Всем привет! Есть игра Ragnarok. В клиенте реализована защита с помощью dll. При выборе ее в Olly Debug попадаю на модуль ntdll 775F1D78. Также хотел посмотреть список функций, реализованных в dll с помощью DLL Export Viewer. Увидел только одну функцию dummy(наводит на мисль, что реальные функции спрятали). Подскажите пожалуйста как можно обойти данные ограничения, и каким образом они реализованы. Модуль защиты в аттаче.

177a_30.10.2010_CRACKLAB.rU.tgz - protect.dll

| Сообщение посчитали полезным:

UPX снимите и радуйтесь. Декомпильнутая в аттаче.
DeleteFileA("ws2_32.dll"); - в DllMain наводит на мысли...
Ну и IsDebuggerPresent там же.

f17e_30.10.2010_CRACKLAB.rU.tgz - protect.c

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

HiEndsoft, спасибо большое за проделанную работу. Захотел попробовать самим снять UPX.
upx.exe -d protect.dll
В результате получил dll размером побольше чем оригинал, чего и следовало ожидать. Потом опробовал открыть ее в Olly Debug и DLL Export Viewer. Результат оказался таким же как и в первом сообщении. Почему так? DLL со снятым мною upx в аттаче.
P.S. Я только начинаю изучать отладку. Посоветуйте пожалуйста, с прочтения чего стоит начинать.

3c2b_30.10.2010_CRACKLAB.rU.tgz - protect_no-upx.dll

| Сообщение посчитали полезным:

Dynamic пишет:
Посоветуйте пожалуйста, с прочтения чего стоит начинать.
Поставьте на олю для начала фантом хотя бы.
Вот распакованая dll. В импорте все видно.
И пользуйтесь Dependency Walker.
DeleteFileA("ws2_32.dll"); - в DllMain - реально напрягает

e285_30.10.2010_CRACKLAB.rU.tgz - protect.dll

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Что вы над ним издеваетесь это же стар

Dynamic тебе это не по зубам будет.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

HiEndsoft, а каким отладчиком пользовались Вы для данной ситуации? IDA PRO? Распакованая dll в Olly Debug ведет себя также. Потом поставлю плагин phantom и попробую еще раз. Если я верно понял, то данный плагин для скрытия отладки. Верно? Какая мотивация могла быть у разработчиков защиты, чтоб удалять ws2_32.dll в папке клиента? Исключение подмены системной dll? За Dependency Walker спасибо. Это аналог DLL Export Viewer? Также посоветуйте пожалуйста книги, статьи, сайты для повышения знаний в отладке программ.

| Сообщение посчитали полезным:

Dynamic пишет:
Также посоветуйте пожалуйста книги, статьи, сайты для повышения знаний в отладке программ.
https://cracklab.ru/f/action=vthread&forum=5&topic=14847

Ты хочешь открыть длл и её отлаживать самостоятельна?

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV, конечно хочу Надо же с чего-то начинать
P.S. Спасибо за ссылку на уроки по Olly Debug.

| Сообщение посчитали полезным:

BoRoV А че в старике такого, чего нельзя сломать (смотри подпись)?

Основная система: от простого к сложному, китайская - от сложного простого. Пусть пробует, если сломает, то будет крушить все остальное.

Dynamic ломать dll очень долго потому как там висит виртуальная машина. Легче наверное сделать инлайн патч что бы прога думала всегда что вставлен лицензионный диск.

Я бы на твоем месте нашел любую NOCD игру с такой же dll но сломанной и посмотрел бы как там сделано. С вероятностью 90% на твоей игре прокатит тоже самое, но, может быть, с небольшими вариациями.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
BoRoV А че в старике такого, чего нельзя сломать (смотри подпись)?
Где я говорил, что нельзя взломать? Я говорил следующее:
BoRoV пишет:
Dynamic тебе это не по зубам будет.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Про старфорс видимо BoRoV пошутил

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Maximus, если я правильно понимаю, StarForce это система защиты от незаконного копирования. Данная мною dll шифрует трафик, защищает от перехвата трафика сниферами, внедрения сторонних библиотек в процесс, модификаций игрового файла. То есть защиты от незаконного копирования там нет. Или я что-то не верно понял?

| Сообщение посчитали полезным:

По идее ломка защиты к игре (типа антибота) денег стоит. Пишите в ЛС.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Dynamic protect.dll
1. Распаковывает файл
2. В ней хранится некоторое количество критичных процедур защищенной программы, которые обрабатываются в вм, а это делает что то другое, например сама игра...
>шифрует трафик, защищает от перехвата трафика сниферами, внедрения сторонних библиотек в процесс

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus
BoRoV А че в старике такого, чего нельзя сломать (смотри подпись)?


Ну раз для вас так легко снять старфорс, тогда пустить инфу в массы, напишите статью, давно не было новых

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

HiEndsoft пишет:
DeleteFileA("ws2_32.dll");

Чего вы так прицепились к этому коду? Это банальная защита от инлайна с помощью длл. Ничего диструктивного тут нет, в систем32 она не лезет, наоборот этот код призван грузить библиотеку только из систем32.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Maximus, на счет того что данная dll распаковывает файл - правда. Бинарник игры обычно весит 3-4 мб. А в моем случае 9. У разработчиков защиты есть возможность заказать вариант защиты с лоадером. Видимо для удобности замены бинарника игры(?).
Что значит "которые обрабатываются в вм"? вм = виртуальная машина? Дайте пожалуйста намек(ссылку) где можна про это почитать.

| Сообщение посчитали полезным:

Coderess я не написал "снять", я написал "сломать". Я, например, просто добавлял в импорт protect.dll свою dll, и делал таким способом универсальный кряк (по сигнатруам)

Dynamic информация по ВМ=виртуальной машине закрытая инфа. Сам я ее не ковырял, считаю что сломать старика можно и не разбирая ВМ.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus, то есть ВМ это дополнительная защита StarForce и в моем случае такой защитой и не пахнет. Верно?

| Сообщение посчитали полезным:

Coderess пишет:
Ну раз для вас так легко снять старфорс, тогда пустить инфу в массы, напишите статью, давно не было новых
Никакого смысла в этом нет.

Maximus пишет:
информация по ВМ=виртуальной машине закрытая инфа. Сам я ее не ковырял, считаю что сломать старика можно и не разбирая ВМ.
+1

Dynamic пишет:
то есть ВМ это дополнительная защита StarForce
ну как сказать...вм юзают те кому не в лом юзать маркеры, правильно навесить защиту тоже нужно уметь, некоторые разрабы почему-то этим принебрегают....в вашем случае не знаю, не смотрел, по одному файлу protect.dll не скажешь, нужен как минимум ещё exe.

P.S.: подобные топики заканчиваются грозным рыком арчи, а потом закрываются ибо это очередной флудотопик...

Dynamic
поищи по форуму и в нете, инфы по стару и подобных тем хватает для того, чтобы вникнуть немного.

| Сообщение посчитали полезным:

Maximus
я не написал "снять", я написал "сломать". Я, например, просто добавлял в импорт protect.dll свою dll, и делал таким способом универсальный кряк (по сигнатруам)

Интересный метод, написали бы о нем

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

MasterSoft, спасибо за ответ.

Заметил что при загрузке любой программы в Olly Debug, происходит останов в ntdll(Paused). Я сижу под Win7 x64.
Подскажите пожалуйста в чем дело и возможные пути решения проблемы.

| Сообщение посчитали полезным:

Dynamic пишет:
Заметил что при загрузке любой программы в Olly Debug, происходит останов в ntdll(Paused). Я сижу под Win7 x64.
Подскажите пожалуйста в чем дело и возможные пути решения проблемы.
Видимо у тебя в Options->Events->Make first pause at стоит System Breakpoint, нужно сменить на Entry point of main module

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

На чистой ольке под х64 Single Step происходит, она его коряво обрабатывает, плаг Olly Advanced это фиксит, но свои баги имеет, либо руками пропускать надо.

| Сообщение посчитали полезным:

Archer, спасибо. Плагин Olly Advanced решил проблему.

| Сообщение посчитали полезным: