Сейчас на форуме: vsv1, r0lka, -Sanchez-, testrev1337, johnniewalker, Kybyx (+4 невидимых)

 eXeL@B —› Крэки, обсуждения —› CFF Explorer
. 1 . 2 . >>
Посл.ответ Сообщение


Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 23 апреля 2009 07:35
· Личное сообщение · #1

В CFF Explorer есть ограничение на размер файлов в 40 мб
Если файл больше то он спрашивает грузить его или нет
Но даже если загрузить такой файл, то он неправильно работает с секциями,
импортом и не показывает содержимое последних секций.
Кто-нибудь сталкивался с этой проблемой?
И есть ли пути обхода?
(а то неудобно дампить некоторые ВМ )




Ранг: 529.0 (!), 110thx
Активность: 0.290.04
Статус: Участник
5KRT

Создано: 23 апреля 2009 09:13
· Личное сообщение · #2

Nightshade
Скорее всего он аллочит под файл 40 метров в памяти и грузит его туда. Если это так, то можно попробывать отловить вызов VirtualAlloc и прописать значение побольше.

-----
Research For Food




Ранг: 35.8 (посетитель), 23thx
Активность: 0.030
Статус: Участник

Создано: 23 апреля 2009 09:34
· Личное сообщение · #3

Если быть точным, выводится такое сообщение:
---------------------------
CFF Explorer
---------------------------
This file is bigger than 40MBs. Would you like to load in memory just the first 40MBs?
---------------------------
Да Нет Отмена
---------------------------
(Загружать только первые 40мб?)
Если ответить "Да", то, естественно, загрузятся только первые 40мб, и некоторые поля будут не валидными, в таких случаях нужно давить "Нет". ПО крайней мере у меня так.




Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 23 апреля 2009 10:09
· Личное сообщение · #4

Nightshade пишет:
Если файл больше то он спрашивает грузить его или нет


ты бы внимательней читал, что он пишет: This file is bigger than 40MBs. Would you like to load in memory just the first 40MBs?




Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 23 апреля 2009 10:59
· Личное сообщение · #5

Т.е. если нажать нет то загрузится весь?
Сейчас не могу проверить т.к. не дома.
Если файл можно загрузить весь - то тема закрыта.
З. Ы.
Клеил просто вчера в 2 ночи файл и читал соответсвенно невнимательно.
Кстати склеил Старфорс 4.60 - работает
(Кингс Баунти: Принцесса в доспехах - в сети кряка нет ..... пока )



Ранг: 35.8 (посетитель), 23thx
Активность: 0.030
Статус: Участник

Создано: 23 апреля 2009 11:56
· Личное сообщение · #6

Nightshade пишет:
Кингс Баунти: Принцесса в доспехах - в сети кряка нет ..... пока

Там стар самый последний, вроде, а значит и антидамп тоже не простой... но в любом случае можно будет расчитывать на какую-либо информацию по взлому?)



Ранг: 138.7 (ветеран), 135thx
Активность: 0.110
Статус: Участник

Создано: 23 апреля 2009 12:38
· Личное сообщение · #7

Psalmopoeus Pulcher пишет:
Там стар самый последний, вроде

Хуясе последний
5.60.2.8 вроде последний



Ранг: 7.7 (гость)
Активность: 0=0
Статус: Участник

Создано: 23 апреля 2009 12:59
· Личное сообщение · #8

Последний 5.70
А на сабже как раз 5.60.2.8, последний на тот момент.




Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 23 апреля 2009 13:32
· Личное сообщение · #9

Почитай как дампится ВМ SecuRom'a там тот же принцип
Но я не люблю такие недокряки - лучше снимать ВМ.
Дампится так же, только я приклеил Protect.dll как секцию ну и пару кусков памяти.
Единственное, чем хорош такой Nocd - можно разбирать ВМ без проверки дисков и BSOD.
Так же там ввызывается VirtualProtect и на несколько кусочков кода ставится NoAcess
При дампе они могут залится нулями - я изменял доступ на память.
Вот в принципе и вся инфа.
Если у кого есть эта игра - могу помочь с информацией
Можно сделать тутор - но люди, которые хоть раз собирали дамп по кускам
памяти из него ничего нового не узнают.
Антидампа, кроме ВМ, я там не видел - хотя и не смотрел все внимательно,
ведь и так работает.



Ранг: 146.7 (ветеран), 1thx
Активность: 0.070
Статус: Участник

Создано: 23 апреля 2009 14:14
· Личное сообщение · #10

Nightshade
может еще TAGES на Chronicles of Riddick - Assault on Dark Athena поразбираем...?




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 23 апреля 2009 14:47
· Личное сообщение · #11

Nightshade пишет:
Почитай как дампится ВМ SecuRom'a там тот же принцип

Я так понял кроме статей Дероко по секурому, на тему дампа с ВМ, больше нет???
Но в старике ВМ намного забойнее, чем в секуроме.
Из того что попадалось по секурому отдиралось полностью без ВМ, а вот про СтарФорс сказать такое не могу.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..




Ранг: 7.7 (гость)
Активность: 0=0
Статус: Участник

Создано: 23 апреля 2009 15:04
· Личное сообщение · #12

s0cpy
С моей колокольни видится что на Chronicles of Riddick - Assault on Dark Athena проблема не в тагесе, а в довеске к нему под названием солидшилд.




Ранг: 114.1 (ветеран)
Активность: 0.090
Статус: Участник

Создано: 23 апреля 2009 15:36
· Личное сообщение · #13

Nightshade Кстати последный старфорс вроде как 5.80, на штырлице 4 попадался. С твоими навыками анпака старфорса, мог бы помочь форумчанам сайта antistarforce.com, тебе было бы много благодарных людей.....

-----
minimaL_patсh на руборде




Ранг: 7.7 (гость)
Активность: 0=0
Статус: Участник

Создано: 23 апреля 2009 15:52
· Личное сообщение · #14

Путаем-с, 5.60.8.2.

З.Ы. В топку антстарфорц, сборище нытиков. Все толковые оттуда давно сбежали)




Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 23 апреля 2009 15:57 · Поправил: Nightshade
· Личное сообщение · #15

Launcher
И куда сбежали?
P S Перенесите тему в оффтоп.




Ранг: 114.1 (ветеран)
Активность: 0.090
Статус: Участник

Создано: 23 апреля 2009 16:02
· Личное сообщение · #16

Launcher
"Sneg" никуда не ушел, а кто ушел....даже не знаю, а насчет знаний, если умешь что-то делать надо помагать другим, а так толку с твоих знаний.....да и не к тебе вообще обращался

-----
minimaL_patсh на руборде




Ранг: 35.8 (посетитель), 23thx
Активность: 0.030
Статус: Участник

Создано: 23 апреля 2009 16:30
· Личное сообщение · #17

SemDJ пишет:
насчет знаний, если умешь что-то делать надо помагать другим

Согласен, что нужно делиться знаниями, но, как мне кажется, не о старе, во всяком случае на паблике, потому как старовцы очень живо реагируют на то, как их защиту ломают. Взять к примеру первую версию Сталкера - Чистое Небо, с новейшим на тот момент старом: отломали за неделю (ну плюс-минус), в следующей версии защиты эту дыру уже прикрыли, так что у меня только такие выводы...




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 23 апреля 2009 17:51
· Личное сообщение · #18

Всех понесло куда-то не туда, завязывайте с этим, всё равно ничего толкового не получится.
А по теме отмечу, что в каком-то туторе от Артима (про секуром, что ли, не помню) патчили они цфф экслорер, чтоб глупых вопросов не задавал. Вроде, грузить может он любые файлы, просто вопросы глупые задаёт.




Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 23 апреля 2009 19:13
· Личное сообщение · #19

Кто-нить может посмотреть этот файл
multi-up.com/83749
У меня работает - у других падает
(возможно импорт кривой)
Кряк к кингс баунти
В CFF действительно достаточно ответить нет




Ранг: 748.2 (! !), 390thx
Активность: 0.370
Статус: Участник
bytecode!

Создано: 23 апреля 2009 19:34 · Поправил: 4kusNick
· Личное сообщение · #20

del

ADD:
Арчи, да,я понял, нарыл какую-то
binkw32.dll
у себя, но она не проканала,
Nightshade
Кинь binkw32.dll из папки с игрой чтоли, ну и все остальные dllки, которые могут понадобиться тоже.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.





Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 23 апреля 2009 19:34 · Поправил: Archer
· Личное сообщение · #21

Если это старфорс, то там должны быть антидампы (ну либо очень повезло, что бывает не часто). Они на cpuid в частности, поэтому погонял бы сначала сам на другой тачке, а потом релизил. Это моя была мысль.
А вот идея от толковых и разбирающихся в этом челов:
вручную он антидамп не обойдет. тут надо логать сами цпуиды, дергать криптоалгосы, подменяя при этом результат криптовки, чтобы найти все. проверок там может быть пару десятков, причем железозависимых, и куча фейковых. вручную не реально. знаю
2 focus:
Это просто не все либы на месте, это норм, либа для проигрывания мувиков, не в этом дело, в общем.




Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 23 апреля 2009 22:29
· Личное сообщение · #22

насколько реально написать драйвер подменяющий CPUID?
И есть ли люди разобравшие ВМ старфорса - просто да или нет



Ранг: 35.8 (посетитель), 23thx
Активность: 0.030
Статус: Участник

Создано: 23 апреля 2009 22:37 · Поправил: Psalmopoeus Pulcher
· Личное сообщение · #23

Nightshade пишет:
насколько реально написать драйвер подменяющий CPUID?

Под интеловские процы ищи cpuid_break от deroko. На амдэшные не видел.




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 24 апреля 2009 02:54 · Поправил: Bronco
· Личное сообщение · #24

Nightshade пишет:
И есть ли люди разобравшие ВМ старфорса - просто да или нет

Служебного кода метров 50 и больше.
По старым версиям, на форуме были наброски, поищи.
Основная сложность востановить краденный код процедур.
Процедуры как правило цикличные, да и размерчики минимум по 1000-1500 байт.
По CFF Explorer, там же вроде текстовое поле для ограничения размера, можно править, хотя по дефолту стоит 40.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..




Ранг: 53.9 (постоянный), 19thx
Активность: 0.040
Статус: Участник

Создано: 24 апреля 2009 03:45 · Поправил: Zorn
· Личное сообщение · #25

Nightshade пишет:
насколько реально написать драйвер подменяющий CPUID?

Кряк с драйвером по моему чересчур... Я например иногда специально не играю (разумное время ) пока кряк не появится чтоб всякое гуано в систему не ставилось (это в случае с старфорсом).
Archer пишет:
проверок там может быть пару десятков,

С пятой версии пару сотен Вручную не реально. Патчить тоже не получится - целостность ВМ проверяется (опкод ксорится кусками ВМ в которые частенько попадают опкоды cpuid).
Bronco пишет:
По CFF Explorer, там же вроде текстовое поле для ограничения размера, можно править, хотя по дефолту стоит 40.

А можно просто галку убрать чтоб не спрашивал




Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 24 апреля 2009 07:39
· Личное сообщение · #26

Zorn
Т. е. единственный вариант снимать ВМ?
Подменять CPUID я хотел чтоб потом пропатчить их на что то типа xor eax, eax и т. д.
Пойду перекурю еще раз доки от reloaded...



Ранг: 251.3 (наставник), 81thx
Активность: 0.140.11
Статус: Участник

Создано: 24 апреля 2009 10:09
· Личное сообщение · #27

CPUID по-человечески перехватить не получится, она не привилегированная.
Исходник на который выше ссылались использует Intel VT, для AMD тоже есть технологии виртуализации.
Но в качестве конечного решения это вообще не вариант - виртуализацию далеко не все процессоры поддерживают.




Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 24 апреля 2009 12:57
· Личное сообщение · #28

Можно ли убрать проверку CRC(xor) с ВМ?
И как работает CPUID в VMware?




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 24 апреля 2009 17:41
· Личное сообщение · #29

Драйвер написать реально. Можно через аппаратную виртуализацию. Можно без драйвера с динамическим пересканированием кода.
Люди есть.
Теоретически можно и цпуид спатчить, но метод хреновый, лучше декомпилять.
Проц в варе используется реальный, вернёт сигнатуру реального проца цпуид.




Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 24 апреля 2009 22:29
· Личное сообщение · #30

Разобрался с вызовами stolen jump в ВМ....
Узнал как определять вызовы stolen code в ВМ
И узнал что в дампе примерно 970 вызовов ВМ
Вообщем все идет хорошо, но почему-то на ХХХ...


. 1 . 2 . >>
 eXeL@B —› Крэки, обсуждения —› CFF Explorer
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати