| Сейчас на форуме: Magister Yoda, site-pro, Rio (+6 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› анпакинг старки 4 |
| << . 1 . 2 . 3 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 31 марта 2010 15:32 · Поправил: ThugboyZ · Личное сообщение · #1 StarForce 4 Basic на игре S.T.A.L.K.E.R.: Shadow of Chernobyl 1.0006 (шестой патч). Антиотладку прошёл, ОЕП нашёл, импорт восстановил (Импреком), попёртые функи тоже, дампнул, всё вроде бы хорошо, но при запуске баг! причём думал, что из-за винды, поставил ХРюшу провернул всё тоже самое и опять этот же баг! ПС: посмотрите на ошибку может кто знает в чём тут беда...   319c_31.03.2010_CRACKLAB.rU.tgz - e4fd247aae9e.png
 |
|
|
Создано: 16 мая 2012 22:37 · Поправил: FrenFolio · Личное сообщение · #2 Svinovod пишет: Совершенно верно.У меня тоже там полно прыжков в секцию PROTECT ,так что наивны те кто думают что снять защиту можно всего лишь восстановив импорт. Да что ты говоришь. Тогда как же я смог снять стар (версии 4.50 или 4.70 Basic, точно не помню) с лицензионного диска Сталкера, который лежит у меня на полке, всего лишь сдампив, подправив импорт и атрибуты секций?  ЗЫ Кстати, в свое время я даже тутор написал, как импорт в старе править на примере одной проги (только для бейсик), а crc1 написал скрипт по его автоматическому восстановлению. ----- Программист SkyNet |
|
|
Создано: 17 мая 2012 00:34 · Личное сообщение · #3 Наверно решили что Сталкер и так каждые 10 минут вылетает в систему,а если ещё ВМ прикрутить - то вообще труба будет Если речь об этой статье: http://www.nodvd.net/629-raspakovka-sf-basic-na-igre-stalker-shadow-of.html то автору просто крупно повезло что там что-то запустилось. |
|
|
Создано: 17 мая 2012 09:17 · Личное сообщение · #4 Просто раньше стар не пихал кучу переходников в бейсик версии. Сейчас пихает, но один фиг стар без завиртуализованного кода снимается не сложнее upx. В свое время писал скрипт, который на автомате доходил до оеп, фиксил переходники, импорт и снимал дамп. А также позволял дампить вм в нужную секцию и фиксить апи вм. И все работало. В старе кроме виртуализованных кусков кода нет ничего сложного. |
|
|
Создано: 17 мая 2012 14:00 · Личное сообщение · #5 Я думаю раз ошибка вылетает уже на OEP (первая команда), то проблема с начальными значениями. Там идет команда типа MOV EAX, DWORD PTR [ESI+10] , ESI=FFFFFFFF , и соответственно вместо данных "????????". Если эти данные берутся из виртуальной секции,которая не приклеена - то неясно что версия Basic отличается от Pro если там всё тоже самое. |
|
|
Создано: 17 мая 2012 14:10 · Личное сообщение · #6 Что-то у тебя оеп больно странная... |
|
|
Создано: 17 мая 2012 15:49 · Личное сообщение · #7 NikolayD пишет: Что-то у тебя оеп больно странная... потомучто это не OEP
----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 17 мая 2012 16:52 · Личное сообщение · #8 Это я как бы тонко ему намекнул ))) Тему то пора прикрывать уже вторая страница пошла ))) |
|
|
Создано: 17 мая 2012 18:00 · Поправил: Svinovod · Личное сообщение · #9 ClockMan пишет: потомучто это не OEP Такую OEP показывают проги GetToOEP и PETools. На версии SF 4.70 Pro они её правильно определяют 
|
|
|
Создано: 17 мая 2012 18:33 · Личное сообщение · #10 При чём тут PETools, я вообще не понял. А что GetAOEP=Get Approximate OEP, видимо, не смутило. Как не смутило и то, что выше "ОЕП" ещё код есть, который явно относится к процедуре. |
|
|
Создано: 17 мая 2012 18:44 · Личное сообщение · #11 |
|
|
Создано: 17 мая 2012 19:00 · Поправил: Veliant · Личное сообщение · #12 Vovan666 пишет: любую сишную прогу Ну не любую уже.. в новых стаб на OEP имеет вид Code:
Из-за чего ее теперь можно проскочить не заметив) |
|
|
Создано: 17 мая 2012 19:05 · Личное сообщение · #13 Vovan666 Visual C++ 7 и выше. В 5/6 точка входа другая - открытие кадра стека. |
|
|
Создано: 17 мая 2012 20:45 · Поправил: Svinovod · Личное сообщение · #14 Исправил ОЕР, теперь валится на 00408AC8 - Access Violation when writing to [00415C50] Этот адрес находится во второй секции .sforce3 ,атрибуты секции 60000040 , и 60000020 не помогает. 6f5a_17.05.2012_EXELAB.rU.tgz - Dumped_.exe
|
|
|
Создано: 17 мая 2012 21:12 · Личное сообщение · #15 Запись разреши в секцию |
|
|
Создано: 17 мая 2012 22:05 · Личное сообщение · #16 Да,Старфорс не победить.Сыпется дамп через каждые 3-4 команды. Непонятно почему, импорт вроде правильный,ОЕР тоже. Вот например на выходе из CALL-ов орет,что EIP=00000000 и непонятно куда прыгать дальше.Заменяешь RETN 4 или RETN 8 на обычный RET ,тогда работает. |
|
|
Создано: 17 мая 2012 22:08 · Личное сообщение · #17 Запускаешь два отладчика, в одном прога под старом на оеп, во втором дамп. И трейся сравниваешь на местах ошибок |
|
|
Создано: 17 мая 2012 23:22 · Личное сообщение · #18 Программа под SF не тормозит на ОЕР. Ни Toggle Breakpoint,ни Memory On Access |
|
|
Создано: 18 мая 2012 00:16 · Поправил: ClockMan · Личное сообщение · #19 Svinovod пишет: Программа под SF не тормозит на ОЕР Интерестно как ты дамп снимал? прям на работующей программе 
----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. | Сообщение посчитали полезным: DimitarSerg |
|
|
Создано: 18 мая 2012 00:29 · Поправил: Nightshade · Личное сообщение · #20 Таким как ты старфорс не победить) Запасся попкорном. Жду следующие тупые посты) | Сообщение посчитали полезным: daFix |
|
|
Создано: 18 мая 2012 00:48 · Личное сообщение · #21 ClockMan пишет: Интерестно как ты дамп снимал? прям на работующей программе Естественно. А что ,когда он на ОЕР дамп как-то по другому снимается? |
|
|
Создано: 18 мая 2012 01:14 · Поправил: daFix · Личное сообщение · #22 Svinovod пздц. Зачем прыгать выше своей головы? Почитай хоть основные моменты распаковки перед тем как хоть что-то распаковывать, не говоря уже о SF. Вон ELF_7719116 потихонечку колупал SecuRom, не задавая глупых вопросов и в результате профит высокий, глупых вопросов нету. Может стоит последовать его примеру? Снимать дамп надо стоя на OEP, пока не прошла инициализация служебных структур проги. Ну или не доходя до него, но когда прога полностью распакована в памяти UPD: Тоже запасся попкорном ----- Research For Food | Сообщение посчитали полезным: ELF_7719116 |
|
|
Создано: 18 мая 2012 01:24 · Личное сообщение · #23 daFix пишет: Снимать дамп надо стоя на OEP, пока не прошла инициализация служебных структур проги. Ну или не доходя до него, но когда прога полностью распакована в памяти А когда она запущена,то что не распакована в памяти? Чем пальцы гнуть,написали бы в чем разница да и всё. |
|
|
Создано: 18 мая 2012 01:32 · Личное сообщение · #24 Svinovod пишет: пока не прошла инициализация служебных структур проги Читаешь между строк? Как можно анпакать без знания элементарных основ? Почитай цикл статей "Об упаковщиках в последний раз" ----- Research For Food |
|
|
Создано: 18 мая 2012 11:18 · Поправил: Starforce Developer · Личное сообщение · #25 Аналогичная проблема. Нужно распаковать starforce basic. Открываю блокнот, кидаю в него игру, ищу слово OEP, но ничего не нахожу. Пробовал искать EP, тоже не видно. Это наверно спёртые байты на OEP ? Как их восстановить ? ЗЫ А правда, что если взять ник, частично похожий на olenevod, то будешь как минимум на половину также крут ? Svinovod А когда она запущена,то что не распакована в памяти? Чем пальцы гнуть,написали бы в чем разница да и всё. Не парься, бро. Всё просто. Сначала найди в блокноте OEP. Потом надо стару надавать лю-лей, т.е. стоя на OEP убирай 2 буквы и вводи лю (в хексе это EB FE, бесконечный цикл). Запускай игру, делай дамп. Потом замени люли на настоящие байты. | Сообщение посчитали полезным: V0ldemAr, Dynamic, huckfuck |
|
|
Создано: 18 мая 2012 11:45 · Личное сообщение · #26 |
|
|
Создано: 18 мая 2012 12:03 · Поправил: Starforce Developer · Личное сообщение · #27 В ANSI (1251) искал. Точно в этом вся и проблема. Попробовал в юникоде, и правда нашлось DOLBOEP. Всё, теперь я буду снимать все дампы. Спасибо за помощь. ЗЫ обнаружил интересную вещь. Когда правите байты, важно не удалить или не затереть символы переноса строки, потому что игра может не запуститься. ЗЗЫ вот это я идиот, я искал ОЕП в блокноте В notepad++ же гораздо удобнее. Всем советую. |
|
|
Создано: 18 мая 2012 13:09 · Личное сообщение · #28 Вот вам делать-то нефиг
|
|
|
Создано: 18 мая 2012 13:43 · Личное сообщение · #29 тема скатывается по флейм, завязываем 
----- [nice coder and reverser] |
|
|
Создано: 18 мая 2012 14:14 · Личное сообщение · #30 Hellspawn пишет: тема скатывается по флейм, завязываем Не совсем так,её скатывают туда специально зарегавшиеся тролли и провокаторы. Я не буду комментировать бред малолетних дегенератов типа Starforce Developer, а скажу что SF Basic действительно реально распаковать и у меня почти получился рабочий exe-шник (сейчас он доходит до меню игры и вылетает,но уже большой прогресс). Для тех кто пришел сюда не срать,а набираться знаний скажу основные нюансы распаковки: 1.Нужно правильно определить ОЕР (см. выше) 2. Для остановки защищенной программы нужно использовать Hardware Breakpoint (другие не срабатывают) 3. Некоторые функции на АСМе очень похожи и их легко спутать.Я с трудом нашел ошибку когда подставил вместо WideToMultybyteChar функцию GetCPInfo 4. На секции sforce3 нужно ставить разрешение записи (первый байт не 6, а Е) |
|
|
Создано: 18 мая 2012 15:52 · Личное сообщение · #31 Svinovod пишет: А когда она запущена,то что не распакована в памяти? Чем пальцы гнуть,написали бы в чем разница да и всё daFix пишет: Снимать дамп надо стоя на OEP, пока не прошла инициализация служебных структур проги. Проще говоря в екшнике содержится DATA-секция куда пишется нужные для работы файла данные и дамп надо снимать до его инициализации(записи в него) Starforce Developer Мы знаем ваш настоящий ник 
----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
| << . 1 . 2 . 3 . >> |
|
eXeL@B —› Крэки, обсуждения —› анпакинг старки 4 |
Для печати