Как известно, многие крэк-группы не хотят делиться туториалами по снятию той или иной защиты, и сидят на закрытых IRC каналах... Нашел тутор по снятию SafeDisc 3.xx. Вещь довольно интересная, только вот я не силен в немецком... Напишите хоть что-нибудь.

4ace_CIP _ Tutorial Manual unpack NFSU2 (Safedisc v3_xx).rar

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

Столкнулся с такой проблемой при распаковке NFSMW 1.2 (версия SD - 4.60.00.1702 от 30.08.2005... :s2 при запуске дампа...
Размер сдампленного тела меньше оригинального. Исскуственно довожу размер до нормального (это нуна что бы винда выделяла нужный объем памяти).

Стоя на ОЕР после выхода из SD, наблюдаю такое...:

Memory map
Address Size Owner Section

00400000 00001000 speed
00401000 0048E000 speed .text
0088F000 0005A000 speed .rdata
008E9000 000DD000 speed .data
009C6000 00071000 speed .rsrc
00A37000 00041000 speed
00A78000 00003000 speed stxt774
00A7B000 00004000 speed stxt371
00A80000 00001000 D3DX9_26
00A81000 00207000 D3DX9_26 .text
00C88000 00031000 D3DX9_26 .data
00CB9000 00001000 D3DX9_26 .rsrc
00CBA000 00010000 D3DX9_26 .reloc
00CD0000 00103000
00DE0000 00104000
010E0000 00001000
010F0000 00004000
01100000 00003000
01110000 00001000
01190000 00004000
011A0000 00002000
011B0000 00002000
011F0000 00002000
019A0000 00002000
========================================
дальше идут системные dll


Но как только восстанавливаю импорт, получаю вот такую картину....:

Memory map
Address Size Owner Section

00400000 00001000 speed
00401000 0048E000 speed .text
0088F000 0005A000 speed .rdata
008E9000 000DD000 speed .data
009C6000 00071000 speed .rsrc
00A37000 00041000 speed
00A78000 00003000 speed stxt774
00A7B000 00004000 speed stxt371
00A7F000 00002000 speed .mackt
00A90000 00001000 d3dx9_26
00A91000 00207000 d3dx9_26 .text
00C98000 00031000 d3dx9_26 .data
00CC9000 00001000 d3dx9_26 .rsrc
00CCA000 00010000 d3dx9_26 .reloc
00CE0000 00008000
00DA0000 00002000
00DB0000 00103000
00EC0000 00104000
011C0000 00004000
011D0000 00002000
01210000 00002000 ==
========================================
дальше идут системные dll

Короче - HELP ME!!! хто нибудь

| Сообщение посчитали полезным:

s0cpy
А можно для непонятливых - в чём проблема-то?
И зачем искусственно доводить размер до нормального?Там что-ли имеются проверки целостности файла?

-----
the Power of Reversing team

| Сообщение посчитали полезным:

DillerInc
А можно для непонятливых - в чём проблема-то?
щас точно не помню с какого адреса, вызывается HeapAlloc. В оригинале адрес начала этой кучи = 014D0000.
В распакованном варианте адрес == 011E0000 кажется...
вот и получаем Access Violation...

| Сообщение посчитали полезным:

s0cpy
У меня есть некоторое подозрение,что адреса типа 014D0000 слегка смахивают на адреса куч,выделенных под нужды протектора.Следовательно вопрос,если у тебя падает полученный дамп,то всё ли ты восстановил?

P.S. Чувствую,надо будет достать этот NFSMW,чтобы посмотреть,что там.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

перед вызовом HeapAlloc обращений к протектору замечено не было...
хотя - х.з.
завтра попробую демку распаковать, мож там по-легче будет...

| Сообщение посчитали полезным:

s0cpy На демки нету SD

| Сообщение посчитали полезным:

Z0oMiK или кто-нть, у кого есть...
выложите плиз экзешник от демки куда-нть....

| Сообщение посчитали полезным:

s0cpy PEiD v0.94 говорит Microsoft Visual C++ 5.0
_hxxp://webfile.ru/704139

Имя файла - speedDemo.zip , размер 2513 Кбайт. Файлу присвоен номер 704139, он будет доступен до 28.12.2005 01:31.

| Сообщение посчитали полезным:

s0cpy, ну как Твои успехи? Я типа в болельщиках у Тебя

| Сообщение посчитали полезным:

Мдаааа!!!! sd не вскыть. n-f-s-m-w давно починил. тока не надо dump делать и import чинить. Посмотри игру V-A-M-P-I-R-E.N-F-S s0cpy ТАМ ExtraDat.~df394b.TMP-ЧИНИ-В s_p_eed.exe

| Сообщение посчитали полезным:

checkuroff
Первое предупреждение. Уважай собеседников.

checkuroff пишет:
n-f-s-m-w давно починил
Здесь никого не интересует сама игра и даже её "починка".
Победить ~df394b.tmp, а точнее одну экспортированную функцию с именем "Ox12121212" действительно не так сложно.
И можно даже обратно закриптовать после имиджа исправленные файлики.
Но напомню в очередной раз, цель исследования - полное снятие протектора.
В случае с NFSMW, это дело затрудняется VM (сам не проверял пока).

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

del

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log
Создал бы отдельный топик про Securom,а то что растекаться мыслью по древу .
А вообще седьмой Securom я ещё не смотрел,но,судя по четвёртой и пятой версиям,создаётся впечатление,что этому Securom'у вообще по барабану до всяких отладчиков.

P.S. Кстати а брейкпоинт на функцию CreateEventA??

-----
the Power of Reversing team

| Сообщение посчитали полезным:

del

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
т.е запустить игру с эмулятором и отладчиком вместе не получается
У меня те же грабли. Однако для снятия протектора можно решить проблему так.
Снести Demon tools, поставить Alcohol 120%, настроить на максимум.
После этого NFSMW 1.2 будет запускаться "периодически".
Там такая хрень, для усложнения жизни реверсёрам события проверки блэк листа и наличия диска происходят по разным сценариям. У меня на диске с игрой есть SD4hide он чистит известные ему значения из реестра те что в блэк листе протектора.
Но есть и другие. Так вот если в Алкоголе выгрузить и загрузить образ в виртуальный привод, то с вероятностью в 30-50% игра примет этот диск (я ещё в устройствах реальные DVD отключаю).
Иными словами через раз, через два игра всё таки запускается.
Так что можно даже без исследования довольно муторной части протектора отлаживать в SoftIce и распаковывать этот DVD c NFSMW.

Error_Log пишет:
Трейсить в ОЛЕ тоже низя - обматерит.
Думаю, победить это будет совсем не трудно.

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

Bitfry, Error_Log
по поводу запуска NFSMWс виртуальника...:
у меня прокатывает связка DT 3.47 + так называемый Protection Killer Pack v1.2
если кому что нуна, выложу куда-нть...

| Сообщение посчитали полезным:

кстати для NFS MW появился НоСД. все работает отлично
_http://www.gameburnworld.com/dl/dl.php?file=NeedForSpeedMostWantedv1. 3NoCDFixedexeEng.rar

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom Да это все понятно а вот как ручками снять ?

| Сообщение посчитали полезным:

Z0oMiK пишет:
Да это все понятно а вот как ручками снять ?
А там надо эмулить эти api. Как будет время позырю.

| Сообщение посчитали полезным:

кто-нибудь может поделиться материалом по востановлению импорта в SD? а то ручками долго и нудно!!!

| Сообщение посчитали полезным:

никто тутор по распаковке NFSMW написать не хочет? по-моему было бы более чем полезно и интересно... я бы написал, но не до конца осилил

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

Чтобы лишний раз не говорили,что распаковка -- это сплошной приват,выкладываю свою статью на паблик.

1bd1_20.05.2007_CRACKLAB.rU.tgz - SDAPI2.rar

-----
the Power of Reversing team

| Сообщение посчитали полезным: