Привет, всем!
Пытаюсь крэкнуть игру «Весёлая ферма», PEiD v0.95 показал, что exe-файл запакован программой ASProtect 1.2x-1.3x. При открытии exe-файла в OllyDbg вылетает окно с сообщением:

Debugger detected – please close it down and restart!
Windows NT users: please note that having the WinIce/SoftIce services installed that you are running a debugger!

Пытаюсь распаковать файл с помощью PETools 1.5.8 и ImpRec 1.7 как показано в видеоролике от Bad_guy. В том видеоролике автоматика ImpRec ошиблась с определением dll-библиотеки из которой вызывается функция WindowProc_A и Bad_Guy указывает библиотеку вручную, после чего восстанавливает таблицу импорта в разжатом файле. В моём случае автоматика тоже ошиблась только ситуация обратная: похоже программа не может правильно определить импортируемую функцию и выводит следующее.

rva:000281D0 ptr:0148CB04

Как исправить это явление я ума не приложу. Bad_Guy выручай, на тебя вся надежда.

З.Ы. Почему-то не запускается IDA Pro 5.0 Выдаёт ошибку C:\Program Files\IDA Free\cfg\idagui.cfg, 174: "OpNumber" = # illegal hotkey

5474_21.06.2012_EXELAB.rU.tgz - Protection error.jpg

| Сообщение посчитали полезным:

Как я понимаю - Alawar?
1. Запускаешь игру, выбираешь запустить триал(30 минут который)
2. Дампишь процесс farm.wrp.exe
3. Открываешь 2 Ollydbg в одну грузищь дамп, во вторую farm.wrp.exe, смотришь на OEP у дампа нормальный код, у farm.wrp.exe одна команда - retn
4. В дампе выделяешь код - binary -> binary copy, в farm.wrp.exe выделяешь область - binary -> binary paste
Есть тулза, автоматически лечащая Alawar, кажись от PE_Kill
И где-то на форуме есть целый топик об этой "защите.

| Сообщение посчитали полезным:

yeremey пишет:
Debugger detected – please close it down and restart!

Всего-то нужно поставить плагин для отладчика коих полно.

yeremey пишет:
Пытаюсь распаковать файл с помощью PETools 1.5.8 и ImpRec 1.7
Вы считаете программы для работы с РЕ файлами и импортом альтернативой отладчику?
Без первого с целью распаковать, они лишь выполняют функцию маринования на диске.

И кстати, забыли отписать что было сделано после злополучного сообщения для выполнения дальнейшей работы.

P.S.: да и кстати, не имея опыта работы с тем же отладчиком браться за сильный протектор такой как ASPr для меня сравнимо с охотой на хищника с палкой/камнем. Ссылка на тулзу для борьбы с протектором:
http://exelab.ru/f/action=vthread&forum=13&topic=18361&page=3#15

| Сообщение посчитали полезным:

для начала проверь исполняемый файл ASPrINF, он покажет версию Asprotecta! ну а дальше пробуй плагин CodeDoctor для ольки или DecomAS! выложи сам файл который колупаешь, прямую ссылку дай!
yeremey пишет:
Debugger detected – please close it down and restart!
Windows NT users: please note that having the WinIce/SoftIce services installed that you are running a debugger!
попробуй плагин для ольки например StrongOD!

| Сообщение посчитали полезным:

Всё вполне правильно написал Carpe DiEm в плане критики.

hlmadip
Я не помню уже когда смотрел что-то алаваровское. Там только лоадер под аспротом? Нету варианта что сам ехе там просто под протектором?
yeremey пишет:
rva:000281D0 ptr:0148CB04
Очень похоже на AsprAPI или просто проэмулированную функцию

-----
Research For Food

| Сообщение посчитали полезным:

yeremey

farm.exe, тот что под аспром, как это всегда у Алавар, лишь хтмл-обозреватель и лаунчер.

*.wrp.exe саму по себе не запустишь в том виде, в каком она есть, так как если ты посмотри
шь на точку входа (EP) этого файла, ты увидишь байт C3 (команда RETN, возврат) и дальше мусор.
то есть тебя выкинет из этого файла и вернет обратно к врапперу (farm.exe)

тебе только и надо, что придать точке входа божеский вид, для этого и есть способы (ломалки, способ сравнения дампов)
то есть когда у тебя 30 мин еще не кончились и ты жмещшь кнопку "играть" в окне враппера, он грузит в память *.wrp.exe - сам файл игры - и исправляет ему эти самые 64 байта в памяти, чтоб он вообще мог работать. и ты можешь с запущенного файла тогда снять дамп, ну в общем как выше тебе рассказали.

З.Ы. поищи в инете есть ломалка другая, для Алавар, Невософт, Рефлексив... в 1 флаконе, 20-25 кб весит
UnWrapper от PE_Kill'а полезная вещь, но на одной из последних игр обломался. кажись, на Сокровищах Монтесумы 3.

| Сообщение посчитали полезным:

Спасибо за исчерпывающую информацию, надеюсь получится обойти защиту. Не обещаю, что произойдёт это быстро - приходится на основной работе работать сверхнормы. Как справлюсь отпишу. Собственно, вот сам скрин скрин моей проблемы в ImpRec:
З.Ы. С IDA я справился - нужно было подправить конфигурационный файл, убрать пару горячих клавиш, которые зарезервированы для других целей.

46c8_22.06.2012_EXELAB.rU.tgz - ImpRec.jpg

| Сообщение посчитали полезным:

по поводу другой игры Алавар - Энциклопедия пасьянсов. Том 1
мучался я неделю.
64 байта точки входа заменил, - не запускается. ну, думаю, еще какую проверку пришили. или же тулза PE_Kill'а сбоит...
в общем, забил на время на игру эту. щас полез, Керберос натравил на нее - оказывается, она искала файл cards.hack.rus (я взломанный exe игры назвал cards.hack.exe), а его, ессно, не было
переименовал cards.wrp.rus файл (это длл, содержащая только ресурсы) - вуаля! работает!

ADDED

насчет игр Невософт, раз уж мы тут говорим о играх
там вообще легкотня. я сам обнаружил: запускаю оболочку игры, аттачу Олю к процессу drm (не drm.exe, так как он "выплевывает" из себя drm и завершается), F9 - чтоб не тормозил, жму "Играть" и в Оле, пока заставка играет (Скачай игру...), жму на паузу
снимаю дамп, даже импорт не надо восстанавливать! более того, на одной из игр я импорт восстановил - она ругалась, а без импорта как шелковая запускалась!
ну, иногда ребилд надо сделать, Лампа Алладина дала дамп 50 Мб, ребилдил -> 5 Мб.
но иногда после ребилда тоже глюк бывает, не запускается.
я использовал PE Tools v1.5 RC7, ImpRec 1.6 .

только вот с игрой "Жуть" пока не выходит, установщик весит 495 Мб. (Blacked Out Ru)
зато нашел кейгенератор, расшифровал БД Невософтовых игр, и сделал себе ключ для Жути
http://rghost.ru/39137539 - 5,3 Мб, если кому интересно

| Сообщение посчитали полезным:

sivorog пишет:
жму на паузу
снимаю дамп, даже импорт не надо восстанавливать!
невософт, afaik, расшифровывает файло game.dat во временный файл с атрибутами скрытый и системный
дожидаешься, пока игра запустится, открываешь диспетчер задач (желательно не стандартнй виндовский, а хотя бы ProcessExplorer) и убиваешь сначала drm.exe а потом его дочерний процесс. в папке игры останется скрытый системный исполняемый файл игры
кстати, если вот так убивать процессы, то прошедшее время триала не считается

| Сообщение посчитали полезным:

в папке игры останется скрытый системный исполняемый файл игры
че-то на 2 играх попробовал - ни фига! может, это раньше так было?
игры - Жуть, Вторжение кур. Полный омлет

| Сообщение посчитали полезным:

Это у попкап со скрытым файлом было/есть.

| Сообщение посчитали полезным: