CODEX UNVIRTUALIZE DENUVO/VMProtect


**************

В связи со стремительно развивающимися событиями, данный топик будет реформирован. Перечень тем, на которые ведется обсуждение:

░▒▓▓-SecuROM 7/8 common (VM research; disk-check bypass attack; find OEP & dumping; cumulative attack...)
░▒▓▓-- SPR I (profiles; updates)
░▒▓▓-Requests for generation SecuROM PA Unlock code (SecuROM PA Online-activation) WOW! Only on EXELAB.RU
░▒▓▓-Denuvo ("surface" questions)
░▒▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

SPR I - Fight against the virtual machines (VM) of all SecuROM 7-8 versions (Подробности в 20, 23 посте.)


80_PA - SecuROM (PA) Online-Activation keygen! Holy shit!
[/url]
the list of programs (games), which can now be activated using 80_PA:
https://pastebin.com/EiMbV3YD or --> pastebin primary link <--

>>>>>>>> (!) Send me more games with SecuROM PA (!) >>>>>>>>>>>>

Denuvo Profiler (DProfiler)


------------
1.04.2012
Собственно я не сказал самого главного. SecuRom_Profiler 7 v1.0(SPR I) - часть большого зеленого пирога, под названием "ТИБЕРИУМНЫЙ РЕВЕРСИНГ" (статья опубликована в 159 номере ][. А позже, ещё одна итоговая статья - 199 ][), включает в себя собственно статью в журнале, ПОЛНУЮ техническую статью, материалы по SecuROM 7.33.0017, исходники X-кода и видео. Технический вариант статьи с приложениями можно брать отсюда:
▒Статья
▒Видео
▒Видео 2 (Продолжение)
▒Видео 3 (Окончательный разгром)
▒Видео 4 (В погоне за взломом DENUVO)
Имеет косвенное отношение к статье:
▒Видео косвенное

Хроники битвы при DENUVO 19.04.19
https://xakep.ru/2019/04/19/denuvo/

Message for the companies(etc) using this protection: we can buy SecuROM/DENUVO SDK & sources. Сontact me according to the personal message. Сonfidentiality is guaranteed!!! The bought files will be used for private research!

░░░░░░░░░░
См. также:
diff_trace

▓▓
615d_22.09.2013_EXELAB.rU.tgz - Sony DADC SecuROM vulnerability.zip
c177_01.02.2017_EXELAB.rU.tgz - PATENT DENUVO.pdf (притащил v00doo)


▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
80_PA new 2.0 hotfix (!!!). Official links (mirrors):
https://mega.nz/#!L6gGBYBK!Y9X-6LFBdow6a1_IBlDFbrS6PBF4RRz_n9kuSGiI0UM (или --> 80_PA_v2.0 keygen link <--)
--> Mirror #1 <--
--> Mirror #2 <--

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
DENUVO Leak content
обращайтесь в личку - скину.

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
Denuvo Profiler (DProfiler) - test version 0.3 "INSPIRE"
https://mega.nz/#!DLwExKya!kCyFXw1roY3MkFaTO56LJAd-amc2yXWVerV2ic38bgs (или --> DProfiler link <--)

| Сообщение посчитали полезным: yanus0, obfuskator, Vovan666, MasterSoft, slick, hlmadip, ClockMan, Nightshade, Dart Raiden, Bronco, BAHEK, SReg, [Nomad], DimitarSerg, verdizela, yagello, OnLyOnE, FrenFolio, daFix, VodoleY, gena-m, m0bscene, Gideon Vi, ff0h, zeppe1in, antipod, huckfuck, kioresk, aRiX, 4kusNick, Ara, d0wn, Smon, audiofeel, zNob, cypherpunk, zzzombie1989, MarcElBichon, v00doo, DenCoder, nick7, Haoose-GP, arnix, Qbik, serilo, s2003r, DICI BF, Kindly, PavelDAS, HandMill, VanHelsing, random, TrueLies, warezhunter_, denfil777, alx30721, omeh2003, asm-jaime, WildGoblin, mushr00m, Flippy1801, KOTwasya, r3n5m388, chegevara, Groul, dnv83, kassane, ==DJ==[ZLO], red0x, HAOSov, rootkid, DirtyHarry, MacTep, kurorolucifer, s0cpy, aire1, ReloadUGunz, tRuNKator, Cherbet, RmK-FreE, Pringell, IHateInventNicknames, go2crck, mak, Dimosz, Creckerhack, zd0x, Mustafa_Dev007, UnnyBolt, Isaev, Astap1516, Voices_of_the_BULG, EHS4N, SnakeByte, KOCMOC42, anarh1st47

НУ троллинг тут с обеих сторон не плохой. А время то оно покажет конечно. А вопрос с подписью решаем вообще? Чот такое ощущение что все в это уперлись. И вообще расковырять механизм активации возможно(в плане забыть о серверах блауковича)? Простой ответ устроить, можно и без подробностей.

| Сообщение посчитали полезным:

rus935 пишет:
И вообще расковырять механизм активации возможно(в плане забыть о серверах блауковича)?
Телепорт поможет
Ну а если серьёзно, без коня не узнаешь, что на той стороне мешают с персональными данными, и какой алгоритм используют.

Добавлено спустя 12 часов 57 минут
Немного статы по этому чудовищу.
У антидампа два метода:
1.Выносить что-то в выделенную память.
2.Разбрасывать по секции кода зависимые от текущей среды данные.
Эти данные обычно кладут либо после RET подпрограммы, либо в её теле после JMP.
На этапе между еп загрузчика, и стартовым кодом Стима&Хренуво на примере обновлённой Лариски "разбрасываем":
1.257 указателей размером 8 байт, для страниц в выделенной памяти с размером 0х1000.-дежавю по Секуру
2 175 указателей размером 8 байт, для страницы с динамическими цпу. - типа ответка, связка с загрузчиком
3.150 ячеек, длина 8 байт, для криптованых баз системных модулей.- идею стырили у дерьматолога
4.151 ячейка, длина 4 байта, зависимы от текущей версии ОС - Что и с чем пока выясняется.
На этапе между vm_oep и винмайн:
1.1300 ячеек, длина 4 байта.Перемешиваем данные инит, цпу, и лицухи.
Есть ещё " мусорок", размер не выяснялся, ибо на функционал не влияет.
Итого порядка 11 000 байтов (в 10- чном) чисто для антидампа..
-----------
Теперь вопрос. Что уникального между версиями винды, что можно всунуть и перемешать в 4 байта, 151 раз с разными ключами?
Собственно оно не критично, но как-то три дампа это моветон.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: oldman

Bronco, респект тебе за твой тяжелый и неблагодарный труд.

| Сообщение посчитали полезным: Bronco

>Теперь вопрос. Что уникального между версиями винды, что можно всунуть и перемешать в 4 байта, 151 раз с разными ключами?

Воу-воу, 4 байта - это кто-то на брутфорс напрашивается. O(4,294,967,296) для каждой новой машины - и играй себе

| Сообщение посчитали полезным:

BFG18 пишет:
и играй себе
Вау-Вау, стёб зачётный, оценил.
Нах брутфорсить, если всего три платформы ?
Можно и по табличке рассовывать, в зависимости от версии ОС.
Но хочется более красивое решение.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Версии ОС имеется ввиду win7, win8.1 или win10 ? Небось тупо считают crc32 от результата ver в командной строке, типа от "Microsoft Windows [Version 6.1.7000]" и дальше с этими 4-мя байтами извращаются :D

| Сообщение посчитали полезным:

Bronco с денувой все ясно а как на чет взлома игр от майков? которые под вин 10(вин стор)

| Сообщение посчитали полезным:

oldman пишет:
Небось тупо считают crc32 от результата ver в командной строке
К этим апи обращений нет. Может эмулят всю функу, но пока не вышел на такие места.
Evil555 пишет:
с денувой все ясно
ок...оценил, жду откровений по наработкам.
Evil555 пишет:
а как на чет взлома игр от майков?
та где-то для этих задач есть другой Bronco. Его пока не видно, но он точно есть.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco не вариант, что из пеба инфа бергается? и апи никакие не нужны

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
не вариант, что из пеба инфа бергается?
Ну я пока за константами гоняюсь. Вот на примере одной в среде вин10х64.
0000000147247367 | MOV EAX, DWORD PTR DS:[RSI] = 72D13EAE; rsi = 1471A1523
000000014724737A | XOR 72D13EAE, 471CB5BC = 35CD8B12// addr = 00000001471CB5BC
0000000147247382 | XOR 35CD8B12, 6ABE7F8E = 5F73F49C
000000014727CAA9 | INC EAX = 5F73F49D
000000014721658E | NEG EAX = A08C0B63
00000001473008C2 | SUB A08C0B63, 472E692D = 595DA236
not 595DA236 = A6A25DC9; not 8DB4 = FFFF724B; AND A6A25DC9, FFFF724B = A6A25049
not A6A25049 = 595DAFB6; not 8034 = FFFF7FCB; AND 595DAFB6, FFFF7FCB = 595D2F82
not 595D2F82 = A6A2D07D; not 8752 = FFFF78AD; AND A6A2D07D, FFFF78AD = A6A2502D
not A6A2502D = 595DAFD2; not 702 = FFFFF8FD; AND 595DAFD2, FFFFF8FD = 595DA8D0
MOV DWORD [14319FE1B], 0x595DA8D0 < в итоге всунули сюда.
На вин7 ветка примитивов та же, только указатели в RSI на байткод другие.
Но ещё раз повторюсь, пока эта шняга не критична. На диске по этим местам в файл тыкаем "блаукошка", при старте расскидываем то что они нажевали.Но три таблицы кумарят конечно.
Можно конечно проверить и по PEB, но что это даст, если у них статические заготовочки.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: ELF_7719116, mkdev, v00doo

v00doo пишет:
На вин7 ветка примитивов та же, только указатели в RSI на байткод другие.
Расковырял таки, пока я тут ерундой занимаюсь

| Сообщение посчитали полезным: Bronco

v00doo пишет:
пока я тут ерундой занимаюсь
Социальный стёб и тролинг, на уровне эмулятора стима, не менее важная вещь.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: CyberGod

А какова цель столь подробного ковыряния? Глянул сам охуююю мягко сказано от всего этого, желание отпало вообщем так как опыта такого нету. Сижу дальше наблюдаю тих потихой за вами.

| Сообщение посчитали полезным:

rus935 пишет:
желание отпало вообщем
форма подачи инфо специально выбрана мягко сказать ироничная, и всё равно отпугнула.
Не надо бояться обсуждений и егоров, это форум.
rus935 пишет:
А какова цель столь подробного ковыряния?
Пока есть комфортная возможность, и Блаукович не начал психовать и превращать всё в подобие фимки, почему бы не поковырять.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Evil555 пишет:
Bronco с денувой все ясно а как на чет взлома игр от майков? которые под вин 10(вин стор)
Кто-то говорил что она тоже сложная уникальная в своем роде, что она заточена именно под ОС, и придётся бороться с ОСю чтобы получить результаты. Хотя это мнение чужого чувака в интернете.

| Сообщение посчитали полезным:

Опять этот хайп по сети, типо хренуво ядро сменило..
Почаще бы так меняли...
В обновлённом JC3 , родное ОЕР тупо забыли опечатать.
Разница с Ларкой только в кол-ве выделенных страниц в памяти, ото и всё ядро.
Где кряки от 3ДМ, сколько ещё ждать?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

3DM тоже наверно хотят посмотреть на реакцию денуво на стрим в котором показали кряк.))))))

| Сообщение посчитали полезным:

Bronco пишет:
Где кряки от 3ДМ, сколько ещё ждать?

А они обещали?

| Сообщение посчитали полезным:

Nospamwss пишет:
А они обещали?
Да они ваще мутно_пиарные стали, в стриме один конфиг, для двух разных игр с разными версиями фейсов, но пипл схавал, версии игр старые, пипл опять схавал, типа унифицированный лодырь, пипл опять хавает и пищит..
Унпаком заниматься никто не хочет. все мутят в лоб обойти.
Глянул что долбят, пожелаю успеха.
Перед фейсами собирают инфо, криптуют, потом декриптуют лицуху, потом с этим инфо смешивают, а в конце ещё и ленту пикода подмешивают.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco: слышал о том что сегодня voksi вроде как обошел защиту в думе? Что думаешь по этому поводу?

| Сообщение посчитали полезным:

И не только DooM, но и Rise of the Tomb Raider.
Он пропатчил стим для запуска игр. Стим думает что запускает демку (бесплатную).

| Сообщение посчитали полезным:

Пока Bronco и 3DM видосики показывают,Voksi обошел защиту и поделился с народом

| Сообщение посчитали полезным:

Alex55233 пишет:
сегодня voksi вроде как обошел защиту в думе
Реактивация из под учётки стима(возможно левой) - весьма остроумное решение.
Последствия пока не предсказуемы , но полюбасу красавец. Лично не проверял, но доверяю паблику.
Haoose-GP пишет:
но и Rise of the Tomb Raider.
У Ларки демки нет, и версии фейсов стима отличаются.
rodga пишет:
Пока Bronco и 3DM видосики показывают
Вот только ставить в один ряд 3ДМ_гАвно_стрим, и мой шедевр мультипликации...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
У Ларки демки нет
Пофиг. Обошли с помощью все той же демки дума. xD Ждем и остальные игры (в частности Total War: WARHAMMER, INSIDE, METAL GEAR SOLID V: THE PHANTOM PAIN, Just Cause 3).

| Сообщение посчитали полезным:

Haoose-GP пишет:
Обошли с помощью все той же демки дума
Весьма любопытно как без апдейта фейсов это можно реализовать.
Для Ларки нужно:

У Voksi пока это реализованно:

Если допилил, будут линки скинь.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Это тот самый voksi который активатор за 5 баков толкал?

| Сообщение посчитали полезным:

rus935 Он самый, а вообще сейчас многие на хайп слетятся, ждем новых стримов))

| Сообщение посчитали полезным:

В ЖС3 разрабы видать решили в троллинг хак-сцены удариться.
А Хренуво тему подхватило..
чтобы не шалили с унпаком и мёртвой петлёй, понатыкали везде где можно проверки хидера и штампа линкера, а для прикола юзают константу DEADBEEF...
//игра хранилище стима на диске и Api_SteamRemoteStorage не использует.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

От делать "нехочу ничо" скачал ларку однако запустилось. Интересненько.

| Сообщение посчитали полезным:

Bronco пишет:
Если допилил, будут линки скинь.
На что? На кряки? Скину в ЛС
rus935 пишет:
Это тот самый voksi который активатор за 5 баков толкал?
Нет. Другой принцип. тут не на основе левого акка/акков Вокси, а на ваш собственный акк игра активируется.
Groul пишет:
Он самый, а вообще сейчас многие на хайп слетятся, ждем новых стримов))
Если не знаешь - зачем пишешь? xD

| Сообщение посчитали полезным: