Hi All !

пытаюсь потрассировать свежую игрушку от московских девелоперов, но она
защищена StarForce от копирования, и оказывается от трассирования тоже :)

итого проблема - в Вынь98 при старте игрушки выводится ошибка старфорса -
"немогу работать с отладчиком"

пробовал на SI накладывать icedump 6.0.2.6 , но он накладывается методом
запуска .exe после загрузки Вынь, а старфорс вроде потребовал перезагрузки
для "установки драйвера защиты", и похоже успевает отловить SI пока его
icedump еще не спрятал (если он его вообще от старфорса прячет) :/ ... это
значит надо ставить более старый сайс для которого icedump накладывался в
виде патча или есть еще варианты ?

вопросы - можно ли открутить старфорс вообще на время отладки ака реверсинга ? или как
тогда трассировать такие программы ?

пробовал подизассемблить game.exe идой - там три команды и переход на
protect.dll из импорта, старфорс случаем не пакует сам "защищаемый" файл
как-нить ?

StarForce, самая лучшая защита для игр в данный момент, лучше чем западные Macrovision SafeDisc (CDilla) и Sony SecuROM. Где-то на русском кракерском сайте был тюториал на её взлом, но я ссылку эту потерял. Спрошу у товарища, и сразу же отвечу.

Исследование Star-Force: VENOM v1.00

Исследование Star-Force: КАЗАКИ v1.03


Также настоятельно рекомендуется поиск в форуме http://reversing.net/ на предмет сабжа.

На примере защиты Штирлица 3.
Наличие дебаггера определяется функцией isdebuggerPresent. Проверяется целостность кода protect.dll и екзещки. Их просто отключить.Создает в системной папке виртуальный драйвер устройства prodrv04.vxd. Вот главная функция _dlldispatch настоящая головоломка.Тут нужны свежие мозги.

limon-5@yandex.ru

Ну чего, так и не придумали, как взломать...
Я нашёл вызовы CreateFile в параметрами //./SICE, //./NTICE, //./WINICE, т.к. явная попытка обнаружения сайса. После удаления из памяти этих имён игра всё равно не запускается. При исправления регистра eax после вызова функции - тоже. Может кто знает, запускает ли это защита какие-нибудь драйверы под XP?

бля чета reversing.net не пашет

люди!!
так все же , можно взломать
STAR FORCE?

[ бля чета reversing.net не пашет ]

Да давно уже. Ждемс...

[ так все же , можно взломать STAR FORCE? ]

Задачка это совсем не простая. Думаю, вряд ли вообще можно получить ответ на этот вопрос. Слишком высокий класс защиты - за пару вечеров, типа, тут не управится, да и знаний нужно иметь маленько.

Вот скопировать диск у меня получилось, всё работает. Только приходится перезагружаться, если SoftIce запущен. Можно ли его как-нибудь спрятать лил выгрузить на время что ли?

dragon
Вот скопировать диск у меня получилось, всё работает.
------------------------------------------------------------
С этим проблем и не должно возникать, по крайней
мере со старыми версиями StarForce.
Alcohol 120% прекрасно с этим справляется!

Хотелось бы аккуратно снять проверку диска...
Ставим bpx-ы стандартные и XP либо вешается
либо перегружается без лишних комментариев.

Как все-таки ловится Ice, только CreateFile ом?
Расскажите подробнее, кто до чего дошел.

Я эту защту увидел на 2-х казаках (art of war),
а сам диск отдал сразу как переписал (подумаешь, starforce!), Алкоголем не красиво,
если кто дошел до offseta процедуры проверки,
поделитесь, и ссылку умную тоже киньте.

По поводу того, что если при установке бряков XP вешается, а раньше такого не было, то удалите пакет обновлений Q811493.

Айс ловится дважды, один - по CreateFile, другой не знаю, наверное из драйвера защиты. И вообще, проверку диска хрен отключишь, надо распаковывать, т.е. снимать дамп, восстанавливать импорт, библиотеки подгружать, и.т.д.

Не знаю, как там на 2-х казаках, но вообще-то StarForce использует отладочные регистры и прерывания SI для сообственной работы, из-за этого табличка с надписью отключить отладчик это просто формальность.