Уж извините за форму написания ведь он почти первый (че-то я в последнее время расщедрился)

Мини тутор по снятию триал-защиты с игр от Alawar`a

Инструмент: Shadow with bpmx да голова
Кролик : Игра "Разгадай код Да Винчи"

Как обычно приобрел очередной ComputerBild и на диске прилагаемом к нему нашлась игруха от алавара
"Разгадай Код Да Винчи". На все про все наиграться мне отвели 30 минут а игруха класная новый вариант
Lines.Поскольку я никогда не смотрю что мне нужно оттдать за то чтобы вдоволь насладится очередным
программным продуктом пришлось на время отложить работу и взятся за сей продукт.
При первом рассмотрении PEid нашел Aspr.Периодически лазить в реестр и что нибудь там чистить это не по мне.
Не долго думая обработал поделку stripper`ом.Получилось.Причем stripper сказал что триал инфы
не используются. Уже интересно ДА.
Однако продукт после распаковки запускаться не захотел и улетал в несуществующие адреса.
Как же так несправедливо получается уже потрачено 5 минут драгоценного времени впустую 8-( не отступать
рано продолжим. Загрузил дамп в shadow и своим трейсером дошел до места где вызываются не существующие адреса.
Выглядело это место примерно так call dword [4383a8] где по этому адресу лежало 00401440 естественно указывающее
вникуда. Беда но зачем же отступать. Я рассудил так раз такой call есть значит что-то не до конца обработало
дамп не доведя до ума т.е. при распаковке процедуры приведения проги до нормального вида не включались
а сидели в апи аспра т.е. где то же они есть.Поиском всех референсов на адрес 004383а8 нашлась интересное
место:

1 PUSH da_vinci.0040E36D ; /Arg5 = 0040E36D
2 PUSH DWORD PTR DS:[428F44] ; |Arg4 = 00000000
3 PUSH da_vinci.0042839C ; |Arg3 = 0042839C
4 PUSH da_vinci.004210DC ; |Arg2 = 004210DC ASCII "GetLocaleInfoW"
5 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
6 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
7 JMP DWORD PTR DS:[42839C] ; da_vinci.0040D9F0
8 PUSH da_vinci.0040E24E ; /Arg5 = 0040E24E
9 PUSH DWORD PTR DS:[428F40] ; |Arg4 = 00000000
10 PUSH da_vinci.004283A8<---вот он адресок ; |Arg3 = 004283A8
11 PUSH da_vinci.004210EC а это то что должно быть --> ; |Arg2 = 004210EC ASCII "GetProcAddress"
12 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
13 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
14 JMP DWORD PTR DS:[4283A8]
15 PUSH da_vinci.0040E2AA ; /Arg5 = 0040E2AA
16 PUSH DWORD PTR DS:[428F3C] ; |Arg4 = 00000000
17 PUSH da_vinci.004283B8 ; |Arg3 = 004283B8
18 PUSH da_vinci.004210FC ; |Arg2 = 004210FC ASCII "LoadLibraryW"
19 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
20 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
21 JMP DWORD PTR DS:[4283B8] ; da_vinci.0040DA3A

Осмыслив данный кусок кода начинаю понимать что это то что надо однако ни одного референса на 1 строку
решаю рискнуть выставляю оер на строку 8 и жму F8 до 14 строки и о радость по адресу 4383a8 цифирки
меняются на почти (внимательно) валидные адреса.


1 PUSH da_vinci.0040E36D ; /Arg5 = 0040E36D
2 PUSH DWORD PTR DS:[428F44] ; |Arg4 = 00000000
3 PUSH da_vinci.0042839C ; |Arg3 = 0042839C
4 PUSH da_vinci.004210DC ; |Arg2 = 004210DC ASCII "GetLocaleInfoW"
5 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
6 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
7 JMP DWORD PTR DS:[42839C] ; unicows.GetLocaleInfoW
8 PUSH da_vinci.0040E24E ; /Arg5 = 0040E24E
9 PUSH DWORD PTR DS:[428F40] ; |Arg4 = 00000000
10 PUSH da_vinci.004283A8 ; |Arg3 = 004283A8
11 PUSH da_vinci.004210EC ; |Arg2 = 004210EC ASCII "GetProcAddress"
12 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
13 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
14 JMP DWORD PTR DS:[4283A8] <-видите куда теперь он указывает ; unicows.GetProcAddress

И так если использовать данную процедуру (их кстати 2 не небольшом расстоянии друг от друга
и дальше (естественно пропуская jmp`ы) можно полностью раскодировать импорт, он там небольшой
около 20 имен функций.Но вот зараза если внимательно приглядеться то можно заметить что GetProcAddress
находится не во всеми любимом kernel32.dll а в какои то херне под названием unicows.dll (Кстати
это микрософтовская библиотека я так не хера и не понял зачем она нужна.Плюс с ней программа не пожелала
запускаться. Чтож отступать поздно потрачено уже около 25 минут.Думаю дальше. Далее найдется
до фига желающих меня обласкать за то что я пошел обходным путем однако ничего не попишешь в тот
момент ко мне пришла такая идея. Я взял да подставил в эту микротаблицу импорта правильные адреса
всех фунции т.е. теперь по адресу 4283a8 лежал указатель не на unicows.GetProcAddress а на
kernel32.GetProcAddress.
Все прекрасно прога запустилась но функции триала остались. Думаю дальше ведь времени уже потрачено
около 40 минут.
Анализ данного импорта показал что wrapper юзает функции в том числе CreateFile и CreateProcess,
WriteProcessMemory т.е. по сути wrapper создает отдельный файл и потом его контролирует.
Что ж ставим бряки на эти функции и отпускаем прогу нажимаем в ней продолжать играть и вываливаемся
на создании файла game32.img.(нужно только поменять атрибуты для файла на Normal) Все вроде бы готово.
Уф.Глушим прогу Переименовываем его в game32.exe и пытаемся запустить и...... ОБЛОМ. Прога не
запускается. Думаю дальше. Посмотрим на oep (game32.exe) и видим что не все так просто просто там ничего
нет. Загружаем в олю родителя оставляем бряки на старом месте.СТАРТ. Проходим как описано выше до создания
дочки (game32....) жмем еще раз f9 и вываливаемся на бряке WriteProcessMemory первый пропускаем он просто
записывает дочку а вот когда прогавалится еще раз смотрим что же она пишет и о боги видим что в наш
game32... на место оер записывается 6 байт посмотрев в буфер запоминаем их а затем подправляем наш
game32.exe. все игра заработала..Облегчение.....

P.S. Я не знаю сколько продержится эта защита после опубликования данного минитутора пользуйтесь пока.

| Сообщение посчитали полезным:

отвяжите от загрузчика --> WordGame <--

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет:
отвяжите от загрузчика --> WordGame <--
в wrp впиши 2 байта 004F76F7 --> E8 69

| Сообщение посчитали полезным:

Vovan666 алго их поиска?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

WriteProcessMemory или из ресурса PACKINFO в дампе загрузчика.
А вообще у меня все миниигры ломаются через правую кнопку мыши.

| Сообщение посчитали полезным:

В PACKINFO с какого-то момента начали кодировать вроде, все анврапперы, что есть (у меня), не пашут, думал снова что-то поменяли, копаться лень было... WriteProcessMemory гляну, спс за помощь
Vovan666 пишет:
А вообще у меня все миниигры ломаются через правую кнопку мыши.
ну и поделился бы, съэкономил бы кучу времени...
Иногда сын просит игрушку, а так как редко ими занимаюсь, время убивается вникуда!

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет:
PACKINFO с какого-то момента начали кодировать вроде
Ну это они уже года 2 кодируют, а толку.... запустил загрузчик, сдампил его и ковыряйся ресторатором сколько угодно.

Isaev пишет:
ну и поделился бы, съэкономил бы кучу времени..

http://exelab.ru/f/action=vthread&forum=5&topic=17408&page =0#4
чтоб ломать правой кнопкой мыши, добавь в реестр
[HKEY_CLASSES_ROOT\exefile\shell\Ломануть игрулину\command]
@="С:\multiunwr.exe %1"

| Сообщение посчитали полезным:

Нет, в смысле в сдампеном... раньше были циферки по одному смещению, потом по другому, а потом их то ли ксорить начали, то ли хз

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev
Сейчас тоже самое только без ксора. Сдампил считал вставил назад в wrp. Все играемся (иногда бывает они подлянки делают, по типу полчаса и вылет (имеется в виду не триал враппера а кое- что дургое), но это только в своих играх, а таких оооооочень мало).

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

alawar: Хелик
OEP у wrp меняешь (на 028B55, так и в ресурсах и по WriteProcessMemory) - не запускается
ломалка Vovan666 - не пашет

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

загрузи Helic.wrp запищи по этим адресам такие комманды))))

/*10001474*/ PUSH EBP
/*10001475*/ MOV EBP,ESP

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan )) вот я туплю... а я думаю почему 2 байта пишется

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

отвяжите, пожалуйста от загрузчика --> L0A <--

| Сообщение посчитали полезным:

Как то так http://rghost.ru/4669172

-----
SaNX

| Сообщение посчитали полезным:

SaNX пишет:
rghost.ru/4669172
Вылетает с ошибкой ;(

| Сообщение посчитали полезным:

Какой ошибкой?

-----
SaNX

| Сообщение посчитали полезным:

Пытается запустится и ...
вот:

| Сообщение посчитали полезным:

http://zalil.ru/30631613

| Сообщение посчитали полезным: Soso

Vovan666 пишет:
http://zalil.ru/30631613

Работает, СПАСИБО !!!
Как я понимаю дело уже 2-мя байтами не обходится???
PS: Когда UnWrapper поправишь?)

| Сообщение посчитали полезным:

ггг. алаваровцы усложнили защиту
вот, держи http://rghost.ru/4670394

адд:опоздал

-----
SaNX

| Сообщение посчитали полезным: Soso

опять я опоздун
http://rghost.ru/4670463

| Сообщение посчитали полезным:

tihiy_grom пишет:
http://rghost.ru/4670394
СПАСИБО !!!
Но:


| Сообщение посчитали полезным:

SaNX пишет:
ггг. алаваровцы усложнили защиту

СПАСИБО, работает ;)

| Сообщение посчитали полезным:

Soso пишет:
PS: Когда UnWrapper поправишь?)
для враппера 3.1.3.982 давно уже обновил
http://forum.worldok.ru/showtopic=163057&st=120&start=120
Но вот с более новыми версиями облом, там wrapper.dll накрыт аспром и отловить WriteProcessMemory дюже гиморно (хотя и возможно), так что неизвестно пока когда я им займусь.

| Сообщение посчитали полезным:

0012BDF0 01EA11E0 ASCII "0PK8sLsp5xTqKLbgjB+vJwy4084OGwi8nig5krHAzuW54ClXgaVD4x52zVJ/idOdxVc8HSdwPn4TSP0GZFWTEKo46fr9Srf2VmXOUs8voW5LfqYOXZMnA5388CP/kG5nJNSIbGU9tA0auhdrcF9PVL1iH3/quHL9FXfHCeoDs9B4="



| Сообщение посчитали полезным:

Soso пишет:
СПАСИБО !!!Но:
ну хз. скачанная оригинальная игра от алавар патчится на ура.

| Сообщение посчитали полезным:

tihiy_grom пишет:
ну хз. скачанная оригинальная игра от алавар патчится на ура.
Они на алаваре сейчас защиту меняют, так что с алавара можно скачать как минимум 3 версии одной игры с разной защитой.

| Сообщение посчитали полезным:

Vovan666 пишет:
отловить WriteProcessMemory дюже гиморно (хотя и возможно)
Я для этих целей написал DLL-ку, её инжектю в алаваровский лаунчер, после чего она перехватывает API WriteProcessMemory и пишет передаваемые ей данные в копию файла .wrp.exe
На всех играх, и старых, и новых работает, за исключением тех, у которых есть своя защита или другие фишки защиты. К примеру в новом "Суперхите" "Папины дочки едут на море", данные пишутся не только в .text секцию игры, но ещё и в секцию по адресу 0x170000, которая в оле помечена как "\Device\HarddiskVolume1\Windows\System32\locale.nls". Честно, не разобрался , для чего она нужна(секция), потому написал для этой игры лаунчер и отправил "заказчику"

| Сообщение посчитали полезным:

Vovan666 пишет:
Они на алаваре сейчас защиту меняют
Давно пора а то как лохи игры считай бесплатно раздают

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Кто нить смог отвязать от загрузчика игру "Папины дочки едут на море"
Максимум, что мне удалось добиться, появления на секунду окошка игры, и все

| Сообщение посчитали полезным:

SReg, в аттаче утиль, создающая правильные лаунчеры игр от Alawar

6ad1_10.03.2011_CRACKLAB.rU.tgz - LauncherCreator_v_1_0_release.rar

| Сообщение посчитали полезным: