Ребята всех приветствую, столкнулся с проблемой запуска контента с данной системой защиты, к сожалению cracked exe не существует для данного случая, по этой причине пришел на ваш форум с таким как возможно вам покажется глупым вопросом так как тема не раз обсуждалась, перечитав весь материал находящийся в открытом доступе в том числе на данном форуме ответа конкретного для себя не нашел

Конечная цель снятия защиты конкретно с данного exe, к сожалению железа которое бы поддерживало запуск WindowsXP не имею (для обхода защиты путем эмуляции)

Прошу вас подсказать кому это будет не сложно, возможно есть туториалы шаг в шаг по взлому данной версии защиты, либо инструменты которые применялись на практике, имею достаточный опыт программирования но реверсингом и опыта использования дизасемблеров не имею.
И каков общий ход процесса взлома StarForce v3?
Насколько я понимаю это чтения потоковых данный с exe далее запуск контента с процессом чтения дампа памяти, поиск потоков StarForce в дампе, чистка кода от потоков и методов StarForce? Основной код защищаемого StarForce продукта храниться в основном exe программы или может быть распределен между main.exe и protect.dll?

Ниже по ссылки прилагаю исполнимые файлы интересующего меня контента, так как предполагаю что метод шифрования защитой StarForce v3.4 может отличаться в различных версиях защищаемого ПО.

--> Link <--

| Сообщение посчитали полезным:

Игры от ePlay, Новый Диск: v5.70.010.005, 11.02.10; v5.70.021.004, 16.03.11 FL ProActive.
ASPack: v2.38 (8-Jul-2015) = v5.91.001.000, 08.07.15 SF ProActive
v2.40 (29-Sep-2016) = v5.91.1602.30, 17.10.16 SF ProActive

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

mysterio, спасибо.
Игры походу надо искать по торрентам, на оффсайте еплэя вижу только кнопку купить, подозреваю что после покупки отправят качать со стима.
Аспак и аспр интереснее. Оба идут как демо, но аспак можно зарегать после окончания триала, а аспр - нет. Чуйка есть что и на аспре демка "искусственная", так ли это или есть недостача функционала?
На аспак, кстате, есть анпак, так что там наверно довольно простая версия.

| Сообщение посчитали полезным:

А aspack оказался не прост. Во-первых, путанка с версиями - на сайте сказано 2.40, в самом файле 2.41. Походу пересобирали после появления анпака 2.40.
Во-вторых, применена виртуализация некоторых функций, в основном относящихся к заблокированным возможностям в триальном режиме.

Итак, версия 2.41 (sha-1: FBDDDAB52FF358ABB3E5FE87BD1BD9B20369D214).
OEP: 0046A104. Просто снял дамп, импорт подхватился как есть, только удалил ссылку на aspack.dll.
Однако дамп не взлетит, потому что код украден. Сразу недалеко от оеп:


Краденый код:


После освобождения этого кода дамп начинает "работать" - отображает окно, можно тыкать кнопки, но ерроров быть не должно, а они есть.
Первый раз еррор возникает здесь:


В функе 00466428 украден примерно такой код:


Примерно, потому что не хватает двух байт, может что то упустил, может макрос PSA_GetFeaturesGrantedByLicense был как то по другому развернут. Не суть. Суть в том, что функа должна вернуть True, если лицензия позволяет выполнить действие, и False, если нет. Возвращать True пока смысла нет, потому что запрашиваемые действия тоже виртуализированы, поэтому "xor eax, eax/ret".

Теперь файл успешно запускается и пакует другие файлы, счетчик триала застыл. На этом пока интерес поугас, доводить до полной работоспособности лень.

| Сообщение посчитали полезным: Jupiter

Решил запостить мой вопрос в этом топике. Столкнулся с проблемой получения дампа VM StarForce, поскольку туторов по этому вопросу не нашел. Правда нашел ссылки, что все эти туторы - приватные, и на паблик не выкладываются. Может ли кто поделиться приватно этими туторами?

| Сообщение посчитали полезным:

Огромное спасибо всем, кто откликнулся на мою просьбу по поводу статей относительно получения дампа VM StarForce, и прислал мне статьи. Но, к сожалению, нет статьи "Склеивание дампа вм и распакованного exe игры". Если она есть у кого-либо, просьба прислать мне ее в личку. И заранее премного буду благодарен...

| Сообщение посчитали полезным:

В 90% случаев дорисовывать секцию вм не надо. Просто фишка в том, что дебилы лепили старфорс даже на демки своих поганых игр, так как боялись за свои говнокоды.Снимать старфорс ради просто снятия - это тупо.Из игр надо выдергивать все возможные потроха.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

а как вытащить код из под вм - функции , которые были скомпилированы в пикод?

| Сообщение посчитали полезным:

Klerk пишет:
а как вытащить код из под вм - функции , которые были скомпилированы в пикод?
Выявляешь обработчик каждой команды ВМ и делаешь трейс P-кода, например используя PIN Tool или подобные средства. После этого чистишь трассу от мусорных команд и развернутых циклов.

| Сообщение посчитали полезным:

обработчик каждой команды ВМ
ВМ СФ уже давно не попадает в раздел "классических". Байткод конпелируется с оптимизацией (привет llvm?) в блоки вида:


Что делать в таком случае?

| Сообщение посчитали полезным:

Psalmopoeus Pulcher пишет:
обработчик каждой команды ВМ
ВМ СФ уже давно не попадает в раздел "классических". Байткод конпелируется с оптимизацией (привет llvm?) в блоки вида:

Смотря как смотреть, классически для защиты нет, тогда никто не думал о процессах оптимизации в рамках защиты софта. Хотя сама теория уже была разработана в книгах по математике интерпретаторов. Эта техника называется - VM Superinstruction, инет завален информацией по теме, кроме этого чаще всего в таких блоках используют Stack-Caching. Вариантов суперинструкций тоже хватает, есть статические, есть динамические реализации, есть комбинации, есть микро и макро вариации, почти все варианты которые входят в виды ВМ, могут быть трансформированы в Суперинструкции. Разбираются они почти так же, как и остальная ВМка, т.к. хэндлеры заимствуют из ВМ стандартной, ещё в 2005 году уже были статейки, где весьма хорошо разобрали эти инструкции, уже тогда люди уловили разницу =) Мне кажется разбирать суперинструкции проще, т.к. они используются реже в силу своей сложности и цели, чем простые вм хэндлеры, чтобы противостоять этому добавляют динамику и технику фовардинга, декрипт и динамический кэш, но это не спасает ситуацию, т.к. на деле мы имеем простой ВМ морфинг Минус в том, что если хэндлеры были не стандартные, то и разбор по времени занимает больше, кроме этого, если таких инструкций много, это добавляет мороки, так как люди это вручную не делают, кроме ярых лоу кодеров , то разбор остаётся даже более простым, чем разбор простых хэндлеров. Зная все эти факты, уже проще изучать подобный код.

P.S. LLVM одна из многих систем, которая использует суперинструкции, но не единственная.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: Psalmopoeus Pulcher, r_e, v00doo

Дабы не создавать новую тему напишу тут: сейчас ковыряю Starforce 5.60 на примере игры Xenus 2 белое золото с патчем 1.1 защита 5.60.1.29 защищены 3 dllки game.dll, vital.dll, VELoader.dll. Файлы защиты protect.dll, protect.exe и protect.x86 накрыты upxом после распаковки которого игра выдает ошибку "модуль protect.dll был изменен, возможно он поврежден или заражен вирусом ...итд" вопрос: как это обойти может кто подскажет? винда 7 х64 поэтому действовать будут через х64dbg спасибо!

| Сообщение посчитали полезным:

ReloadUGunz пишет:
как это обойти
MapViewOfFile в protect.dll, от нее пляши.

| Сообщение посчитали полезным:

ReloadUGunz пишет:
винда 7 х64 поэтому действовать будут через х64dbg
Хохма. Xenus 2 для 32 битных процов разрабатывался, если что. 64 битную архитектуру на момент его выхода активно не использовали, потому что больше 4 гигов рамы было слишком жирно по кэшу (это бабло, если что), да и нечем было ее занимать с той говеной графикой нулевых. В играх так ее только начали использовать за последние три года, хотя кор2дуо и аналогичным процам от амд с поддержкой 64битных инструкций уже по 12 лет как минимум. Отладчик юзают по разрядности проги, а не системы. Использование же 64 битной системы на это никак не влияет, скорее только плюсы дает.

PS.Добавлю для ржаки.Вот так наши "гиганты" генерируют капчу:


-----
TEST YOUR MIGHT

| Сообщение посчитали полезным: