Информации об исследовании данной защиты в свободном доступе почти нет,кроме мануала про снятие SF 5.50 с игры King's Bounty. Особого интереса этот мануал не представляет по той причине,что на игру есть нормальные NoDVD.
Идея была такая - снять дамп с запущенного через эмулятор процесса ,затем восстанавливать недостающие процедуры из Protect.dll.
Версия 4.70 очень поганая, запустить её с эмулятором удается с 10-15 раза.
Если в отладчике открывать сам exe-файл ,то после тыкания Shift+F9 выбрасывает в Protect.dll . Никакого EP нет.
Вообщем пусть гуру объяснят как тут надо действовать

| Сообщение посчитали полезным:

В статье чувака,который ломал King Bounty написано что надо поставить бряку на секцию .text и поставить EIP на начало ВМ, т.е. на адрес 02071FE2. Затем пустить трассировку и увидим на какой адрес petka.exe выйдет отладчик. И его надо подменить в нашем джампе. Я так это понял
ThugboyZ пишет:
чувак тебе повезло у тебя уже есть дамп, есть восстановленный IAT, тебе даже сказали как дампить ВМ. Тебе осталось только сдампить секцию sforce3 и всю выделеную память приклеить её к petka.exe и импорт через IMPRec зафигачить всё! У тебя он будет работать тебе хватит цпуиди тебе нафиг-то фиксить если у тебя будет работать? По моему это и была изначальная цель, разве нет?
Вот уж действительно петросян отдыхает. Учи матчасть чем SF Basic от Pro отличается, не только импортом

| Сообщение посчитали полезным:

Calypso пишет:
В статье чувака,который ломал King Bounty написано что надо поставить бряку на секцию .text и поставить EIP на начало ВМ, т.е. на адрес 02071FE2. Затем пустить трассировку и увидим на какой адрес petka.exe выйдет отладчик. И его надо подменить в нашем джампе. Я так это понял
К стару 4.70 это НЕ относится. Это статья годна для бэйсик версий 5.5+. Новый стар ворует условные\безусловные переходы и вызовы функций. Это и антидамп и триггеры (проверка целостности кода приложения, валидности рег. данных и проч.). На 4.7 этого не было. Все прыжки в ВМ - только виртуализированый код приложения!

| Сообщение посчитали полезным:

Тогда объясните ещё раз,что делать с прыжками:
004036E0 -E9 FDE8C601 JMP 02071FE2
004036E6 -E9 B3E7C601 JMP 02071E9E
0044A8A0 -E9 0D77C201 JMP 02071FB2
00496C80 -E9 39B3BD01 JMP 02071FBE
00496C99 -E9 30B2BD01 JMP 02071ECE
00496CA5 -E9 6CB2BD01 JMP 02071F16
00496CB2 -E9 3BB2BD01 JMP 02071EF2
00496CC0 -E9 39B2BD01 JMP 02071EFE
00496CEA -E9 33B2BD01 JMP 02071F22
004A9130 -E9 818DBC01 JMP 02071EB6
ну и так далее.
Я чего то никак не соображу,на какой адрес теперь будет передаваться управление
Адреса 020... бла бла - виртуальные,их генерирует движок Старфорса рандомно. Если сделать фиксированный дамп - ничего работать не будет

| Сообщение посчитали полезным:

В фиксированном дампе ничего генерится не будет. Все прыжки будут в одно и тоже место.

| Сообщение посчитали полезным:

5.5+ дампить надо отдельно protect.dll, тогда джампы можно не трогать.

| Сообщение посчитали полезным:

Да там какая-то защита от дампа стоит похоже,наблюдайте что происходит по адресу 0053248c
По-крайней мере ,сдампленный файл с пришитыми ВМ+ память + фиксенный импорт сыпется при попытке записать по этому адресу, там то есть код то нету.
Тут вылетает
MSVCR71.__set_app_type
004E71E5 59 POP ECX
004E71E6 830D 8C245300 FF OR DWORD PTR DS:[53248C],FFFFFFFF

| Сообщение посчитали полезным:

Calypso пишет:
Тут вылетает
Выставь у второй,третьей и четвертой секций права на запись в petools.

Склеил себе тоже exe с восстановленным IAT и прикрученной VM - валится на обращении к памяти 0x02***** так что найти внешние прыжки не составит труда. Знать бы куда только ведут.
Если не сложно глняь сюда

И сдампь всю секцию куда ведет jmp

| Сообщение посчитали полезным:

Я сдампил всю память ВМ и прилепил даже к дампу, только с адресами секций запутался

c73c_03.11.2011_EXELAB.rU.tgz - Dump_020D0000_00040000.bin

| Сообщение посчитали полезным:

Итак детишки,у нас для вас плохие новости. Помимо всех прочих пакостей ,на десерт Петька приготовил нам вызов API функций из виртуальной машины. Так что обычный дамп не прокатит

И ещё проблема с PE Tools ,после добавления секции если адрес её вводить руками, вылазит ошибка что "файл не запускается\не является приложением win32"
Все размеры секций высчитаны правильно, Optional Header и Size of Image подправлены
Флаги writeable установлены
http://s2.ipicture.ru/uploads/20111103/t4IEINBW.png
http://s1.ipicture.ru/uploads/20111103/jRtNi4WI.png

| Сообщение посчитали полезным:

Да неужели?! Я, кажется, про вызов апи из ВМ ясно написал, что они есть. Ты вообще читаешь что тебе пишут или тупо на флуд жалуешься?

| Сообщение посчитали полезным: BoOMBoX

Ну есть вызовы и есть, прекрасно. Для дампа, который используется на той же машине, где был сделан - это не проблема.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Calypso пишет:
Если у вас есть конкретные факты,то покажите их. Смех без причины признак сами знаете чего

Calypso пишет:
Могу посоветовать тоже самое вашим "спецам", 90% которых сразу заткнулись как только разговор пошёл о технической стороне вопроса

Calypso пишет:
О да,это невероятное огорчение. Особенно судя по тому, что на форуме только 1 человек знает как снять SF 4.70

Ты не внял моему совету. Отдохни.



Wally
см. ЛС

-----
EnJoy!

| Сообщение посчитали полезным: Bronco, Dart Sergius

Calypso пишет:
Итак детишки,у нас для вас плохие новости. Помимо всех прочих пакостей ,на десерт Петька приготовил нам вызов API функций из виртуальной машины. Так что обычный дамп не прокатит

М лять, нет слов просто, две страницы назад:

BoOMBoX пишет:
да и внутри ВМ выполняется эмуляция кусков(процедур) оригинального кода, причем еще и с вызвовом win API функций, адреса которых не лежат в табличке импорта основного экзешника.

интересно, какое открытие ТС сделает далее...

| Сообщение посчитали полезным:

BoOMBoX пишет:
интересно, какое открытие ТС сделает далее
У него есть время подумать над открытием. Но экстенсивный метод обучения ему не очень подошёл.

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter
Может стоить закрыть топик? Что-то мне подсказывает, что после разбана, тут будет ещё страниц 8 такого же флуда, и опять он ничего не распакует

| Сообщение посчитали полезным:

ThugboyZ
Ну пусть копает, если ему действительно интересно в большей степени, чем препираться с модератором и заниматься самомодерацией.
Топик интересен тем, что тут реально весело идёт обсуждение собственно протектора.
Пока что обсуждение не загнулось, и топик интересен отнюдь не ТС ))
Всё. Далее по теме, плз.

-----
EnJoy!

| Сообщение посчитали полезным:

Calypso пишет:
Вот нафлудили то,прям форум школяров какой-то.

Calypso пишет:
Если тему закроют,то юные читателя Кряклаба никогда не узнают на них ответы

Calypso пишет:
Итак детишки,у нас для вас плохие новости.

Такое ощущение, что ТС в детском саду нянечкой работает.

Calypso пишет:
остальные пусть идут дрочат в кулачок

Вот этим в бане и займись, а потом в бой с новыми силами!

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Пока наш весельчак в бане, поговорим о серьезных вещах. Снять рабочий дамп ВМ под свою систему может любой реверсер среднего уровня, при желании, есстественно. Заставить его работать на всех ОС немногим меньше, но тоже многие. В подполье уже выложен мануал как это делать. Здесь я вкратце приведу основные идеи.
Итак, для того чтобы получить рабочий дамп ВМ под свою систему, как уже отмечалось, достаточно сдампить всю память, выделенную виртуальной машиной, и саму ВМ, а затем правильно прикрутить все это к .exe файлу, т.е. чтобы в памяти все оказалось по старым адресам. Как правило, между .exe, выделенной памятью и секцией ВМ довольно большой промежуток, и, в результате, при этом методе дампа, полученный .exe файл расползется в памяти на пару сотен мегабайт. Такой расклад мне лично не нравится. Выделение большого региона памяти с последующим перехватом VitualAlloc тоже меня не удовлетворил, поэтому был выбран довольно извращенный способ размещения всех страниц памяти стара как можно ближе к .exe:
1) К оригинальному .exe прикручивалась пустая секция с гигантским значением VirtualSize;
2) Перед началом инициализации ВМ (первый прыжок в нее) в процесс инжектилась либа, которая:
а) Копировала ВМ в новую секцию и все последющие обращения к ВМ переадресовывала к копии;
б) Ставила хуки на все экспортируемые по именам апи из сист. библиотек (обычно kernel32.dll, user32.dll и advapi32.dll).
Хуки ставились следующим образом. В добавленной к .exe секции генерировались jmp ds:[Buf], где Buf массив оригинальных адресов апи, тоже расположенный в пустой секции, а затем патчилась таблица экспорта так, чтобы она указывала на наши джампы. Список имен всех перехваченных апи писался в файл для использования в будущем;
в) Затирала в памяти в PE хидере информацию о новой секции и правила SizeOfImage на оригинальный;
г) "Помогала" стару получить кусочек памяти в новой секции.
3) Продолжалось выполнение программы до OEP;
4) Восстанавливались таблицы экспорта, чтобы ImpRec мог нормально определить имена апи (Стар не сможет спереть ничего кроме нашего jmp ds:[Buf], поэтому такой перехват позволяет легко восстановить импорт);
5) Снимался дамп .exe. В дамп вносились необходимые правки, типа обрезания ненужного пространства пустой секции и прикручивания секции с импортом;
6) К дампу .exe цеплялась либа, которая при запуске из списка имен апи, сохраненного ранее, получала адреса этих апи и записывала их в память .exe, подменяла в ВМ функцию из кодосекции оригинальной protect.dll (через нее выделялась память под нужды ВМ) и вычисляла значения cpuid для обхода антидампа.

P.S. Об антидампе, возможно, тоже напишу, но позднее. Мне интересно не просто слить инфу, а чему то научить и передать опыт, убедится, что наработки кому то реально пригодились. Если будут рабочие дампы ВМ под одну систему, то будут и подробности создания полностью работоспособного дампа ВМ.

| Сообщение посчитали полезным: Veliant, Calypso, Jupiter, obfuskator, Dart Sergius, Gideon Vi, _ruzmaz_, GoldenJoe

Полагаю вот этот склееный ехе должен работать у ТС
http://rghost.ru/28506081

Ну а у меня вопрос к тем, кто ковырял ВМ стара:
У меня например есть лог эмулируемых команд, и естественно циклы получаются развернутыми. Относительно чего можно адресовываться, чтоб сократить лог если идет повторное выполнение?
Ленты постоянно переключаются, поэтому не думаю что вариант, да и вручную не хочется сокращать код

| Сообщение посчитали полезным:

Вставлю своих 5коп.

Olenevod пишет:
б) Ставила хуки на все экспортируемые по именам апи из сист. библиотек (обычно kernel32.dll, user32.dll и advapi32.dll).

Также зависит если игра в краденых функциях использует АПИ или нет, например хуки в ws2_32 надо делать по ординалу если нету имени функции.

Также чтобы восстановить импорт можно обойтись без хуков всех экспортируемых функций если идет речь о бейсик версии, можно захучить обработчики mov [r1], r2 и смотреть куда записывается r2 если в ИАТ то в контексте вм ( в каком регистре не помню ) будет оригинальная функция.

| Сообщение посчитали полезным:

Модератор со школотроллями жгут - прямо великое одолжение для нас читать ваши бредни.
Оленевод конечно вовремя пришел - тема уже превратилась в песочницу клоунов-членомеров вроде PE_Kill который за всю тему написал лишь 1 кажется полезное сообщение,не считая килобайтов тупого школьного бреда.
Продолжайте в том же духе и форум впору будет переименовать в durdomlab :lol:
По теме- могу обломать тех,кто серьезно думает что для снятия SF 4.70 достаточно тупо сдампить ВМ и всю память. Надежда на Оленевода,в личку ему описана суть проблемы мною и ещё некоторыми вменяемыми крекерами. Возможно дамп всех секций ВМ решит проблему,неизвестно.
Здесь началась уже политика ,Оленевод крекер со сцены,у него есть некий софт который он не даст мне и другим участникам форума, понятно его нежелание распространять приватные мануалы.
Придется делать выбор- или топик сливается в унитаз со всеми наработками,или же сцена будет открывать приватную информацию о снятии SF

| Сообщение посчитали полезным: bowrouco

Olenevod пишет:
Об антидампе, возможно, тоже напишу, но позднее. Мне интересно не просто слить инфу, а чему то научить и передать опыт, убедится, что наработки кому то реально пригодились. Если будут рабочие дампы ВМ под одну систему, то будут и подробности создания полностью работоспособного дампа ВМ.
Да нам бы хоть под одну систему сделать рабочий дамп,а в том чтоб кряк попал на говнофорумы мы и сами как бэ не заинтересованы. Разработчики Петьки - парни из Воронежа,можно сказать земляки мои

| Сообщение посчитали полезным:

Calypso пишет:
Придется делать выбор- или топик сливается в унитаз со всеми наработками,или же сцена будет открывать приватную информацию о снятии SF
сам-то видать не догадываешься какой в итоге будет сделан выбор?

| Сообщение посчитали полезным:

Olenevod пишет:
Итак, для того чтобы получить рабочий дамп ВМ под свою систему, как уже отмечалось, достаточно сдампить всю память, выделенную виртуальной машиной, и саму ВМ, а затем правильно прикрутить все это к .exe файлу, т.е. чтобы в памяти все оказалось по старым адресам.
Увы,это сделано здесь:
Veliant пишет:
Полагаю вот этот склееный ехе должен работать у ТС
http://rghost.ru/28506081

но как каждый может сам убедиться,игра с этим дампом не работает.
Вообщем ждем трезвых идей. Я сделал ещё дамп всей памяти,начиная с 00A11000 ,всего 20 с лишним мегабайт. Сможете прикрутить чтобы всё работало - снимаю шляпу
http://depositfiles.com/files/iueuiethg

| Сообщение посчитали полезным:

Calypso


-----
EnJoy!

| Сообщение посчитали полезным: MasterSoft, Calypso, SReg, Kylak

Calypso пишет:
Разработчики Петьки - парни из Воронежа,можно сказать земляки мои
Земляк, сочувствую твоему горю - а именно нежеланию читать советы людей, и копать вм, в надежде на лучшее - не лучшее времяпровождение. Практически на любую игру есть no-dvd. Можно эмулировать диск. Но тебе приспичило копать всё самому. Похвально, но стоило правильно оценить свои возможности. Попробуй обойти антидамп в Armadillo, а потом смотри виртуальные машины.

| Сообщение посчитали полезным:

Calypso пишет:
В статье чувака,который ломал King Bounty написано что надо поставить бряку на секцию .text и поставить EIP на начало ВМ, т.е. на адрес 02071FE2. Затем пустить трассировку и увидим на какой адрес petka.exe выйдет отладчик
такого там не написанно, пробовал трейсить вм? попробуй, скок у тя интересно займёт времени это
если так интерессно почитай ещё вторую часть, она малость не про анпак, но для общего образования полезно, она ниже в каментах лежит. и ваще хватит ужО, я скоро икать начну четвёртая версия у тя есть, терь возьми ради интересса пятую и зацени отличия и по-аккуратней ты бы с выражениями, над тобой стебуться, а ты вместо того чтоб прислушиваться к критике, гнёшь пальцы. запомни, что тебе никто ничего не должен и не загорами уже тот час когда в этом топе останешься только ты и топ сдохнет) вообще я удивлён, что его ещё не закрыли.

теперь всё что по делу. инфы которая тут есть достаточно чтобы сдампить вм. не знаю как версия 4.7 (не интересует ибо не актуально для мну) но 5.7 успешно сдампилось, (помимо самой вм дампил ещё одну страницу с данными) правда взял таргет где пикода нет, а одни переходники всё эт для наглядности так сказать)) с cpuid не вкурил чёта ибо пробовал на разных машинах - дамп воркает. написал бы статью, но это глупо ибо писать нечего тут итак уже всё написали)

| Сообщение посчитали полезным:

Самое смешное, что всё, что расписал оленевод, прокручивал когда то давно Syd с ASProtect 1.23, чтобы не деморфить украденый OEP, наверное стоило бы проделать это и самому с ASProtect, т.к. там в разы проще, набить руку что ли.

Calypso пишет:
тема уже превратилась в песочницу клоунов-членомеров вроде PE_Kill который за всю тему написал лишь 1 кажется полезное сообщение,не считая килобайтов тупого школьного бреда.
Я может и обиделся бы, если бы так не заканчивались все темы про SF. Никогда не будет флуда там, где задаются конкретные вопросы, а если вдруг будет, то модеры наведут порядок, а тут просто все смеются над тобой, в надежде, что ты внемлишь хоть одному совету, но тщетно.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Во-первых, ув. Calypso и ещё некоторые вменяемые крекеры, не нужно захламлять мне личку теми же глупыми вопросами, что и ветку форума, иначе вы можете принять меня за грубого, плохо воспитанного человека, игнорирующего ваши сообщения.
Во-вторых, за тебя тут никто ничего делать не будет.
В-третьих, уважай других участников форума.
В-четвертых, читая твои посты, почему то вспоминается видос с парнем, который "просто танцует". Ты не усваиваешь то, что тебе пишут, жалуешься на то, что тебе никто не помогает, все только флудят и мешают продвижению привата в массы. Ты идиот?
Calypso пишет:
Здесь началась уже политика ,Оленевод крекер со сцены,у него есть некий софт который он не даст мне и другим участникам форума, понятно его нежелание распространять приватные мануалы.
Бред чуть более чем полностью.
Calypso пишет:
каждый может сам убедиться,игра с этим дампом не работает.
К Veliant'у нареканий нет, все сделано правильно. Для тебя я специально повторю и, даже, выделю жирным ключевую фразу: всю память, выделенную виртуальной машиной. К дампу прикручены только те страницы памяти, которые были выделены при распаковке .exe старом, т.е. буфер под переходы в ВМ и спертые апи. Где память, выделенная в процессе инициализации ВМ?
V0ldemAr пишет:
Также зависит если игра в краденых функциях использует АПИ или нет, например хуки в ws2_32 надо делать по ординалу если нету имени функции.
Ты прав, спасибо за дополнение. При распаковке это стоит учитывать, но для снятия дампа ВМ это необязательно.
PE_Kill пишет:
всё, что расписал оленевод, прокручивал когда то давно Syd с ASProtect 1.23
Все описанное - давно изобретенная и описанная методика. Странно, что мало кто этим пользуется.

P.S. Терпеть не могу Воронеж.

| Сообщение посчитали полезным:

Olenevod пишет:
Все описанное - давно изобретенная и описанная методика. Странно, что мало кто этим пользуется.
Так а для чего пользоваться то? То, что автоматизировано - без дампа всей памяти работает. Я в распаковщике ASProtect сначала дампил всю память, но потом прикрутил дизасм и стал собирать всю в одну секцию, правя адреса. Такая методика подходит для получения рабочего дампа неизвестной защиты, или без вникания в устройство этой защиты. А такое бывает не часто.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: