Сегодня мы рассмотрим распаковку (далее анпак) игры, защищённой StarForce
(далее старка, стар). Сразу хочу развеять миф о неломаемости этой защиты и
поведать вам, что стар сможет распаковать даже ребёнок.

 

Инструменты

Что же нам потребуется? Самое главное — нам нужна игра. В качестве
подопытного кролика я выбрал "King’s Bounty — The Legend demo" — это демо-
версия, скачать её можно

тут
. Второе по значимости — это отладчик, естественно мы будем использовать
OllyDbg (далее олька), не побрезговав я возьму сборку от арабов — Ollydbg 1.10
By Mouradpr + плагин OdbgScript последней на данный момент версии. Скачать
сборку вместе с плагином можно по

ссылке
. Так же нам нужен
ImportRec v1.7
для восстановления импорта и

PeTools
. Ещё блокнот, пару рук и капельку мозгов :).

 

Распаковка

Ну что же, начнём. Переходим в каталог с установленной игрой и видим там
исполняемый файл "kb.exe" (собственно его мы и будем отлаживать). Ещё мы видим
файлы: "protect.exe", "protect.x86" и "protect.dll". Чтобы узнать точную версию
StarForce надо посмотреть внимательно на файл "protect.dll", в данном случае мы
имеем дело с версией "5.50.11.15". Хорошо, загружаем файл "kb.exe" в ольку —
OllyDbg застопорился на команде "RETN 4". Смело жмём SHIFT+F9 пару раз, пока не
появится стандартное окно старфорса, теперь в этом окне нажмём кнопочку "Ок", а
в ольке на вопрос подвергать ли нашу игру повторному анализу ответим
отрицательно. Всё, теперь мы стоим на EP (Entry Point).

Немного поясню: если мы сейчас нажмём на ENTER, то попадём в библиотеку
защиты "protect.dll" где находится сама виртуальная машина (далее ВМ) старки.
Она расшифрует участки кода в нашем исполняемом файле и передаст ему управление.
В этой статье мы не будем разбираться с виртуальной машиной, а обсудим это в
следующий раз.

Итак, мы стоим на EP, давайте посмотрим что же представляет из себя точка
входа в программу. Мы видим с дюжину джампов в ВМ старфорса. Если присмотреться,
то все вызовы ВМ можно найти с помощью такой маски: "ff25????e901". В отличии от
других вызовов, инструкция по адресу "01E9A1C9" будет исполнена только один раз.

01E9A1C9 FF25 2835E901 JMP DWORD PTR DS:[1E93528]

Сразу скажу, что для корректного восстановления таблицы импорта нам
потребуется запомнить последний переход в ВМ перед EP, т.е. адрес "01E9A1C3".

01E9A1C3 FF25 2435E901 JMP DWORD PTR DS:[1E93524]

Двигаемся дальше. Нажав "ALT+M" переходим на вкладку "Memory Map", ставим
breakpoint на доступ, на секцию кода .text. Для этого нажимаем правой кнопкой
мыши на нужной секции и выбираем пункт "Set memory breakpoint on access". Теперь
запускаем наше приложение нажав SHIFT+F9. И олька тормозится на OEP (Original
Entry Point). Это хорошо, теперь нам надо избавиться от привязки к библиотеке "protect.dll",
а для этого нам нужно восстановить все переходы в ВМ. Приступим. Нажимаем CTRL+B
и ищем джампы в ВМ по нашей маске, т.е. "ff25????e901". Нажимаем "Ок" и поиск
приводит нас на адрес "0083443A":

0083443A FF25 0030E901 JMP DWORD PTR DS:[1E93000]

Давайте разберёмся что тут и как. Нажмём правой кнопкой мыши на инструкции по
адресу "0083443A" и выберем пункт "New origin here". Этой командой мы поменяли
текущий EIP, поэтому программа теперь будет исполнятся именно с этой инструкции.
Нажав F8 мы попадём в "protect.dll". Нам необходимо узнать адрес который вернёт
эта библиотека, т.е. тот адрес на который мы попадём после завершения работы "protect.dll".
Для этого не снимая бряку с секции мы нажмём SHIFT+F9, нажмём и увидим, что мы
всё ещё в библиотеке, поэтому будем запускать программу командой SHIFT+F9 пока
снова не вернёмся в "kb.exe".Нажам с десяток раз мы всё-таки попали на адресс
"00834468":

00834469 50 PUSH EAX

Теперь если мы запишем по адресу "0083443A" команду "JMP 00834469",
то избавимся от одного перехода.

Так как у нас этих переходов целая куча, на восстановление руками каждой
процедуры нам потребуется значительное время. Чтобы не потратить на распаковку
одной программы целый день мы напишем простой скрипт, который будет выполнять за
нас описанную выше последовательность действий:

//Начало скрипта

//Объявляем переменные:
var amount
var code
var table
var ep
var temp
var temp2
var temp3
var reg_eax
var reg_ecx
var reg_edx
var reg_ebx
var reg_esp
var reg_ebp
var reg_esi
var reg_edi
var codebase
var codesize

@start:
bpmc //Снимаем бряку на памяти
gmi eip,codebase // Определяем начало секции .text
mov codebase,$RESUL // Записываем результат в переменную "codebase"
gmi eip,codesize // Определяем размер секции .text
mov codesize,$RESULT // Записываем результат в переменную "codesize"

//Сохраняем регистры:
mov reg_eax, eax
mov reg_ecx, ecx
mov reg_edx, edx
mov reg_ebx, ebx
mov reg_esp, esp
mov reg_ebp, ebp
mov reg_esi, esi
mov reg_edi, edi
mov ep, eip //Записываем OEP в переменную "ep"
mov address, 00401000 //Сюда вводим начальный адрес поиска jmp vm
mov table, 01EA2000 //Здесь указываем адрес куда будет записываться новая
табличка импорта (адрес начала секции .ps4)

@find:
xor ebx,ebx
findmem #ff25????e901#,address // Начинаем поиск инструкций по памяти начиная с
адреса 00401000
cmp $RESULT, 0 //Если не найдено
je @exit // тогда уходим
mov eip, $RESULT //Ставим найденный адрес на eip
mov code, $RESULT //Сохраним адрес прыжка по секции кода
mov address, $RESULT //Сместим начало поиска
gci eip, DESTINATION // Определяем конечный адрес прыжка
mov temp, eip //Запишем значение eip в переменную temp
GMI temp, MODULEBASE //Определяем текущую базу модуля
mov temp2, $RESULT //Сохраним результат в переменную temp2
bprm codebase,codesize //Установим бряку на чтение на секцию .text
sti //Трассируем (F7)
erun //Запустим приложение (SHIFT+F9)

@jumped:
mov temp, eip //Запишем значение eip в переменную temp
GMI temp, MODULEBASE //Определяем текущую базу модуля
mov temp3, $RESULT //Сохраним результат в переменную temp3
cmp temp2, temp3 //Сравним переменные, если они не равны, значит мы всё ещё в "protect.dll"
jne @next3
mov temp, eip //Запишем значение eip в переменную temp

@next:
GMI temp, MODULEBASE //Определяем текущую базу модуля
mov temp2, $RESULT //Сохраним результат в переменную temp2
GMI [table-4], MODULEBASE //Определим предыдущую базу модуля в табличке
mov temp3, $RESULT //Сохраним результат в переменную temp3
cmp temp2, temp3 //Сравним результаты
jne @separator //Если базы модулей не равны, поставим разделитель
next:
mov [table], temp //Адрес функции кладём в табличку
mov [code], 25ff //Правим адрес по коду, на опкод прыжка
mov [code+2], table //Запишем в переходник текущий адрес таблички
cmp code, 01E9A1C3 //Адрес последнего переходника (мы его запоминали в начале
статьи)
je @exit //Если это был последний переходник, тогда уходим
add table, 4 //Смещаем адрес таблички
add amount, 1 //Устанавливаем счётчик (сохраняем количество переходников в вм)
//Восстанавливаем регистры:
mov eax, reg_eax
mov ecx, reg_ecx
mov edx, reg_edx
xor ebx, ebx
mov esp, reg_esp
mov ebp, reg_ebp
mov esi, reg_esi
mov edi, reg_edi
mov eip, ep //Берём из переменной адрес OEP и переходим на него
bpmc //Снимаем бряку на памяти
jmp @find //Ищем дальше

@exit:
//Восстанавливаем регистры:
mov eax, reg_eax
mov ecx, reg_ecx
mov edx, reg_edx
mov ebx, reg_ebx
mov esp, reg_esp
mov ebp, reg_ebp
mov esi, reg_esi
mov edi, reg_edi
mov eip, ep //Берём из переменной адрес OEP и переходим на него
ITOA amount, 10. //Кодируем 16-ричное, в 10-ную систему счисления
eval "Found and recovery jmp_vm - {$RESULT} items."
msg $RESULT //Выводим отчёт о том сколько джампов мы нашли и исправили
ret //Завершаем работу скрипта

@separator:
add table, 4 //Смещаемся
jmp next //Работаем дальше

@next3:
erun //Запустим приложение (SHIFT+F9)
jmp @jumped //Работаем дальше

//Конец скрипта

Вот и весь скрипт, настал черёд проверить его. Перезапускаем нашу игру в
отладчике и топаем на OEP. Теперь запускаем скрипт и любуемся его безупречной
работой. Работа нашего скрипта займёт примерно минут 25-30, поэтому мы можем
пока попить кофе :).

Скрипт отработал, перед нами висит долгожданное сообщение о том, что найдено
и восстановлено 329 джампов в ВМ. Нажимаем "Ок". Итак, мы вновь стоим на OEP,
теперь можно дампить. Запускаем ImpRec и из выпадающего списка выбираем наш
процесс: "kb.exe". В поле "OEP" указываем наш — 40D583, т.е. 0080D583 — 00400000
= 40D583. Нажимаем на кнопку "AutoSearch", а затем на кнопку "Get Imports".
Видим, что табличка импорта успешно восстановилась. Теперь жмём правой кнопкой и
в выпадающем меню выполняем следующую последовательность действий: "Advanced
Commands > Select Code Section(s)", в появившемся окне отмечаем все секции и
нажимаем на кнопку "Full Dump". Сохраняем наш дамп под именем "kb_dump.exe" и
получаем сообщение "Dumped! ;-)" Теперь нам нужно прикрутить импорт к нашему
дампу, для этого нажимаем на кнопку "Fix Dump" и выбираем файл — "kb_dump.exe".
Всё, закрываем  ImportRec, OllyDbg и переходим в каталог с нашей игрой.

Видим, что у нас есть два новых файла: "kb_dump.exe" и "kb_dump_.exe", первый
можно удалять, а вот со вторым мы немного поработаем :). Давайте попробуем
запустить наш дамп. Запускаем и… и видим противную ошибку: "R6002 floating
point". Об этой ошибке уже сказано немало слов, могу немного пояснить, что
возникает она после распаковки или же после упаковки приложения. Подробнее можно
почитать в

блоге ManHunter
. Мы же не будем изобретать велосипед и воспользуемся

готовой тулзой для фикса этой ошибки
, она кстати с исходниками. Запускаем
прогу, нажимаем на кнопочку patch и выбираем наш дамп, в итоге мы получаем
пропатченый файл: "Fixed.exe".

Теперь давайте запустим PeTools и нажмём сочетание "ALT+ENTER",
таким образом мы открыли окно настроек программы, ставим галочки на следующих
пунктах — "Pe Rebuilder": "Validate PE", "Rebuild PE" и "…save overlay", жмём
на кнопочку "Ок". Нажмём сочетание клавиш: "ALT+3" и в появившемся диалоговом
окне выбираем файл: "Fixed.exe". Получив заветное сообщение "Rebuilding finished."
жмём на кнопку "Close" и закрываем PeTools. Что же это нам дало? Давайте
перейдём вновь в каталог с игрой и посмотрим размер нашего дампа — он стал
меньше, примерно на 10 Мб. Ну всё, можем запускать игру. Видим, что игра
полностью функциональна, никаких ошибок и т.д. и т.п. Кстати, файлы защиты, т.е.
"protect.exe", "protect.x86" и "protect.dll", можем смело удалять.

 

Заключение

Вот мы и анпакнули мощный и ужасный StarForce, пугающий некоторых людей одним
лишь только названием. Данный способ (не совсем правильный и не всегда
подходящий) был опробован на нескольких приложениях, в 50% случаев распаковка по
данному методу даёт положительный результат. В следующей статье мы рассмотрим
распаковку 10 000 проекта StarForce — "S.T.A.L.K.E.R.: Call Of Pripyat" где
использованы дополнительные функции защиты. Благодарю всех читателей, а также
всех участников форумов cracklab.ru (особая благодарноть Nightshade, Bronco и
FrenFolio) и xakep.ru. До встречи!

1 комментарий

  1. DagalProject

    15.11.2016 at 14:34

    Статья очень интересная! Делаю все по инструкции, но есть заминка «Для этого не снимая бряку с секции мы нажмём SHIFT+F9, нажмём и увидим, что мы всё ещё в библиотеке, поэтому будем запускать программу командой SHIFT+F9 пока
    снова не вернёмся в «kb.exe». Нажам с десяток раз мы всё-таки попали на адрес «00834468». А я попадаю на адрес 00834440. Совсем не далеко до 00834468, но все таки не там. Подскажите пожалуйста, если Вам не сложно, я что то делаю не так, почему я брякаюсь на 00834440, а не на 00834468. Это недопонимание может негативно отразиться на будущих моих распаковках. Спасибо.

Оставить мнение

Check Also

Конкурс хаков: пишем на PowerShell скрипт, который уведомляет о днях рождения пользователей Active Directory

В компаниях часто встречается задача уведомлять сотрудников о приближающихся днях рождения…