я создал тему в разделе для новичков
http://exelab.ru/f/action=vthread&forum=5&topic=9277

пакер SecuROM 4.x.x.x - 5.x.x.x -> Sony DADC
посмотрел секции:
CWFR
FWFR
.asrc
.ojff
.apypwk
.idata

Говорят что это пакер по сложности не уступает Themida
Знаю, на сайте есть две статьи про распаковк securom, но чт-то мне не очень понятно.
Буду благодарен, если кто посмотрит exe-ник.
http://ifolder.ru/2578939

| Сообщение посчитали полезным:

а толку его смотреть без образа? Да еще и небось кучи длл не хватать будет. Читай вникай и вперед

| Сообщение посчитали полезным:

Это не пакер а комплексная защита применяемая в основном для защиты приложений на CD - DVD носителях

| Сообщение посчитали полезным:

Mavlyudov
Попробуй посмотреть точную версию протектора каким-нибудь последним ProtectionID или классной программулькой A-Ray Scanner.Если версия протектора четвёртая или пятая,то тут ему очень далеко до Themida.
Распаковывается версия 4 или 5 без проблем,если есть некоторый опыт.Руками естественно.
Во многих случаях можно даже к чертям вырезать секции протектора,несмотря на то,что они находятся в середине PE-файла.Просто потом перестроить ресурсы с помощью какого-нибудь ResRebuild'a от Др. Головы.
Читай статьи Cigan'a про четвёртую версию и статью Rascal'a про пятую(только не про седьмую).
Вот.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

DillerInc

ProtectionID сказал, что:
Scanning -> M:\EGU.exe
File Type : Exe, Size : 2783232 (02A7800h) Bytes
-> Suspicious MZ Header..
[!] SecuROM Detected - Version 5.03.04

A-Ray Scanner тоже самое показывает:
[23:40:37] SecuROM 5.03.04.0001 detected -> M:\EGU.exe

| Сообщение посчитали полезным:

наверняка там будет VM

| Сообщение посчитали полезным:

кому интересно :
Anti-SecuROM single step detection plugin by deroko of ARTeam
Anti-SecuROM single step detection plugin by deroko of ARTeam
SecuROM uses manipulation with SS to disable interupts for 1 instruction.
At this point TF can't be cleared by debugger, nor pushfd can be emulated.
This is IA32 feature where interupts are disabled so ESP can be filed with
new stack address.

SecuROM code:

push ss
pop ss <---- disable interupts for one instrucion
pushfd <---- this one is executed as if there was no TF
mov eax, [esp] <---- eax gets eflags with saved TF and execution
stops here (interupt is generated)

This plugin is very simple, and patches eflags on stack when this scenario
occurs.

Syntax:

!srom on
!srom off

Engine is not MP safe, but it can be if instead of IDT patching, inline hook
is used since each processor has it's own IDT pointing to same addresses in
ntkrnlmp.exe


To load it you have to copy extension.sys to C:\windows\system32\drivers

and add 3 lines to the NTICE registry key:

"KDExtensions"= REG_EXPAND_SZ extension.sys;
"KDStackSize" = DWORD:0x00008000
"KDHeapSize" = DWORD 0x00008000

Now fire up loader1 and plugin will be loaded.

For more info you may check Kayaker's guide on creating SoftICE extensions,
at www.woodmann.com/forum/showthread.php?t=7097


deroko of ARTeam

| Сообщение посчитали полезным:

Эта фича анти трайсинга появилось гдето с 7 версии так как раньше она не попадалась. Но на самом деле одна эта фича по сравнению с другими ни что.

Мы с DillerInc гдето полгода назад почти все трики разобрали.

| Сообщение посчитали полезным:

Кстати у Р. Нарвахи туча статей.. по поводу. Снятие Секуром с Дьябло 2 например почитай.

-----
Researcher

| Сообщение посчитали полезным:

To pavka, тебя я не понял
To Cigan, у меня SecuROM 5.03.04. что-нибудь можно сделать?
To overwriter, Ссылку кинь

Кстати, съемулировал образ, у меня получилось запустить, но только 1 раз и все.
потом не запускалось м вылетала ошибка, описанная выше.
Нашел прогу, которая по особой методике убирает securom
вот по этой --> Ссылке <-- http://gf.wiretarget.com/securom.htm
Требовался файл обаза ccd и bwa. Я все пожготовил, пррога пропатчила образ и я его записал на диск.
но ничего не заработало. Правда теперь ошибка пишет, что конфликт с эмулирующими прогами.
Я их удалил, но ошибка не исчезла.
Думаю, что причина в том, что изначально тот образ, который у меня есть (mdf, mds) снят НЕправильно.

| Сообщение посчитали полезным:

Mavlyudov, статьи на испанском ты с ним дружишь? Искать статьи ?

-----
Researcher

| Сообщение посчитали полезным:

Mavlyudov пишет:
To Cigan, у меня SecuROM 5.03.04. что-нибудь можно сделать?
Можно там нет ни чего сложного. Придеться только потом востановить все испорченые переходники, а для этого придеться написать кусок кода.

Mavlyudov пишет:
Нашел прогу, которая по особой методике убирает securom
вот по этой --> Ссылке <--
А вот это бред работала наверное только на старых версиях, но я этих старых защит не встречал.

P.s. Если наберешь необходимый минимум, просто для старта и сделаешь мини образ который нормально работает могу посмотреть и немного помоч.

| Сообщение посчитали полезным:

overwriter Не знаю даже. А ты сам дружишь? я нет. Хотя думаю переводчик справится.

Cigan пишет:
P.s. Если наберешь необходимый минимум, просто для старта и сделаешь мини образ который нормально работает могу посмотреть и немного помоч.
минимум это ты имеешь ввиду, еслия почитаю статьи про securom?
и как понять "мини обаз"? у меня есть образ диска. ты про него?

Кстати, в описании к программе, которая патчит securom сказано:
The linear sector density of Securom discs is very different to the density of normal cdr(w)s. This can be measured by timing reads on the cd. The following image shows the density of a Securom disc (red) compared to a normal disc (green).
In the closeup you can see that the securom curve is overlaid by a square pattern.
TwinPeak tries to immitate this square pattern by inserting twin sectors in these ranges wich alter the read time.
Не знаю почему не получилось.

| Сообщение посчитали полезным:

Mavlyudov
миниобраз, это создать образ с наименьшим объемом и чтоб все запускалось. Тоесть выкидывай видео, звуки и лишнее борохло.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Cigan
у меня mdf, mds образ. Я врядли смогу его исправить. Если скопировать все на жесткий диск и запустить главный exe файл, то он требует всавить диск-образ (или смонтировать его). Так что тебе по любому нужен цельный образ. Могу залить в инет, НЕ на рапиду, а куда-нибудь где будет быстро качаться и не надо будет ждать.

| Сообщение посчитали полезным:

Mavlyudov
Попробуй прогой ISO Directory урезать образ до килобайт. Пятый секуром обычно такие обрезки хавает

| Сообщение посчитали полезным:

Yizahi
Скачал эту прогу. В настройках поставил только галочку "add to context menu for *.mdf and *.iso files"
Урезал образ до 792КБ, причем он mdf.
Только не понял для чего все это, если только заголовки остались.
Из такого мини-образа нельзя же ни лдин файл запустить.

| Сообщение посчитали полезным:

Mavlyudov
Это нужно для того если у тебя получился качественный "огрызок" - что бы ни хранить на винте лишних 700 Mb.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

mysterio
всмысле? т.е можно хранить несколько кб на диске вместо 700?
а потом при необходимости эти 700 откуда взять?

| Сообщение посчитали полезным:

нашел описание к программе Twin Peak
"По сути дела эта программа позволяет изготовлять копии такой защиты как SecuromNEW на уровне физической эмуляции. Защита SecuromNEW основаная на различной физической плотности разных участков диска проверяет диск тем, что сверяется переход между плотностью одного участка чередуясь со следующим и за счёт разницы в плотности секторов между этими участками защита проверяет подлиность оригинала. Эта программа использует функцию жёлтой книги позволяющая уместить одновременно два одинаковых сектора с одинаковым порядковым номером на записываемый диск, но эти два сектора будут читаться приводом как один и соответственно поднимется время чтения вдвое в отличии от обычных секторов, тем самым как бы достигается физическая эмуляция защиты SecuromNEW. Программа использует образы изготовленые только CLONECD и физическую топологию только в BWA формате".
P.S. У меня так и не получилось с помощью нее образ записать.
Вот ссылка на прогу http://starf.bestmedia.kiev.ua/cdrupro/cdru/ssilki/progs/twinpeak_0-2.zip . Кстати, она с исходниками (с++), которые внутри архива.

| Сообщение посчитали полезным:

Почитал тему http://exelab.ru/f/action=vthread&forum=5&topic=9277
Я так понял у тебя с образа прога не запускается? Если да, то наиболее вероятно образ не рабочий.
В этом случае никакой софт вроде Twin Peak тебе не поможет.
Тебе нужен либо оригинальный диск, что бы правильно снять с него образ, либо рабочая топология(хранится в mds файле).

| Сообщение посчитали полезным:

vpadlo
Да. у меня есть НЕправильно снятый образ (mdf, mds), но ведь его можно ломануть как-то!!

| Сообщение посчитали полезным:

Mavlyudov
тех 700 метров тебе все-равно прийдется где-то хранить - что бы была возможность заинсталять игру. А "огрызок" - юзается как NoCD он же весит понты =)

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

vpadlo
Я вот что еще подумал (в предположении, что есть правильно снятый mdf): т.к Twin Peak работает с образами .ccd (Clone CD) и файлом вершин bwa, то
я не смогу ее юзать, т.к у меня mdf (mds) образ. А вариант записать mds на CD-RW, а потом снять с него ccd-образ, не пройдет, т.к образ снимется неправильно. Т.е надо как-то конвертнуть mds в ccd.
У программы Twin Peak есть исходники. Значит можно поправить. Но я думаю, что автор проги знал формат ccd, т.е его устройство внутренне, Поэтому выбрал его...хотя надо код смотреть...

mysterio NOCD вроде при любой эмуляции на виртуальный диск происходит.

| Сообщение посчитали полезным:

Я так и не услышал ответ. С образа прога запускается? Если нет, то Twin Peak тоже не поможет, а значит образ конвертировать не надо(хотя это и не сложно).

| Сообщение посчитали полезным:

Mavlyudov пишет:
но ведь его можно ломануть как-то!!

ппц конечно можно - засунуть эзешник в иду и курить до посинения. Нормальный образ нужен для того, чтобы запустить игру - отладка идёт при загружающейся/загруженой игре.

| Сообщение посчитали полезным:

vpadlo
Я смонтировал образ на виртуальный диск алкоголем120, и она НЕ запускается, пишет, что дисе -копия (Please insert thr original disc instead of a backup. See www.securpm.com/ copy for more details).
Это значит, что образ был снят НЕверно (т.е не учли securom).
На счет конвертации образа из mdf (или mds?) в ccd, все-таки пожскажи, мне это может понадобиться.

Gideon Vi
нету нормального образа

| Сообщение посчитали полезным:

Gideon Vi пишет:
Нормальный образ нужен для того, чтобы запустить игру - отладка идёт при загружающейся/загруженой игре.

именно! мини-образы создают, если ты хочешь эмулить диск (не трогая сам секуром), а если хошь снять нах защиту, то тут нужон оригинал. всё имхо

| Сообщение посчитали полезным:

Mavlyudov, попробуй удалить все эмуляторы, и установить последнюю версию Daemon или Alcohol. Также попробуй дополнительно использовать YASU. Если не поможет, попробуй заменить в своём образе .mds файл, на приатаченный в этом посте.

c608_16.07.2007_CRACKLAB.rU.tgz - Cambridge.English.Grammar.in.Use.on.CD-ROM.[3rd.edition.2004].rar

| Сообщение посчитали полезным:

vpadlo
нет, не пашет.
Ты его где взял? не на сайте englishtips.org?

| Сообщение посчитали полезным: