В CFF Explorer есть ограничение на размер файлов в 40 мб
Если файл больше то он спрашивает грузить его или нет
Но даже если загрузить такой файл, то он неправильно работает с секциями,
импортом и не показывает содержимое последних секций.
Кто-нибудь сталкивался с этой проблемой?
И есть ли пути обхода?
(а то неудобно дампить некоторые ВМ )

| Сообщение посчитали полезным:

Nightshade
Скорее всего он аллочит под файл 40 метров в памяти и грузит его туда. Если это так, то можно попробывать отловить вызов VirtualAlloc и прописать значение побольше.

-----
Research For Food

| Сообщение посчитали полезным:

Если быть точным, выводится такое сообщение:
---------------------------
CFF Explorer
---------------------------
This file is bigger than 40MBs. Would you like to load in memory just the first 40MBs?
---------------------------
Да Нет Отмена
---------------------------
(Загружать только первые 40мб?)
Если ответить "Да", то, естественно, загрузятся только первые 40мб, и некоторые поля будут не валидными, в таких случаях нужно давить "Нет". ПО крайней мере у меня так.

| Сообщение посчитали полезным:

Nightshade пишет:
Если файл больше то он спрашивает грузить его или нет

ты бы внимательней читал, что он пишет: This file is bigger than 40MBs. Would you like to load in memory just the first 40MBs?

| Сообщение посчитали полезным:

Т.е. если нажать нет то загрузится весь?
Сейчас не могу проверить т.к. не дома.
Если файл можно загрузить весь - то тема закрыта.
З. Ы.
Клеил просто вчера в 2 ночи файл и читал соответсвенно невнимательно.
Кстати склеил Старфорс 4.60 - работает
(Кингс Баунти: Принцесса в доспехах - в сети кряка нет ..... пока )

| Сообщение посчитали полезным:

Nightshade пишет:
Кингс Баунти: Принцесса в доспехах - в сети кряка нет ..... пока
Там стар самый последний, вроде, а значит и антидамп тоже не простой... но в любом случае можно будет расчитывать на какую-либо информацию по взлому?)

| Сообщение посчитали полезным:

Psalmopoeus Pulcher пишет:
Там стар самый последний, вроде
Хуясе последний
5.60.2.8 вроде последний

| Сообщение посчитали полезным:

Последний 5.70
А на сабже как раз 5.60.2.8, последний на тот момент.

| Сообщение посчитали полезным:

Почитай как дампится ВМ SecuRom'a там тот же принцип
Но я не люблю такие недокряки - лучше снимать ВМ.
Дампится так же, только я приклеил Protect.dll как секцию ну и пару кусков памяти.
Единственное, чем хорош такой Nocd - можно разбирать ВМ без проверки дисков и BSOD.
Так же там ввызывается VirtualProtect и на несколько кусочков кода ставится NoAcess
При дампе они могут залится нулями - я изменял доступ на память.
Вот в принципе и вся инфа.
Если у кого есть эта игра - могу помочь с информацией
Можно сделать тутор - но люди, которые хоть раз собирали дамп по кускам
памяти из него ничего нового не узнают.
Антидампа, кроме ВМ, я там не видел - хотя и не смотрел все внимательно,
ведь и так работает.

| Сообщение посчитали полезным:

Nightshade
может еще TAGES на Chronicles of Riddick - Assault on Dark Athena поразбираем...?

| Сообщение посчитали полезным:

Nightshade пишет:
Почитай как дампится ВМ SecuRom'a там тот же принцип
Я так понял кроме статей Дероко по секурому, на тему дампа с ВМ, больше нет???
Но в старике ВМ намного забойнее, чем в секуроме.
Из того что попадалось по секурому отдиралось полностью без ВМ, а вот про СтарФорс сказать такое не могу.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

s0cpy
С моей колокольни видится что на Chronicles of Riddick - Assault on Dark Athena проблема не в тагесе, а в довеске к нему под названием солидшилд.

| Сообщение посчитали полезным:

Nightshade Кстати последный старфорс вроде как 5.80, на штырлице 4 попадался. С твоими навыками анпака старфорса, мог бы помочь форумчанам сайта antistarforce.com, тебе было бы много благодарных людей.....

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

Путаем-с, 5.60.8.2.

З.Ы. В топку антстарфорц, сборище нытиков. Все толковые оттуда давно сбежали)

| Сообщение посчитали полезным:

Launcher
И куда сбежали?
P S Перенесите тему в оффтоп.

| Сообщение посчитали полезным:

Launcher
"Sneg" никуда не ушел, а кто ушел....даже не знаю, а насчет знаний, если умешь что-то делать надо помагать другим, а так толку с твоих знаний.....да и не к тебе вообще обращался

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

SemDJ пишет:
насчет знаний, если умешь что-то делать надо помагать другим
Согласен, что нужно делиться знаниями, но, как мне кажется, не о старе, во всяком случае на паблике, потому как старовцы очень живо реагируют на то, как их защиту ломают. Взять к примеру первую версию Сталкера - Чистое Небо, с новейшим на тот момент старом: отломали за неделю (ну плюс-минус), в следующей версии защиты эту дыру уже прикрыли, так что у меня только такие выводы...

| Сообщение посчитали полезным:

Всех понесло куда-то не туда, завязывайте с этим, всё равно ничего толкового не получится.
А по теме отмечу, что в каком-то туторе от Артима (про секуром, что ли, не помню) патчили они цфф экслорер, чтоб глупых вопросов не задавал. Вроде, грузить может он любые файлы, просто вопросы глупые задаёт.

| Сообщение посчитали полезным:

Кто-нить может посмотреть этот файл
multi-up.com/83749
У меня работает - у других падает
(возможно импорт кривой)
Кряк к кингс баунти
В CFF действительно достаточно ответить нет

| Сообщение посчитали полезным:

del

ADD:
Арчи, да,я понял, нарыл какую-то
binkw32.dll
у себя, но она не проканала,
Nightshade
Кинь binkw32.dll из папки с игрой чтоли, ну и все остальные dllки, которые могут понадобиться тоже.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Если это старфорс, то там должны быть антидампы (ну либо очень повезло, что бывает не часто). Они на cpuid в частности, поэтому погонял бы сначала сам на другой тачке, а потом релизил. Это моя была мысль.
А вот идея от толковых и разбирающихся в этом челов:
вручную он антидамп не обойдет. тут надо логать сами цпуиды, дергать криптоалгосы, подменяя при этом результат криптовки, чтобы найти все. проверок там может быть пару десятков, причем железозависимых, и куча фейковых. вручную не реально. знаю
2 focus:
Это просто не все либы на месте, это норм, либа для проигрывания мувиков, не в этом дело, в общем.

| Сообщение посчитали полезным:

насколько реально написать драйвер подменяющий CPUID?
И есть ли люди разобравшие ВМ старфорса - просто да или нет

| Сообщение посчитали полезным:

Nightshade пишет:
насколько реально написать драйвер подменяющий CPUID?
Под интеловские процы ищи cpuid_break от deroko. На амдэшные не видел.

| Сообщение посчитали полезным:

Nightshade пишет:
И есть ли люди разобравшие ВМ старфорса - просто да или нет
Служебного кода метров 50 и больше.
По старым версиям, на форуме были наброски, поищи.
Основная сложность востановить краденный код процедур.
Процедуры как правило цикличные, да и размерчики минимум по 1000-1500 байт.
По CFF Explorer, там же вроде текстовое поле для ограничения размера, можно править, хотя по дефолту стоит 40.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Nightshade пишет:
насколько реально написать драйвер подменяющий CPUID?
Кряк с драйвером по моему чересчур... Я например иногда специально не играю (разумное время ) пока кряк не появится чтоб всякое гуано в систему не ставилось (это в случае с старфорсом).
Archer пишет:
проверок там может быть пару десятков,
С пятой версии пару сотен Вручную не реально. Патчить тоже не получится - целостность ВМ проверяется (опкод ксорится кусками ВМ в которые частенько попадают опкоды cpuid).
Bronco пишет:
По CFF Explorer, там же вроде текстовое поле для ограничения размера, можно править, хотя по дефолту стоит 40.
А можно просто галку убрать чтоб не спрашивал

| Сообщение посчитали полезным:

Zorn
Т. е. единственный вариант снимать ВМ?
Подменять CPUID я хотел чтоб потом пропатчить их на что то типа xor eax, eax и т. д.
Пойду перекурю еще раз доки от reloaded...

| Сообщение посчитали полезным:

CPUID по-человечески перехватить не получится, она не привилегированная.
Исходник на который выше ссылались использует Intel VT, для AMD тоже есть технологии виртуализации.
Но в качестве конечного решения это вообще не вариант - виртуализацию далеко не все процессоры поддерживают.

| Сообщение посчитали полезным:

Можно ли убрать проверку CRC(xor) с ВМ?
И как работает CPUID в VMware?

| Сообщение посчитали полезным:

Драйвер написать реально. Можно через аппаратную виртуализацию. Можно без драйвера с динамическим пересканированием кода.
Люди есть.
Теоретически можно и цпуид спатчить, но метод хреновый, лучше декомпилять.
Проц в варе используется реальный, вернёт сигнатуру реального проца цпуид.

| Сообщение посчитали полезным:

Разобрался с вызовами stolen jump в ВМ....
Узнал как определять вызовы stolen code в ВМ
И узнал что в дампе примерно 970 вызовов ВМ
Вообщем все идет хорошо, но почему-то на ХХХ...

| Сообщение посчитали полезным: