что если все сдампить правельльно, то на твоем компе запустся любой дамп стара, даже про( без sffs), про то чтоб запустилось на другом, там другая история и судя по твоему дампу, тебе ее еще рано знать.

| Сообщение посчитали полезным:

Зашел в ступор с 3-м СФ - нужно как-то сделать чистый дамп с бряком, на обыкновенном поганится critical sections итп, не подксажете, возможно ли это вообще дампированием ?

| Сообщение посчитали полезным:

undb пишет:
пожалуй добавлю, что если все сдампить правельльно, то на твоем компе запустся любой дамп стара, даже про( без sffs), про то чтоб запустилось на другом, там другая история и судя по твоему дампу, тебе ее еще рано знать.

А мне и не надо чтоб дамб запускался на другом компе, я не ищу себе славы , это просто "Новичковое" иследование надо же чему то учиться?!

undb пишет:
(что такое sffs , юзай поиск)
Что такое sffs я знаю типо запокованые ресурсы и в папке валяется два фаилика resource0 и resource1
тут даже кто-то сабирался написать распаковщик sffs наверное руки не дошли или влом было непомню

| Сообщение посчитали полезным:

Если правильно понял:

gci eip, COMMAND
eval "{$RESULT}"
log $RESULT, "online:"

| Сообщение посчитали полезным:

Мдя, а у старовцев вновь рвёт крышу http://www.daemon-tools.cc/dtcc/1057-1090-1072-1088-1092-t21349.html :

В связи с возникшей в последнее время шумихой по поводу нового старфорса 5.0.8.2 и многочисленных
жалоб пользователей о синих экранах, возникающих при проверке диска в присутствии эмулятора
DAEMON Tools мы вынуждены были детально разобраться в происходящем и хочется сказать следующее.

В результате многочисленных тестов на разных конфигурациях удалось выяснить, что причиной синих
экранов является грубейшее нарушение старфорсом синхронизации внутри драйвера SPTD, используемого
DAEMON Tools для доступа к накопительным устройствам.
Наши эксперты детально исследовали ситуацию и сообщили буквально следующее:
при проверке диска Старфорсом на определенном этапе блокируется практически вся операционная система на время до 3 секунд, при этом ничто не живет кроме кода старфорса и какой-то части системы, нужной старфорсу.
Иными словами Windows буквально превращается в однозадачную операционную систему типа MSDOS и ни о какой многозадачности не может идти речи (особенно это видно по тому как замирает мышь) ...
Это можно было бы квалифицировать как полный останов системы под отладчиком, однако на самом деле это не так - часть компонентов системы продолжает работать и общаться с устройствами, другая же часть - искуссвенно вешается намертво. В эту "дохлую" часть системы попадают даже самые критические процессы ядра и важные процедуры (Deferred Procedure Calls, то есть DPC). Разумеется там же по замыслу разработчиков старфорса должен оказаться демон тулз и все другие "нехорошие" программы, мешающие защите.
Однако полностью заблокировать наши драйверы старфорсу затруднительно - DAEMON Tools это
тоже довольно сложная система. И при этом возникает картина которую можно описать в двух словах так:
у здорового организма останавливают все внутренние органы - сердце, легкие и пр, и оставляют скажем только почки и желудок.
После этого начинают этот организм "насиловать" и хотят что-то от него получить. При этом сильно удивляются почему он начинает отказывать (читай: выпадать в синий экран). Это именно то что делает старфорс.
Попросту говоря - DAEMON Tools не в состоянии функционировать в такой "среде" и "умирает": происходит разрушение внутренних структур в памяти и как следствие "синий экран". А проще говоря - нас просто "валят".
Так что это не наш баг, а закономерный результат "стратегии" старфорса. Мы разрабатывали нашу программу для вполне адекватной и предсказуемой МНОГОЗАДАЧНОЙ операционной системы, именуемой Windows, в который все придерживается спецификаций Microsoft, а не Старфорс.

Ядро Windows (да и вообще любой операционной системы) это достаточно сложный механизм в котором все компоненты должны работать слаженно и кооперативно. Многие подтвердят что один даже самый маленький глюкавый драйвер может загнать в даун здоровую систему, неважно при этом насколько качественны остальные ее компоненты.
Достаточно кому-то нарушить эту неустойчивую экосистему и беды не миновать. Именно поэтому к разработке драйверов всегда предъявляются повышенные требования а сами разработчики несут на себе бремя чрезвычайной отвественности - малейшая ошибка грозит крахом всей системы.
Ошибки конечно бывают у всех и проблемы конфликтов между драйверми сторонних производителей встречаются нередко - но как правило разработчики драйверов стараются их устранять, идя на компромиссы в дизайне, чтобы не влиять на чужой драйвер и не мешать ему работать. К примеру в прошлом и у нас были проблемы взаимодейсвия с McAfee, Novell, драйверами TAGES и пр.
Но все эти проблемы цивилизованно решались в рабочем порядке (причем обоюдосторонне) таким образом, чтобы не ущемлять друг друга и ДАТЬ ВОЗМОЖНОСТЬ работать другому драйверу так, как это планировал его производитель. И это понятно любому цивилизованному
разработчику - ядро Windows это наш общий дом: если каждый драйверо-писатель начнет в нем беспредельничать и растопыривать пальцы, то оно быстро превратится в помойку и кошмар для пользователя. Однако это в цивилизованном мире ...
Разработчики же защиты Старфорс пошли иным путем и выбрали иную стратегию. Она называется "убей все в системе кроме себя". Вот как раз "ДАТЬ ВОЗМОЖНОСТЬ" работать другому драйверу в их планы видимо не входит.

В общем на данный момент пока не ясно, в чем может заключаться наш "фикс" данной проблемы (BSOD).

| Сообщение посчитали полезным:

Bronco пишет:
И много таких в "природе"?
Много , больше полвины наверно, если и нет то большое кол-во.

Bronco пишет:
В принципе, мну кажетЦо, что для этого достаточно данныx
Что т я там ни одного пуша не видел , хочешь сказать что процедурка их не юзает ?

На какой версии стара проверял ?

И на первый взгляд это не эмуль команды которые стар защищяет, а код самоой вм или часть "открытова" кода функции , так как некоторые команды стар выполняет открыто ну там например
add eax,12345
или
rep x,y ,test cmd и тд
ну там другие сложные опкоды
Они расшифровываются и лежат в открытом виде по одной команде потом исполняются так же по одиночке, но команды вроде
push eax ,
mov eax,ebx ,
pop регистр
mov eax, dword ptr ds:[12345]
jxx adr( не запределы своей функции)
он выполняет внутри себя с операциями над регистрами не посредственно в памяти самой вм , потом идут служебные действия в плане "что это я сечас сделал", дешифруется часть ключа на след команду , и расшифровыется след команда и там в зависимости от ее сложности идет или по тому или по другому сценарию, ну и тд по кругу.

Там шифровка данных на ксорах , в свое время подчти разобрался что от куда и как он детектит, что это будет, но там один байт в ключах идет зависимый от пред идущих действий всей вм и от куда он взялся изначально я так и не нашел, потом забросил это дело, нашел способ проще, но идея расшифровать весь код остается интерестной.

| Сообщение посчитали полезным:

я повторю вопрос )
[NG]LaZyGeNeRaTioN пишет:
Зашел в ступор с 3-м СФ - нужно как-то сделать чистый дамп с бряком, на обыкновенном поганится critical sections итп, не подксажете, возможно ли это вообще дампированием ?

| Сообщение посчитали полезным:

undb пишет:
Твой дамп не верный ты сдампил рано так как прыжки в ВМ еще не инициализированны даже
А когда примерно снимать дамп.
Bronco
А что за лог у тебя в аттаче.(сильно не пинайте я новичёк)

| Сообщение посчитали полезным:

UzVeR пишет:
А что за лог
Да тож....(не пофикшена ВМ)

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
не нашёл где

3. Операции с неизвесными регистрами ()

030402D7 61 POPAD
030402D8 9D POPFD
030402D9 90 NOP
030402DA 90 NOP
030402DB 90 NOP
030402DC 84C0 TEST AL,AL << защ код
030402DE 90 NOP
030402DF 90 NOP
030402E0 90 NOP
030402E1 90 NOP
030402E2 90 NOP
030402E3 90 NOP
030402E4 90 NOP
030402E5 90 NOP
030402E6 90 NOP
030402E7 90 NOP
030402E8 90 NOP
030402E9 90 NOP
030402EA 90 NOP
030402EB 90 NOP
030402EC 9C PUSHFD
030402ED 60 PUSHAD

4.5-5.0 (5.5 не пашет, там другие)

а то что ты нашел это фейк, это код вм (хотя из него можно собрать свою вм которая будет исполнять псевдокод , но задача расшифровать защищенный код ) , для начало тебе этого хватит (Операции с неизвесными регистрами ) , посмотрим что дальше найдешь сам.

| Сообщение посчитали полезным:

[/edit_fake_post]

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
но у тя выводы неправильные глядя на данные из лога
Другой "правельный" лог в студию , будем делать правельные выводы, тут много всяких флудеров было.

Bronco пишет:
И ту наверняка ошибсИ?
В этих местах он действительно выполняет криптованные действия , но этих мест в вм тысячи и выбираются они можно сказать рандомайзом , плюс большое количество служебных действий. Конечно можно и через это решить вопрос , но проще нати таблицу регистров ( я не кторые вещи своими именами называю ) она находится относительно edi и постоянна. вот на нее ставишь бряк на память , смотишь что он взял от туда и чего куда вернул, ели начал брать все с подрят значит уйдет или на нопы , или прыгнет за пределы вм.

а вот еще я почему от такого отказался "промониторить действия" , так как таким способом ты получишь код но получишь его без джампов , те ты так найдешь код по определенному алгоритму (if then ) а если вдруг там получится if else то на esle у тебя нет плана действий так как когда ты мониторил вм по нему не проходила или ты не знаешь что туда смотрит какой то джамп. Так что посоветовал бы разобратся с декриптовкой данных, но там надо знать как он будет работать с декриптованным псевдокодом ( сами инструкции как они выглядят в реале, он не расшифровывает, за исключением нопов конечно)

| Сообщение посчитали полезным:

модераторы удалите сообщение.

| Сообщение посчитали полезным:

Bronco
Будут вопросы пиши.

| Сообщение посчитали полезным:

undb пишет:
Твой дамп не верный ты сдампил рано так как прыжки в ВМ еще не инициализированны даже

А когда примерно снимать дамп.
Повторяю вопрос.

| Сообщение посчитали полезным:

На оригинальном ОЕП игры

| Сообщение посчитали полезным:

undb пишет:
На оригинальном ОЕП игры
А у меня не оригинальный?
UzVeR пишет:
ifolder.ru/6319405

| Сообщение посчитали полезным:

UzVeR пишет:
А у меня не оригинальный?
Если сдампил, прервавшись в отладчике на OEP приложения, тогда считай оригинальный.Но в этом случае jmp_vm уже должны быть полинкованны с самой SFVM, то есть настроенны на её адреса.
undb пишет:
Будут вопросы пиши
если все сдампить правельльно, то на твоем компе запустся любой дамп стара
А подробней мона??

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Kycok Caxapa
Тут не запросы на взлом.

Bronco пишет:
А подробней мона
Способ рабочий весьма приватный так что делай соответствующие от сюда выводы, а на счет вопросов, то по возвращению функций к оригинальному виду, я помогу чем смогу, так как я ее так и не доломал и этот вопрос мне самому интересен.

| Сообщение посчитали полезным:

Может кто глянуть есть ли у меня изменения в лучшую сторону я немного импорт "профиксил"(если это мона так назвать)

До
ifolder.ru/6319405

После
ifolder.ru/6427215

Кстати при поиске ОЕР выскакиваю немного ниже (на 2 функции GetVersion и GetModuleHandleA) чем ОЕР это не важно?

| Сообщение посчитали полезным:

UzVeR пишет:
и GetModuleHandleA
...очень важно.
Ставь выше "железяку" (hr addr_oep), и перезагружай/стартуй/дампи_нах..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Ставь выше "железяку" (hr addr_oep), и перезагружай/стартуй/дампи_нах..
Тут я так и делал
UzVeR пишет:
После
ifolder.ru/6427215
На счет ОЕР спрашивал просто интерестно т.к. по железяке я останавливался почти в начале выполнения кода dll

| Сообщение посчитали полезным:

У меня пока завал , отвечу на выходных.

А так в общем и в краце , ты вообще уверен что это эмуль команда , а не результат действия какой нить функции из вне или нопов ?

mov edx,[edx+23]//ну явно не простая

может mov edx,[reg1+reg2-reg3] ??
Как ты правельно заметил она не простая (mov edx,[edx+23]) и должна выполнятся на нопах. Я мониторил то что он взял и что вернул, а не изменения в таблице.

| Сообщение посчитали полезным:

Господа рад приветствовать вас!

есть одно небольшое предложение касаемо сабжа
может быть попытатся сосавить некое подобие блок-схемы
общей картины действия защиты на исполняемом файле?..

в первую очередь мне не совсем понятно следующее
операции по дампу необходимо производить с запускаемым
на исполнение файлом, следовательно имеем точную топологию
и эмуляцию ее в ДТ затем запуск из под отладчика?..
вроде бы очевидно но однако для меня
сомневающегося новичка вопрос насущен..
второе - так и осталось загадкой, хотя вроде читал вдумчиво
пользовать Олли или СофтАйс? видимо версии сф с меткой 4
можно ковырять только лишь в Олли? а третью и возможно пятую
в софт-айс...
теперь не совсем понятно вот что: по идее схема процесса такова
отладчик запускает программу и перехватывает использованную
в защищенной программе АПИ-функцию которая является как бы
маркером того что: 1. программа полностью загружена в память
произошла первичная инициализация всех систем защищенной
программы, както загрузка длл-ок старфорса, проверка наличия
эмулирющих программ, наличие "оригинального" диска в приводе,
и общий старт программы (скорее всего много чего еще пропустил)
т.е. при бряке на такой функции-маркере имеем в памяти расшифрованный
дамп ехе с испорченной таблицей импорта и вызовами процедур из ВМ?
т.е. на этом этапе сохранив сей кусок памяти в исполняемый файл
имеем ли защищенный ехе со снятым протектором? т.е. только предварительно
криптованного ехе-файла. причем читая и обдумывая ВМ пришел к выводу что
работа ВМ сводится к сокрытию оригинальных функций системных библиотек user kernel
плюс криптование/шифрование процедур из защищенной программы.

может быть небольшое теоретическое описание процесса? предполагаю что так будет
немного легче новичкам вроде меня хотя бы знать с какой стороны подступится - а затем
уже если повезет перейти к детальному разбору в ПМ.

всётаки хотелось информативную вводную для исследований если таковое возможно
подозреваю что необходимо матчасть поучить...
зы: если чегото не того брякнул приношу извинения

| Сообщение посчитали полезным:

p3 пишет:
сомневающегося новичка

это хобби такое - прыгать в воду не зная броду?

| Сообщение посчитали полезным: