Привет. Взял у знакомого диск со старой игрой-DungeonSiege.Установил,запускаю-не запускается.Нашел в чем проблема.Монитор у меня подсевший и для игрушек я поднимаю гамму с помощью проги AtitrayTool.Так из-за этой проги DungeonSiege считает,что ее взламывают.Под OllyDbg с помощью плагинов игрушка запускается,но как только я запускаю AtiTrayTool-виснет,помогает только ресет
Есть еще в игрушке вызов этой хрени- SetUnhandledExceptionFilter.
1.Можно ли пропатчить сами функции в экзешнике или нужно все вызовы этих функций патчить?
2.Может есть проги для скрытия отладки?Плагины к ольке или IceExt не предлагать

| Сообщение посчитали полезным:

serkuz
Лучше всего это найти в самой игре проверку и запатчить её. Ищи её на какие нибудь API которые используются для обнаружения отладчика. К примеру таже IsDebuggerPresent

| Сообщение посчитали полезным:

выложи exe файл игры.
если там просто идёт вызов IsDebuggerPresent - то обойти не сложно.

-----
EnJoy!

| Сообщение посчитали полезным:

serkuz
добавь новою секцию, поставь еп на неё, и допеши обнуление флага и прыг на оеп. 1 минута роботы..

| Сообщение посчитали полезным:

VaZeR пишет:
Лучше всего это найти в самой игре проверку и запатчить её. Ищи её на какие нибудь API которые используются для обнаружения отладчика. К примеру таже IsDebuggerPresent
Я об этом тоже думал,нажал в иде x и увидел около 10 вызовов Патчить их все влом честно говоря.Да и крекер я начинающи-возится долго..


Jupiter пишет:
выложи exe файл игры.
если там просто идёт вызов IsDebuggerPresent - то обойти не сложно.
Я бы с радостью,но у меня GPRS

sniperZ пишет:
добавь новою секцию, поставь еп на неё, и допеши обнуление флага и прыг на оеп. 1 минута роботы..
Я не понял,а как это повлияет на проверку на дебаг? Ведь Игрушка проверяет вроде не только в начале запуска.

Мне интересно,как можно сразу после вызова IsDebuggerPresent запатчить,чтобы она всегда писала что все ОК.
В скриншоте по адресу call sub_41EEBB вызывается IsDebuggerPresent.Во втором скрине сама функция.Нельзя ли в нее что-нибудь впендюрить чтобы всегда был Ок
Спасибо ребята.


6b34_16.01.2008_CRACKLAB.rU.tgz - ida.png

| Сообщение посчитали полезным:

Сама функция

8b09_16.01.2008_CRACKLAB.rU.tgz - IsDeb.png

| Сообщение посчитали полезным:

serkuz пишет:
2.Может есть проги для скрытия отладки?

Заюзай прогу Рема. HideToolz называется. Перетаскиваешь в неё экзешник AtitrayTool. Прогу без проблем найдешь на форуме, она здесь релизилась в двух версиях 2.0 и 2.1.

| Сообщение посчитали полезным:

Amok пишет:
Заюзай прогу Рема. HideToolz называется. Перетаскиваешь в неё экзешник AtitrayTool. Прогу без проблем найдешь на форуме, она здесь релизилась в двух версиях 2.0 и 2.1.
О,спасибо.Я ее давно качал и что-то подзабыл про нее.Позже попробую,а то вдруг глюканет.
Но мне все равно интересно,можно ли подправить call sub_41EEBB, чтобы всегда возвращало 0.Я исправлял jnz short loc_41405C на jz short loc_41405C,но там таких вызовов много

| Сообщение посчитали полезным:

serkuz
"можно ли подправить call sub_41EEBB" - Ну и подправь в самой процедуре 41EEBB, вместо того чтобы править переходы. Допиши там к конце нужный тебе код или если совсем нет места то JMP на патч и обратно.

| Сообщение посчитали полезным:

VaZeR пишет:
Ну и подправь в самой процедуре 41EEBB, вместо того чтобы править переходы. Допиши там к конце нужный тебе код или если совсем нет места то JMP на патч и обратно.

В том то и дело,что я не знаю что писать Поэтому то и задал вопрос в форум для новичков
Посмотри пожалуйста скрин.Может подскажешь что вписать?

| Сообщение посчитали полезным:

serkuz пишет:
Мне интересно,как можно сразу после вызова IsDebuggerPresent запатчить,чтобы она всегда писала что все ОК.
нах тебе это надо. IsDP проверяед флаг в пебе. тебе надо перед оеп обнулить этод флаг и все проверке чешут лесом..[b][/b]
1. Бери PE_Tools. добавляй новую секцию. Меняй оеп на неё.
2. пиши код типо того..
push eax
mov eax,dword ptr fs:[30h]
mov byte ptr ds:[eax+2],0
pop eax
jmp OEP
можед чёто не так, писал с башки..
3. зопускаешь гаму и радуешься..

| Сообщение посчитали полезным:

sniperZ пишет:
нах тебе это надо. IsDP проверяед флаг в пебе. тебе надо перед оеп обнулить этод флаг и все проверке чешут лесом..[b][/b]

Спасибо,попробую.Если не получится-попробую проверки убрать ну или забью на нее болт

| Сообщение посчитали полезным:

serkuz пишет:
Если не получится-попробую проверки убрать ну или забью на нее болт
да там не чему не получаццо, если это действительно только IsDP, а забевать не стоит, ибо не по нашему..

| Сообщение посчитали полезным:

Да там еще SetUnhandledExceptionFilter-судя по поиску тоже какая-то защита от дебага

| Сообщение посчитали полезным:

sniperZ пишет:
2. пиши код типо того..
push eax
mov eax,dword ptr fs:[30h]
mov byte ptr ds:[eax+2],0
pop eax
jmp OEP
можед чёто не так, писал с башки..

А чем происывать код?Олей?

| Сообщение посчитали полезным:

serkuz пишет:
А чем происывать код?Олей?
да. задишь в олю, пишешь код, пкм copy to executable..

| Сообщение посчитали полезным:

serkuz пишет:
Да там еще SetUnhandledExceptionFilter-судя по поиску тоже какая-то защита от дебага

SetUnhandledExceptionFilter - это обработчик ошибок, который должна содержать любая нормальная прога ;)
в принципе, может конечно использоваться не только в мирных целях, но это скорее исключение из правил.

что касается большого кол-ва IsDebuggerPresent, то ты можешь просто перехватить эту ф-цию в таблице импорта (оч. простой, но действенный способ) и написать свою заглушку.

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
что касается большого кол-ва IsDebuggerPresent, то ты можешь просто перехватить эту ф-цию в таблице импорта (оч. простой, но действенный способ) и написать свою заглушку.

Эттто для меня уж очень сложно Даже на методе,предложенном SniperZ я застрял

Я попробовал добавить секцию PeTools.Оставил Section Name по умолчанию,ввел Size of Raw Data и Virtual Data по 30 (это размер секции в байтах?) а дальше выбираю Fill with 00x0 .При этом Virtual Offset становится 1000.Чтобы получить правильный оофсет для новой секции нужно Virtual Size+Virtual Offset от предыдущей секции???

| Сообщение посчитали полезным:

о... да те рановато пока инжект делать.
есть варианты: либо ты хоть немного читаешь по формату PE файлов, либо просишь кого-то ещё пофиксить файл за тебя.
просто судя по твоим вопросам, ты пока слабо разбираешься в предмете. размер секции должен быть выровненным. добавлять секцию, в принципе, совсем не обязательно, т.к. кода мало. можно найти место в существующих секциях.

есть ещё вариант: написать длл, в которой будет только одна функция: патч IsDebuggerPresent (через PEB или через хук - не важно) для текущего процесса. потом просто добавляешь её в импорт твоей проги. всё.

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
о... да те рановато пока инжект делать.

Согласен
Пойду читать,что такое PEB

Поковыряюсь завтра..не уже сегодня с экзешником,попробую пропатчить.Если не получиться,может выложу экзешник,если долбанный жрпс позволит закачать 1,5мб.

Все равно было интересно ковыряться Благодарю всех за ответы!

| Сообщение посчитали полезным:

Отпишусь,вдруг кому-нибудь тоже пригодится.
Патчинг переходов ничего не дало,видимо еще где-то есть проверки Спрятал AtitrayTools с помощью HideToolz 1.6-не помогло.Скачал новую версию HideToolz 2.1,запустил и пришел пипец -БСОД.Перезагрузился,хрен-при загрузке винды опять БСОД (00000E8). Из под safe mode убрал загрузку дров Outpost4-загрузился. Удалил Outpost,запустил HideToolz-не помог,видимо из-за того что AtiTray использует дрова хитрые

В итоге,нашел замену AtiTrayTools-AtiTool С ним игрушка пошла.

ЗЫ. Игра оказалась фигней -не понравилась...

Завтра тему можно закрывать,вдруг кто что спросит

| Сообщение посчитали полезным:

serkuz пишет:
ЗЫ. Игра оказалась фигней -не понравилась...
аааа убил! :D

serkuz пишет:
Патчинг переходов ничего не дало
надо было не переходы патчить, а API ф-цию хучить и PEB патчить

-----
EnJoy!

| Сообщение посчитали полезным:

HideToolz и не должен прятать прогу от IsDebuggerPresent, так что от этой проверки он бы и не помог.

| Сообщение посчитали полезным:

serkuz пишет:
Я попробовал добавить секцию PeTools.Оставил Section Name по умолчанию,ввел Size of Raw Data и Virtual Data по 30 (это размер секции в байтах?) а дальше выбираю Fill with 00x0 .При этом Virtual Offset становится 1000.Чтобы получить правильный оофсет для новой секции нужно Virtual Size+Virtual Offset от предыдущей секции???
нед. пишешь VirtualSize = Section Alignment (скорее всего 1000h), а FileSize = File Alignment ( скорее всего 200h)..
после добавление выставляй Entry Point = Virtual Offset новой секции..тока старый запомни..
если в все получиться, отпиши, бум дальше роботать..

| Сообщение посчитали полезным:

Jupiter пишет:
ЗЫ. Игра оказалась фигней -не понравилась...
аааа убил! :D
Не...пока только покалечил

Archer пишет:
HideToolz и не должен прятать прогу от IsDebuggerPresent, так что от этой проверки он бы и не помог.
А для чего галка антиотладка?

sniperZ пишет:
нед. пишешь VirtualSize = Section Alignment (скорее всего 1000h), а FileSize = File Alignment ( скорее всего 200h)..
после добавление выставляй Entry Point = Virtual Offset новой секции..тока старый запомни..
если в все получиться, отпиши, бум дальше роботать..
Ну если бум,тогда надо игрушку ставить Насчет "бум"-у тебя поэтому в подписи "наставник"?

| Сообщение посчитали полезным:

sniperZ пишет:
пишешь VirtualSize = Section Alignment (скорее всего 1000h)

судя по данным Petools Section Alignment=1000h, File Alignment=1000h поэтому Entry Point тоже изменил на 1000.Старый entry point=9D2B
Экзешник написан на Visual C++6 и вроде не упакован.

В аттаче на скрин секция .My -Моя Что дальше? Olly пишет что не может стартовать екзе,где тогда менять переход на entry?

83a5_18.01.2008_CRACKLAB.rU.tgz - petools.png

| Сообщение посчитали полезным:

serkuz
ты предпочитаешь не читать того, что тебе написали выше?

во-первых нет смысла постить скрин с DOS заголовком.
во-вторых, у тя смещение твоей секции равно смещению первой секции - винда такой файл не загрузит.

тебе несколько раз уже написали про выравнивание!

давно бы уже выложил собственно оригинальный файл.

не поленись, почитай про формат PE, про то, что такое выравнивание и т.п.

-----
EnJoy!

| Сообщение посчитали полезным:

serkuz
бляяяяяяяяяяяя
я тебе что говорил менять оффсеты? перечитай мой пост или выложи файл..
serkuz пишет:
судя по данным Petools Section Alignment=1000h, File Alignment=1000h
поэтому пкм, Add Section, Raw Data = 1000, Virtual Data = 1000h. поставь заполнить нулями. больше ничего не трогай. жмякай ок. пе тулс поставит оффсеты сам.
или исправь. у тебя Virtual Offset твоей секции = 3A3000 и еп такое же..

| Сообщение посчитали полезным:

Jupiter пишет:
ты предпочитаешь не читать того, что тебе написали выше?
Вообще-то я все читаю!
Jupiter пишет:
во-первых нет смысла постить скрин с DOS заголовком.
Просто хотел показать что entry point у меня равен 1000
Jupiter пишет:
во-вторых, у тя смещение твоей секции равно смещению первой секции - винда такой файл не загрузит.
Это я и сам понял,все делал как написал sniperZ,по крайней мере пытался..
Jupiter пишет:
давно бы уже выложил собственно оригинальный файл.
Какой смысл? Игрушку я уже запустил, sniperZ предложил помощь во взломе.А если я выложу экзе-за меня все сделают сами.Если бы я хотел чтобы мне взломали,я бы пошел в другой подфорум-"запросы".
И почему все считают,что все новички- чукчи-писатели,но не читатели??

sniperZ пишет:
я тебе что говорил менять оффсеты? перечитай мой пост или выложи файл..
Я не менял оффсет!!! При заполнении Raw Data = 1000, Virtual Data = 1000h, Virtual Offset у меня сам становится равен 1000! После этого я только выставил Entry Point= Virtual Offset, который у меня Petools
выставил =1000.
Так что я не виноват в этом. Ладно,на этом можно урок закончить.Спасибо за науку.

| Сообщение посчитали полезным:

serkuz пишет:
Так что я не виноват в этом.
бггг. теперь сделай так:
sniperZ пишет:
или исправь. у тебя Virtual Offset твоей секции = 3A3000 и еп такое же..
выставь токие зночения и грузани файл в ольгу..

serkuz пишет:
Ладно,на этом можно урок закончить.Спасибо за науку.
мля, никокого желания учиццо..

| Сообщение посчитали полезным: