Уж извините за форму написания ведь он почти первый (че-то я в последнее время расщедрился)

Мини тутор по снятию триал-защиты с игр от Alawar`a

Инструмент: Shadow with bpmx да голова
Кролик : Игра "Разгадай код Да Винчи"

Как обычно приобрел очередной ComputerBild и на диске прилагаемом к нему нашлась игруха от алавара
"Разгадай Код Да Винчи". На все про все наиграться мне отвели 30 минут а игруха класная новый вариант
Lines.Поскольку я никогда не смотрю что мне нужно оттдать за то чтобы вдоволь насладится очередным
программным продуктом пришлось на время отложить работу и взятся за сей продукт.
При первом рассмотрении PEid нашел Aspr.Периодически лазить в реестр и что нибудь там чистить это не по мне.
Не долго думая обработал поделку stripper`ом.Получилось.Причем stripper сказал что триал инфы
не используются. Уже интересно ДА.
Однако продукт после распаковки запускаться не захотел и улетал в несуществующие адреса.
Как же так несправедливо получается уже потрачено 5 минут драгоценного времени впустую 8-( не отступать
рано продолжим. Загрузил дамп в shadow и своим трейсером дошел до места где вызываются не существующие адреса.
Выглядело это место примерно так call dword [4383a8] где по этому адресу лежало 00401440 естественно указывающее
вникуда. Беда но зачем же отступать. Я рассудил так раз такой call есть значит что-то не до конца обработало
дамп не доведя до ума т.е. при распаковке процедуры приведения проги до нормального вида не включались
а сидели в апи аспра т.е. где то же они есть.Поиском всех референсов на адрес 004383а8 нашлась интересное
место:

1 PUSH da_vinci.0040E36D ; /Arg5 = 0040E36D
2 PUSH DWORD PTR DS:[428F44] ; |Arg4 = 00000000
3 PUSH da_vinci.0042839C ; |Arg3 = 0042839C
4 PUSH da_vinci.004210DC ; |Arg2 = 004210DC ASCII "GetLocaleInfoW"
5 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
6 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
7 JMP DWORD PTR DS:[42839C] ; da_vinci.0040D9F0
8 PUSH da_vinci.0040E24E ; /Arg5 = 0040E24E
9 PUSH DWORD PTR DS:[428F40] ; |Arg4 = 00000000
10 PUSH da_vinci.004283A8<---вот он адресок ; |Arg3 = 004283A8
11 PUSH da_vinci.004210EC а это то что должно быть --> ; |Arg2 = 004210EC ASCII "GetProcAddress"
12 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
13 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
14 JMP DWORD PTR DS:[4283A8]
15 PUSH da_vinci.0040E2AA ; /Arg5 = 0040E2AA
16 PUSH DWORD PTR DS:[428F3C] ; |Arg4 = 00000000
17 PUSH da_vinci.004283B8 ; |Arg3 = 004283B8
18 PUSH da_vinci.004210FC ; |Arg2 = 004210FC ASCII "LoadLibraryW"
19 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
20 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
21 JMP DWORD PTR DS:[4283B8] ; da_vinci.0040DA3A

Осмыслив данный кусок кода начинаю понимать что это то что надо однако ни одного референса на 1 строку
решаю рискнуть выставляю оер на строку 8 и жму F8 до 14 строки и о радость по адресу 4383a8 цифирки
меняются на почти (внимательно) валидные адреса.


1 PUSH da_vinci.0040E36D ; /Arg5 = 0040E36D
2 PUSH DWORD PTR DS:[428F44] ; |Arg4 = 00000000
3 PUSH da_vinci.0042839C ; |Arg3 = 0042839C
4 PUSH da_vinci.004210DC ; |Arg2 = 004210DC ASCII "GetLocaleInfoW"
5 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
6 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
7 JMP DWORD PTR DS:[42839C] ; unicows.GetLocaleInfoW
8 PUSH da_vinci.0040E24E ; /Arg5 = 0040E24E
9 PUSH DWORD PTR DS:[428F40] ; |Arg4 = 00000000
10 PUSH da_vinci.004283A8 ; |Arg3 = 004283A8
11 PUSH da_vinci.004210EC ; |Arg2 = 004210EC ASCII "GetProcAddress"
12 PUSH da_vinci.00420F50 ; |Arg1 = 00420F50 ASCII "kernel32.dll"
13 CALL da_vinci.0040E02F ; \da_vinci.0040E02F
14 JMP DWORD PTR DS:[4283A8] <-видите куда теперь он указывает ; unicows.GetProcAddress

И так если использовать данную процедуру (их кстати 2 не небольшом расстоянии друг от друга
и дальше (естественно пропуская jmp`ы) можно полностью раскодировать импорт, он там небольшой
около 20 имен функций.Но вот зараза если внимательно приглядеться то можно заметить что GetProcAddress
находится не во всеми любимом kernel32.dll а в какои то херне под названием unicows.dll (Кстати
это микрософтовская библиотека я так не хера и не понял зачем она нужна.Плюс с ней программа не пожелала
запускаться. Чтож отступать поздно потрачено уже около 25 минут.Думаю дальше. Далее найдется
до фига желающих меня обласкать за то что я пошел обходным путем однако ничего не попишешь в тот
момент ко мне пришла такая идея. Я взял да подставил в эту микротаблицу импорта правильные адреса
всех фунции т.е. теперь по адресу 4283a8 лежал указатель не на unicows.GetProcAddress а на
kernel32.GetProcAddress.
Все прекрасно прога запустилась но функции триала остались. Думаю дальше ведь времени уже потрачено
около 40 минут.
Анализ данного импорта показал что wrapper юзает функции в том числе CreateFile и CreateProcess,
WriteProcessMemory т.е. по сути wrapper создает отдельный файл и потом его контролирует.
Что ж ставим бряки на эти функции и отпускаем прогу нажимаем в ней продолжать играть и вываливаемся
на создании файла game32.img.(нужно только поменять атрибуты для файла на Normal) Все вроде бы готово.
Уф.Глушим прогу Переименовываем его в game32.exe и пытаемся запустить и...... ОБЛОМ. Прога не
запускается. Думаю дальше. Посмотрим на oep (game32.exe) и видим что не все так просто просто там ничего
нет. Загружаем в олю родителя оставляем бряки на старом месте.СТАРТ. Проходим как описано выше до создания
дочки (game32....) жмем еще раз f9 и вываливаемся на бряке WriteProcessMemory первый пропускаем он просто
записывает дочку а вот когда прогавалится еще раз смотрим что же она пишет и о боги видим что в наш
game32... на место оер записывается 6 байт посмотрев в буфер запоминаем их а затем подправляем наш
game32.exe. все игра заработала..Облегчение.....

P.S. Я не знаю сколько продержится эта защита после опубликования данного минитутора пользуйтесь пока.

| Сообщение посчитали полезным:

PE_Kill,BoOMBoX/TSRh - уважая Ваш труд и читая гавнапосты убогих ламосов (90% из которых я самолично удалил из этого топика) - возникает вопрос - а зачем? Зачем давать туповатым оленям инструмент, назначение которого они всё равно не оценят?

| Сообщение посчитали полезным:

Ну я благодарен PE KILL за его тулзы (эх когда ж он напишет тулзы к протам , про которые я постил ранее ...:s2 Хотя и снимаю сам практически все руками. Но тулза просто автоматизирует процесс - экономит время.

Еще про оленев - девушки со многих форумов обучились извлекать Ехешники и благодарят автора !!!
Так что , вот она слава. Ну я конечно, немного помог, заставив обращать внимание на того, кто пишет тулзы, а не перекладывает их...

Микрооффтоп закончил ! Теперь по делу конкретно.

Появилась новая защита в виде 2 х ЕхЕ - один под УПХ, другой под АСПР 1.23 Все прекрасно распаковывается, но не ломается... Хз в чем дело.

Вот Вам и адресок -
mirror3.alawar.com/Thomas2Rus.exe

Прошу поглядеть и подсказать, в чем там собака порылась ? Не могу никак подход к взлому найти, хотя крек уже есть. Унврап ессно не катит...

| Сообщение посчитали полезным:

Ara ну ХЗ, мне этот инструмент не нужен, куда его деть то? Конкретно эту тулзу я даже тулзой не считаю и если надо могу выложить сырки.

Soft_Ice это новая защита alawar или просто 1 игра защищенная подругому? Ща гляну ее....

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Soft_Ice ага я понял, щас патч сделаю...

PS Не заметил, так нужен патч или нет? Или уже есть?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Уже есть!!!
Это старая защита.
Таких игр я штук 5 встречал, там просто второй файл запускается с командной строки которую посылает первый файл, и какой параметр передан от этого и идет зарегистрирована игра или нет.

| Сообщение посчитали полезным:

PE_Kill пишет:
Ara ну ХЗ, мне этот инструмент не нужен, куда его деть то? Конкретно эту тулзу я даже тулзой не считаю и если надо могу выложить сырки.
Выложи хоть поглядим.

| Сообщение посчитали полезным:

ХЗ, у меня жесткий полетел И бэкапов походу нет.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Vovan666 пишет:
Уже есть!!!
Это старая защита.
Таких игр я штук 5 встречал, там просто второй файл запускается с командной строки которую посылает первый файл, и какой параметр передан от этого и идет зарегистрирована игра или нет.

По параметрам - можешь подробнее написать, с примером ? Чего то не смог догнать, когда ЕхЕшки ковырял.

| Сообщение посчитали полезным:

Soft_Ice Если запустить game.exe с параметром "3300", то игра запустится как фулл, но если на этом остановится, то мы не сможем пользоваться лаунчером (Paclands2.exe), который позволяет выставить разрешение. Чтобы лаунчер был фулл, нужно пропатчить в нем один байт и тогда не надо мутить с параметрами, он будет запускать game.exe с параметром "3300":

00472F80 PUSH EBP
00472F81 MOV EBP,ESP
00472F83 PUSH EBX
00472F84 PUSH ESI
00472F85 PUSH EDI
00472F86 XOR EAX,EAX
00472F88 PUSH EBP
00472F89 PUSH PACLAN~1.00472FB9
00472F8E PUSH DWORD PTR FS:[EAX]
00472F91 MOV DWORD PTR FS:[EAX],ESP
00472F94 MOV EAX,PACLAN~1.00476E04
00472F99 MOV EDX,PACLAN~1.00472FD0 ; ASCII "Unregistered version"
00472F9E CALL PACLAN~1.00403F5C
00472FA3 MOV BYTE PTR DS:[476E08],1 ;<-- Поменять на "0"!!!
00472FAA CALL PACLAN~1.00472F6C
00472FAF XOR EAX,EAX
00472FB1 POP EDX
00472FB2 POP ECX
00472FB3 POP ECX
00472FB4 MOV DWORD PTR FS:[EAX],EDX
00472FB7 JMP SHORT PACLAN~1.00472FC3
00472FB9 JMP PACLAN~1.00403638
00472FBE CALL PACLAN~1.004039A0
00472FC3 POP EDI
00472FC4 POP ESI
00472FC5 POP EBX
00472FC6 POP EBP
00472FC7 RETN


-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Огромное спасибо, важна метода, остальное посмотрим в Оле...

| Сообщение посчитали полезным:

Soft_Ice пишет:
Появилась новая защита в виде 2 х ЕхЕ - один под УПХ, другой под АСПР 1.23 Все прекрасно распаковывается, но не ломается... Хз в чем дело.

сломал её ещё в ноябре 2005:
Даже CRACKME бывают сложнее...Итак,как обычно находим какую-нибудь "дырку":

* Possible StringData Ref from Code Obj ->"Unregistered version"
Далее:
:0044FB65 BA9CFB4400 mov edx, 0044FB9C
:0044FB6A E83143FBFF call 00403EA0
:0044FB6F C605DC3B450001 mov byte ptr [00453BDC], 01
:0044FB76 E8BDFFFFFF call 0044FB38
:0044FB7B 33C0 xor eax, eax
Cуём в byte ptr [00453BDC] ноль и всё работает!!!


| Сообщение посчитали полезным:

Vovan666 пишет:
там просто второй файл запускается с командной строки которую посылает первый файл
такую же защиту имеет игра "Paclands- Thomas Adventures"
если кому надо:
:0046AA8F C60560EC460001 mov byte ptr [0046EC60], 01
меняем 01 на 00 и всё работает...

| Сообщение посчитали полезным:

Просветите - чем распаковывать АСПр версий 1.0-1.2 ? Стрип не берет, под Олей не рабочий импорт видимо. Чего-то споткнулся на этом.

| Сообщение посчитали полезным:

CASPR

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

SharewareBreaker
да кого ты там сломал, не позорся, только что подсмотрел у PE_Kill

| Сообщение посчитали полезным:

Даже если и сам ломал, зачем повторять, то что я уже написал. Soft_Ice просил объяснить подробно методу, вот и объясни раз ломал. Как нашел место, где патчить, только лечилово про референс на строку не надо устраивать....

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Nitrogen пишет:
да кого ты там сломал, не позорся, только что подсмотрел у PE_Kill
LOL
там адреса даже разные,кроме того релиз от FFF или Explosion опередил ПЕ Килла на полтора
или даже 2 года

| Сообщение посчитали полезным:

PE_Kill пишет:
Даже если и сам ломал, зачем повторять, то что я уже написал. Soft_Ice просил объяснить подробно методу, вот и объясни раз ломал
попробуй лучше ломануть "Машину Сокровищ" или другую игру,где используется шифрование
кода... а это смешно,я бы сказал для новичков защита

| Сообщение посчитали полезным:

SharewareBreaker
подсмотреть идею у PE_Kill, найти другую игру с подобной защитой и выдать за свое? да как два пальца..
пустой треп. я тебе не верю

| Сообщение посчитали полезным:

SharewareBreaker
1)
SharewareBreaker пишет:
а это смешно,я бы сказал для новичков защита
И тем не менее методу ты не объяснил

2)
SharewareBreaker пишет:
попробуй лучше ломануть "Машину Сокровищ" или другую игру,где используется шифрование
Вот это точно LOL. Если бы ты ломал Thomas2Rus.exe то знал бы, что в ней есть покриптованый код, именно поэтому я поменял 1 на 0, т.к. код, который это делает пошифрован и расшифровывается по ключу. Кстати странно называть такую замену:
SharewareBreaker пишет:
находим какую-нибудь "дырку"
Ну только если цифра "0" на дырку похожа
3)
Весь остальной флуд будет удаляться...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Nitrogen пишет:
подсмотреть идею у PE_Kill, найти другую игру с подобной защитой и выдать за свое? да как два пальца..
пустой треп. я тебе не верю
а я не верю что ты свои кейгены сам сделал- скорее стырил исходники у какой-нибудь Phrozen Crew
и "выдал за своё"
PE_Kill пишет:
И тем не менее методу ты не объяснил
что здесь не ясно: ищем референс Unregistered и исправляем 01 на 00
Если и такое для вас сложно,стыдно назвать вас даже начинающими "крекерами"
PE_Kill пишет:
что в ней есть покриптованый код, именно поэтому я поменял 1 на 0, т.к. код, который это делает пошифрован и расшифровывается по ключу
да какое здесь криптование к чёртовой матери? защита для полного ламера ИМХО
попробуйте сломать что-нибудь посложнее,тогда и поговорим
например BVS Solitaire Collection (что не по зубам пасьянсы??? :s6

| Сообщение посчитали полезным:

SharewareBreaker
а я не верю что ты свои кейгены сам сделал- скорее стырил исходники у какой-нибудь Phrozen Crew
и "выдал за своё"
так и правильно делаешь, я все свои кейгены срипал

| Сообщение посчитали полезным:

SharewareBreaker

посмотри, за что PE_Killу спасибо.

0753_28.11.2006_CRACKLAB.rU.tgz - экран.JPG

| Сообщение посчитали полезным:

Народ решил снова пытаться что-то доказать пидаратору алексу?

| Сообщение посчитали полезным:

Ara пишет:
Народ решил снова пытаться что-то доказать пидаратору алексу?
???

| Сообщение посчитали полезным:

cadet пишет:
посмотри, за что PE_Killу спасибо.
я тоже я крякнул давно,смотри аттач:


466a_28.11.2006_CRACKLAB.rU.tgz - SB picture.JPG

| Сообщение посчитали полезным:

SharewareBreaker пишет:
что здесь не ясно: ищем референс Unregistered и исправляем 01 на 00
PE_Kill пишет:
только лечилово про референс на строку не надо устраивать....

SharewareBreaker пишет:
попробуйте сломать что-нибудь посложнее,тогда и поговорим
например BVS Solitaire Collection (что не по зубам пасьянсы???

LOL, Если что, то я все версии отломал, начиная с 6.0.
forum.ru-board.com/topic.cgi?forum=75&bm=1&topic=0592&start=220#lt


Всё, инна отсюда. Ara это опять пидар алекс что ли?

Кстати скрин эбаута BVS Solitaire Collection у SharewareBreaker поддельный, т.к. имя выравнивается по правой стороне окна, вот так:

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

аттач

c2f8_28.11.2006_CRACKLAB.rU.tgz - BVS.JPG

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
красиво ты его сделал ;)

p.s честно пытался закрыть картинку нажимая на OK
p.p.s на форуме разрешается материться?

| Сообщение посчитали полезным:

PE_Kill пишет:
Ara это опять пидар алекс что ли?
Ты ж модер. Кликни по IP, увидишь следубщую картину:
Predator Alex*
Chernobyle*
FreeStyler*
ElybonrehC*
Makaka*
NaxiM*
Sergey Lossev*
SharewareBreaker*

Это те, кто с этого IP ходил. Знакомые всё лица

| Сообщение посчитали полезным: