CODEX UNVIRTUALIZE DENUVO/VMProtect


**************

В связи со стремительно развивающимися событиями, данный топик будет реформирован. Перечень тем, на которые ведется обсуждение:

░▒▓▓-SecuROM 7/8 common (VM research; disk-check bypass attack; find OEP & dumping; cumulative attack...)
░▒▓▓-- SPR I (profiles; updates)
░▒▓▓-Requests for generation SecuROM PA Unlock code (SecuROM PA Online-activation) WOW! Only on EXELAB.RU
░▒▓▓-Denuvo ("surface" questions)
░▒▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

SPR I - Fight against the virtual machines (VM) of all SecuROM 7-8 versions (Подробности в 20, 23 посте.)


80_PA - SecuROM (PA) Online-Activation keygen! Holy shit!
[/url]
the list of programs (games), which can now be activated using 80_PA:
https://pastebin.com/EiMbV3YD or --> pastebin primary link <--

>>>>>>>> (!) Send me more games with SecuROM PA (!) >>>>>>>>>>>>

Denuvo Profiler (DProfiler)


------------
1.04.2012
Собственно я не сказал самого главного. SecuRom_Profiler 7 v1.0(SPR I) - часть большого зеленого пирога, под названием "ТИБЕРИУМНЫЙ РЕВЕРСИНГ" (статья опубликована в 159 номере ][. А позже, ещё одна итоговая статья - 199 ][), включает в себя собственно статью в журнале, ПОЛНУЮ техническую статью, материалы по SecuROM 7.33.0017, исходники X-кода и видео. Технический вариант статьи с приложениями можно брать отсюда:
▒Статья
▒Видео
▒Видео 2 (Продолжение)
▒Видео 3 (Окончательный разгром)
▒Видео 4 (В погоне за взломом DENUVO)
Имеет косвенное отношение к статье:
▒Видео косвенное

Хроники битвы при DENUVO 19.04.19
https://xakep.ru/2019/04/19/denuvo/

Message for the companies(etc) using this protection: we can buy SecuROM/DENUVO SDK & sources. Сontact me according to the personal message. Сonfidentiality is guaranteed!!! The bought files will be used for private research!

░░░░░░░░░░
См. также:
diff_trace

▓▓
615d_22.09.2013_EXELAB.rU.tgz - Sony DADC SecuROM vulnerability.zip
c177_01.02.2017_EXELAB.rU.tgz - PATENT DENUVO.pdf (притащил v00doo)


▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
80_PA new 2.0 hotfix (!!!). Official links (mirrors):
https://mega.nz/#!L6gGBYBK!Y9X-6LFBdow6a1_IBlDFbrS6PBF4RRz_n9kuSGiI0UM (или --> 80_PA_v2.0 keygen link <--)
--> Mirror #1 <--
--> Mirror #2 <--

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
DENUVO Leak content
обращайтесь в личку - скину.

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
Denuvo Profiler (DProfiler) - test version 0.3 "INSPIRE"
https://mega.nz/#!DLwExKya!kCyFXw1roY3MkFaTO56LJAd-amc2yXWVerV2ic38bgs (или --> DProfiler link <--)

| Сообщение посчитали полезным: yanus0, obfuskator, Vovan666, MasterSoft, slick, hlmadip, ClockMan, Nightshade, Dart Raiden, Bronco, BAHEK, SReg, [Nomad], DimitarSerg, verdizela, yagello, OnLyOnE, FrenFolio, daFix, VodoleY, gena-m, m0bscene, Gideon Vi, ff0h, zeppe1in, antipod, huckfuck, kioresk, aRiX, 4kusNick, Ara, d0wn, Smon, audiofeel, zNob, cypherpunk, zzzombie1989, MarcElBichon, v00doo, DenCoder, nick7, Haoose-GP, arnix, Qbik, serilo, s2003r, DICI BF, Kindly, PavelDAS, HandMill, VanHelsing, random, TrueLies, warezhunter_, denfil777, alx30721, omeh2003, asm-jaime, WildGoblin, mushr00m, Flippy1801, KOTwasya, r3n5m388, chegevara, Groul, dnv83, kassane, ==DJ==[ZLO], red0x, HAOSov, rootkid, DirtyHarry, MacTep, kurorolucifer, s0cpy, aire1, ReloadUGunz, tRuNKator, Cherbet, RmK-FreE, Pringell, IHateInventNicknames, go2crck, mak, Dimosz, Creckerhack, zd0x, Mustafa_Dev007, UnnyBolt, Isaev, Astap1516, Voices_of_the_BULG, EHS4N, SnakeByte, KOCMOC42, anarh1st47

Evil555
Password:DenuvoissoeasY он собственно указан,просмотрел...)

| Сообщение посчитали полезным:

I was more interested in reading the tutorial, too bad it's just a joke

Edit: I see it's just replacing CPUID/KUSER_SHARED_DATA stuff from another machine

| Сообщение посчитали полезным:

Baldman
))) шифратор

Добавлено спустя 5 минут
Baldman
Baldman пишет:
Bonus tutorial "How to crack Denuvo" --> Link <--
Ну я как то предстовлял групповушку

Добавлено спустя 1 час 11 минут
Baldman пишет:
--> Link <--
.
sgc.7z
MD5:26b354156ada7a80ba2aa9e5b279e649
Password:DenuvoissoeasY
.
.
.
Sniper.Ghost.Warrior.3.v1.01.Crack.by.BALDMAN.7z
MD5:971e94070e79fb625ad692b06b177f18

++++++++++++++
--> Link <--
.
nic.7z
MD5:0cd42e3ba4e9efea6df0e055cd41c4d5
Password:DenuvoissoeasY
.
.
.
Nier.Automata-Day.One.Edition.v1787043.Crack.by.BALDMAN.7z
MD5:610cff17a3745ecccbd411cfa27397f3


**************

Bonus tutorial "How to crack Denuvo" --> Link <--
Уже заблокировали стукачки оперативно работаю

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

цирк не цирк, но файлы зарелизили, в отличии от...

| Сообщение посчитали полезным: zoomus, Nospamwss, norain

inf1kek пишет:
в отличии от...
так ты договаривай, чего стесняешься?
чего там и как зарелизили, за 5 сек радаром2, выкупили компетентные.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

inf1kek, вот смотрю я на нынешний ляб и нет у меня слов.

Не так давно отправили под топор пару тем с ссылками на "пилюли" и вопросами по ним, тыкая носом бедных новичков, ссылаясь на "строжайшие" правила форума о том, что это форум исследований, а не постинга кряков.
И что я вижу сейчас? Ссылки в топе на первых строках (надо бы еще шрифт раз в 20 увеличить, а то незаметно как-то), какие-то детские обиды "а вот ты, не дал нам".
А что вот ты, многоуважаемый, лично сделал для этой ветки? Никаких претензий к тем, кто участвовал так или иначе в ресерче (каким никаким боком), их обсуждения это уже совсем другая история.

Где вообще модераторы? Почему все эти фейки аля Evil555 до сих пор не в бане? Он написал что-то полезное, хоть в одной теме он помог кому-то? Я вижу только дерьмо и желчь.
Форум превращается в помойку с двумя стандартами, никакого уважения, проебали все.

| Сообщение посчитали полезным: Bronco, Styx, difexacaw, red0x, aire1

бугай дал возможность ТС, быковать в топе,
звёздный час есть повод , чтобы топ похудел страниц этак на 30...давай дерзай..я же знаю что мониторишь.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Омг.Очередной эмуль стима добрался до шапки ? Это уже перестает быть смешным.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownproject
При чём здесь эмулятор стима, когда речь идёт про взлом денувы?
Стим придётся эмулировать всегда, при любых обстоятельствах.

| Сообщение посчитали полезным: VANGA, aire1

unknownproject пишет:
Омг.Очередной эмуль стима добрался до шапки ? Это уже перестает быть смешным.
Игру можно стартануть с любым более-менее современным эмулятором. Хз почему BALDMAN использовал именно SSE.

| Сообщение посчитали полезным:

Почитал тут эту тему и допёр, олдмэн конечно молодец(или не он один), но до 0day-кряка НЕ ДОТЯНУЛ.

| Сообщение посчитали полезным:

Там triplesec выпустил фикс для кряка NieR: Automata, говорит, мол исправил траблы с крашами (большинство).
Ссылку кинуть не могу (сами понимаете почему), но он уже лежит на кс.рин

| Сообщение посчитали полезным: VANGA

Уважаемые лорды, сэры, пэры...
Я решил выпустить:
1. Новое видео (In a pursuit of DENUVO cracking).
2. Denuvo Profiler v.0.2

Касаемо видео (ссылка вверху, и ещё тут - https://youtu.be/BSme1laDO2c), я с первых строк сразу развею Ваши домыслы - 100% взлома DENUVO там нет. Видео позиционируется, как:

К Вашему разочарованию (если таковое имеется конечно), сообщаю, что данное видео можно было срежессировать ещё far away осенью 2016 г., НО... в 2016 я ничего не знал о потрохах VMProtect - и если бы меня забананили в Origin (что КРАЙНЕ ВЕРОЯТНО), то не было бы сейчас Denuvo Profiler и я бы точно не знал, как ломать DENUVO. Спасибо DenCoder, Vamit, Archer (напишу ещё спасибо Bronco, который снова скажет, что over 70% HWID они уже расковыряли) за ценные советы! Одним словом, если CPY (3DM, BALDMAN...) до некоторых пор НЕ распутают клубок (Unravel) ... эм! по крайней мере в теории, у меня весь пазл стыкуется. Мешает только катастрофическая нехватака времени дописать хотя бы один из самых важных модулей для Denuvo Profiler, чтобы КРЫТЬ вмпрот разом (слишком много контекстов VM для ручного патчинга: vmp2 - 40 / vmp3 - 15). Я уже об этом писал.

Собственно, «Denuvo Profiler v 0.2» (ссылки обновлены вверху). Самое главное новшевство - трейсер (пока only vmp2). С другой стороны интересная дилемма: есть два пути развития


зы: Unravel_dump_SCY.exe ходил по рукам, сгенерированные лицухи для некоторых сэров тоже. Была ещё NULL-лицуха. С другой стороны, при реверсинге контрольной проверки до OEP (в Origin), валидная лицуха не тарахтела (можно патчить/вытаскивать цепочку).

| Сообщение посчитали полезным: sefkrd, HandMill, dixen18, SReg, zNob, mkdev, crc, ==DJ==[ZLO], aire1

Что касается VMP vs DENUVO то на RSDN было обсуждение уже.
Хочу рассказать вам историю про одну одну очень хитрую и жадную австрийскую контору под названием Denuvo Software Solutions GmbH.
Эта контора в свое время выпустила одноименную систему под названием Denuvo и самое замечательное в этой истории то, что в этой системе совершенно нелегально используется наш VMProtect. Года 3 назад в электронной переписке мы уже обсуждали варианты использования технологии VMProtect в составе их системы, на что они получили достаточно ясный ответ, то такие вариант просто невозможны, т.к. стоимость разработки нечто подобного для "конкурирующей" системы обойдет не в одну сотню килобаксов и предоставлять им для этих целей серийный продукт стоимостью $500 просто нецелесообразно. Но австрийскийх разработчиков это не остановило и официально купив VMprotect они начали косить бабло. Все хорошо косилось пока мы не оправили им претензию, что в связи с нелецензионным использованием VMprotect их лицензия аннулирована и были предложены варианты решения проблемы через подписания мирового соглашения с возмещением нам неустойки в довольно скромном по их меркам размере. Наше предложение было проигнорировано.

-----
старый пень

| Сообщение посчитали полезным: apan, dixen18, inf1kek, ELF_7719116

r_e
Вот это драма, если её растиражировать, то выйдет много лулзов.
hash87szf
>Пооовееерила
Ну учитывая, что как раз в это время появилась новая версия, то довольно правдоподобно выходит, другое дело что они так долго соображали, первые соображения о том что денува = вмпротект появились довольно быстро.

| Сообщение посчитали полезным:

"Увели исходники у vmpsoft". Ни есть ни пить не могу, отличная мысль ни на что не променяю.

Может просто хакнули вот эти вот vmp_ctx / vmp_trace или как-там код превращается в виртуалку оффициально.

Третья же враждебная ну, типа они модифицировали уже скомпилированный vmprotect, увели за границу исполняемого модуля (где можно все), не уводя его туда физически (хотя помню много говорили, что denuvo разбрасывает примитивы динамически).

В конце каждой ленты (да и вообще) есть проверки CRC какого-нибудь участка VM или примитивов. Если в denuvo ни один из их модифицированных примитивов/участков не проверяется, а проверяется какой-то никогда не использующийся кусок - значит 3. Если проверяется, значит 2. Если проверяемые да и любые другие участки VM могут и реально служат (каким угодно образом в другом контексте) вторично где-то ещё - 1.

Ну, разумеется, все это к старой версии, ныне все изменилось.

| Сообщение посчитали полезным:

MKDEV взломали Constructor (на ней Denuvo v4 стоит). Ссылку на кряк можете найти на mkdev team portal.

| Сообщение посчитали полезным: G100M

Некие STEAMPUNKS, возможно, сделали генератор лицензии Denuvo для Dishonored 2.
Вот NFO: https://predb.pw/y.php?type=nfo&id=OGJwUm54VjdzNk9uYlhoclJyTnh5RkFaUWxRMEY4NXdjckFzUGQrUVNWWT0

А вот сам "кейген", работоспособность не проверял: http://dropmefiles.com/dHLUh

Virustotal находит в данном генераторе интересную вещь, название ее "variant of Win32/Packed.VMProtect.ABD".
Жду мнения экспертов.

UPD: На cs. rin, вроде, подтвердили его работоспособность.
UPD2: Да, "кейген" полностью рабочий. Изящная работа...

| Сообщение посчитали полезным: mkdev

unknownproject
Пф. Важно то, что генерировать лицензию в принципе возможно. Ведь даже кряк от CPY работал иначе, он просто (далеко не просто) скармливал нужные данные в нужных моментах этой неладной Denuvo. Правда вот сомневаюсь, что данный способ применим к Denuvo v4... Ну да ладно. Сам факт уже важен.
UPD: Судя по анонсу новых взломов от сея хакера, я был неправ. Способ совместим с Denuvo v4.

Добавлено спустя 5 часов 28 минут
И снова привет форумчанам! Пришел с вестью: я очень долго копался (пытался) в этом кейгене... Скажу вот что: он очень защищен от анализа, так что изучить способ ближе не получиться (по крайней мере, пока). Так же есть люди, которые утверждают, мол ключ генерируется не автономно, а отсылается запрос к удаленному серверу. Да что уж там говорить, я даже не могу сказать, есть ли в нем вредоносный код (сильно постарались эти STEAMPUNKS). Антивирусы его палят, но в основном только из-за внедренной вмп.
Есть тут кто-то, кто сможет расковырять эту зверюгу?

| Сообщение посчитали полезным:

VMProtect and DENUVO GmbH

| Сообщение посчитали полезным: ELF_7719116

Мой говнокод все ещё работает, но надо бы исполнитель кряков инструкций уже прикручивать к гуи. Класс доделал, да пофиг.

aire1, поставь HW-бряк на stp-dh2.exe+1C345 до запуска кейгена. Это выход из виртуалки [будет после распаковки], по F9 гляди что на стеке +0x08 ( без понятия, у меня чит автоматом фильтрует call *.dll+XXXX и все видно сразу). Если есть знакомые, то можно исполнить ret и там до выхода на настоящий код пару шагов в виде декрипт регистров. Т.е. ещё +1 ret финальный.

Ну и...


В CreateDirectoryW о основном папки в C:\Program Files(x86)\Steam\* делает.

| Сообщение посчитали полезным:

r_e, БРАВО! От одного поста на кралабе, получился скандал в Европе и России:
--> Link #1 <--
--> Link #2<--
--> Link #3 <--
--> Link #4 <--

Тем не менее, я уверен, что http://vmpsoft.com/20170606/vmprotect-and-denuvo-gmbh/ - фуфловое заявление. Т.к. есть слитая информация, что DENUVO Software Solution GmbhH хочет купить VMProtect Software, чтобы СНОВА выпустить "новую" защиту на базе последних версий VMProtect, ибо вся эта возня с вмпротом реально подкосила их репутацию. Авторы вмпрота действительно не знали до определенного момента, что DENUVO на 90% состоит из VMProtect, поэтому сначала хотели подать в суд, но шумиха пошла от нас (краклаба) очень неудачно для них. Вот так!

| Сообщение посчитали полезным:

1. Более 3 лет, блушкин и ко, юзают как саппорт, так и апдейт вмпротекта. И по играм можно отследить развитие проекта дерьматолога, как ченжлог.
2. Любимая фишка дерьматолога, это водяные знаки. По ним все аппы, накрытые "подлеченными" паблик билдами прота, детектятся как вири. Ни одна игра не пищала, на типа стыренном протекте.
3. Скандал пошёл из-за хитрика спай в январе, и последующие 3 месяца мы увидели наглухо оголённую хвалёную защиту, на 90% забитую рандомным мусором.
Все эти паблик откровения тупо для хомяков. Лицензия продаётся всего на год, в пост совке по уже не пишут, за валюту дерьмотолог тупо сопел и отмалчивался.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: ajax, v00doo, Haoose-GP, aire1

Bronco, пишите, пожалуйста, нормальным литературным русским языком. Тяжело читать ваши посты.

| Сообщение посчитали полезным: DenCoder, dixen18, soft, inf1kek

VipSpider
Возможно вам иногда сложно понять что написано как непривычному к такому слогу читателю. Но тем не менее все понятно. Для вас расшифрую на более привычный вашему уху слог:
Bronco пишет:
1. Уже более 3 лет Блаукович и его компания используют VMProtect в качестве поддержки и для обновлений. И по играм можно отследить развитие проекта Дерьматолога (автор VMProtect), как changelog.
2. Любимая фишка Дерьматолога (автор VMProtect), это водяные знаки. По ним все приложения, накрытые "крякнутыми" публичными билдами VMProtector'а, антивирусы обнаруживают как вирусы. Но ни на одну игру антивирусы не реагировали, а значит VMP не был украденным.
3. Скандал пошёл из-за хитрика CPY в январе (наверно тут речь идет о трех-кратном релизе игр Sherlock.Holmes.The.Devils.Daughter, Just.Cause.3, Mad.Max, но это было в конце февраля), и последующие 3 месяца мы увидели наглухо оголённую хвалёную защиту, на 90% забитую рандомным мусором. (Имеется в виду что в V4 не использовался VMProtect и можно было хорошо рассмотреть как работает Денува, а также обнаружилась дыра в ней, чем до сих пор пользуется небезызвестный "Baldman").
Проплатили авторам VMP, вот и "скандал" затих.
Надеюсь вам теперь стало понятнее =)

И почему скандал из-за поста "на лябе", если оригинальный пост был на другой борде в марте?

ADR1FT-STEAMPUNKS

| Сообщение посчитали полезным:

Bronco пишет:
Лицензия продаётся всего на год, в пост совке по уже не пишут, за валюту дерьмотолог тупо сопел и отмалчивался
Видать дерьмотолог захотел на много больше при продлении лицензии а те отказались а тот в отместку балдмона натравил (чисто моё мнение)

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: ajax

Haoose-GP пишет:
И почему скандал из-за поста "на лябе", если оригинальный пост был на другой борде в марте?

потому, что ожидающие манны небесной не бывают на rsdn. Ресурс уж больно специфичный.

| Сообщение посчитали полезным:

К чему эти домыслы? Заканчивайте офтоп. В посте на рсдн написано же что пытались решить без суда, попутно собирая доказательную базу.

-----
старый пень

| Сообщение посчитали полезным: DenCoder

Чет тема померла пока автор кряки пилит.
А тем временем Steampunks начали ломать Origin!

UNRAVEL-STEAMPUNKS

| Сообщение посчитали полезным: AirShark

Может я сейчас напишу и оффтоп, однако отправить это сюда я обязан. SKIDROW назвала ваш форум "безумным глупым российским форумом, в котором доминируют сценаристы". p.s. я ошибся, не ваш, а cs.rin.ru
Источник: NFO файл релиза Devil In The Capital от SKIDROW (у них там юбилей, 10 лет)
--> Сам NFO'шник <--

Постскриптум: их уже засрали повсюду, в том числе и за высказывания по типу "настолько ли вам нужны игры, чтобы играть в них через KEYGEN?" и т.п.

| Сообщение посчитали полезным: