[Débutant] Recherche infos pour Safedisc v3.10.20

Vous avez un problème pour cracker ou vous souhaitez parler de reversing en général...

[Débutant] Recherche infos pour Safedisc v3.10.20

Messagepar Red-flag » 12 Janvier 2012, 19:33

Bonjour, Je suis débutant dans le cracking des protections de jeux donc je m'attaque à un jeu assez ancien (Call of Duty 1) et d'après ProtectionID: Il est protéger par Safedisc v3.10.20
Code: Tout sélectionner
[!] Safedisc v3.10.020 detected !
[i] Appended data contents....
   [.] o: 0x001AA028  / t: <0xA8726B03> <0xEF01996C> <0x00000001> / s: 00187076 byte(s) -> ~de8bfa.tmp
   [.] o: 0x001D7B13  / t: <0xA8726B03> <0xEF01996C> <0x0000044C> / s: 00011923 byte(s) -> clcd32.dll
   [.] o: 0x001DA9CD  / t: <0xA8726B03> <0xEF01996C> <0x0000044C> / s: 00004122 byte(s) -> clcd16.dll
   [.] o: 0x001DBA0B  / t: <0xA8726B03> <0xEF01996C> <0x0000044D> / s: 00037971 byte(s) -> mcp.dll
   [.] o: 0x001E4E85  / t: <0xA8726B03> <0xEF01996C> <0x00000002> / s: 00007064 byte(s) -> SECDRV.SYS
   [.] o: 0x001E6A44  / t: <0xA8726B03> <0xEF01996C> <0x00000002> / s: 00019048 byte(s) -> DrvMgt.dll
   [.] o: 0x001EB4D5  / t: <0xA8726B03> <0xEF01996C> <0x0000000B> / s: 00005446 byte(s) -> SecDrv04.VxD
   [.] o: 0x001ECA43  / t: <0xA8726B03> <0xEF01996C> <0x00000000> / s: 00073276 byte(s) -> ~e5d141.tmp
   [.] o: 0x001FE8A6  / t: <0xA8726B03> <0xEF01996C> <0x00000000> / s: 00045056 byte(s) -> PfdRun.txt
   [.] o: 0x002098CE  / t: <0xA8726B03> <0xEF01996C> <0x00000000> / s: 00775708 byte(s) -> ~df394b.tmp
[!] Possible CD/DVD-Key or Serial Check -> cdkey
[CompilerDetect] -> Visual C++ 7.0 (Visual Studio 2002)
- Scan Took : 0.735 Second(s)

Le problème c'est que je n'est trouvé aucune infos qui pourrait m'aider dans mes recherches sur le net alors peut-être qu'ici certain ce sont déja attaquer a celle-ci ou on des infos sur son fonctionnement ? Je rappelle que c'est mon premier crack de jeu et que donc je ne sais pas si la difficulté sera grande ou non pour moi avec cette protection.
Voila j'ai tout dit pour le moment et je continu mes recherches de mon coté.
Avatar de l’utilisateur
Red-flag
Apprenti
Apprenti
 
Messages: 56
Inscription: 08 Décembre 2010, 18:26

Re: [Débutant] Recherche infos pour Safedisc v3.10.20

Messagepar Bango » 12 Janvier 2012, 19:47

J'ai trouvé celui-là sur :google:

_hXXp://www.reversing.be/article.php?story=20061030193245121

C'est pour les versions 3.20 -> 4.00, mais ça devrait déjà te mettre sur la voie et t'aider à comprendre le principe.
\ô/
Avatar de l’utilisateur
Bango
Modérateur
Modérateur
 
Messages: 1597
Inscription: 23 Juillet 2007, 15:33
Localisation: Gotham city

Re: [Débutant] Recherche infos pour Safedisc v3.10.20

Messagepar Red-flag » 12 Janvier 2012, 19:55

Ah merci, il me semblait bien en avoir entendu parle sur ce site mais je me rappellais plus son nom :roll:
Ok je m'y met tout de suite, une dernière chose: est ce que je part dans le mur vu mon niveau ou est-ce que je peut m'en sortir ?
Avatar de l’utilisateur
Red-flag
Apprenti
Apprenti
 
Messages: 56
Inscription: 08 Décembre 2010, 18:26

Re: [Débutant] Recherche infos pour Safedisc v3.10.20

Messagepar Horgh » 12 Janvier 2012, 21:23

Ok je m'y met tout de suite, une dernière chose: est ce que je part dans le mur vu mon niveau ou est-ce que je peut m'en sortir ?


Même si tu n'y arrives pas ce n'est jamais perdu ;)
Avatar de l’utilisateur
Horgh
Maître des ténèbres
Maître des ténèbres
 
Messages: 526
Inscription: 21 Janvier 2010, 16:24

Re: [Débutant] Recherche infos pour Safedisc v3.10.20

Messagepar baboon » 13 Janvier 2012, 09:46

D'accord avec Horgh :)
Mais à ta place je ne chercherai pas de tutos. Tu perds le meilleur à savoir l'exploration de la protection et sa découverte.
C'est comme lire le résumé d'un film avant d'aller le voir, si tu sais que c'est le colonel moutarde qui a tué mauricette ca va te gacher tout le plaisir du film.
Enfin ca n'engage que moi...
Newbie mais ayant soif d'apprendre et étant motivé
Avatar de l’utilisateur
baboon
Modérateur
Modérateur
 
Messages: 3360
Inscription: 08 Juillet 2005, 17:49

Re: [Débutant] Recherche infos pour Safedisc v3.10.20

Messagepar Red-flag » 13 Janvier 2012, 12:58

Enfaite, je cherche pas de tutos pour suivre une démarche que l'on me dirai de faire mais plutôt pour vérifier si je suis dans la bonne voies lorsque je ne m'en sort plus ou des explications sur le fonctionnement de nouvelles chose encore inconnu pour moi...
Avatar de l’utilisateur
Red-flag
Apprenti
Apprenti
 
Messages: 56
Inscription: 08 Décembre 2010, 18:26

Re: [Débutant] Recherche infos pour Safedisc v3.10.20

Messagepar Red-flag » 13 Janvier 2012, 19:02

Bon alors je galère un peu... déjà j'ai remarquer des différences entre les adresses dans le tuto que PaPa Bango m'à donné et celles sous OLLY chez moi, si ce n’était que cela encore je m'en foutrai puisque je ne suis pas le tuto.
Seulement je crois avoir compris d'où cela venait enfaîte le tuto est partit du principe que l'on avait le CD d'origine et que donc le CDCheck n'est pas supprimer chez eux.
Or moi je ne possède pas le CD et même en faisant tourner l'image sous Alcohol 120% ça ne marche pas...
Il doit donc y avoir une routine qui récupère des infos du CD car si je by-pass les parties qui m'envoi vers un message d'erreur je me retrouve avec l’exécutable qui plante ou des Call 00000000.
Or comme je ne possède pas le CD comment faire pour trouver ce qui me manque ? sachant que je suis déjà totalement perdu dans l'organisation du code... :S
Avatar de l’utilisateur
Red-flag
Apprenti
Apprenti
 
Messages: 56
Inscription: 08 Décembre 2010, 18:26

Re: [Débutant] Recherche infos pour Safedisc v3.10.20

Messagepar Horgh » 13 Janvier 2012, 19:31

Bon alors je galère un peu... déjà j'ai remarquer des différences entre les adresses dans le tuto que PaPa Bango m'à donné et celles sous OLLY chez moi, si ce n’était que cela encore je m'en foutrai puisque je ne suis pas le tuto.

Rien d'étonnant avec ce genre de bestiole :)
Seulement je crois avoir compris d'où cela venait enfaîte le tuto est partit du principe que l'on avait le CD d'origine et que donc le CDCheck n'est pas supprimer chez eux.
Or moi je ne possède pas le CD et même en faisant tourner l'image sous Alcohol 120% ça ne marche pas...

comment ça pas de cd check tu t'attaques à un truc déjà cracké ?

Il doit donc y avoir une routine qui récupère des infos du CD car si je by-pass les parties qui m'envoi vers un message d'erreur je me retrouve avec l’exécutable qui plante ou des Call 00000000.

Regarde donc les conditions qui te font atterrir sur ces messages ça te donnera plus d'infos que des spéculations :)

Or comme je ne possède pas le CD comment faire pour trouver ce qui me manque ? sachant que je suis déjà totalement perdu dans l'organisation du code... :S

Ca c'est pas bon par contre :')
Avatar de l’utilisateur
Horgh
Maître des ténèbres
Maître des ténèbres
 
Messages: 526
Inscription: 21 Janvier 2010, 16:24

Re: [Débutant] Recherche infos pour Safedisc v3.10.20

Messagepar Red-flag » 13 Janvier 2012, 19:44

Si il y en a bien un enfin je les toujours pas croiser mais oui le truc c'est que le tuto part du principe que comme il ont le CD d'origine il ne le supprime pas:
Code: Tout sélectionner
Protection in this version of SafeDisc consits from:
[1] CD check - bad sectors, we have original CD so this is not problem for unpacking.                             <- cette partie n'est pas traitée puisqu'il  ne supprime pas la verification
[2] Debugger checks - easy to defeat, same as in SafeCast.                                                                  <- donc le début du tuto commence ici, mais avant il y a une routine pour jumper sur l'OEP et si j'ai bien compris lorsque je n'est pas le bon CD l'OEP change ou alors il ya un JMP direct sur message d'erreur
[3] Import protection - same as in SafeCast, requires little work but it is not hard.
[4] Emulated opcodes - again, same as in SafeCast.
[5] DebugBlocker and nanomites - the hardest part of protection.


comment ça pas de cd check tu t'attaques à un truc déjà cracké ?

Non moi je m'attaque à un cloneCD du jeu que j'ai DL moi-même...
Regarde donc les conditions qui te font atterrir sur ces messages ça te donnera plus d'infos que des spéculations

Le truc c'est que pour le moment je fait sa totalement à l'aveugle parce que je ne comprend pas ce que je fais et comme je n'est pas moyen de me corriger je navigue encore plus à l'aveugle et je n'est jamais eu affaire avec des protections de jeux...

Enfaite il faudrait que j'arrive a connaitre ce qui change lorsque j'utilise un CD d'origine et lorsque j’exécute avec rien
Avatar de l’utilisateur
Red-flag
Apprenti
Apprenti
 
Messages: 56
Inscription: 08 Décembre 2010, 18:26

Re: [Débutant] Recherche infos pour Safedisc v3.10.20

Messagepar Red-flag » 15 Janvier 2012, 20:35

Bon alors j'ai réussi à contourner les routines d'anti-debugger, seulement pour cela j'ai forcer les JE après un CMP or quand j'arrive sur le JMP OEP, je tombe sur quelque chose comme ça:
Code: Tout sélectionner
0075B8D1     32             DB 32                                    ;  CHAR '2'
0075B8D2     60             DB 60                                    ;  CHAR '`'
0075B8D3     44             DB 44                                    ;  CHAR 'D'
0075B8D4     16             DB 16
0075B8D5     DF             DB DF
0075B8D6     18             DB 18
0075B8D7     2E             DB 2E                                    ;  CHAR '.'
0075B8D8     7F             DB 7F
0075B8D9     CF             DB CF
0075B8DA     1E             DB 1E
0075B8DB     C9             DB C9
0075B8DC     0B             DB 0B
0075B8DD     B7             DB B7
0075B8DE     1E4A5A00       DD speed2.005A4A1E
0075B8E2     8D             DB 8D
0075B8E3     7F             DB 7F
0075B8E4     7D             DB 7D                                    ;  CHAR '}'
0075B8E5     A8             DB A8
0075B8E6     B4             DB B4
0075B8E7     8A             DB 8A
0075B8E8     4C             DB 4C                                    ;  CHAR 'L'
0075B8E9     BE             DB BE
0075B8EA     5B             DB 5B                                    ;  CHAR '['
0075B8EB     19             DB 19
0075B8EC     AD             DB AD
0075B8ED     83             DB 83
0075B8EE     6C             DB 6C                                    ;  CHAR 'l'
0075B8EF     AF             DB AF
0075B8F0     EF             DB EF
0075B8F1   . C3             RETN


Je me doute qu'en forçant les sauts au lieu de remplacer les valeurs comparer par les valeurs comparantes qui en faite sont récupérer depuis le CD original c'est pourquoi moi je ne peux les obtenirs, du-coup lorsqu'une routine décompresse l’exécutable il y a un problème, et donc je me demande comment je peut remplacer par exemple la valeur contenu dans un WORD PTR SS:[ESP+658] en pleine exécution du programme... et aussi si je suis dans la bonne voies de manières théorique je demande à personne de vérifier mon travail bien sur...
Avatar de l’utilisateur
Red-flag
Apprenti
Apprenti
 
Messages: 56
Inscription: 08 Décembre 2010, 18:26

Re: [Débutant] Recherche infos pour Safedisc v3.10.20

Messagepar baboon » 15 Janvier 2012, 20:56

A priori, sans CD valide (comprendre correctement cloné et émulé) tu peux aller te brosser pour faire un no cd.
Des infos utilisées pour déchiffrer le code du jeu sont extraites du CD et sans elles eh bien tu es plutôt mal barré.
Après si ulysse passe dans le coin il pourra me corriger :) (il me semble qu'une protection est unpackable sans le CD d'origine)
Newbie mais ayant soif d'apprendre et étant motivé
Avatar de l’utilisateur
baboon
Modérateur
Modérateur
 
Messages: 3360
Inscription: 08 Juillet 2005, 17:49

Re: [Débutant] Recherche infos pour Safedisc v3.10.20

Messagepar Red-flag » 15 Janvier 2012, 21:37

Mais je ne peux pas introduire les données demander tout au long de l’exécution du programme ? Ou est-ce trop compliquer et long ?
Avatar de l’utilisateur
Red-flag
Apprenti
Apprenti
 
Messages: 56
Inscription: 08 Décembre 2010, 18:26

Re: [Débutant] Recherche infos pour Safedisc v3.10.20

Messagepar Red-flag » 16 Janvier 2012, 00:52

Changement de programme je viens de me procurer un ISO valide du jeu puisque je peut le lancer juste en émulant le lecteur.
Bref je recommence mon analyse j'arrive au jmp oep comme tout à l'heure pensant que le code allait être décompresser et que je pouvais continuer et là.... et ben non exactement la même chose... alors soit je me goure complètement et les infos qui servent a la décompression de viennent pas du CD soit c'est en forçant l'anti-debug de ne pas aller dans les msg d'erreur que la routine de décompression n'est pas atteinte mais du coup comment la lancer ? et surtout comment la trouver ?
Avatar de l’utilisateur
Red-flag
Apprenti
Apprenti
 
Messages: 56
Inscription: 08 Décembre 2010, 18:26

Re: [Débutant] Recherche infos pour Safedisc v3.10.20

Messagepar Horgh » 16 Janvier 2012, 02:30

J'ai pas l'impression que le bout d'opcodes que tu nous a c/c soit ton oep, après vire l'analyse pour avoir un code lisible histoire de mieux voir de quoi on parle ^^
Sinon, il arrive que des fois à l'arrivée à l'oep le code soit mal décompressé à cause de breakpoints qui traînent, mais je pense pas que ça soit le cas là. Sinon,

les infos qui servent a la décompression de viennent pas du CD

Normalement si

soit c'est en forçant l'anti-debug de ne pas aller dans les msg d'erreur que la routine de décompression n'est pas atteinte

Normalement le fait de bypass les antidbg ne change rien (à moins d'un trick vicieux), je pense plutôt que soit tu n'as pas le bon oep, soit tu changes un saut (ou plusieurs) qu'il ne faut pas. Après Safedisc je connais pas, donc je répond avec mes connaissances en unpacking ; et donc je peux dire des bêtises.
Avatar de l’utilisateur
Horgh
Maître des ténèbres
Maître des ténèbres
 
Messages: 526
Inscription: 21 Janvier 2010, 16:24

Re: [Débutant] Recherche infos pour Safedisc v3.10.20

Messagepar baboon » 16 Janvier 2012, 09:53

Si c'est les db XX qui te perturbent : clic droit sur le code, analysis, remove analysis from module (une connerie du genre, j'ai pas olly sous les yeux)
En règle général il ne faut pas faire confiance à l'analyse de olly sur les exe packés ;)

[EDIT] BTW je suis interressé par le jeux et l'ISO valide :-°
Newbie mais ayant soif d'apprendre et étant motivé
Avatar de l’utilisateur
baboon
Modérateur
Modérateur
 
Messages: 3360
Inscription: 08 Juillet 2005, 17:49

Suivante

Retourner vers Reversing

Qui est en ligne

Utilisateurs parcourant ce forum: Dem0nizer et 5 invités