Сейчас на форуме: johnniewalker, NIKOLA (+6 невидимых)

 eXeL@B —› Крэки, обсуждения —› StarCraft: Remastered
Посл.ответ Сообщение

Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

 Создано: 16 августа 2017 12:49
· Личное сообщение · #1

https://eu.battle.net/shop/ru/product/starcraft-remastered
Кто нить уже качал-приобрел?
Привязка по баттл.нет??
Киньте, плс мин. рабочий набор



Ранг: 89.1 (постоянный), 134thx
Активность: 0.060.07
Статус: Участник

 Создано: 16 августа 2017 18:42
· Личное сообщение · #2

ELF_7719116 мангнит каталога с игрой http://mgnet.me/cOwl3qe (v1.20.0.2598)

| Сообщение посчитали полезным: ELF_7719116

Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

 Создано: 17 августа 2017 09:38
· Личное сообщение · #3

http://rgho.st/8HRhQDNCH
если кому тоже интересно покопаться, то это ссылка на min work set
сразу скажу, что в exe'шнике первым управление TLS получает:
Code:
  1. 004041E0    55              PUSH EBP
  2. 004041E1    8BEC            MOV EBP,ESP
  3. 004041E3    81EC 6C0D0000   SUB ESP,0D6C
  4. 004041E9    C785 14FFFFFF A MOV DWORD PTR SS:[EBP-0EC],238900AE
  5. 004041F3    F8              CLC
  6. 004041F4    86DB            XCHG BL,BL
  7. 004041F6    73 12           JAE SHORT 0040420A

который так заканчивается:
Code:
  1. virtualprotect - 00B3DB74
  2. ...
  3. 004056A7    8907            MOV DWORD PTR DS:[EDI],EAX (edi = 00B3DB74, eax = 009BEF50)
  4. ...
  5. 0040578E    FFD3            CALL EBX //virtualprotect обратно
  6. 00405790    5E              POP ESI
  7. 00405791    5B              POP EBX
  8. 00405792    5F              POP EDI
  9. 00405793    8BE5            MOV ESP,EBP
  10. 00405795    5D              POP EBP
  11. 00405796    C2 0C00         RETN 0C


из интересного
-CPUID:
Code:
  1. 0040461E    B8 01000000     MOV EAX,1
  2. 00404623    660FD685 44FFFF MOVQ QWORD PTR SS:[EBP-0BC],XMM0
  3. 0040462B    33C9            XOR ECX,ECX
  4. 0040462D    66:C785 4BFFFFF MOV WORD PTR SS:[EBP-0B5],0
  5. 00404636    53              PUSH EBX
  6. 00404637    0FA2            CPUID
  7. 00404639    8BF3            MOV ESI,EBX
  8. 0040463B    C685 4CFFFFFF 0 MOV BYTE PTR SS:[EBP-0B4],0
  9. 00404642    C685 4AFFFFFF 0 MOV BYTE PTR SS:[EBP-0B6],0
  10. 00404649    0F1185 C0FEFFFF MOVUPS DQWORD PTR SS:[EBP-140],XMM0
  11. 00404650    5B              POP EBX
  12. 00404651    8907            MOV DWORD PTR DS:[EDI],EAX
  13. 00404653    8977 04         MOV DWORD PTR DS:[EDI+4],ESI
  14. 00404656    894F 08         MOV DWORD PTR DS:[EDI+8],ECX
  15. 00404659    33C9            XOR ECX,ECX
  16. 0040465B    8957 0C         MOV DWORD PTR DS:[EDI+0C],EDX
  17. 0040465E    8B85 C8FEFFFF   MOV EAX,DWORD PTR SS:[EBP-138]
  18. 00404664    8985 40FFFFFF   MOV DWORD PTR SS:[EBP-0C0],EAX
  19. 0040466A    8B85 CCFEFFFF   MOV EAX,DWORD PTR SS:[EBP-134]
  20. 00404670    8985 3CFFFFFF   MOV DWORD PTR SS:[EBP-0C4],EAX
  21. 00404676    B8 07000000     MOV EAX,7
  22. 0040467B    53              PUSH EBX
  23. 0040467C    0FA2            CPUID
  24. 0040467E    8BF3            MOV ESI,EBX
  25. 00404680    5B              POP EBX
  26. с последующим раскидыванием байтов каждого регистра по стеку

-парсинг вручную таблиц импорта ntdll.dll и kernel32.dll

но по видимому, key нужен, в любом случае, чтобы расшифровать секцию кода полностью.



Ранг: 89.1 (постоянный), 134thx
Активность: 0.060.07
Статус: Участник

 Создано: 17 августа 2017 15:32
· Личное сообщение · #4

ELF_7719116
там народ придумал какой то способ запуска через покупку игры фейковой кредиткой, если надо могу скинуть описание



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

 Создано: 20 августа 2017 12:31
· Личное сообщение · #5

LinXP
Пока с кредитками не заморачивался.

По ексешнику:
Там два раза tls-callback. Первый, что выше - просто перезаписывает.
Второй чуть интересней:
Code:
  1. 00406B30    55              PUSH EBP                                 ; TLS callback function
  2. 00406B31    8BEC            MOV EBP,ESP
  3. ...
  4. 004075C2    3D 00100000     CMP EAX,1000 //парсинг PE.OptHeader.RelocationDirectoryRVA & ..Size
  5. 004075C7    0F86 B7010000   JBE 00407784
  6. 004075CD    83FF 40         CMP EDI,40
  7. 004075D0    0F82 BC000000   JB 00407692
  8. ...
  9. парсинг таблицы импорта ntdll на предмет AddVectoredExceptionHandler
  10. ...
  11. установка вектора
  12. 00408267    3801            CMP BYTE PTR DS:[ECX],AL //check ntdll
  13. 00408269    0F84 D2510100   JE 0041D441
  14.  
  15. 004082B8    50              PUSH EAX //где VEH = 0x04245C0    
  16. 004082B9    6A 01           PUSH 1
  17. 004082BB    FFD1            CALL ECX  ; ADD VEH - AddVectoredExceptionHandler
  18. 004082BD    8945 B4         MOV DWORD PTR SS:[EBP-4C],EAX
  19. 004082C0    85C0            TEST EAX,EAX
  20. 004082C2    0F84 79510100   JE 0041D441
  21. ...
  22. 004083E4    C605 F861FA00 0 MOV BYTE PTR DS:[0FA61F8],1
  23. 004083EB    F4              HLT                                      ; Privileged instruction -- срабатывание вектора
  24. ...
  25. побываем ещё тут после
  26. 004057D0    55              PUSH EBP
  27. 004057D1    8BEC            MOV EBP,ESP
  28. 004057D3    8A42 01         MOV AL,BYTE PTR DS:[EDX+1]
  29. 004057D6    8B55 08         MOV EDX,DWORD PTR SS:[EBP+8]
  30. 004057D9    3242 02         XOR AL,BYTE PTR DS:[EDX+2]
  31. 004057DC    8B55 0C         MOV EDX,DWORD PTR SS:[EBP+0C]
  32. 004057DF    3242 03         XOR AL,BYTE PTR DS:[EDX+3]
  33. 004057E2    3201            XOR AL,BYTE PTR DS:[ECX]
  34. 004057E4    5D              POP EBP
  35. 004057E5    C2 0800         RETN 8
 eXeL@B —› Крэки, обсуждения —› StarCraft: Remastered
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати