Nalpeiron Protection 6.x Evaluation Trial Reset

  • warning: pg_query(): Query failed: ERROR: relation "forum" does not exist LINE 1: SELECT * FROM forum WHERE vid = 2784 ^ in /var/www/localhost/htdocs/drupal/includes/database.pgsql.inc on line 138.
  • user warning: query: SELECT * FROM forum WHERE vid = 2784 in /var/www/localhost/htdocs/drupal/modules/forum/forum.module on line 394.
  • warning: pg_query(): Query failed: ERROR: relation "forum" does not exist LINE 1: SELECT tid AS forum_tid FROM forum WHERE vid = 2784 ^ in /var/www/localhost/htdocs/drupal/includes/database.pgsql.inc on line 138.
  • user warning: query: SELECT tid AS forum_tid FROM forum WHERE vid = 2784 in /var/www/localhost/htdocs/drupal/modules/forum/forum.module on line 289.

- Проблема: Програма працює протягом деякого часу і в якийсь момент не завантажується. Програма захищена системою Nalpeiron.
- Система захисту: Nalpeiron 6.x
- Довідкова інформація: Nalpeiron - система управління цифровими правами і ліцензуванням програмного забезпечення з метою зменшення втрат від випадків піратства без шкоди для кінцевого користувача
- Можлива причина: Програма була в режимі оцінки і він вичерпав ліміт часу
- Можливі рішення: Очищення даних про тріал продукту або реєстрація

- Найпростіше очистити тріал продукту, тому що це легше виконати, ніж фіктивну заміна реєстраційних даних
- Зверніть увагу, що якщо проінсталена система Nalpeiron 4.x-5.x то програма "Trial Reset 4 Final" повинна допомогти (тут є вона - http://www.leechermods.com/2010/07/trial-reset-4-final.html)
- Та якщо в нас Nalpeiron 6.x - то "Trial Reset 4 Final" не працює з ним, поки що.
- Захист здійснюється приблизно таким чином:
- Служба Nalpeiron відстежує і зберігає ліцензійну інфу
- Клієнт програми підключається до служби і здійснює запити по ліцензії
- Два підходи до Очищення даних про тріал будуть представлені: GUI-орієнтований і CMD-орієнтований
- Але спочатку ми повинні відповісти на питання - Де Nalpeiron 6.x зберігає дані про ліцензування?
- Раніше системи захисту покладатися на реєстр і на файли глибоко приховані-в-%SystemRoot%.
- Nalpeiron 6.x не використовує ні реєстру, ні системні папки для збереження даних.
- Сіє чудо використовує альтернативні потоки даних (ADS) і 0 сектор жорсткого диска для зберігання ліцензування
- Саме тому форматування, переділ партицій, відновлення розділів з образу, і т.д. не допомагає скинути в оцінці стану
- Тепер, коли у нас є зелене поняття, де зберігаються дані, ми повинні знати - як очистити саме дані тріалу.

- ADS розташування - окремий потік записується в "C:\Windows" папку, потік називається "nlsPreferences", розмір - 192 байт
- ADS інструменти - наступні утиліти можна використовувати (ви можете на-Google-ити і більше):
"ADS Spy v1.11 - Written by Merijn" качати тут http://www.afterdawn.com/software/security/system_cleanup/ads_spy.cfm
"Streams" - частина пакета Sysinternals, качати тут http://download.sysinternals.com/Files/Streams.zip

- HDD сектор - дані знаходяться в початку секторів жорсткого диска, саме диска, а не розділу. Точне місцезнаходження - зсув(offset) 00007E00-00007FF0, розмір 512 байт
- !!!ЗСУВ МОЖЕ МІНЯТИСЯ!!!, щоб знайти точне роташування треба знайти такіий HEX рядок - FFC99A3B385EFB349CAD2C034C5F , початок рядка і буде першим зсувом.
- HDD інструменти - наступні утиліти можна використовувати (ви можете на-Google-ити і більше):
"WinHex" - шістнадцятковий редактор, він може редагувати жорсткий диск безпосередньо, качати тут http://x-ways.net/winhex/
"SecInspect.exe" - інструмент Microsoft для двійкових операцій з HDD, резервного копіювання, відновлення та багато іншого, качати тут http://www.microsoft.com/download/en/details.aspx?id=19470

- GUI-орієнтоване очищення:

- Закрийте програму, яка використовує захист Nalpeiron
- Відкрийте "services.msc" і стопніть служби "Nalpeiron" (або "net stop nlsX86cc" з cmd)
- Видалення ADS:
- Запустіть "ADS Spy v1.11" від імені адміністратора
- Виберіть "Scan only this folder"
- Тисніть "..." і виберіть "C:\Windows"
- Натисніть кнопку "Scan the system for alternate data streams"
- Коли потік знаходиться виберіть його і натисніть кнопку "Remove selected streams"
- Закрити "ADS Spy v1.11"

- Очищення сектора HDD:
- Запустіть "WinHex" від імені адміністратора
- Тоді "Tools>Open Disk" (або натисніть клавішу "F9")
- Перейдіть вниз до "Physical Media" і виберіть HDD диск, на якому встановлена Windows
- Як відкриється вкладка диска - двічі клацніть на "Start Sectors" зі списку у верхній частині екрана
- Тепер шукаєм HEX штамп "FFC99A3B385EFB349CAD2C034C5F"
- Щоб знайти HEX значення натисніть кнопку "Alt + Ctrl + X", вставте вищезазначене число у віконце пошуку і натисніть кнопку "OK"
- Зверніть увагу на значення зсуву ліворуч від знайденого числа (щось на зразок 00007EE0)
- Як відкриється вкладка "Start Sectors" - "Position> Go To Offset" (або натисніть клавішу "Alt + G")
- Введіть "New position" поле: 00007EE0 та натисніть "OK" (!!!ЗСУВ МОЖЕ МІНЯТИСЯ!!!)
- Тепер виберіть діапазон "00007E00-00007FF0" (!!!ДІАПАЗОН ЗМІНЮЄТЬСЯ ВІДНОСНО ЗСУВУ!!!)
- Клацніть правою кнопкою миші виділений діапазон і з меню виберіть пункт "Edit> Fill Block"
- Переконайтеся, що встановлений перемикач "Fill with hex values" , "00" є значенням для заповнювання і натисніть "OK"
- Тепер переходимо до "File> Save" (не хвилюйтеся, якщо "Save" відображається сірим кольором, це означає, що зміни були застосовані автоматично)
- Закрити "WinHex"

- Відкрийте "services.msc" і запустіть служби "Nalpeiron" ("net start nlsX86cc" з cmd)
- Відкрийте програму, що використовує Nalpeiron і спробуйте використовувати її

- CMD-орієнтоване очищення:
- Закрийте програму, яка використовує захисту Nalpeiron
- Копія "streams.exe" (з сюїти Sysinternals) і "secinspect.exe" в окрему папку, наприклад "d:\clean"
- Запустіть "cmd" від імені адміністратора
- Запустіть наступні команди

cd /d "d:\clean"
net stop nlsX86cc /y

streams.exe /accepteula
streams.exe -d "C:\Windows"

fsutil file createnew "clean.bin" 512

secinspect.exe -restore \\.\PHYSICALDRIVE0 "clean.bin" 63 confirm

REM Ця команда відновлює раніше створениЙ двійковий файл в 63-й сектор жорсткого диска в разі, якщо ваш Зсув 00007EE0
REM Якщо зсув відрізняється, вам потрібно перетворити HEX значення зсуву в десяткове (в WinHex просто натисніть на "Offset" стовпець) і розділити знайдене значення на 512 (7EE0=>32480 32480/512=63)

net start nlsX86cc /y

REM У випадку, якщо ваша система має тільки 1 HDD - ідентифікатор буде \\.\PHYSICALDRIVE0
REM Якщо ви хочете автоматизувати виявлення HDD ідентифікатора - зверніть увагу на сценарій VBS тут
http://stackoverflow.com/questions/4955673/how-to-get-hard-disk-number-f...

- Відкрийте програму, що використовує Nalpeiron і спробуйте використовувати її

- На цьому закінчується мануал про те, як скинути період оцінки для Nalpeiron 6.х
- Мушу відзначити, що виявлення секторів викликало у мене деякі проблеми, оскільки nalpeiron не є єдиною системою захисту, яка використовує таку техніку приховування даних

Syndicate content

User login