Уж извините за форму написания ведь он почти первый (че-то я в последнее время расщедрился)

Мини тутор по снятию триал-защиты с игр от Alawar`a

Инструмент: Shadow with bpmx да голова
Кролик : Игра "Разгадай код Да Винчи"

Как обычно приобрел очередной ComputerBild и на диске прилагаемом к нему нашлась игруха от алавара
"Разгадай Код Да Винчи". На все про все наиграться мне отвели 30 минут а игруха класная новый вариант
Lines.Поскольку я никогда не смотрю что мне нужно оттдать за то чтобы вдоволь насладится очередным
программным продуктом пришлось на время отложить работу и взятся за сей продукт.
При первом рассмотрении PEid нашел Aspr.Периодически лазить в реестр и что нибудь там чистить это не по мне.
Не долго думая обработал поделку stripper`ом.Получилось.Причем stripper сказал что триал инфы
не используются. Уже интересно ДА.
Однако продукт после распаковки запускаться не захотел и улетал в несуществующие адреса.
Как же так несправедливо получается уже потрачено 5 минут драгоценного времени впустую 8-( не отступать
рано продолжим. Загрузил дамп в shadow и своим трейсером дошел до места где вызываются не существующие адреса.
Выглядело это место примерно так call dword [4383a8] где по этому адресу лежало 00401440 естественно указывающее
вникуда. Беда но зачем же отступать. Я рассудил так раз такой call есть значит что-то не до конца обработало
дамп не доведя до ума т.е. при распаковке процедуры приведения проги до нормального вида не включались
а сидели в апи аспра т.е. где то же они есть.Поиском всех референсов на адрес 004383а8 нашлась интересное
место:

1 PUSH da_vinci.0040E36D ; /Arg5 = 0040E36D
2 PUSH DWORD PTR DS:[428F44] ; |Arg4 = 00000000
3 PUSH da_vinci.0042839C ; |Arg3 = 0042839C
4 PUSH da_vinci.004210DC ; |Arg2 = 004210DC ASCII "GetLocaleInfoW"
5 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
6 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
7 JMP DWORD PTR DS:[42839C] ; da_vinci.0040D9F0
8 PUSH da_vinci.0040E24E ; /Arg5 = 0040E24E
9 PUSH DWORD PTR DS:[428F40] ; |Arg4 = 00000000
10 PUSH da_vinci.004283A8<---вот он адресок ; |Arg3 = 004283A8
11 PUSH da_vinci.004210EC а это то что должно быть --> ; |Arg2 = 004210EC ASCII "GetProcAddress"
12 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
13 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
14 JMP DWORD PTR DS:[4283A8]
15 PUSH da_vinci.0040E2AA ; /Arg5 = 0040E2AA
16 PUSH DWORD PTR DS:[428F3C] ; |Arg4 = 00000000
17 PUSH da_vinci.004283B8 ; |Arg3 = 004283B8
18 PUSH da_vinci.004210FC ; |Arg2 = 004210FC ASCII "LoadLibraryW"
19 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
20 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
21 JMP DWORD PTR DS:[4283B8] ; da_vinci.0040DA3A

Осмыслив данный кусок кода начинаю понимать что это то что надо однако ни одного референса на 1 строку
решаю рискнуть выставляю оер на строку 8 и жму F8 до 14 строки и о радость по адресу 4383a8 цифирки
меняются на почти (внимательно) валидные адреса.


1 PUSH da_vinci.0040E36D ; /Arg5 = 0040E36D
2 PUSH DWORD PTR DS:[428F44] ; |Arg4 = 00000000
3 PUSH da_vinci.0042839C ; |Arg3 = 0042839C
4 PUSH da_vinci.004210DC ; |Arg2 = 004210DC ASCII "GetLocaleInfoW"
5 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
6 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
7 JMP DWORD PTR DS:[42839C] ; unicows.GetLocaleInfoW
8 PUSH da_vinci.0040E24E ; /Arg5 = 0040E24E
9 PUSH DWORD PTR DS:[428F40] ; |Arg4 = 00000000
10 PUSH da_vinci.004283A8 ; |Arg3 = 004283A8
11 PUSH da_vinci.004210EC ; |Arg2 = 004210EC ASCII "GetProcAddress"
12 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
13 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
14 JMP DWORD PTR DS:[4283A8] <-видите куда теперь он указывает ; unicows.GetProcAddress

И так если использовать данную процедуру (их кстати 2 не небольшом расстоянии друг от друга
и дальше (естественно пропуская jmp`ы) можно полностью раскодировать импорт, он там небольшой
около 20 имен функций.Но вот зараза если внимательно приглядеться то можно заметить что GetProcAddress
находится не во всеми любимом kernel32.dll а в какои то херне под названием unicows.dll (Кстати
это микрософтовская библиотека я так не хера и не понял зачем она нужна.Плюс с ней программа не пожелала
запускаться. Чтож отступать поздно потрачено уже около 25 минут.Думаю дальше. Далее найдется
до фига желающих меня обласкать за то что я пошел обходным путем однако ничего не попишешь в тот
момент ко мне пришла такая идея. Я взял да подставил в эту микротаблицу импорта правильные адреса
всех фунции т.е. теперь по адресу 4283a8 лежал указатель не на unicows.GetProcAddress а на
kernel32.GetProcAddress.
Все прекрасно прога запустилась но функции триала остались. Думаю дальше ведь времени уже потрачено
около 40 минут.
Анализ данного импорта показал что wrapper юзает функции в том числе CreateFile и CreateProcess,
WriteProcessMemory т.е. по сути wrapper создает отдельный файл и потом его контролирует.
Что ж ставим бряки на эти функции и отпускаем прогу нажимаем в ней продолжать играть и вываливаемся
на создании файла game32.img.(нужно только поменять атрибуты для файла на Normal) Все вроде бы готово.
Уф.Глушим прогу Переименовываем его в game32.exe и пытаемся запустить и...... ОБЛОМ. Прога не
запускается. Думаю дальше. Посмотрим на oep (game32.exe) и видим что не все так просто просто там ничего
нет. Загружаем в олю родителя оставляем бряки на старом месте.СТАРТ. Проходим как описано выше до создания
дочки (game32....) жмем еще раз f9 и вываливаемся на бряке WriteProcessMemory первый пропускаем он просто
записывает дочку а вот когда прогавалится еще раз смотрим что же она пишет и о боги видим что в наш
game32... на место оер записывается 6 байт посмотрев в буфер запоминаем их а затем подправляем наш
game32.exe. все игра заработала..Облегчение.....

P.S. Я не знаю сколько продержится эта защита после опубликования данного минитутора пользуйтесь пока.

| Сообщение посчитали полезным:

Ломаются эти игры на ура... кстати... Алаваровци сами себя перехитрили... там все элементарно...
Даже распаковывать ничего не нужно...

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

centner пишет:
Вот вам еще один анвраппер!

толку то,он не берёт Sword Land
По сути клон PE-Kill-овского очевидно,а вот опция "найти серийник" это вообще по ходу развод для ламеров.
Серийник не может быть зашит в файл,там "black list" есть-но я скорее в инопланетян поверю,чем в то что кому нибудь удасться разбанить серийник из чёрного списка
Тем более аффтар (Mysterio) тусуется на Кряклабе и значит он мог получить инфу о защите сразу после обнародования.

| Сообщение посчитали полезным:

DaRKSiDE пишет:
Ломаются эти игры на ура... кстати... Алаваровци сами себя перехитрили... там все элементарно...
Даже распаковывать ничего не нужно...
ближе к делу... запарили уже флудерасты! или может быть у вас есть готовый унпакер для download???
что-то я сомневаюсь

| Сообщение посчитали полезным:

Sergey Lossev
а вот опция "найти серийник" это вообще по ходу развод для ламеров

у меня нашелся серийник от всех игр серии Bear's Adventures

| Сообщение посчитали полезным:

Бетка анвраппера готова, предлагаю потестить:

download.yousendit.com/C3A986B31EF729DA

| Сообщение посчитали полезным:

Бетка анвраппера готова, предлагаю потестить:

download.yousendit.com/C3A986B31EF729DA

| Сообщение посчитали полезным:

centner пишет:
у меня нашелся серийник от всех игр серии Bear's Adventures
тогда беру свои слова обратно

| Сообщение посчитали полезным:

Sergey Lossev пишет:
опция "найти серийник" это вообще по ходу развод для ламеров.

Протев!

Хотя я и не спрашивал у него как она работает, но раньше она на немалом числ игр работала

-----
Люблю повеселиться, особенно пожрать

| Сообщение посчитали полезным:

NEOPEX пишет:
но раньше она на немалом числ игр работала
значит защита совсем стала плохая,раз ключи в открытом виде они постят

| Сообщение посчитали полезным:

Sergey Lossev

запарили уже флудерасты
За базаром следи! Недоделок!

Ларчик просто открывается, если сам хоть раз ломал эти игры!
Там все в ресурсах спрятано, и серийник и рабочий ехе-шник...
Дампишь прогу с ОЕР и открываешь в Рестораторе, выдераешь из ресурсов ехе-шник,
стоя на ОЕР ставишь бряк на WriteProcessMemory и ловишь 5-6 байт которые патчаться в тело game32.exe
Эти байты указывают на истинный ОЕР (обычно это команды PUSH XXXX и RET)
XXXX минус имеджбаза = смещение ОЕР редактируещь в любом РЕ-редакторе
Все!
Скажи спасибо BoOMBoX/TSRh что он облегчает жизнь леньтяем вроде тебя!

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

Sergey Lossev пишет:
ем более аффтар (Mysterio) тусуется на Кряклабе и значит он мог получить инфу о защите сразу после обнародования
Нах автору узнавать у когото защиту проги которую он написал.

Sergey Lossev пишет:
Значит защита совсем стала плохая,раз ключи в открытом виде они постят

// выражайся культурнее, не то тоже пойдешь в бан
// PE_Kill

| Сообщение посчитали полезным:

Я тут приболел немного. Анвраппер я апдэйтил. Ничего там не надо хучить, как всегда работа с ресурсами. Просто теперь надо файл запустить и сдампить и всё. Теперь анвраппер и серийники достает. Скоро выложу...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

// забанен на неделю за оскарбления участников форума
// PE_Kill

| Сообщение посчитали полезным:

Немного оффтоп, но топиков про игры Алавара несколько и в них постноянно разные чернобыли и предаторы начинают обсирать людей. Они зомбируются чтоли этими играми?

| Сообщение посчитали полезным:

Вот мой анвраппер...
_http://www.revenge-crew.com/page=download-file&file_id=2004

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

doci.nnm.ru/doc_serfar_/14.11.2006/alawar_games_unwrapper_11/
буогого, уже в гавномассы просочилось...

| Сообщение посчитали полезным:

Гы...
оперативно работают...

2 PE_Kill:
Респект!
Классно работает!

-----
AutoIt

| Сообщение посчитали полезным:

Слушайте, я никак не пойму - зачем Вам вообще ломать игры от Альвара? Реально, это все есть на нескольких других сайтах, к которым есть и кейгены и патчеры и распаковщики...
Что есть на Альваре, чего нет нигде ? Ни че го...

Зато есть конкретные злые игропорталы, на которых до фи га классных игр, и которых заметьте, нет в других местах. Вот к ним бы Унврапперы сделать коллективно... Ну давайте, я еще раз обозначу -

1. SoftWrap v2-v6 (а лучше бы универсальный)
2. Wild Tangent
3. Aktive Mark

Извините за оффтоп...

ЗЫ - Сам сделать не могу - не тот уровень знаний .

| Сообщение посчитали полезным:

Soft_Ice пишет:
Зато есть конкретные злые игропорталы, на которых до фи га классных игр, и которых заметьте, нет в других местах. Вот к ним бы Унврапперы сделать коллективно... Ну давайте, я еще раз обозначу -

Какой же вы всё таки настырный молодой человек

| Сообщение посчитали полезным:

Ну почему настырный, я поддержываю.
Причем алавар и так распаковывался на ура и при помоши первого анврапера от Pe_Kill.
за что Pe_Kill огромное спасибо.
а перестали расспаковыватся от того,что алавар тож читает топики.Вот и впихнули в гаме1 (2 байтика), а в гаме2 весь ехе.
ну д ладно ет я так ...к слову.

| Сообщение посчитали полезным:

centner пишет:
Вот вам еще один анвраппер!

c08e_12.11.2006_CRACKLAB.rU.tgz - Alawar_Games_Universal_Patcher.Zip
Да старый он совсем и тем более с этого же форума
Вот малость посвежее
alawar.unwrapper.0.1.beta.tool-tsrh.zip
h**p://www.yourfilelink.com/get.php?fid=214471

| Сообщение посчитали полезным:

PE_Kill Отличный Unwrapper Риспекть все работает сообственно Nitrogen хотел писать такой же однако он ленивый

| Сообщение посчитали полезным:

Soft_Ice пишет:
Слушайте, я никак не пойму - зачем Вам вообще ломать игры от Альвара?
Мне пох, я в игры вообще не играю, просто новая защита, которую интересно снять.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Мне пох, я в игры вообще не играю, просто новая защита, которую интересно снять.

Аналогично

| Сообщение посчитали полезным:

Dunkan_Cracking_Team пишет:
Какой же вы всё таки настырный молодой человек

Да не молодой я уже давно, некоторых зубов нет опять же

Нужен распаковщик Safe Disk выше версии 2.6
Интересен распаковщик Tages
Опять же Старфорс...

Сейчас предложат машинку для закатки

| Сообщение посчитали полезным:

ЗЫ - У меня периодически накапливаются игры с разными "упрямыми" защитами.

Если хотите - я могу создать темку и выкладывать ссылки и обзоры. Ессно - интересно получить крек на то, что лежит долго...

Вот пример - есть один игросайт. Я создал патч ко всем играм с этого сайта. Все ломается тривиально.

Однако одна игра, после взлома, хотя и пишет , что зарегена, но через минуту-другую игропроцесса убирается яркость - игровое поле становится синим и в конце черным.
А курсор - приобретает вид картинки (маленькой) - на которой каторжник в полоску сидит за решеткой !


Лично я ничего с этой фигней сделать не смог...

| Сообщение посчитали полезным:

Soft_Ice пишет:
А курсор - приобретает вид картинки (маленькой) - на которой каторжник в полоску сидит за решеткой !

Программеры с юмором....

| Сообщение посчитали полезным:

Soft_Ice
ну вот ты пишешь такие симптомы и после этого у тебя поворачивается язык говорить:
Я создал патч ко всем играм с этого сайта. Все ломается тривиально

где ж тривиально-то?..

| Сообщение посчитали полезным:

ПЕ_КИЛЛ у тебя не воркает во врапере серийник, потестенно на шахматах, только распаковка..
а вообще гавнотема, своих ломать - пиздец докатились..

| Сообщение посчитали полезным:

Soft_Ice

чё за юморная игра такая ? можно лицезреть линк ?

-----
~ the Power Of Reversing team ~

| Сообщение посчитали полезным: