Репост с "http://www.ndl.kiev.ua/node/2783"

- Проблема: Програма працює протягом деякого часу і в якийсь момент не завантажується. Програма захищена системою Nalpeiron.
- Система захисту: Nalpeiron 6.x
- Довідкова інформація: Nalpeiron - система управління цифровими правами і ліцензуванням програмного забезпечення з метою зменшення втрат від випадків піратства без шкоди для кінцевого користувача
- Можлива причина: Програма була в режимі оцінки і він вичерпав ліміт часу
- Можливі рішення: Очищення даних про тріал продукту або реєстрація

- Найпростіше очистити тріал продукту, тому що це легше виконати, ніж фіктивну заміна реєстраційних даних
- Зверніть увагу, що якщо проінсталена система Nalpeiron 4.x-5.x то програма "Trial Reset 4 Final" повинна допомогти (тут є вона - http://www.leechermods.com/2010/07/tria … final.html)
- Та якщо в нас Nalpeiron 6.x - то "Trial Reset 4 Final" не працює з ним, поки що.
- Захист здійснюється приблизно таким чином:
- Служба Nalpeiron відстежує і зберігає ліцензійну інфу
- Клієнт програми підключається до служби і здійснює запити по ліцензії
- Два підходи до Очищення даних про тріал будуть представлені: GUI-орієнтований і CMD-орієнтований
- Але спочатку ми повинні відповісти на питання - Де Nalpeiron 6.x зберігає дані про ліцензування?
- Раніше системи захисту покладатися на реєстр і на файли глибоко приховані-в-%SystemRoot%.
- Nalpeiron 6.x не використовує ні реєстру, ні системні папки для збереження даних.
- Сіє чудо використовує альтернативні потоки даних (ADS) і 0 сектор жорсткого диска для зберігання ліцензування
- Саме тому форматування, переділ партицій, відновлення розділів з образу, і т.д. не допомагає скинути в оцінці стану
- Тепер, коли у нас є зелене поняття, де зберігаються дані, ми повинні знати - як очистити саме дані тріалу.

- ADS розташування - окремий потік записується в "C:\Windows" папку, потік називається "nlsPreferences", розмір - 192 байт
- ADS інструменти - наступні утиліти можна використовувати (ви можете на-Google-ити і більше):
"ADS Spy v1.11 - Written by Merijn" качати тут http://www.afterdawn.com/software/secur … ds_spy.cfm
"Streams" - частина пакета Sysinternals, качати тут http://download.sysinternals.com/Files/Streams.zip

- HDD сектор - дані знаходяться в початку секторів жорсткого диска, саме диска, а не розділу. Точне місцезнаходження - зсув(offset) 00007E00-00007FF0, розмір 512 байт
- HDD інструменти - наступні утиліти можна використовувати (ви можете на-Google-ити і більше):
"WinHex" - шістнадцятковий редактор, він може редагувати жорсткий диск безпосередньо, качати тут http://x-ways.net/winhex/
"SecInspect.exe" - інструмент Microsoft для двійкових операцій з HDD, резервного копіювання, відновлення та багато іншого, качати тут http://www.microsoft.com/download/en/de … x?id=19470

- GUI-орієнтоване очищення:

- Закрийте програму, яка використовує захист Nalpeiron
- Відкрийте "services.msc" і стопніть служби "Nalpeiron" (або "net stop nlsX86cc" з cmd)
- Видалення ADS:
- Запустіть "ADS Spy v1.11" від імені адміністратора
- Виберіть "Scan only this folder"
- Тисніть "..." і виберіть "C:\Windows"
- Натисніть кнопку "Scan the system for alternate data streams"
- Коли потік знаходиться виберіть його і натисніть кнопку "Remove selected streams"
- Закрити "ADS Spy v1.11"

- Очищення сектора HDD:
- Запустіть "WinHex" від імені адміністратора
- Тоді "Tools>Open Disk" (або натисніть клавішу "F9")
- Перейдіть вниз до "Physical Media" і виберіть HDD диск, на якому встановлена Windows
- Як відкриється вкладка диска - двічі клацніть на "Start Sectors" зі списку у верхній частині екрана
- Як відкриється вкладка "Start Sectors" - "Position> Go To Offset" (або натисніть клавішу "Alt + G")
- Введіть "New position" поле: 00007EE0 та натисніть "OK"
- Тепер виберіть діапазон "00007E00-00007FF0"
- Клацніть правою кнопкою миші виділений діапазон і з меню виберіть пункт "Edit> Fill Block"
- Переконайтеся, що встановлений перемикач "Fill with hex values" , "00" є значенням для заповнювання і натисніть "OK"
- Тепер переходимо до "File> Save" (не хвилюйтеся, якщо "Save" відображається сірим кольором, це означає, що зміни були застосовані автоматично)
- Закрити "WinHex"

- Відкрийте "services.msc" і запустіть служби "Nalpeiron" ("net start nlsX86cc" з cmd)
- Відкрийте програму, що використовує Nalpeiron і спробуйте використовувати її

- CMD-орієнтоване очищення:
- Закрийте програму, яка використовує захисту Nalpeiron
- Копія "streams.exe" (з сюїти Sysinternals) і "secinspect.exe" в окрему папку, наприклад "d:\clean"
- Запустіть "cmd" від імені адміністратора
- Запустіть наступні команди

cd /d "d:\clean"
net stop nlsX86cc /y

streams.exe /accepteula
streams.exe -d "C:\Windows"

fsutil file createnew "clean.bin" 512

secinspect.exe -restore \\.\PHYSICALDRIVE0 "clean.bin" 63 confirm

net start nlsX86cc /y

REM У випадку, якщо ваша система має тільки 1 HDD - ідентифікатор буде \\.\PHYSICALDRIVE0
REM Якщо ви хочете автоматизувати виявлення HDD ідентифікатора - зверніть увагу на сценарій VBS тут
http://stackoverflow.com/questions/4955 … umber-f...

- Відкрийте програму, що використовує Nalpeiron і спробуйте використовувати її

- На цьому закінчується мануал про те, як скинути період оцінки для Nalpeiron 6.х
- Мушу відзначити, що виявлення секторів викликало у мене деякі проблеми, оскільки nalpeiron не є єдиною системою захисту, яка використовує таку техніку приховування даних