Сейчас на форуме: vsv1, NIKOLA, r0lka, johnniewalker (+3 невидимых)

 eXeL@B —› Крэки, обсуждения —› Взлом Alawar игр (отучим от триала)
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 15 . 16 . >>
Посл.ответ Сообщение

Ранг: 330.4 (мудрец), 334thx
Активность: 0.160.17
Статус: Участник
ILSpector Team

Создано: 28 сентября 2006 04:20
· Личное сообщение · #1

Уж извините за форму написания ведь он почти первый (че-то я в последнее время расщедрился)

Мини тутор по снятию триал-защиты с игр от Alawar`a

Инструмент: Shadow with bpmx да голова
Кролик : Игра "Разгадай код Да Винчи"

Как обычно приобрел очередной ComputerBild и на диске прилагаемом к нему нашлась игруха от алавара
"Разгадай Код Да Винчи". На все про все наиграться мне отвели 30 минут а игруха класная новый вариант
Lines.Поскольку я никогда не смотрю что мне нужно оттдать за то чтобы вдоволь насладится очередным
программным продуктом пришлось на время отложить работу и взятся за сей продукт.
При первом рассмотрении PEid нашел Aspr.Периодически лазить в реестр и что нибудь там чистить это не по мне.
Не долго думая обработал поделку stripper`ом.Получилось.Причем stripper сказал что триал инфы
не используются. Уже интересно ДА.
Однако продукт после распаковки запускаться не захотел и улетал в несуществующие адреса.
Как же так несправедливо получается уже потрачено 5 минут драгоценного времени впустую 8-( не отступать
рано продолжим. Загрузил дамп в shadow и своим трейсером дошел до места где вызываются не существующие адреса.
Выглядело это место примерно так call dword [4383a8] где по этому адресу лежало 00401440 естественно указывающее
вникуда. Беда но зачем же отступать. Я рассудил так раз такой call есть значит что-то не до конца обработало
дамп не доведя до ума т.е. при распаковке процедуры приведения проги до нормального вида не включались
а сидели в апи аспра т.е. где то же они есть.Поиском всех референсов на адрес 004383а8 нашлась интересное
место:

1 PUSH da_vinci.0040E36D ; /Arg5 = 0040E36D
2 PUSH DWORD PTR DS:[428F44] ; |Arg4 = 00000000
3 PUSH da_vinci.0042839C ; |Arg3 = 0042839C
4 PUSH da_vinci.004210DC ; |Arg2 = 004210DC ASCII "GetLocaleInfoW"
5 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
6 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
7 JMP DWORD PTR DS:[42839C] ; da_vinci.0040D9F0
8 PUSH da_vinci.0040E24E ; /Arg5 = 0040E24E
9 PUSH DWORD PTR DS:[428F40] ; |Arg4 = 00000000
10 PUSH da_vinci.004283A8<---вот он адресок ; |Arg3 = 004283A8
11 PUSH da_vinci.004210EC а это то что должно быть --> ; |Arg2 = 004210EC ASCII "GetProcAddress"
12 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
13 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
14 JMP DWORD PTR DS:[4283A8]
15 PUSH da_vinci.0040E2AA ; /Arg5 = 0040E2AA
16 PUSH DWORD PTR DS:[428F3C] ; |Arg4 = 00000000
17 PUSH da_vinci.004283B8 ; |Arg3 = 004283B8
18 PUSH da_vinci.004210FC ; |Arg2 = 004210FC ASCII "LoadLibraryW"
19 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
20 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
21 JMP DWORD PTR DS:[4283B8] ; da_vinci.0040DA3A

Осмыслив данный кусок кода начинаю понимать что это то что надо однако ни одного референса на 1 строку
решаю рискнуть выставляю оер на строку 8 и жму F8 до 14 строки и о радость по адресу 4383a8 цифирки
меняются на почти (внимательно) валидные адреса.


1 PUSH da_vinci.0040E36D ; /Arg5 = 0040E36D
2 PUSH DWORD PTR DS:[428F44] ; |Arg4 = 00000000
3 PUSH da_vinci.0042839C ; |Arg3 = 0042839C
4 PUSH da_vinci.004210DC ; |Arg2 = 004210DC ASCII "GetLocaleInfoW"
5 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
6 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
7 JMP DWORD PTR DS:[42839C] ; unicows.GetLocaleInfoW
8 PUSH da_vinci.0040E24E ; /Arg5 = 0040E24E
9 PUSH DWORD PTR DS:[428F40] ; |Arg4 = 00000000
10 PUSH da_vinci.004283A8 ; |Arg3 = 004283A8
11 PUSH da_vinci.004210EC ; |Arg2 = 004210EC ASCII "GetProcAddress"
12 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
13 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
14 JMP DWORD PTR DS:[4283A8] <-видите куда теперь он указывает ; unicows.GetProcAddress

И так если использовать данную процедуру (их кстати 2 не небольшом расстоянии друг от друга
и дальше (естественно пропуская jmp`ы) можно полностью раскодировать импорт, он там небольшой
около 20 имен функций.Но вот зараза если внимательно приглядеться то можно заметить что GetProcAddress
находится не во всеми любимом kernel32.dll а в какои то херне под названием unicows.dll (Кстати
это микрософтовская библиотека я так не хера и не понял зачем она нужна.Плюс с ней программа не пожелала
запускаться. Чтож отступать поздно потрачено уже около 25 минут.Думаю дальше. Далее найдется
до фига желающих меня обласкать за то что я пошел обходным путем однако ничего не попишешь в тот
момент ко мне пришла такая идея. Я взял да подставил в эту микротаблицу импорта правильные адреса
всех фунции т.е. теперь по адресу 4283a8 лежал указатель не на unicows.GetProcAddress а на
kernel32.GetProcAddress.
Все прекрасно прога запустилась но функции триала остались. Думаю дальше ведь времени уже потрачено
около 40 минут.
Анализ данного импорта показал что wrapper юзает функции в том числе CreateFile и CreateProcess,
WriteProcessMemory т.е. по сути wrapper создает отдельный файл и потом его контролирует.
Что ж ставим бряки на эти функции и отпускаем прогу нажимаем в ней продолжать играть и вываливаемся
на создании файла game32.img.(нужно только поменять атрибуты для файла на Normal) Все вроде бы готово.
Уф.Глушим прогу Переименовываем его в game32.exe и пытаемся запустить и...... ОБЛОМ. Прога не
запускается. Думаю дальше. Посмотрим на oep (game32.exe) и видим что не все так просто просто там ничего
нет. Загружаем в олю родителя оставляем бряки на старом месте.СТАРТ. Проходим как описано выше до создания
дочки (game32....) жмем еще раз f9 и вываливаемся на бряке WriteProcessMemory первый пропускаем он просто
записывает дочку а вот когда прогавалится еще раз смотрим что же она пишет и о боги видим что в наш
game32... на место оер записывается 6 байт посмотрев в буфер запоминаем их а затем подправляем наш
game32.exe. все игра заработала..Облегчение.....

P.S. Я не знаю сколько продержится эта защита после опубликования данного минитутора пользуйтесь пока.




Ранг: 124.7 (ветеран)
Активность: 0.070
Статус: Участник

Создано: 28 сентября 2006 04:29
· Личное сообщение · #2

Medsft
боян, да и написано слишком сумбурно



Ранг: -12.6 (нарушитель)
Активность: 0.030
Статус: Участник

Создано: 28 сентября 2006 07:39
· Личное сообщение · #3

кг\ам
Уже тыщу раз было




Ранг: 111.0 (ветеран), 2thx
Активность: 0.090
Статус: Участник

Создано: 28 сентября 2006 08:07
· Личное сообщение · #4

Medsft не очень грамотно, а для полного ньюба в распаковке сложно будет наверное понять написанное.

-----
Ламер - не профессия :))




Ранг: 120.2 (ветеран), 8thx
Активность: 0.120
Статус: Участник

Создано: 28 сентября 2006 09:30 · Поправил: cadet
· Личное сообщение · #5

Medsft

Нормально, на статью не тянет, а для общего развития хорошо. Спасибо.



Ранг: 74.0 (постоянный)
Активность: 0.050
Статус: Участник

Создано: 28 сентября 2006 16:26
· Личное сообщение · #6

Я не понял -

1. Какой именно АСПР нашел PeID ? C этого надо начинать...

2. Это защита, где game.exe в ресурсах лежит ? Или новая фигня, где лоадер от Альвара запротекчен АСПРОМ 2 ? Если первое - так есть метода от Nitrogen (Pe Kill) - Сорри точно не помню автора.

3. Каким именно Stripper распаковывал? Иногда полезно пробовать все версии.
Вчера вручную распаковал то, что стрип не брал - где-то пару функций видимо неверно определял, пришлось дампить через Олли и Импрек с плагинами...




Ранг: 124.7 (ветеран)
Активность: 0.070
Статус: Участник

Создано: 28 сентября 2006 18:57
· Личное сообщение · #7

Soft_Ice
1. так скачай последную версию этой игры и глянь
2. метод от меня, а анврапер написал Pe_Kill




Ранг: 85.5 (постоянный), 16thx
Активность: 0.040.05
Статус: Участник

Создано: 29 сентября 2006 19:59
· Личное сообщение · #8

Soft_Ice пишет:
Это защита, где game.exe в ресурсах лежит ?

В этом случае там и ломать нечего - распаковка и правка точки входа




Ранг: 85.7 (постоянный)
Активность: 0.110
Статус: Участник

Создано: 30 сентября 2006 08:25
· Личное сообщение · #9

От алавара помойму был registrator.exe который был запротекчен аспром. Сообщения о зарегоности или незареганости хранились в ини файле. Вроде там было и кучка крипто.
Nitrogen пишет:
а анврапер написал Pe_Kill

он помойму к рефлексивовским играм анврапер написал или я чото недогоняю.

-----
Я фантомас, а ты гавно





Ранг: 124.7 (ветеран)
Активность: 0.070
Статус: Участник

Создано: 30 сентября 2006 18:53
· Личное сообщение · #10

Rid3r
ну если ты думаешь что он за свою жисть написал всего один анврапер, то наверно ты и прав ;)

p.s сон приснился - встреча в москве с краклабовцами (краклабовка). гы



Ранг: 330.4 (мудрец), 334thx
Активность: 0.160.17
Статус: Участник
ILSpector Team

Создано: 02 октября 2006 01:01
· Личное сообщение · #11

Спасибо за коммент. Не на каждую статью размещенную на кряклабе аж стока откликов.
RAMZEZzz пишет:
Это защита, где game.exe в ресурсах лежит ?
В этом случае там и ломать нечего - распаковка и правка точки входа


А я и неговорил что там есть что то сложное вот relax это ДА...




Ранг: 85.7 (постоянный)
Активность: 0.110
Статус: Участник

Создано: 02 октября 2006 02:02
· Личное сообщение · #12

Nitrogen пишет:
p.s сон приснился - встреча в москве с краклабовцами (краклабовка). гы

Ну видимо сон - это к людям в погонах
Nitrogen пишет:
ну если ты думаешь что он за свою жисть написал всего один анврапер, то наверно ты и прав ;)

хз. я сначало думал про регистратор с аспром. Там чтоли оказывается, что и на самой игре какаета фигня.

-----
Я фантомас, а ты гавно





Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 02 октября 2006 02:19
· Личное сообщение · #13

Они там вообще лохонулись. Повесили свой враппер, который с ресами работает а на него аспр. Но в аспре отключена опция Resource Protection ибо тогда их враппер сдохнет. Поэтому простой анализатор ресурсов и у нас статик анпакер. А то как автор в отладчике с двумя протами воевал просто ужас ИМХО...

-----
Yann Tiersen best and do not fuck




Ранг: -12.6 (нарушитель)
Активность: 0.030
Статус: Участник

Создано: 10 ноября 2006 07:06
· Личное сообщение · #14

Алаварщики снова сменили защиту.
Unwrapper уже не берёт вот эту игрулю:
www.alawar.ru/download/SwordLandRus.exe

Вылетает ошибка (см. аттач)

2589_10.11.2006_CRACKLAB.rU.tgz - alawar.JPG



Ранг: 116.1 (ветеран), 5thx
Активность: 0.060
Статус: Участник

Создано: 10 ноября 2006 11:09
· Личное сообщение · #15

Sergey Lossev пишет:
Алаварщики снова сменили защиту.
Unwrapper уже не берёт вот эту игрулю:


Конечно не берет, теперь там аспр



Ранг: -12.6 (нарушитель)
Активность: 0.030
Статус: Участник

Создано: 10 ноября 2006 11:10
· Личное сообщение · #16

BoOMBoX/TSRh пишет:
Конечно не берет, теперь там аспр

Аспр там уже лет 5 наверно



Ранг: 116.1 (ветеран), 5thx
Активность: 0.060
Статус: Участник

Создано: 10 ноября 2006 11:17 · Поправил: BoOMBoX
· Личное сообщение · #17

Мда, маленько не в тему я. просто глянул мельком.

Меня сбили с толку слова:

Алаварщики снова сменили защиту.



Ранг: 116.1 (ветеран), 5thx
Активность: 0.060
Статус: Участник

Создано: 10 ноября 2006 11:55
· Личное сообщение · #18

Кстати снимается по старому. Вытаскиваем из ресурсов, правим OEP



Ранг: -12.6 (нарушитель)
Активность: 0.030
Статус: Участник

Создано: 10 ноября 2006 12:27
· Личное сообщение · #19

А,ну так они версию Аспра заменили: был ососанный до костей 1.23 ,теперь уже: ASProtect 2.1x SKE -> Alexey Solodovnikov [Overlay]
stripper 2.13 распаковывает это добро где-то полторы минуты,получаем нерабочий дамп...
короче какая-то форумская крыса стуканула им про анпакер )



Ранг: 116.1 (ветеран), 5thx
Активность: 0.060
Статус: Участник

Создано: 10 ноября 2006 12:34
· Личное сообщение · #20

да реально новый написать, только, как я понимаю там не на всех играх такого плана защита




Ранг: 1288.1 (!!!!), 273thx
Активность: 1.290
Статус: Участник

Создано: 10 ноября 2006 12:36
· Личное сообщение · #21

Sergey Lossev пишет:
короче какая-то форумская крыса стуканула им про анпакер )

Бред какой-то. А то они сами читать не умеют.




Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 10 ноября 2006 20:23
· Личное сообщение · #22

Значит и от нас будет фикс

-----
Yann Tiersen best and do not fuck





Ранг: 793.4 (! !), 568thx
Активность: 0.740
Статус: Участник
Шаман

Создано: 10 ноября 2006 21:47
· Личное сообщение · #23

Короче всё, что поменялось, это теперь ресурсы пакуются, ну что же значит теперь анпакер будет динамический вот и всё

-----
Yann Tiersen best and do not fuck




Ранг: 116.1 (ветеран), 5thx
Активность: 0.060
Статус: Участник

Создано: 10 ноября 2006 23:56
· Личное сообщение · #24

PE_Kill пишет:
анпакер будет динамический вот и все


эт точно, проблем никаких....



Ранг: -12.6 (нарушитель)
Активность: 0.030
Статус: Участник

Создано: 11 ноября 2006 03:18
· Личное сообщение · #25

Ara пишет:
Бред какой-то. А то они сами читать не умеют.

Я думаю что они про ваш форум знать не знают... а вот по хранилищам серийников они
лазяют дай боже (уже проверено 100% )
BoOMBoX/TSRh пишет:
как я понимаю там не на всех играх такого плана защита

с течением времени они заменят её на всех играх (я так понял у них просто проблемы с лицензией
Солода)
PE_Kill пишет:
Короче всё, что поменялось, это теперь ресурсы пакуются

ну да.. там же сидят такие "крутые перцы"




Ранг: 124.7 (ветеран)
Активность: 0.070
Статус: Участник

Создано: 11 ноября 2006 04:24
· Личное сообщение · #26

эх, пока пол дня меня не было дома вы уже все обсосали, добавить нечего
PE_Kill
когда ждать



Ранг: -12.6 (нарушитель)
Активность: 0.030
Статус: Участник

Создано: 12 ноября 2006 00:32
· Личное сообщение · #27

Что касается "Братства Меча":
1. опишите плиз принцип работы этого анпакера (хотя бы "на пальцах")
2. если загрузить дамп в Olly то трейсит до: CALL 00412D9C и пишет что память нельзя
прочитать,т.к. там одни нули
нопить пробовал call, jump и т.д. (бесполезно)




Ранг: 233.1 (наставник), 30thx
Активность: 0.210
Статус: Участник

Создано: 12 ноября 2006 03:15
· Личное сообщение · #28

Насчёт новых Алаваров (аля Рамблер-Игры)
Типа вот попалась мне одна такая игрушка (загадки египта 1.02 ASProtect 2.1x SKE)
При запуске появляется скрытый системный файл game32.img
Как я понял это и есть распакованый EXE игры, но типа икобененый, чтоб не запускался....
Копируется спокойно прям во время игры, но тока вот не давался атрибуты себе менять. Я его Hex Workshop'ом открыл и по новой сохранил.
Так вот, сложно ли там чего менять не шарящему пользователю?
Я просто не шарю ни в дизассемблерах ни в отладчиках...
Если не затруднит разжуйте пошагово...
=)

-----
AutoIt





Ранг: 353.0 (мудрец)
Активность: 0.370
Статус: Участник
resreveR

Создано: 12 ноября 2006 04:41
· Личное сообщение · #29

OLEGator пишет:
game32.img

там еп указывает на нули, куда враппер вписывает переход вида push _correct_ep ret

-----
Тут не могла быть ваша реклама




Ранг: 78.8 (постоянный)
Активность: 0.050
Статус: Участник

Создано: 12 ноября 2006 08:41
· Личное сообщение · #30

Вот вам еще один анвраппер!

c08e_12.11.2006_CRACKLAB.rU.tgz - Alawar_Games_Universal_Patcher.Zip


. 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 15 . 16 . >>
 eXeL@B —› Крэки, обсуждения —› Взлом Alawar игр (отучим от триала)
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати