Информации об исследовании данной защиты в свободном доступе почти нет,кроме мануала про снятие SF 5.50 с игры King's Bounty. Особого интереса этот мануал не представляет по той причине,что на игру есть нормальные NoDVD.
Идея была такая - снять дамп с запущенного через эмулятор процесса ,затем восстанавливать недостающие процедуры из Protect.dll.
Версия 4.70 очень поганая, запустить её с эмулятором удается с 10-15 раза.
Если в отладчике открывать сам exe-файл ,то после тыкания Shift+F9 выбрасывает в Protect.dll . Никакого EP нет.
Вообщем пусть гуру объяснят как тут надо действовать

| Сообщение посчитали полезным:

Calypso пишет:
Так есть ли нет,определитесь уже.
Есть.

| Сообщение посчитали полезным:

После дампа вм на оеп, проверки диска не будет. Работать старая версия вм будет на одном железе. В новых есть еще проверка версии системы, как антидамп. Кстати Номад малек неправильно говорит. Пикод, он же PCode, он же PseudoCod, он же лента вм или байткод есть в любой вм стара. Я только коллапс видел вообще без регистровой вм и соответственно пикода. Он говорит, что есть спертый код.

| Сообщение посчитали полезным:

Пикод на петьке есть.
Три дампа под разные ОС? Глупость. Нужно искать универсальное решение, т.к. адрес апи может изменится и в пределах одной системы.
IsDebuggerPresent используется в новой ВМ, старая ВМ дергает WaitForSingleObject для своих нужд.
Апи из таблицы импорта так же могут быть перенаправлены в ВМ. Ищуться как и ОЕП через ВМ_Екзит.

| Сообщение посчитали полезным:

Это только при защите импорта так. И то в новых версиях. Фиксятся точно так же как и простые переходники. (Проще всего это делать как написано выше через вм ексит)

| Сообщение посчитали полезным:

Psalmopoeus Pulcher пишет:
Три дампа под разные ОС? Глупость. Нужно искать универсальное решение, т.к. адрес апи может изменится и в пределах одной системы.
Я для себя кряк делаю,а не для школоты на форумах. А если для себя так можно под любой процессор и под любую ОС сделать, по крайней мере для начала я думаю так сделать
Nightshade пишет:
После дампа вм на оеп, проверки диска не будет. Работать старая версия вм будет на одном железе
Ну и замечательно.Значит моя задача на данный момент расшифровать 15 функций и исправить 33 прыжка, а потом будем решать как дальше жить

| Сообщение посчитали полезным:

Calypso пишет:
расшифровать 15 функций
если ты собрался делать дамп нахера их расшифровывать? или ты про импорт?

| Сообщение посчитали полезным:

Calypso пишет:
Можно сделать 3 версии кряка,когда получится сделать хоть одну - дальше конвеер заработает на полную мощность
Ты завхоз в китае что ли? Такой бред несешь.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: DimitarSerg

MasterSoft пишет:
если ты собрался делать дамп нахера их расшифровывать? или ты про импорт?
Импорт 6 функций в кернел32 и 4 функции в юзер32. Две функции мне уже подсказали, а остальные придется неделю расшифровывать
PE_Kill пишет:
Ты завхоз в китае что ли?
У меня в планах сделать 27 анпаков на 3 игры,для 3 разных ОС и 3 разных процессоров (Семпрон,Атлон64 и Феном)

В аттаче 4 функции user32.dll ,кто может гляньте. Чего то не могу найти пока ни одну

6ed5_02.11.2011_EXELAB.rU.tgz - petka import.txt

| Сообщение посчитали полезным:

код процедур собран не полностью.

В помощь пару паттернов для примера:








И т.д...

| Сообщение посчитали полезным:

Calypso
02043EF2 - DefWindowProcA
0206E515 - LoadStringA
02044044 - GetClientRect
02044251 - GetMessageA

| Сообщение посчитали полезным:

Calypso, ты с ассемблером вообще дружишь?

...капитан Очевидность как бы намекает, что скорее всего эмулируются начальные команды системных функций, а затем идёт переход в эту самую системную функцию, ниже команд, которые были проэмулированы. Делай вывод.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

huckfuck
Круто,а как так быстро нашел если не секрет?
DillerInc
Я пытаюсь понять как СФ гадит функции,пока только заметил что ptr каждый запуск меняется,так же как меняет их код. В чем тут смысл то,сделать из простой команды mov eax,ebx несколько десятков бесполезных манипуляций с регистрами и запутать хакера?

| Сообщение посчитали полезным:

Calypso пишет:
В чем тут смысл то,сделать из простой команды mov eax,ebx несколько десятков бесполезных манипуляций с регистрами и запутать хакера?

--> Читайте <--

Круто,а как так быстро нашел если не секрет?
Я рыдаю

Я пытаюсь понять как СФ гадит функции
Понять как - ментально? Вы поймите меня правильно, я против вас ничего не имею ввиду, но вам нужно почитать статьи и изучить более простые вещи, а потом браться за старфорс.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Ну ясно короче,по аналогии как например буквы в словах местами переставить и ничего не понятно.
Меня удивило как люди так быстро дешифруют эти функции, это что - талант такой или есть какой-то секрет,о котором мне не известно?

| Сообщение посчитали полезным:

Calypso пишет:
есть какой-то секрет,о котором мне не известно?
Некоторые функции не морфятся из kernel32 и их на память можно запомнить.
Во вторых можно просто ставить eip на начало кода, трейсить и выходить сразу в dll, смотрим выше и узнаем имя функции. Если есть константы с адресами то по Ctrl+G переходим и смотрим что за функция.
Если системные либы подменены своими то и соответственно код можно на глаз будет определять.
Восстановление IAT дело муторное но не сложное. Как говорится было бы желание

| Сообщение посчитали полезным:

C kernel32 всё оказалось намного проще,как я его пощёлкал:
0203E163 - MulDiv
0203C3A0 - GetCurrentProcessId
0203C41C - LoadLibraryA (возможно?)
0203E0A4 - GetTickCount
0203F828 - SleepEx (возможно?)
0203EAB7 - MultiByteToWideChar

ee53_02.11.2011_EXELAB.rU.tgz - petka import KERNEL32.txt

| Сообщение посчитали полезным:

Calypso, держи файло для импрека с табличкой импорта жертвы,
мож это придаст тебе силы и ты сделаешь этот СФ

1415_02.11.2011_EXELAB.rU.tgz - petka8iat.zip

| Сообщение посчитали полезным:

Почему то секция новая не приклеивается. В PE Tools показывает что она добавилась,а делаешь дамп и размер как был 1.2 МБ так и остался.
Адрес пустой секции с ВМ рассчитывается по формуле: (чего тут я не понял - 0080400 (ImageBase protect.dll) ) + (00804000-00400000)
Может в этом причина
http://depositfiles.com/files/0ujpueqzs

Вот чего-то приклеилось,по-моему дамп совсем не тот - кода, по которому джампы стоят, нету
http://depositfiles.com/files/abx8sqpm1

| Сообщение посчитали полезным:

Calypso
Не бери на себя слишком много. Где флуд, а где нет - решит модератор, а не ты.
Хочешь поучать других участников форума - делай это перед зеркалом.
Не сдержишься - отдохнёшь в бане.

Если тебе советуют изучить хотя бы Basic версию, то это потому, что тебе нужно начинать с азов, даже не с бейсика, а с upx, с работы с отладчиком. Хватит уже твердить про "у меня про, потому я её и копаю".
Ты пока не понимаешь, насколько ты смешон, пытаясь "умно" отвечать, но это пройдёт.
Посему сконцентрируйся на работе и оставь свои рассуждения о том, что не относится к конкретной задаче.

Удачи в совершенствовании.

-----
EnJoy!

| Сообщение посчитали полезным: MasterSoft, SReg, daFix

Jupiter пишет:
Ты пока не понимаешь, насколько ты смешон, пытаясь "умно" отвечать, но это пройдёт.
Если у вас есть конкретные факты,то покажите их. Смех без причины признак сами знаете чего
Jupiter пишет:
Посему сконцентрируйся на работе и оставь свои рассуждения о том, что не относится к конкретной задаче.

Могу посоветовать тоже самое вашим "спецам", 90% которых сразу заткнулись как только разговор пошёл о технической стороне вопроса
Jupiter пишет:
Не сдержишься - отдохнёшь в бане.

О да,это невероятное огорчение. Особенно судя по тому, что на форуме только 1 человек знает как снять SF 4.70

| Сообщение посчитали полезным:

Calypso
А не пошел бы ты ..., вместе со своим петькой?

От модератора: на сутки бан за слова нехорошие. а топик вообще лулзовый, если б не столько лулзов, давно бы закрыл уже

| Сообщение посчитали полезным: HandMill, zeppe1in, Dart Sergius, yanus0, DimitarSerg, Kylak

"нельзя попасть в ВУЗ, нагло игнорируя школьную программу"
Смею предположить что спецы если и готовы отвечать на вопросы но только не уровня "как прицепить секцию"
Максимум что бы у вас вышло с текущим уровнем знаний - снять sf с басик версии.

| Сообщение посчитали полезным: Dart Sergius

Calypso
Устройся на работу,поработай три-четыре месяца, возьмешь все зарплаты полные,и отдай человеку,который тебе сможет помочь со старом за консультации. Потому что на эти знания у людей,разобравших старфорс(не васик) потрачено намного больше человекочасов, чем 3-4 месяца. И не твоих нубских человекочасов, а времени хороших специалистов в реверсе. Думаю,крепко задумаешься,не лучше ли купить 100+ копий Петьки, чем отдавать такие деньги за "интерес" к снятию стара(который в твоем случае так и останется "интересом на взлом одной игры").

Отчасти из-за этого и пишут тебе
Jupiter пишет:
Насколько ты смешон, пытаясь "умно" отвечать, но это пройдёт.

Это не издевательство,это просто прямо тебе говорят как есть,без намерения обидеть.

| Сообщение посчитали полезным:

Calypso, просто ты слишком рьяно пытаешься понять то, что твой мозг сейчас не осилит. И ты пытаешься узнать всё сразу, совершенно хаотично.
Если тебе очень интересно изучение программ, то начни с того же самого upx, потом сам без туторов попробуй Armadillo(хотя бы распаковать, а не закейгенить).
Просто ты кидаешься сразу на самое сложное, это тоже самое что ты бы в первом классе изучал n-мерные пространства, базисы и матрицы. ТЫ БЫ ЧТО-НИТЬ ПОНЯЛ БЫ? И то что тут происходит - это попытка объяснить новичку что и как и где работает, причём начиная сразу с таких вот матриц,и пространств.
Людей, которые знают как снять старика >=4,7 тут немало, но не каждый захочет объяснять самые простые вещи.

| Сообщение посчитали полезным:

Разбор старичка это настолько наболевшая проблема, у некоторых сторожил возникает какоето презрение к человеку(особенно если это новичёк) который пытается разобратся в непростом проте,кроме флуда на семь страниц ничего ненабролось ну кроме двух постов где рассказывалось как убрать CRC(в отличии поиска мифического 7 кала) ну и дампа вм..
Jupiter пишет:
Ты пока не понимаешь, насколько ты смешон, пытаясь "умно" отвечать, но это пройдёт.
Ну ка я счас поднему твои превые посты .... без обид...
Calypso
Терпение мать учения,учитесь учитеьс и ещё раз учитесь через годикк другой глядишь и над нами будешь смеятся...

| Сообщение посчитали полезным:

жаль что ТС нельзя редактировать свой топик.
НЕ хотите помогать ему - так и НЕ заглядывайте в эту тему

| Сообщение посчитали полезным: hlmadip, Calypso

Calypso
чувак тебе повезло у тебя уже есть дамп, есть восстановленный IAT, тебе даже сказали как дампить ВМ. Тебе осталось только сдампить секцию sforce3 и всю выделеную память приклеить её к petka.exe и импорт через IMPRec зафигачить всё! У тебя он будет работать тебе хватит цпуиди тебе нафиг-то фиксить если у тебя будет работать? По моему это и была изначальная цель, разве нет?
Dart Sergius пишет:
Armadillo
помоему заинлайнить ему будет проще
ps: а нахрен ему восстановливать джампы в ВМ если он её дампить собрался? по моему этого не надо делать.

| Сообщение посчитали полезным:

r99 пишет:
жаль что ТС нельзя редактировать свой топик.НЕ хотите помогать ему - так и НЕ заглядывайте в эту тему
Не. Нам интереснее реверсить весело. Ему уже и так все разжевали, но он продолжает тупить.
Есть у кого Стар новый без виртуализованного кода? Желательно небольшого размера. Может запилю вам тутор по отлому и дампу вм. Желательно без sffs. Он тоже не проблема, но там иструменты чужие, которые не будут всем доступны.

| Сообщение посчитали полезным:

Вот нафлудили то,прям форум школяров какой-то.
r99 пишет:
НЕ хотите помогать ему - так и НЕ заглядывайте в эту тему

Абсолютно верно,читаете мои мысли. Сделайте так ,чтобы эту тему видели только те кому интересен Старфорс и его исследование, остальные пусть идут дрочат в кулачок
Nightshade пишет:
Ему уже и так все разжевали, но он продолжает тупить.
Да нет,я думаю вопросов ещё много не раскрытых. Если тему закроют,то юные читателя Кряклаба никогда не узнают на них ответы
ThugboyZ пишет:
нахрен ему восстановливать джампы в ВМ если он её дампить собрался? по моему этого не надо делать.

Сейчас я как раз на этом завис. Ты наверно не понимаешь как работает ВМ - у нее адреса постоянно меняются, если мы оставим джамп старый - он будет указывать на несуществующий адрес.
К примеру,попробуй определи на каком адресе будет располагаться код, на который прыгает:
004036E0 -E9 FDE8C601 JMP 02071FE2
Прыгать он будет на адрес,который вернет ВМ после работы. А его ещё надо вычислить. Тут ещё гемороя выше крыши

| Сообщение посчитали полезным:

Юные читатели не должны трогать стар с виртуализованными функами. Пускай на бейсике тренируются.

| Сообщение посчитали полезным: Dart Sergius