Уж извините за форму написания ведь он почти первый (че-то я в последнее время расщедрился)

Мини тутор по снятию триал-защиты с игр от Alawar`a

Инструмент: Shadow with bpmx да голова
Кролик : Игра "Разгадай код Да Винчи"

Как обычно приобрел очередной ComputerBild и на диске прилагаемом к нему нашлась игруха от алавара
"Разгадай Код Да Винчи". На все про все наиграться мне отвели 30 минут а игруха класная новый вариант
Lines.Поскольку я никогда не смотрю что мне нужно оттдать за то чтобы вдоволь насладится очередным
программным продуктом пришлось на время отложить работу и взятся за сей продукт.
При первом рассмотрении PEid нашел Aspr.Периодически лазить в реестр и что нибудь там чистить это не по мне.
Не долго думая обработал поделку stripper`ом.Получилось.Причем stripper сказал что триал инфы
не используются. Уже интересно ДА.
Однако продукт после распаковки запускаться не захотел и улетал в несуществующие адреса.
Как же так несправедливо получается уже потрачено 5 минут драгоценного времени впустую 8-( не отступать
рано продолжим. Загрузил дамп в shadow и своим трейсером дошел до места где вызываются не существующие адреса.
Выглядело это место примерно так call dword [4383a8] где по этому адресу лежало 00401440 естественно указывающее
вникуда. Беда но зачем же отступать. Я рассудил так раз такой call есть значит что-то не до конца обработало
дамп не доведя до ума т.е. при распаковке процедуры приведения проги до нормального вида не включались
а сидели в апи аспра т.е. где то же они есть.Поиском всех референсов на адрес 004383а8 нашлась интересное
место:

1 PUSH da_vinci.0040E36D ; /Arg5 = 0040E36D
2 PUSH DWORD PTR DS:[428F44] ; |Arg4 = 00000000
3 PUSH da_vinci.0042839C ; |Arg3 = 0042839C
4 PUSH da_vinci.004210DC ; |Arg2 = 004210DC ASCII "GetLocaleInfoW"
5 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
6 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
7 JMP DWORD PTR DS:[42839C] ; da_vinci.0040D9F0
8 PUSH da_vinci.0040E24E ; /Arg5 = 0040E24E
9 PUSH DWORD PTR DS:[428F40] ; |Arg4 = 00000000
10 PUSH da_vinci.004283A8<---вот он адресок ; |Arg3 = 004283A8
11 PUSH da_vinci.004210EC а это то что должно быть --> ; |Arg2 = 004210EC ASCII "GetProcAddress"
12 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
13 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
14 JMP DWORD PTR DS:[4283A8]
15 PUSH da_vinci.0040E2AA ; /Arg5 = 0040E2AA
16 PUSH DWORD PTR DS:[428F3C] ; |Arg4 = 00000000
17 PUSH da_vinci.004283B8 ; |Arg3 = 004283B8
18 PUSH da_vinci.004210FC ; |Arg2 = 004210FC ASCII "LoadLibraryW"
19 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
20 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
21 JMP DWORD PTR DS:[4283B8] ; da_vinci.0040DA3A

Осмыслив данный кусок кода начинаю понимать что это то что надо однако ни одного референса на 1 строку
решаю рискнуть выставляю оер на строку 8 и жму F8 до 14 строки и о радость по адресу 4383a8 цифирки
меняются на почти (внимательно) валидные адреса.


1 PUSH da_vinci.0040E36D ; /Arg5 = 0040E36D
2 PUSH DWORD PTR DS:[428F44] ; |Arg4 = 00000000
3 PUSH da_vinci.0042839C ; |Arg3 = 0042839C
4 PUSH da_vinci.004210DC ; |Arg2 = 004210DC ASCII "GetLocaleInfoW"
5 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
6 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
7 JMP DWORD PTR DS:[42839C] ; unicows.GetLocaleInfoW
8 PUSH da_vinci.0040E24E ; /Arg5 = 0040E24E
9 PUSH DWORD PTR DS:[428F40] ; |Arg4 = 00000000
10 PUSH da_vinci.004283A8 ; |Arg3 = 004283A8
11 PUSH da_vinci.004210EC ; |Arg2 = 004210EC ASCII "GetProcAddress"
12 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
13 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
14 JMP DWORD PTR DS:[4283A8] <-видите куда теперь он указывает ; unicows.GetProcAddress

И так если использовать данную процедуру (их кстати 2 не небольшом расстоянии друг от друга
и дальше (естественно пропуская jmp`ы) можно полностью раскодировать импорт, он там небольшой
около 20 имен функций.Но вот зараза если внимательно приглядеться то можно заметить что GetProcAddress
находится не во всеми любимом kernel32.dll а в какои то херне под названием unicows.dll (Кстати
это микрософтовская библиотека я так не хера и не понял зачем она нужна.Плюс с ней программа не пожелала
запускаться. Чтож отступать поздно потрачено уже около 25 минут.Думаю дальше. Далее найдется
до фига желающих меня обласкать за то что я пошел обходным путем однако ничего не попишешь в тот
момент ко мне пришла такая идея. Я взял да подставил в эту микротаблицу импорта правильные адреса
всех фунции т.е. теперь по адресу 4283a8 лежал указатель не на unicows.GetProcAddress а на
kernel32.GetProcAddress.
Все прекрасно прога запустилась но функции триала остались. Думаю дальше ведь времени уже потрачено
около 40 минут.
Анализ данного импорта показал что wrapper юзает функции в том числе CreateFile и CreateProcess,
WriteProcessMemory т.е. по сути wrapper создает отдельный файл и потом его контролирует.
Что ж ставим бряки на эти функции и отпускаем прогу нажимаем в ней продолжать играть и вываливаемся
на создании файла game32.img.(нужно только поменять атрибуты для файла на Normal) Все вроде бы готово.
Уф.Глушим прогу Переименовываем его в game32.exe и пытаемся запустить и...... ОБЛОМ. Прога не
запускается. Думаю дальше. Посмотрим на oep (game32.exe) и видим что не все так просто просто там ничего
нет. Загружаем в олю родителя оставляем бряки на старом месте.СТАРТ. Проходим как описано выше до создания
дочки (game32....) жмем еще раз f9 и вываливаемся на бряке WriteProcessMemory первый пропускаем он просто
записывает дочку а вот когда прогавалится еще раз смотрим что же она пишет и о боги видим что в наш
game32... на место оер записывается 6 байт посмотрев в буфер запоминаем их а затем подправляем наш
game32.exe. все игра заработала..Облегчение.....

P.S. Я не знаю сколько продержится эта защита после опубликования данного минитутора пользуйтесь пока.

| Сообщение посчитали полезным:

PE_Kill
Вроде как работает, проверено на Героях Эллады 3, экзе получился идинетичный натуральному, красителей и консервантов не найдено =)

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

работает с Chicken Invaders 4
http://www.alawar.com/game/chicken-invaders-4-ultimate-omelette/
посли unpacking wrapper.dll можно пропатчить

100A1230 32DB XOR BL,BL
to

100A1230 FEC3 INC BL

| Сообщение посчитали полезным:

PE_Kill
Печально известные папины дочки 2
--> Link <--

UPD:
Хм. Ребутнул тачку, заворкало вроде...
версия 3.1.3.1125

| Сообщение посчитали полезным:

SReg дай линк на скачку или выложи game.exe и game.wrp.exe. На моей версии всё работает.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Тихо мирно без ошибки, но не сломалось тоже:
Selected file: "PapasDaughters2.exe"
Detect wrapper version...
-> Wrapper version: 3.1.3.983
Find unwrapper core...
-> UnWrapper core: u.3.1.3.a.dll
All ready, now you can unwrap game!

Load unwrapper core "u.3.1.3.a.dll"...
- UCore: Preparation game...
- UCore: Process XML file...
- UCore: Error, can't unpack XML file!
- UCore: Can't extract XML file!
Game can't be unwrapped


UPD: На свеже скаченом - работает (правда игра по старинке после запуска закрывается =).
Selected file: "PapasDaughters2.exe"
Detect wrapper version...
-> Wrapper version: 3.1.3.1125
Find unwrapper core...
-> UnWrapper core: u.3.1.3.a.dll
All ready, now you can unwrap game!

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Вот вы пристали с папиными дочками, вы ещё ферму забыли, сколько раз говорилось что алаваровци на свои игры вешают дополнительные проверки.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan
Говорится не про то что там дополнительная защита (про это никто речь не видет - тулза и не должна ее снимать - не то у нее предназначение), а про то что тулза не получила чистый экзешник для версии враппера 3.1.3.983.

PE_Kill
На алаваре не качнуть по этому только здесь:
http://www.wupload.com/file/291491900
http://ul.to/morsjsce
http://depositfiles.com/files/sfpsppld9

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

А где взять 3.1.3.983?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Посмотрел, там XML 2 раза пошифрован, в новых версиях он пошифрован и упакован, поэтому лучше буду поддерживать новые версии чем смотреть как оно было раньше. А насчет того, что у кого то не работает с новыми версиями - походу из за ms crt, перепишу ка я всё на ЯВУ.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
перепишу ка я всё на ЯВУ
это чтобы без явы ни у кого не работало?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

ЯВУ - язык высокого уровня так-то

-----
SaNX

| Сообщение посчитали полезным: ARCHANGEL, PE_Kill, DimitarSerg, Dart Raiden

Эти алаварные заразы как переписали защиту, так замучался племяннице уже вручную патчить игры. Раньше то всё можно было из ресурсов вынуть и пропатчить автоматом. Где сейчас данные о краденых байтах и реге хранятся, копал кто нибудь? =) (Тему бегло просмотрел, ответа не усмотрел? по возможности ткните где читать, сейчас времени мало, работа дом, отхожу потихоньку от дел)

| Сообщение посчитали полезным:

Error13Tracer я же расписывал как щас, вот тут например: http://exelab.ru/f/action=vthread&forum=2&topic=6343&page=12#25

А вот тут выложил готовый распаковщик:
http://exelab.ru/f/action=vthread&forum=2&topic=6343&page=12#28

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill, Огромнейшее человеческое спасибо за ссылочки, на досуге посмотрю

| Сообщение посчитали полезным:

PE_Kill твоя поделка не может вот эту игрушку обработать:
--> Link <--
Вроде пишет версия та, а потом что не может распаковать

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev
Wrapper version: 3.1.3.1196 + отлично сломалось.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Isaev
Вставь начиная с оеп такие байты
E88CC30000E979FEFFFF5064FF35000000008D44240C2B64240C53565789288BE8A138CF810033C550FF75FCC745FCFFFFFFFF8D45F464A300000000C35064FF

mysterio пишет:
Wrapper version: 3.1.3.1196 + отлично сломалось.
3.1.3.1125 облом

| Сообщение посчитали полезным:

Vovan666
Качал по его ссылке все сломалось.
Версию брал из тулзы и из лога: "Wrapper" v.3.1.3.1196

Что правда байты немного другие:
002FFE4C: E88CC30000E979FEFF5064FF35000000008D44240C2B64240C53565789288BE8A138CF810033C550FF75FCC745FCFFFFFFFF8D45F464A300000000C35064FF
---------------------------
UPD: Так и есть у мну размер установки 276 976 288 байт по твоей ссылке 279 792 344 байт.
Тулза показала: Wrapper version: 3.1.3.1125 - Тоже все сломалось на ура.
В логе игры: "Wrapper" v.3.1.3.1176
Интересно однако.

Залейте куда-нить эту чудо не ломаемую версию, а то мне везет =)

UPD2: Оба варианта открывал через Open - и оба сломались без проблем.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

mysterio пишет:
Качал по его ссылке все сломалось.
Я тоже качал с его ссылки, только это не прямая ссылка, для разных стран\регионов идет переадресация на разные сервера, где видимо лежат разные версии. Я качал отсюда http://eq04.mirror.alawar.com/AlawarRusTheFoolRus.exe

В общем разобрался. UNAL не работает если открывать через Open
Selected file: "TheFool.exe"
Load unwrapper core "u.3.1.3.a.dll"...
- UCore: Preparation game...
- UCore: Process XML file...
- UCore: Remove wrapper...
- UCore: Error, can't remove wrapper!
Game successfully unwrapped!

Если просто перетащить файл в окно, то
Selected file: "TheFool.exe"
Load unwrapper core "u.3.1.3.a.dll"...
- UCore: Preparation game...
- UCore: Process XML file...
- UCore: Remove wrapper...
- UCore: Stolen code 2 - restored!
- UCore: Stolen code 1 - restored!
Game successfully unwrapped!

| Сообщение посчитали полезным:

я может не с той ссылки качал, просто нашёл на алаваре и ссылку дал, она у меня уже давно
Unwrapper показал 3.1.3.1075, запатчить я и сам могу, мне интересно чтобы статик универсальный получился. Если PE_Killу это конечно надо, свою версию могу выложить

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Vovan666 пишет:
Если просто перетащить файл в окно, то
Не в этом дело IMHO, там с памятью косяки, либо в работе с файлами. Я сейчас пытаюсь прикрутить DrWeb32 FLY-CODE Unpacker чтобы была полная статика, поэтому пока что остальное не правлю.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Продолжая тему анпака игрушек, которая уже давно не поднималась, хотел предложить посмотреть вот это развивающее видео

--> Кинчик <--

Но давайте по порядку, в чём, собственно, дело.

В общем, захотелось мне написать распаковщик алаваровских игрушек. Т.е. даже не распаковщик, а unwrapper, ибо игры защищает некий wrapper. В инете можно найти готовые решения, но их предлагают за бабло, или же они не работают как надо, или не работают вообще. Распаковщик от PE_Kill я не пробовал на новых играх, знаете, захотелось свой велосипед изобрести. Колёса пока не то, что квадратные - треугольные. Но что есть, то есть. Интересует мнение форумчан по поводу, есть ли смысл в этом проекте как в паблик-unwrapper'e, или я могу сложить его на полку и изредка для себя и знакомых анпакать игрушки. Если проект будет востребован, то очень скоро выйдет первая альфа, и будем пилить потихоньку. В общем, смотрим, отписываемся, любые мнения приветствуются.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
Конешно есть смысл
Лучше конешно для вмпрота или старки написали
Только не получится ли как с тутором по кейгенингу?

| Сообщение посчитали полезным: DimitarSerg

ARCHANGEL
Таких поделок как грязи, и не знаю, где ты нашел платные и не рабочие. Знаю как минимум 3 публичных и рабочих проекта. Смотри как у меня это реализовано http://rghost.ru/43846420

| Сообщение посчитали полезным:

Vovan666
Ух, прикольно. Динамика или статика? Платные нашёл не я - мне знакомый показывал ссылку на каком-то сайтике, где можно качнуть софтину для отлома алаваровских игрушек, но вот только сделать это можно за бабло. Понятное дело, что автор софта по отлому игрушек делал его бесплатным, а потом его (софт) упаковали в архивчик зиповый, и сделали распаковку по ключу, а ключ - после оплаты чрез смс. И ссылок таких на любой софт/документы/книги - миллион.

matrix
Я так понимаю - этот тутор мне ещё долго будут вспоминать? Впрочем, я сам виноват - за язык-то никто не тянул. Но тогда времени было много, я даже писать его начал, есть несколько страниц. Плюс кейген-то рабочий я накодил. Сорцы остались. Если вы нуждаетесь в пояснении, как всё было сделано, то могу попробовать что-то сообразить из всего этого. Просто сами посудите - автор просьбы молчит, товарищ, который прогу ту в запросах постил, вообще начал говорить, что, дескать, не выкладывайте свои кейгены нахаляву, береги свой труд. И возникает справедливый вопрос - а нужен ли тот тутор вообще кому-то?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Динамика или статика?
Динамика, статика там невозможна(насколько мне известно).
ARCHANGEL пишет:
Платные нашёл не я - мне знакомый показывал ссылку на каком-то сайтике, где можно качнуть софтину для отлома алаваровских игрушек, но вот только сделать это можно за бабло. Понятное дело, что автор софта по отлому игрушек делал его бесплатным, а потом его (софт) упаковали в архивчик зиповый, и сделали распаковку по ключу, а ключ - после оплаты чрез смс. И ссылок таких на любой софт/документы/книги - миллион.

Все новое и старое лежит на борде, и все на вменяемых обменниках.

| Сообщение посчитали полезным:

SVINOVOD_DETECTOR

Я вам расскажу историю, пока вас не выпилил Арчер. История из жизни. Когда-то пришёл я к репетитору по физике, чтоб он взял меня на обучение и подготовил к сдаче вступительных в ВУЗ. Он у нас в городе был крутой препод, и к нему стояли очереди из многочисленных падаванов, но попасть было нереально. Он посмотрел на меня, начал давать мне всякие задачки и головоломки, а потом по результатм теста вынес вердикт:

"Ты, конечно, не совсем идиот, но я тут занимаюсь с одарёнными детьми, которые в будущем смогли бы стать победителями республиканских олимпиад, занимать призовые места на международных конкурсах, а ты, ну, это не про тебя. Но, с другой стороны, если мне звонят мои хорошие знакомые и просят взять к себе ученика, то почему я им должен отказывать?"

Так я стал изучать физику, а вы, наверное, поняли, почему появился анпакер алавара (очередной).

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
Просто так вспомнилось к слову
Ни хотел обидеть
Если Вы и через год будет поддерживать свой продукт
То вперед и с песней

SVINOVOD_DETECTOR пишет:
Да лучше йаду выпить сто литров
У Вас в команде литров 90 наверное уже всосали

| Сообщение посчитали полезным:

SVINOVOD_DETECTOR
Наверное, есть ещё и такие, которые у алавара покупают. Странно, правда? А про то, что нет - никто не говорит. Наверняка, если один человек смог что-то накодить, то найдётся ещё один такой, который тоже сможет. Вопрос был в том, что лично у меня на руках не было такого анпакера.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: Jaa

А что у них путного есть кроме Папиных дочек и Масяни?

| Сообщение посчитали полезным: