| Сейчас на форуме: Kybyx (+4 невидимых) |
 |
eXeL@B —› Оффтоп —› Протекторы для игр |
| Посл.ответ | Сообщение |
|
|
Создано: 29 июля 2013 18:56 · Личное сообщение · #1 Просьба к тем, кто регулярно играет в игры или занимается их взломом. Нужны файлы накрытые CD протекторами для добавления в базу утилиты Detect It Easy В первую очередь интересуют: StarForce SecuROM Flex И другие тоже. Ссылки можно выкладывать здесь или мне в личку или на почту: horsicq[at]gmail.com Заранее большое спасибо. ----- http://ntinfo.biz  |
|
|
Создано: 30 июля 2013 18:11 · Личное сообщение · #2 SecuROM < 8.03.03 можно идентифицировать по секциям .securom (ну еще бы) + SecuROM DATA Block в PE-хидере. После 8.03.03 секция .securom заменена на .dsstext, в секции должна находиться ASCIIZ - SONY(по непроверенным данным: где-то рядом заXORрированная версия) | Сообщение посчитали полезным: hors |
|
|
Создано: 30 июля 2013 18:52 · Поправил: hors · Личное сообщение · #3 ELF_7719116 пишет: SecuROM < 8.03.03 можно идентифицировать по секциям .securom (ну еще бы) + SecuROM DATA Block в PE-хидере. После 8.03.03 секция .securom заменена на .dsstext, в секции должна находиться ASCIIZ - SONY(по непроверенным данным: где-то рядом заXORрированная версия) Спасибо! Два вопроса: 1) SecuROM DATA Block лежит в хидере всегда по фиксированому смещению? Его можно детектить по маске? 2) ASCIIZ - SONY лежит в начале секции? Можно сделать детект уже конечно только только по именам секций, но это будет не очень надежно. Code:
----- http://ntinfo.biz |
|
|
Создано: 31 июля 2013 07:06 · Личное сообщение · #4 Старфорс секция .ps4 (не всегда), в импорте protect.dll (может называться по другому, но редко) у которого в экспорте есть функа с ординалом 1. И если мне не изменяет память эта функция вызывается на EP запротекченного файла. Это больше к 5му и возможно 4му. В принципе только наличие protect.dll в импорте говорит о старфорсе на 95% Можно как последнюю инстанцию использовать если ничего другого не нашлось. Типа Starforce generic. Версия - тупо в version info protect.dll | Сообщение посчитали полезным: hors |
|
|
Создано: 31 июля 2013 10:28 · Поправил: hors · Личное сообщение · #5 Zorn пишет: Старфорс секция .ps4 (не всегда), в импорте protect.dll (может называться по другому, но редко) у которого в экспорте есть функа с ординалом 1. И если мне не изменяет память эта функция вызывается на EP запротекченного файла. Это больше к 5му и возможно 4му. В принципе только наличие protect.dll в импорте говорит о старфорсе на 95% Можно как последнюю инстанцию использовать если ничего другого не нашлось. Типа Starforce generic. Версия - тупо в version info protect.dll Спасибо! Code:
PE.getPEFileVersion и PE.getFileDirectory() будут добавлены в SDK в следующей версии. ----- http://ntinfo.biz |
|
|
Создано: 31 июля 2013 21:58 · Личное сообщение · #6 Вставлю свою имху двухкопеечную. Детект только по именам файлов и секций это слабо. Только что провел маленький эксперимент. Взял код из 3-го поста, добавил в DIE. Запихал обычный VirtualBox.exe, темже DIE переименовал первую секцию, пересканировал и получил в ответ securom  Имхо детектить надо так чтоб фейк лепили не за 3 секунды
| Сообщение посчитали полезным: hors |
|
|
Создано: 31 июля 2013 23:03 · Личное сообщение · #7 user_ пишет: Детект только по именам файлов и секций это слабо. Только что провел маленький эксперимент. Взял код из 3-го поста, добавил в DIE. Запихал обычный VirtualBox.exe, темже DIE переименовал первую секцию, пересканировал и получил в ответ securom Имхо детектить надо так чтоб фейк лепили не за 3 секунды Намного удивительнее было бы, если бы ответ был бы не Securom. При желании можно обмануть абсолютно любой анализатор(и антивирус тоже). Когда в природе появятся файлы накрытые Securom, с переименованными секциями, тогда и нужно будет думать об этом. А пока это разговоры ни о чём. И да, если кто-то предложит более эффективный способ детекта Securom, то я с удовольствием добавлю и его.
----- http://ntinfo.biz |
|
|
Создано: 01 августа 2013 08:18 · Личное сообщение · #8 hors пишет: if(PE.isSectionNamePresent(".ps4")) { sVersion="4.X"; } Эта секция и в пятом тоже есть. | Сообщение посчитали полезным: hors |
|
|
Создано: 02 августа 2013 12:27 · Личное сообщение · #9 Остался Flex. У кого-нибудь есть идеи как его детектить? ----- http://ntinfo.biz |
|
|
Создано: 04 августа 2013 13:34 · Личное сообщение · #10 Можно немного инфы по Flex? а, то мой гугл сломался. бред показывает. | Сообщение посчитали полезным: hors |
|
|
Создано: 04 августа 2013 14:52 · Личное сообщение · #11 ==DJ==[ZLO] пишет: Можно немного инфы по Flex? а, то мой гугл сломался. бред показывает. http://www.flexerasoftware.com/products/flexnet-licensing.htm ----- http://ntinfo.biz |
|
|
Создано: 04 августа 2013 16:18 · Личное сообщение · #12 hors ток надо оттуда сигнатуры вытащить - http://www.at4re.com/download.php?view.160 еще ссылочко, но бля наполовину рабочая - http://ahteam.org/articles.html?do=view&id=23 + http://www.woodmann.com/crackz/Flexlm.htm | Сообщение посчитали полезным: hors |
|
|
Создано: 04 августа 2013 22:51 · Личное сообщение · #13 BAHEK пишет: hors ток надо оттуда сигнатуры вытащить - http://www.at4re.com/download.php?view.160 еще ссылочко, но бля наполовину рабочая - http://ahteam.org/articles.html?do=view&id=23 + http://www.woodmann.com/crackz/Flexlm.htm Спасибо. Буду разбираться. ----- http://ntinfo.biz |
|
eXeL@B —› Оффтоп —› Протекторы для игр |
Для печати