Что-то навеяло поиграть в старую игрушку Re-Volt.
Начал искать в нете кряки - были только готовые версии, меня не устроил их размер.
Ну и после этого началось исследование защиты SafeDisc.

Как выяснилось после эта защита (простите за выр-е) срет где-то, я полностью чищу как реестр, так и TEMP файлы, но даже после полной зачистки параметр в игре не изменяется(кол-во оставшихся дней).
Читал эту темку: http://exelab.ru/f/action=vthread&forum=2&topic=15237, но что-то байты по тому адресу сыкотно менять(посмотрел у меня по адресу 4000 41FF, судя по показаниям WinHex лежат 2 нулевых байта).

Также взялся за мануалы и начал сам реверсить защиту.
Допёр до IsDebuggerPresent и магическую проверку eax на 10000, программу в отладчике запустил, сдампил - дамп оказался неработоспособным.
Читал, что IAT таблица там запорота, но восстановить её увы не удалось.

Возможно кто-то что подскажет по поводу этой защиты ? Кстати в первый раз такую встречаю.
Выкладываю файлы(свои исследования): http://www.sendspace.com/file/ykhb9y
Основные комментарии содержит скрипт Ольки a.osc.

Упаковано: SafeDisc 2.20.020 -> Macrovision [Overlay]

| Сообщение посчитали полезным:

www.sendspace.com/file/hr3ywz
Перезалил скрипт Ольки, т.к добавились некоторые описания.
Сорри, если темку не там запостил, просто парюсь 4-й день подряд

| Сообщение посчитали полезным:

Chococream пишет:
Возможно кто-то что подскажет по поводу этой защиты ?
На --> tuts4you <-- есть опенсурсный распаковщик safecast, посмотри исходники, вдруг помогут...

| Сообщение посчитали полезным:

Chococream, бери мой перевод статьи mr_magico про вторую версию протектора из раздела RAR-статей и кури её до посинения. Там нет ничего сложного.

Что там за хрень на французском при запуске? Она вообще запускается?

-----
the Power of Reversing team

| Сообщение посчитали полезным:

Vovan666
Спасибо - буду смотреть, о результатах отпишусь.

DillerInc
На французском - это видимо интерфейс такой(для регистрации программы), он запускается, но нужно из папки по-моему убрать два файла, которые начинаются на cd**.
Статейку - обязательно прочту.

| Сообщение посчитали полезным:

Дамп программы сделал, таблицу импорта поправил(хоть и через попу), запускаю значит: вылетают исключения(в Ольке при этом стоит галочка не реагировать на искл.) - в итоге файл не запускается.

По сути EP выглядит так:
call decrypt
cmp eax, 0
je good

good:
jmp oep
А вызов интерфейса из user32, значит и копать надо в фейсе, запутался короче.
Я тут немного revolt.exe пореверсил и выяснил, что запуск французского интерфейса производится из user32.dll модуля. Сам интерфейс я из темп папки выловил, но что-то значимое из него пока что не вытащил.
По статьям(если отладчик спрятан) должен сработать BP перед прыжком на OEP, у меня же дело до этого не доходит(объяснение - выше).

Также прилагаю тот бред, который создал revolt.exe: http://www.sendspace.com/file/2bhi7r
Особый интерес вызывают: ~df394b.tmp и ~de5fa3.tmp.
В регистре глянул значение времени, но манипулировать - не удалось, видимо стоит хитрая проверка.

После манипуляции с временем при запуске появляется вот такой фэйс:
(0 - означает сколько дней осталось до окончания триала, он составляет 4 дня.
Выбор опции Jouer не доступен, это означает "Играть",
второй же выбор ведёт к опции ввода ключа(см. второй скрин)).


Помимо всего в фэйсе имеется проверка ключа(ставил разные BP на api - не удавалось выловить):


| Сообщение посчитали полезным:

Chococream
загрузи свой дамп в оллю и посмотрю что да как. трудно сказать в чём ты ошибся, но не имея базовых знаний ассемблера у тебя врядли что-то получиться. иди на wasm.ru там статьи для новичков есть тебе хватит. хочу заметить что импорт погажен будет в safedisk'e так же возможно есть SDAPI.

| Сообщение посчитали полезным:

ThugboyZ
Можно у вас спросить: с чего вы взяли, что я не имею представление об ассемблере ?
Я просто не понимаю конкретной ситуации на примере данной защиты.
В своём первом сообщении я упоминал, что такую вижу в первый раз и в туторах новичков я не нуждаюсь.
Поманипулирую на днях с дампом - мб отпишу.

| Сообщение посчитали полезным:

я конечно понимаю писать вопросы по новому секурому или стару, но про сейф диск...он же умер, к каждой его версии (1, 2, 3, 4) имеются туторы по анпаку, даже есть лодырь начиная с 2.8+ версии от релоадед, для запуска приложения диск соответственно не нужен (если не знаешь где взять могу выложить).

| Сообщение посчитали полезным:

Если тебе интересна ситуация, то давай перенесём её обсуждение в ЛС.
Лоадер - здесь вообще не к месту(имеется в виду - он тут не нужен).

| Сообщение посчитали полезным:

ThugboyZ, хорош тут мериться тем, чего нет на самом деле.

Chococream, прикладываю небольшую подсказку в архиве. Это мой неполный лог восстановления и IAT из ImpRec'а.
Почему неполный? Потому что в этой так называемой "второй" версии есть т.н. SDAPI первой версии и наномиты. Последние включают в себя не только команды int3. На OEP можно увидеть команду ud2 сразу под вызовом winapi GetVersion. Иными словами, те команды, которые вызовут исключения при их выполнении, и управление будет передано отладчику.
А процедура SDAPI начинается по VA 004044D9h.
Почему неполный снова? Потому что более стабильная версия распаковщика не дописана, и у меня нет времени этим сейчас заниматься. А старая версия корява и не работает в данном случае.

В добавок даю ссылку на статью от ARTeam, где как раз разбирается этот Boonty Safecast:
tutorials.accessroot.com/arteam/site/download.php?view.213
Пробуй отломать триал, тогда может и посмотрим насчёт самого файла.

b3fb_24.06.2010_CRACKLAB.rU.tgz - unsd.rar

-----
the Power of Reversing team

| Сообщение посчитали полезным: