CODEX UNVIRTUALIZE DENUVO/VMProtect


**************

В связи со стремительно развивающимися событиями, данный топик будет реформирован. Перечень тем, на которые ведется обсуждение:

░▒▓▓-SecuROM 7/8 common (VM research; disk-check bypass attack; find OEP & dumping; cumulative attack...)
░▒▓▓-- SPR I (profiles; updates)
░▒▓▓-Requests for generation SecuROM PA Unlock code (SecuROM PA Online-activation) WOW! Only on EXELAB.RU
░▒▓▓-Denuvo ("surface" questions)
░▒▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

SPR I - Fight against the virtual machines (VM) of all SecuROM 7-8 versions (Подробности в 20, 23 посте.)


80_PA - SecuROM (PA) Online-Activation keygen! Holy shit!
[/url]
the list of programs (games), which can now be activated using 80_PA:
https://pastebin.com/EiMbV3YD or --> pastebin primary link <--

>>>>>>>> (!) Send me more games with SecuROM PA (!) >>>>>>>>>>>>

Denuvo Profiler (DProfiler)


------------
1.04.2012
Собственно я не сказал самого главного. SecuRom_Profiler 7 v1.0(SPR I) - часть большого зеленого пирога, под названием "ТИБЕРИУМНЫЙ РЕВЕРСИНГ" (статья опубликована в 159 номере ][. А позже, ещё одна итоговая статья - 199 ][), включает в себя собственно статью в журнале, ПОЛНУЮ техническую статью, материалы по SecuROM 7.33.0017, исходники X-кода и видео. Технический вариант статьи с приложениями можно брать отсюда:
▒Статья
▒Видео
▒Видео 2 (Продолжение)
▒Видео 3 (Окончательный разгром)
▒Видео 4 (В погоне за взломом DENUVO)
Имеет косвенное отношение к статье:
▒Видео косвенное

Хроники битвы при DENUVO 19.04.19
https://xakep.ru/2019/04/19/denuvo/

Message for the companies(etc) using this protection: we can buy SecuROM/DENUVO SDK & sources. Сontact me according to the personal message. Сonfidentiality is guaranteed!!! The bought files will be used for private research!

░░░░░░░░░░
См. также:
diff_trace

▓▓
615d_22.09.2013_EXELAB.rU.tgz - Sony DADC SecuROM vulnerability.zip
c177_01.02.2017_EXELAB.rU.tgz - PATENT DENUVO.pdf (притащил v00doo)


▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
80_PA new 2.0 hotfix (!!!). Official links (mirrors):
https://mega.nz/#!L6gGBYBK!Y9X-6LFBdow6a1_IBlDFbrS6PBF4RRz_n9kuSGiI0UM (или --> 80_PA_v2.0 keygen link <--)
--> Mirror #1 <--
--> Mirror #2 <--

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
DENUVO Leak content
обращайтесь в личку - скину.

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
Denuvo Profiler (DProfiler) - test version 0.3 "INSPIRE"
https://mega.nz/#!DLwExKya!kCyFXw1roY3MkFaTO56LJAd-amc2yXWVerV2ic38bgs (или --> DProfiler link <--)

| Сообщение посчитали полезным: yanus0, obfuskator, Vovan666, MasterSoft, slick, hlmadip, ClockMan, Nightshade, Dart Raiden, Bronco, BAHEK, SReg, [Nomad], DimitarSerg, verdizela, yagello, OnLyOnE, FrenFolio, daFix, VodoleY, gena-m, m0bscene, Gideon Vi, ff0h, zeppe1in, antipod, huckfuck, kioresk, aRiX, 4kusNick, Ara, d0wn, Smon, audiofeel, zNob, cypherpunk, zzzombie1989, MarcElBichon, v00doo, DenCoder, nick7, Haoose-GP, arnix, Qbik, serilo, s2003r, DICI BF, Kindly, PavelDAS, HandMill, VanHelsing, random, TrueLies, warezhunter_, denfil777, alx30721, omeh2003, asm-jaime, WildGoblin, mushr00m, Flippy1801, KOTwasya, r3n5m388, chegevara, Groul, dnv83, kassane, ==DJ==[ZLO], red0x, HAOSov, rootkid, DirtyHarry, MacTep, kurorolucifer, s0cpy, aire1, ReloadUGunz, tRuNKator, Cherbet, RmK-FreE, Pringell, IHateInventNicknames, go2crck, mak, Dimosz, Creckerhack, zd0x, Mustafa_Dev007, UnnyBolt, Isaev, Astap1516, Voices_of_the_BULG, EHS4N, SnakeByte, KOCMOC42, anarh1st47

Посмотрел список старфорса. Вспомнил как переписывал исходники анпакера ресурсов для DungeonLords CE для SFFS. Веселое было время. Я наверн почти в каждой игре со старфорсом из твоего списка ковырялся.

| Сообщение посчитали полезным:

Вообще, коллаборация двух сцен-групп, да ещё и на почве Denuvo, это что-то из ряда вон выходящее. Это RELOADED кладут на сотрудничество и, бывает, выдают межгрупповой неадекват в .NFO, а тут на-те - CPY и CODEX/PLAZA задружились.

| Сообщение посчитали полезным:

А как реализованы собственно гейм-брекинг триггеры?

| Сообщение посчитали полезным:

Sexist пишет:
А как реализованы собственно гейм-брекинг триггеры?

Никак. На данный момент во время собственно игрового процесса защиты нет. Защита работает во время запуска игры, в меню, и во время загрузки/сохранения сейвов.

| Сообщение посчитали полезным:

Как обнаруижить защиту в игре, в том же Icredible Hulk 1.1 ? Там скорее всего простой секуром, расскажите новичку

| Сообщение посчитали полезным:

AD010 пишет:
Как обнаружить защиту в игре, в том же Icredible Hulk 1.1 ?
--> Link <--

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

AD010
ProtectionID

| Сообщение посчитали полезным:

unknownproject пишет:
Я, кстати, удивился, что денуво никак не реагирует на аттач отладчика.Таким макаром можно будет распотрошить все ресурсы.
Да уже давно распотрошили

Структура PAK
Скрипт для распаковки

Nightshade пишет:
Вспомнил как переписывал исходники анпакера ресурсов для DungeonLords CE для SFFS.
Самое запарное было это найти ключики шифрования. Есть например Starsky & Hutch (Акелла) и LADA Racing Club (Новый Диск) - так вот для них таблеток нет. Обе с SFFS, вдруг решишь вспомнить эти времена

| Сообщение посчитали полезным:

Pu3Ho пишет:
во всех играх кроме Mirror's Edge Catalyst .екзешник никак не трогается
В ориджин, поверх денуво, врапер вешают. В статике , без лицухи, саму денуво не вытащишь.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

я их и делал на win7 И работали они не на 1 ПК

| Сообщение посчитали полезным:

вот смотрю и который месяц этот топ всплывает.
вопрос и нахуя это все. вы что то сломали, нет, у вас есть дженерик патч, снова нет.
итальянцы конечно же пидорасы, но даже эти пидорасы выпускающие работающие патчи и то меньше флудят.
думаю выскажу мнение многих которые стесняются высказаться.
реально, посоны вы заебали уже, сделайте хоть что то и после флудите. нах*я апать постоянно топ если вы реально ни на что не способны? вм прекрасно разбирается, инфа 100%, перестаньте тратить время на словесное дрочево и займитесь уже чем то конструктивным.

| Сообщение посчитали полезным:

Лишнее частями было выпилено. На местного старфорс тролля внимания не обращайте, всё равно потрём его ерунду.

| Сообщение посчитали полезным: neshta

Наверно это только neshta сможет понять, но я напишу - изоляция задачи. Тоесть утеря смысла - перевод его на примитивные вещи, вместо абстрагирования и решения автоматикой. Можно взять весь ваш этот денув под слой супервизора и автоматикой выделить нужные части - выполнить в простейшем случае депак/декрипт/етц тупо сигнатурно; есть поделки из виксов которые изменяются на каждой итерации, но этого нет в защите какой бы навороченной она небыла.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
й. Можно взять весь ваш этот денув под слой супервизора и автоматикой выделить нужные части
А с CPUID ты что делать будешь? Не говорю уже про VM денувы в которые встраивают критичиские куски кода игры...

| Сообщение посчитали полезным:

Pu3Ho пишет:
А с CPUID ты что делать будешь?

ничего. Как обычно, гора терминов пополам с жаргоном и все.

| Сообщение посчитали полезным:

Gideon Vi

Ранее было много реализаций, но кривых и не полноценных. Годное пока не готово. cupid это обычная ничем не примечательная инструкция, можно как угодно обработать.

-----
vx

| Сообщение посчитали полезным:

Pu3Ho пишет:
А с CPUID ты что делать будешь?
oldman пишет:
Эта задача решена полностью
проверено. оттестировано, включая последний билд винды. Осталось пока 2 вещи - KUSER_SHARED_DATA (считывают 4 важных поля) и привязка к среде ОС( под это целую секцию в памяти выделяют, а что конкретно лопатят пока не ясно).

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: oldman

Bronco пишет:
Осталось пока 2 вещи - KUSER_SHARED_DATA (считывают 4 важных поля)

Bronco пишет:
од это целую секцию в памяти выделяют, а что конкретно лопатят пока не ясно
а не привязка ли там к PE_хидерам kernel32.dll и ntdll.dll?!?

Pu3Ho пишет:
VM денувы в которые встраивают критичиские куски кода игры...
пусть встраивают, но ... контекстов vm слишком много >50 шт. Надо за раз всё крыть. Производительностью и местом разработчики жертвуют из-за огромного страха быть взломанными.

Nightshade пишет:
Патчил всякие mov eax, FS:[xx] на mov eax, address of copy
PEB, TIB... а у KUSER_SHARED_DATA разве не фиксированный адрес? (http://research.microsoft.com/en-us/um/redmond/projects/invisible/src/base/md/i386/sim/_glue.c.htm)

он многие вещи тащит из ленты p-code, в пошифрованном виде (чаще всего битовым сдвигом), так что fs, gs - не то.

| Сообщение посчитали полезным: oldman

В старфорсе был похожий код. Чекали
+026C ULONG NtMajorVersion;
+0270 ULONG NtMinorVersion;
Что я делал:
При дампе делал копию структуры. Патчил всякие mov eax, FS:[xx] на mov eax, address of copy
В итоге стар в вм чекал копию структуры и все проверки шли лесом.

| Сообщение посчитали полезным:

Nightshade пишет:
В итоге стар в вм чекал копию структуры и все проверки шли лесо
тут пока похожее решение, но тянет за собой чекать проверку целостности отдельных участков вм, а это уже громоздко получается, слишком много обращений к этим полям. В шару_дата так просто данные не подкинешь. Кол-во ядер, билд и тип ОС - значимые поля. С PEB как-то проще..)))
ELF_7719116 пишет:
а не привязка ли там к PE_хидерам kernel32.dll и ntdll.dll?!?
да хз.. страницу выделяют на стадии загрузчика, лопатят в вм долго и нудно. Судя что валидные активы слетают именно при обнове самого ядра, хз какие выводы делать. Зависимы от среды ОС порядка 150 дворд,+ 1/4 от тех что с лицухой мешают.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Nightshade пишет:
В старфорсе был похожий код. Чекали
+026C ULONG NtMajorVersion;
+0270 ULONG NtMinorVersion;

Прямой доступ через шаред структуру возможно эмуляция GetVersion, так можно размазать проверки HEAP Антидампа и переменных среды ..
Bronco пишет:
проверено. оттестировано, включая последний билд винды. Осталось пока 2 вещи - KUSER_SHARED_DATA (считывают 4 важных поля) и привязка к среде ОС( под это целую секцию в памяти выделяют, а что конкретно лопатят пока не ясно).
Поэтому логика может быть размазана ..

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: Bronco

Вот так без палева это в старфорсе

Я первый раз когда увидел, долго втыкал почему нет сепшена на [30] и только потом увидел FS:
Это был их новый антидамп, на который я убил пару дней, чтобы обойти. Снимал трассу специально и смотрел, что делают с этим адресом дальше.

Я кстати не пробовал, но возможно можно выполнить такой код перед проверками
mov dword ptr fs:[0x30], 0xХХХХХХХХ
где ХХХХХХХХХХХ - адрес копии
поставить бряк на доступ, поглядеть по каким смещениям прервемся.
А потом думать насколько повлияет полная или частичная подмена данных.
Например подмена версии ОС может вообще ни на что не влиять в треде проверки антидампа.

Можешь вообще как Indy сунуть туда что-то инвалидное и по фолту решать отдать значения из копии или оригинала.
-------------------
Похоже я путаю структуру... 7ffe0000 - это константа?

| Сообщение посчитали полезным:

Nightshade

Не знаю что вы делаете, но скажу общие соображения. Fs:30 это TEB.Peb:PPEB, соответственно адрес в верхней части ап, это не константа, данные блоки памяти рандомизируются(ASLR). USD адрес фиксирован.

По USD - там тоже имеются счётчики(таймеры), но проблема в том, что тип этого региона нельзя изменить из юзермода, иначе можно было бы отследить выборку из него, тогда единственный возможный вариант - поставить туда железячный останов. Я бы исходил из другого - если приложение взято под эмулятор, то для каждой выборки данных раскодируется эффективный адрес, к примеру DBI основанные на XED. Тогда можно трекнуть выборку данных и подменить их к примеру.

> Можешь вообще как Indy сунуть туда что-то инвалидное и по фолту решать отдать значения из копии или оригинала.

Отследить выборку данных, хорошее решение. Кстате тут недавно тема была про скрытие модуля, её закрыли, но семпл запилился(то же робит аналогично - подмена данных через их выборку) вот семпл если интересно --> Link <-- vx

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Я бы исходил из другого - если приложение взято под эмулятор, то для каждой выборки данных раскодируется эффективный адрес, к примеру DBI основанные на XED.

я тебе уже говорил, что игрушки с денувой не работают под dbi, по крайней мере с "коробки". Ни intel pin, ни
динаморио не вывез. Может быть специально написанный pintool спасёт ситуацию, не проверял.

Nightshade пишет:
Похоже я путаю структуру... 7ffe0000 - это константа?

да, kuser_shared_data -> 000000007FFE0000, адрес фиксирован.

| Сообщение посчитали полезным:

oldman

Ну я в общем идею сказал, а не конкретно реалиацию. Если имеется выборка из памяти, причём которая не контролируется, то единственное решение это взять приложение полностью под супервизор и транслировать адреса. В этом случае все смежные проблемы пропадают, как например с cupid. DBI слишком крив, есно оно на защите не робит, хотя почему бы не взять опенсурс полноценную вм. Мне интересно сколько весит сабж ?

Попадалась интересная идея по треку выборок на основе железячного профайлера. С ZN если правльно помню, но там сильно замудрёная реализация да есчо и не универсальна. Вот нашёл --> Link <--
Но это всё слишком ll, так что имхо не юзабельно.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Если имеется выборка из памяти, причём которая не контролируется, то единственное решение это взять приложение полностью под супервизор и транслировать адреса.

ну есть конкретное решение по подмене шареддаты от известного гражданина из артим - но оно под 32 бита.
Ты в силах его под 64 бита перепилить?

difexacaw пишет:
Мне интересно сколько весит сабж ?

Сейчас демку резидентвивила смотрим - --> Link <--
В установленном виде порядка 4 гигов. Минимальный набор - ехе и стим_апи.длл - порядка 160 метров.

| Сообщение посчитали полезным:

oldman

> Ты в силах его под 64 бита перепилить?

Не знаю что это, но наврядле я это могу перепилить. Я пилю потиху свой супервизор, но оно тоже x32. Так же порт на 64 видимо не получится, так как слишком низкоуровневое это.

> В установленном виде порядка 4 гигов. Минимальный набор - ехе и стим_апи.длл - порядка 160 метров.

Наверно проще на болванке семпл найти. Кстати почему оно всё такое большое, тоесть я тут про другую защиту вроде спрашивал оно тоже весит гб. Это что штучные поделки, тоесть не как в крипте - отправил что угодно и автоматика отсылает результ ?

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
почему оно всё такое большое
улыбнуло, фенькс... это ещё мизер, оттого что демка.
На Doom только дамп исполняемого, почти на пол гига.
difexacaw пишет:
то есть не как в крипте
долгая и нудная эмуляция примитивов, формирование констант и адресов, в перемежку со служебными задачами чтения ленты, криптованного массива данных, для перехода от одного блока к другому и передачи управления и тд. Хз что тут автомат вернёт.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco

Я имел ввиду криптование, услугу по защите приложения от ав. Там не проблема получить семпл на приложении любого размера - это автоматикой делается. А в таких случаях судя по всему вручную, тоесть это единичные поделки и соответственно нельзя что то отправить и получить накрытый протом семпл.

-----
vx

| Сообщение посчитали полезным:

difexacaw, я не смотрел, чего там предлагал Дероко, но как понимаю, нужно для конкретного запущенного процесса изменить атрибуты страницы (шаред_даты), чтобы заполнить поля в структуре нужными данными. Авер конторы в лес, это не руткит... Ловить и патчить вм , хоть и результативно, но пока накладно

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: