CODEX UNVIRTUALIZE DENUVO/VMProtect


**************

В связи со стремительно развивающимися событиями, данный топик будет реформирован. Перечень тем, на которые ведется обсуждение:

░▒▓▓-SecuROM 7/8 common (VM research; disk-check bypass attack; find OEP & dumping; cumulative attack...)
░▒▓▓-- SPR I (profiles; updates)
░▒▓▓-Requests for generation SecuROM PA Unlock code (SecuROM PA Online-activation) WOW! Only on EXELAB.RU
░▒▓▓-Denuvo ("surface" questions)
░▒▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

SPR I - Fight against the virtual machines (VM) of all SecuROM 7-8 versions (Подробности в 20, 23 посте.)


80_PA - SecuROM (PA) Online-Activation keygen! Holy shit!
[/url]
the list of programs (games), which can now be activated using 80_PA:
https://pastebin.com/EiMbV3YD or --> pastebin primary link <--

>>>>>>>> (!) Send me more games with SecuROM PA (!) >>>>>>>>>>>>

Denuvo Profiler (DProfiler)


------------
1.04.2012
Собственно я не сказал самого главного. SecuRom_Profiler 7 v1.0(SPR I) - часть большого зеленого пирога, под названием "ТИБЕРИУМНЫЙ РЕВЕРСИНГ" (статья опубликована в 159 номере ][. А позже, ещё одна итоговая статья - 199 ][), включает в себя собственно статью в журнале, ПОЛНУЮ техническую статью, материалы по SecuROM 7.33.0017, исходники X-кода и видео. Технический вариант статьи с приложениями можно брать отсюда:
▒Статья
▒Видео
▒Видео 2 (Продолжение)
▒Видео 3 (Окончательный разгром)
▒Видео 4 (В погоне за взломом DENUVO)
Имеет косвенное отношение к статье:
▒Видео косвенное

Хроники битвы при DENUVO 19.04.19
https://xakep.ru/2019/04/19/denuvo/

Message for the companies(etc) using this protection: we can buy SecuROM/DENUVO SDK & sources. Сontact me according to the personal message. Сonfidentiality is guaranteed!!! The bought files will be used for private research!

░░░░░░░░░░
См. также:
diff_trace

▓▓
615d_22.09.2013_EXELAB.rU.tgz - Sony DADC SecuROM vulnerability.zip
c177_01.02.2017_EXELAB.rU.tgz - PATENT DENUVO.pdf (притащил v00doo)


▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
80_PA new 2.0 hotfix (!!!). Official links (mirrors):
https://mega.nz/#!L6gGBYBK!Y9X-6LFBdow6a1_IBlDFbrS6PBF4RRz_n9kuSGiI0UM (или --> 80_PA_v2.0 keygen link <--)
--> Mirror #1 <--
--> Mirror #2 <--

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
DENUVO Leak content
обращайтесь в личку - скину.

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
Denuvo Profiler (DProfiler) - test version 0.3 "INSPIRE"
https://mega.nz/#!DLwExKya!kCyFXw1roY3MkFaTO56LJAd-amc2yXWVerV2ic38bgs (или --> DProfiler link <--)

| Сообщение посчитали полезным: yanus0, obfuskator, Vovan666, MasterSoft, slick, hlmadip, ClockMan, Nightshade, Dart Raiden, Bronco, BAHEK, SReg, [Nomad], DimitarSerg, verdizela, yagello, OnLyOnE, FrenFolio, daFix, VodoleY, gena-m, m0bscene, Gideon Vi, ff0h, zeppe1in, antipod, huckfuck, kioresk, aRiX, 4kusNick, Ara, d0wn, Smon, audiofeel, zNob, cypherpunk, zzzombie1989, MarcElBichon, v00doo, DenCoder, nick7, Haoose-GP, arnix, Qbik, serilo, s2003r, DICI BF, Kindly, PavelDAS, HandMill, VanHelsing, random, TrueLies, warezhunter_, denfil777, alx30721, omeh2003, asm-jaime, WildGoblin, mushr00m, Flippy1801, KOTwasya, r3n5m388, chegevara, Groul, dnv83, kassane, ==DJ==[ZLO], red0x, HAOSov, rootkid, DirtyHarry, MacTep, kurorolucifer, s0cpy, aire1, ReloadUGunz, tRuNKator, Cherbet, RmK-FreE, Pringell, IHateInventNicknames, go2crck, mak, Dimosz, Creckerhack, zd0x, Mustafa_Dev007, UnnyBolt, Isaev, Astap1516, Voices_of_the_BULG, EHS4N, SnakeByte, KOCMOC42, anarh1st47

Haoose-GP пишет:
Battlefield Hardline - не взломали. И там только 64-битный EXE
Посоны, а Вы не находите странным тот факт, что Denuvo защищает только x64 стандартные pe-файло! Совпадение?? Не думаю!
Kindly пишет:
ее отозвали, это порт со всеми вытекающими, поэтому и не стали ломать эту "сырую альфу".
Там, вроде как, денуво улучшенный будет. Наверное из-за этого тоже.
Haoose-GP пишет:
Итальянская группа
У этих макаронников есть свой оф. сайт??

| Сообщение посчитали полезным:

hello пишет:
Там, вроде как, денуво улучшенный будет. Наверное из-за этого тоже.
Возможно, но в стиме юзеры "забраковали" игру с первых дней, как раз в стиме вступила в силу новая система возврата денег в течении 30 дней с момента приобретения игры, в случае, даже если она не понравилась. этой возможностью начали все активно пользоваться, ибо игра оказалась сырой сборкой отнюдь не из-за триггеров денуво.

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

hello пишет:
У этих макаронников есть свой оф. сайт??
Конешно есть. Как и у всех остальных сцен-групп...
Facepalm

| Сообщение посчитали полезным: Gideon Vi, hello, WildGoblin

Очередной релиз
Batman.Arkham.Knight-CPY

dll-ка вроде не защищена. Может кто сможет посмотреть и рассказать каким образом (принцип) итальянцы смогли обойти защиту?

| Сообщение посчитали полезным:

Народ скажите а действительно эта денуво, ломает жеский диск в особенности SSD, раньше часто форсились эти слухи, хотелось бы узнать насколько они правдивы?

| Сообщение посчитали полезным:

Кроме анонимов ни кто тестирования не проводил. О живучести ssd можно сделать вывод на основании недавнего теста наработки на отказ. Она - большая.

| Сообщение посчитали полезным: fargod

fargod пишет:
Народ скажите а действительно эта денуво, ломает жеский диск в особенности SSD, раньше часто форсились эти слухи, хотелось бы узнать насколько они правдивы?
Gideon Vi пишет:
Кроме анонимов
Не скажу точно насчет файло и ломания SSD. Скорее всего, это домыслы анонимов, которые юзали FileMon.
Вот за оперативную память, однозначно утверждаю, что денувко гадит там и жрет её:

Страничек размером с 0x1000h (или 4096 dec) байт около 1169 штук! 1169 * 4096 = 4 788 224 байт оперативы, отдаете денувке (в случае Lords of Fallen). При том, что там находится всего чуть-чуть его инструкций и куча мусора. Аналогично так VM в SecuROM 7 версии гадит поступает.
Под эту фигню отведена функа (практически без обфускации, чистая), которую можно найти по инициализации структуры:



Кстати, v00dooыч, ты говорил, что можно до OEP дойти с CPY:
у меня на SteamAPI_GetHSteamPipe всё заканчивается - процесс после завершается. CPY в EAX там 0x07777 ложит. Там что-то еще крек-команды пропускают, потому что по отзывам в нете, кряк не у всех срабатывает. Возможно, это с ивентом связано, который в отдельно треде взводится.

Кстати, с NtSetInformationThread есть забавный сплойт (вроде, я его раскрыл) - у мну, после переустановки винды 7 и обновления, при постановке программного бряка на первую инструкцию этой нативной апи, денувко в RCX сует -1, вместо -2 и анти-дебаг не срабатывает - сразу 00000000C0000004 выплевывается, лол!


| Сообщение посчитали полезным: Gideon Vi, v00doo, fargod, Haoose-GP, zNob

ВСЕМ! ВСЕМ! ВСЕМ!
(to ALL! ALL! ALL!)

Кто скачал кряки 3DM, CPY, но они у них не работают!
В защите идет проверка существования ветки реестра HKEY_CURRENT_USER\Software\Valve. Если у Вас не установлен Steam - игра будет тупо завершатся (ExitProcess).
Решение проблемы:
Установите Steam (--> ОТСЮДА <--)

или

Запхните в реестре файл reg следующего содержания:


На всякий пожарный, reg для создания LM ветки HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Valve (несмотря на то, что предварительно она не проверяется - запрос идет к HKEY_CURRENT_USER, что выше)


Еще раз, общие вопросы, которые могу возникнуть при работе с таблэтками:



Данную информацию я разместил в заглавном топике.

bd29_04.08.2015_EXELAB.rU.tgz - valve_steam_root_registry_CU_LM.7z

| Сообщение посчитали полезным: zNob, Gideon Vi, Haoose-GP

Haoose-GP пишет:
Battlefield Hardline - не взломали. И там только 64-битный EXE
Battlefield.Hardline-CPY

| Сообщение посчитали полезным: ELF_7719116

Haoose-GP пишет:
Battlefield.Hardline-CPY
Небось аналогично эмуляцией стима, а не полной распаковкой. DICE защищали Hardline специально от читаков, а не от пиратов.

| Сообщение посчитали полезным:

Денуву настолько нереально анпакнуть??

| Сообщение посчитали полезным:

ELF_7719116
Вот из чего состоит кряк:


| Сообщение посчитали полезным:

Gideon Vi пишет:
О живучести ssd можно сделать вывод на основании недавнего теста наработки на отказ. Она - большая.
Если оперативы мало на компе то юзается файл подкачки на диске, а дениво нужно как минимум 4 гига оперативы то у людей меньше чем с 8 гигами будут проблемы с SSD

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

если бы, да кабы. Недавно проводили тест, где SSD убивали полной многократной перезаписью. Там такие объемы, которые денуве и не снились.

| Сообщение посчитали полезным:

Ну как бы желательно в системе иметь 16 гигов оперативы и отключенную в винде функции подкачки файла, а так только ssd убьёшь быстрей)

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
дениво нужно как минимум 4 гига оперативы то у людей меньше чем с 8 гигами будут проблемы с SSD
Почему именно нужно минимум 4 гига оперативы??

ELF_7719116 пишет:
Страничек размером с 0x1000h (или 4096 dec) байт около 1169 штук! 1169 * 4096 = 4 788 224 байт оперативы, отдаете денувке (в случае Lords of Fallen). + говнокод виртуальной машины с её лентами + статические функи = в памяти это всё метров на 150 потянет

Чес не совсем понимаю, что Вы на ссд накинулись. Вот сколько говнокода приходится CPU переваривать, ЭТО РЕАЛЬНО ВИДНО! На одних JMP'ах сумашедшее количество тактов теряется, не говоря уже о том, что для x64 архитектуры CPU должен иметь здоровенный кэш - чтобы перемолоть такое количество инструкций, нужна уйма времени!

Вот, кстати, окресности OEP - таки да, денувко научился её неплохо гадить. Неприятно, хотя...те, кто видел стандартную WinCrtMain (или как там её) у Microsoft VC++ x64 комплилера, догадаются, что загаженная OEP - не так страшна (ведь можно восстановить с другого источника).

В одном маленьком кусочке кода уже столько безусловных переходов - Ваш CPU просто офигеет БЕЗ DENUVO игрушки работали заметно быстрее-и не потому, что файлы на диске долго читаются, а ПОТОМУ ЧТО ПРОЦЕССОР ЗАДОЛБАЛСЯ ПРЫГАТЬ ПО ПЕРЕХОДАМ И ВИРТУАЛИЗИРОВАТЬ КОД В VM.

hello пишет:
Денуву настолько нереально анпакнуть??
1. Восстановить OEP - выдирать с другого источника и искать концы, куда денуво скидывает управление после WinCrtMain
2. Эмульнуть странички размером с 0x1000h (или 4096 dec) байт около 1169 штук! - но тут вроде бы понятно всё, за эту функу я сказал выше
3. Выпиливать VM - благо, по большей части виртуализируются входы в WinAPI и проверки их условий.
4. Разбираться с триггерами - грабли по ходу пьесы
5. Наверно есть что-то еще, чего я не знаю...

| Сообщение посчитали полезным: hello

ELF_7719116 пишет:
5. Наверно есть что-то еще, чего я не знаю...
Вангую, что таки да. Разбирать любой протектор, я считаю, нужно начинать не с отладки каких-то отдельно взятых файлов, а с отладки именно самого протектора - необходимо смотреть как он работает с PE файлом. Потраченное время сокращается в разы, и все ранее тайное, становится явным
Но тут уж естественно необходим сам прот.

| Сообщение посчитали полезным:

SReg пишет:
Но тут уж естественно необходим сам прот.
с паяльником к авторам денуво.

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным: hello

Mad Max
Свежак с Денувой

| Сообщение посчитали полезным:

Haoose-GP пишет:
Mad Max
Свежак с Денувой
Опять x64! Рекомендуемые требования - 8 Гб оперативы... С ума сошли штоле.
А есть где мин. комплект для запуска взять?

| Сообщение посчитали полезным:

Metal Gear Solid V: The Phantom Pain - Denuvo. На Феноме 2 не запускается. Чёт опять с инструкциями поддерживаемыми намудрили скорее всего.

| Сообщение посчитали полезным:

ELF_7719116
Ну русторке есть раздача папкой обоих игр (от Fisher)

| Сообщение посчитали полезным:

DeZoMoR4iN
Лицензия?? Процесс висит пару сек и завершается?? Может steam виноват?!

| Сообщение посчитали полезным:

hello
Такая проблема на лицензии. В стиме многие пишут о ней. Пока обошли с помощью включения "бета-версии" в настройках стима. Имеется в виду бета-версия игры.

| Сообщение посчитали полезным:

hello пишет:
Лицензия?? Процесс висит пару сек и завершается?? Может steam виноват?!
Я же написал в чём проблема. При нативной поддержке инструкций SSE3 они умудрились не догадаться, что далеко не у всех пользователей в стиме есть современные процессоры с поддержкой инструкций SSE4.1. Благо, патч уже выпустили. Такая же ситуация была и с релизом Metro Redux.

Что касается убийства Денувкой SSD, то просто не нужно выносить файл подкачки на SSD. Рядом с бинарниками она ничего не записывает. По крайне мере у меня на MGS.



| Сообщение посчитали полезным:

У кого есть бабки лицензии с денуво покупать, то и на новый ssd найдутся.
Отключать файлы подкачки, кэши и прочая хрень для увеличения срока службы ssd - это имхо тупизм, иначе нафига ssd покупать - чтоб искусственно затормозить систему или чтоб экономить его срок службы? сидите тогда на hdd.

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным: koksokola

Kindly пишет:
Отключать файлы подкачки, кэши и прочая хрень для увеличения срока службы ssd - это имхо тупизм
Полностью согласен. Да чего там говорить, если даже Мелкософты рекомендуют по возможности переносить файл подкачки на SSD. Масса ноутбуков продают с одним SSD. Другое дело, что в идеале для этого нужно иметь выделенный SSD или же делать бэкапы хотя бы раз в месяц, если система и файл подкачки на одном диске. Если же вы любите устанавливать репаки от Васи, которые активно используют всю память включая виртуальную во время установки и насилуют диск операциями ввода-вывода различных препроцессоров, то лучше скинуть своп на какой-нибудь "Раптор". Для большинства сценариев рядового пользователя хватит файла подкачки, который расположен на SSD.

| Сообщение посчитали полезным:

Вышел бета-патч на Бетмана (пока только на обменниках, в стиме уже откатили обратно). И тоже с обновленной Денувой.

| Сообщение посчитали полезным:

Haoose-GP пишет:
Вышел бета-патч на Бетмана (пока только на обменниках, в стиме уже откатили обратно). И тоже с обновленной Денувой.
Нет в патче Денувы, там только стимовский стаб.

EP Denuvo

METAL GEAR SOLID V: THE PHANTOM PAIN - Тырк
Mad Max - Тырк

EP SteamStub

Batman Arkham Knight (1.2.0.36) Beta Patch 2 - Тырк
Топаем в call 1491083A0 и видим следущее - [1]
Чуть ниже можно увидеть крипт стаба который расшифровывает DRMP.dll - это xTea + custom xor key - [2]

Подробнее о SteamStub V2/V3 можно посмотреть Тут

| Сообщение посчитали полезным:

Qbik пишет:
Нет в патче Денувы, там только стимовский стаб.

EP SteamStub
Batman Arkham Knight (1.2.0.36) Beta Patch 2

Рекомендую выбросить на помойку ваш Protection ID. Сигнатура Steam Stub'а ещё ни о чём не говорит. С каких это пор у нас в Steam Stub'е секции с кодом виртуальной машины? Ответ прост - Denuvo под Steam Stub'ом.

| Сообщение посчитали полезным: