CODEX UNVIRTUALIZE DENUVO/VMProtect


**************

В связи со стремительно развивающимися событиями, данный топик будет реформирован. Перечень тем, на которые ведется обсуждение:

░▒▓▓-SecuROM 7/8 common (VM research; disk-check bypass attack; find OEP & dumping; cumulative attack...)
░▒▓▓-- SPR I (profiles; updates)
░▒▓▓-Requests for generation SecuROM PA Unlock code (SecuROM PA Online-activation) WOW! Only on EXELAB.RU
░▒▓▓-Denuvo ("surface" questions)
░▒▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

SPR I - Fight against the virtual machines (VM) of all SecuROM 7-8 versions (Подробности в 20, 23 посте.)


80_PA - SecuROM (PA) Online-Activation keygen! Holy shit!
[/url]
the list of programs (games), which can now be activated using 80_PA:
https://pastebin.com/EiMbV3YD or --> pastebin primary link <--

>>>>>>>> (!) Send me more games with SecuROM PA (!) >>>>>>>>>>>>

Denuvo Profiler (DProfiler)


------------
1.04.2012
Собственно я не сказал самого главного. SecuRom_Profiler 7 v1.0(SPR I) - часть большого зеленого пирога, под названием "ТИБЕРИУМНЫЙ РЕВЕРСИНГ" (статья опубликована в 159 номере ][. А позже, ещё одна итоговая статья - 199 ][), включает в себя собственно статью в журнале, ПОЛНУЮ техническую статью, материалы по SecuROM 7.33.0017, исходники X-кода и видео. Технический вариант статьи с приложениями можно брать отсюда:
▒Статья
▒Видео
▒Видео 2 (Продолжение)
▒Видео 3 (Окончательный разгром)
▒Видео 4 (В погоне за взломом DENUVO)
Имеет косвенное отношение к статье:
▒Видео косвенное

Хроники битвы при DENUVO 19.04.19
https://xakep.ru/2019/04/19/denuvo/

Message for the companies(etc) using this protection: we can buy SecuROM/DENUVO SDK & sources. Сontact me according to the personal message. Сonfidentiality is guaranteed!!! The bought files will be used for private research!

░░░░░░░░░░
См. также:
diff_trace

▓▓
615d_22.09.2013_EXELAB.rU.tgz - Sony DADC SecuROM vulnerability.zip
c177_01.02.2017_EXELAB.rU.tgz - PATENT DENUVO.pdf (притащил v00doo)


▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
80_PA new 2.0 hotfix (!!!). Official links (mirrors):
https://mega.nz/#!L6gGBYBK!Y9X-6LFBdow6a1_IBlDFbrS6PBF4RRz_n9kuSGiI0UM (или --> 80_PA_v2.0 keygen link <--)
--> Mirror #1 <--
--> Mirror #2 <--

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
DENUVO Leak content
обращайтесь в личку - скину.

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
Denuvo Profiler (DProfiler) - test version 0.3 "INSPIRE"
https://mega.nz/#!DLwExKya!kCyFXw1roY3MkFaTO56LJAd-amc2yXWVerV2ic38bgs (или --> DProfiler link <--)

| Сообщение посчитали полезным: yanus0, obfuskator, Vovan666, MasterSoft, slick, hlmadip, ClockMan, Nightshade, Dart Raiden, Bronco, BAHEK, SReg, [Nomad], DimitarSerg, verdizela, yagello, OnLyOnE, FrenFolio, daFix, VodoleY, gena-m, m0bscene, Gideon Vi, ff0h, zeppe1in, antipod, huckfuck, kioresk, aRiX, 4kusNick, Ara, d0wn, Smon, audiofeel, zNob, cypherpunk, zzzombie1989, MarcElBichon, v00doo, DenCoder, nick7, Haoose-GP, arnix, Qbik, serilo, s2003r, DICI BF, Kindly, PavelDAS, HandMill, VanHelsing, random, TrueLies, warezhunter_, denfil777, alx30721, omeh2003, asm-jaime, WildGoblin, mushr00m, Flippy1801, KOTwasya, r3n5m388, chegevara, Groul, dnv83, kassane, ==DJ==[ZLO], red0x, HAOSov, rootkid, DirtyHarry, MacTep, kurorolucifer, s0cpy, aire1, ReloadUGunz, tRuNKator, Cherbet, RmK-FreE, Pringell, IHateInventNicknames, go2crck, mak, Dimosz, Creckerhack, zd0x, Mustafa_Dev007, UnnyBolt, Isaev, Astap1516, Voices_of_the_BULG, EHS4N, SnakeByte, KOCMOC42, anarh1st47

mkdev, proof of what ? That you are an idiot and nobody likes you there ? You're annoying as hell. Your dumps are not worth anything, everyone can produce that garbage, go on and fix it so that the "dump" will work on every CPU

| Сообщение посчитали полезным:

Don't waste your time on that attention whore. He was banned on RIN for his stupidity. Now he is fooling around here.

| Сообщение посчитали полезным:

Bronco

И как всегда это разбирается месяцами вручную ?

-----
vx

| Сообщение посчитали полезным:

mkdev

А для кого вы это написали ?
Я к примеру ничего не понял.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
И как всегда это разбирается месяцами вручную ?
ну во первых, бетка призрака3 вылезла на паблик недельки три назад.
во вторых сутками над этим, я не зависаю, так иногда по вечерам.
в третьих, любая новая реализация требует время на анализ, а он зависим от читабельности асм_кода.
На минуточку тут страница с кодом 95 мега

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: mkdev

Хидеры и пеб заэмулены, шаредата заэмулена аж двумя способами на выбор, хоть с юзермода, хоть с ядра. Цпуид вообще давно нагнуто. Как релизнут снайпера3, 0day-нуть эту убогую поделку, чтоли, just for lulz

| Сообщение посчитали полезным: mkdev, Haoose-GP

oldman
Сделай. Покажи миру что не только CPY могут ))

| Сообщение посчитали полезным:

снайпера разве уже не релизили?

| Сообщение посчитали полезным: Libido

inf1kek
Речь о Sniper Ghost Warrior 3 (релиз 4 апреля), а не о Sniper Elite 4 (14 февраля), как вы должно быть подумали.

| Сообщение посчитали полезным:

oldman пишет:
Хидеры и пеб заэмулены, шаредата заэмулена аж двумя способами на выбор, хоть с юзермода, хоть с ядра
ваше не понятно зачем что-то эмулить.,да ещё с ядра..
Черти умудрились тыкнуть всё яйца в одну корзину. В стартовом коде cpuid вызывается всего 2 или 3 раза, и только с одним входным аргументом eax =1, хидер_шара_пеб тупо пакетом читают. всё указатели как на ладошке, патчи на уровне ап.
Цэ хозяйство вырезать трЭба, и вроде как решаемо. на обработчики выходят вроде как только через динамические переходники в табличку, оттуда на код.
Аргументы для вызова методов чистые, некоторые просто протягивают через матрицу.
Пока сама длинная обработка это лицуха, её пропускают через матрицу почти 135 000 раз.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Цэ хозяйство вырезать трЭба

та лень там ползать, а с эмуляцией так: раз - дамп с оеп, два - он уже работает на другом компе
для 0-day самое то

| Сообщение посчитали полезным:

oldman пишет:
два - он уже работает на другом компе, для 0-day самое то
угу..., с кучей прямых улик, усы_лапы_хвост ?...
У Блу манечка по блэк_листам, 3дм это на себе прочувствовали в своё время..
только с зачищенной трассой раз в 10 быстрее лётает.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
только с зачищенной трассой раз в 10 быстрее лётает

я только ЗА двумя руками.. за очистку от говнокогда, просто лень, честно ))) если б "автоматикой"

| Сообщение посчитали полезным:

oldman пишет:
просто лень, честно ))) если б "автоматикой"
я услышал, ...даже больше чем хотел.
мы с какой ноги встали?
CodeDoctor для Ольки, с аналогичной обфускацией на "ты", а со слов автора плага, там всё по шаблону.
Анализ нужен на тему входных аргументов для вызова метода, всё ли они чистые. Если все, то режется весь этот баян без лицухи. Так что полазить стоит того.
=========
по маркерам которые присутствуют в секции кода, выглядят приблизительно так

для инициализации приложения используется библиотека ucrtbase.dll
перебитые указатели в таблице инит, видно на глаз, скриптом детектятся по разделу образа.
вход типо в вм стандартный

после сейва основного контекста цпу, выходим на промежуточный дубликат последующего обработчика массива RVA участков с инструкциями, с указателем на расположение в таблице необходимого индекса, с которого надо начать исполнение.
==========
писал что код разворачивают, и циклы исполняют по таблице индексов, но попадается и такое веселье.


-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: oldman

Triple Kill by CPY

Mad.Max-CPY
Just.Cause.3-CPY
Sherlock.Holmes.The.Devils.Daughter-CPY

| Сообщение посчитали полезным:

Что-то ты в этот раз припозднился, уже 3 часа как на краквотче объявили

| Сообщение посчитали полезным:

хер большой и толстый положил Рени на спай_спам
ну и итог хет-трик
архивы отдельно есть?
=========
надо хоть чего нить полезного шаркнуть.
Матрица - название пока условное, функционал имеет три входа (стартовый, ворд+1 и дворд+1) и два выхода (дворд и кворд), шняга мутная и нудная, внутрь заглядывать смысла нет, всё на битовом уровне, ловим на входе_сравниваем на выходе, и один раз придёться протрасить полностью, чтобы определиться с границами. есть шальная мысль отключить. но воли пока нет.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

oldman
Лучше поздно чем никогда :P

Bronco
CrackOnly? Или какие такие архивы вам нужны?

| Сообщение посчитали полезным:

Haoose-GP пишет:
Или какие такие архивы вам нужны?
бейкер стрит не моя тема, а по оставшимся интересно по джамбе-мамбе посмотреть. конечно отдельно.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Mad.Max.CrackOnly-CPY
http://sendfile.su/1313209
http://rgho.st/8vzmF8dnC

Just.Cause.3.CrackOnly-CPY
http://sendfile.su/1313211
http://rgho.st/7zCJYw4YW

Sherlock.Holmes.The.Devils.Daughter.CrackOnly-CPY
http://sendfile.su/1313210
http://rgho.st/7RBqrN8NP

| Сообщение посчитали полезным: Bronco, oldman, mkdev

Bronco пишет:
Матрица - название пока условное, функционал имеет три входа (стартовый, ворд+1 и дворд+1) и два выхода (дворд и кворд)

по снайперу пример можно ?

| Сообщение посчитали полезным:

oldman пишет:
по снайперу пример можно ?
--> да и скидывал, и обсуждали же<--, в каждом обработчике индексов и дистанций их два.
Если бы не мусор, можно было бы в статике дёрнуть все куски самого метода из обработчика, и уже оптимизировать его.
По выходам лучше ориентироваться на оператор сдвига.


-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: mkdev

Bronco пишет: джамбе-мамбе

Небольшая поправочка, в этот раз CPY назвали "это" Hocus Pocus, а вообще всё тот же слегка допиленый костумный эмуль.

| Сообщение посчитали полезным:

Pu3Ho пишет:
а вообще всё тот же слегка допиленый костумный эмуль.
Ну для комфортного дебага, чтоб без атачей и клиентов и под валидную лицуху, я тему отреверсил, а молчун v00doo реализовал эмуль.
Ну вот разобраться с сейвами в некоторых случаях, из-за наплыва и обЪёма материала, как то руки ни у кого не дошли.
=====
прикольно, на дампе безумного, заточенного под эмуль конкретной среды под валидную лицуху, реализация спай воркает на пятёрочку.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco

Слушайте а почему вы всегда пишите какие то не понятные вещи. Что то отрешённое, какие то обрывки мыслей, которые нельзя собрать воедино что бы понять. Это торчковый поток мыслей, без обид только ?

-----
vx

| Сообщение посчитали полезным: unknownproject, DenCoder, shellstorm

Это типа чтобы те кто не въехали нихрена не поняли. Тут все так. Они от блу скрываютца)))). ИНетересно чо эт даамподел все время спс тыкает? Он чот понимает? Или это просто из уважения

| Сообщение посчитали полезным:

difexacaw пишет:
Что то отрешённое, какие то обрывки мыслей, которые нельзя собрать воедино что бы понять. Это торчковый поток мыслей, без обид только ?
Ок..если плющит от чтива, есть только один способ, его юзают всё, и торчки и не не торчки. Ваще интересно у тебя мир поделен..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
по маркерам которые присутствуют в секции кода, выглядят приблизительно так



nop dword как отметка начала перенесенной в свою секцию и виртуализованной функции?
А 30273D - смещение в куда? Можно для примера адрес этой функции в .edata?

| Сообщение посчитали полезным:

Я честно тож не всегда ваши алигории вывожу. Вот как ща например.

| Сообщение посчитали полезным:

oldman пишет:
nop dword как отметка начала перенесенной в свою секцию и виртуализованной функции?
//копипасть в отладчике код для асм_вставки, как дизасм
в маркерах есть и общее, есть и различия, но связки после переноса тела подпрограмм, кроме размера нет.
По первым трём телам (указатели из инит), последовательность сверху вниз(листинг_кода - таблица_инит) сошлось, дальше пока не вникал, и статы по кол-ву не собирал.У меня свой баян, ты о нём в теме, это просто всё попутно.
Это не виртуализация, это тупо перенесли. То что размазали и делают зависимым от лицензии, имеет свой стандартный вход. Различие только в адресации таких шаблонов, для каждой передачи управления он уникален.
rus935 пишет:
Я честно тож не всегда ваши алигории вывожу. Вот как ща например.
Малята, что интересно, но не понятно, спрашивайте, я же сам это практиткую. В личку или на паблик не принципиально.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: