CODEX UNVIRTUALIZE DENUVO/VMProtect


**************

В связи со стремительно развивающимися событиями, данный топик будет реформирован. Перечень тем, на которые ведется обсуждение:

░▒▓▓-SecuROM 7/8 common (VM research; disk-check bypass attack; find OEP & dumping; cumulative attack...)
░▒▓▓-- SPR I (profiles; updates)
░▒▓▓-Requests for generation SecuROM PA Unlock code (SecuROM PA Online-activation) WOW! Only on EXELAB.RU
░▒▓▓-Denuvo ("surface" questions)
░▒▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

SPR I - Fight against the virtual machines (VM) of all SecuROM 7-8 versions (Подробности в 20, 23 посте.)


80_PA - SecuROM (PA) Online-Activation keygen! Holy shit!
[/url]
the list of programs (games), which can now be activated using 80_PA:
https://pastebin.com/EiMbV3YD or --> pastebin primary link <--

>>>>>>>> (!) Send me more games with SecuROM PA (!) >>>>>>>>>>>>

Denuvo Profiler (DProfiler)


------------
1.04.2012
Собственно я не сказал самого главного. SecuRom_Profiler 7 v1.0(SPR I) - часть большого зеленого пирога, под названием "ТИБЕРИУМНЫЙ РЕВЕРСИНГ" (статья опубликована в 159 номере ][. А позже, ещё одна итоговая статья - 199 ][), включает в себя собственно статью в журнале, ПОЛНУЮ техническую статью, материалы по SecuROM 7.33.0017, исходники X-кода и видео. Технический вариант статьи с приложениями можно брать отсюда:
▒Статья
▒Видео
▒Видео 2 (Продолжение)
▒Видео 3 (Окончательный разгром)
▒Видео 4 (В погоне за взломом DENUVO)
Имеет косвенное отношение к статье:
▒Видео косвенное

Хроники битвы при DENUVO 19.04.19
https://xakep.ru/2019/04/19/denuvo/

Message for the companies(etc) using this protection: we can buy SecuROM/DENUVO SDK & sources. Сontact me according to the personal message. Сonfidentiality is guaranteed!!! The bought files will be used for private research!

░░░░░░░░░░
См. также:
diff_trace

▓▓
615d_22.09.2013_EXELAB.rU.tgz - Sony DADC SecuROM vulnerability.zip
c177_01.02.2017_EXELAB.rU.tgz - PATENT DENUVO.pdf (притащил v00doo)


▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
80_PA new 2.0 hotfix (!!!). Official links (mirrors):
https://mega.nz/#!L6gGBYBK!Y9X-6LFBdow6a1_IBlDFbrS6PBF4RRz_n9kuSGiI0UM (или --> 80_PA_v2.0 keygen link <--)
--> Mirror #1 <--
--> Mirror #2 <--

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
DENUVO Leak content
обращайтесь в личку - скину.

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
Denuvo Profiler (DProfiler) - test version 0.3 "INSPIRE"
https://mega.nz/#!DLwExKya!kCyFXw1roY3MkFaTO56LJAd-amc2yXWVerV2ic38bgs (или --> DProfiler link <--)

| Сообщение посчитали полезным: yanus0, obfuskator, Vovan666, MasterSoft, slick, hlmadip, ClockMan, Nightshade, Dart Raiden, Bronco, BAHEK, SReg, [Nomad], DimitarSerg, verdizela, yagello, OnLyOnE, FrenFolio, daFix, VodoleY, gena-m, m0bscene, Gideon Vi, ff0h, zeppe1in, antipod, huckfuck, kioresk, aRiX, 4kusNick, Ara, d0wn, Smon, audiofeel, zNob, cypherpunk, zzzombie1989, MarcElBichon, v00doo, DenCoder, nick7, Haoose-GP, arnix, Qbik, serilo, s2003r, DICI BF, Kindly, PavelDAS, HandMill, VanHelsing, random, TrueLies, warezhunter_, denfil777, alx30721, omeh2003, asm-jaime, WildGoblin, mushr00m, Flippy1801, KOTwasya, r3n5m388, chegevara, Groul, dnv83, kassane, ==DJ==[ZLO], red0x, HAOSov, rootkid, DirtyHarry, MacTep, kurorolucifer, s0cpy, aire1, ReloadUGunz, tRuNKator, Cherbet, RmK-FreE, Pringell, IHateInventNicknames, go2crck, mak, Dimosz, Creckerhack, zd0x, Mustafa_Dev007, UnnyBolt, Isaev, Astap1516, Voices_of_the_BULG, EHS4N, SnakeByte, KOCMOC42, anarh1st47

Middle.Earth.Shadow.of.War-CODEX
Вау. Дуня пробила очередное дно. Стоит ли ожидать реборна? Или все, борьба практически окончена?

| Сообщение посчитали полезным:

codex вроде бы не специализировались раньше на денуве.
т.е. ребята уже не парась кто именно, ломают эту дуню как два пальца
по какому кстати принципу взлом? пока не качал, вечером хочу глянуть на их файлики (может там протекта нет как у стимпанков).

| Сообщение посчитали полезным:

dezmand07
Кряк вот такого вида.
Не кейген, видимо, так как внесены видимые изменения в исполняемый файл, либо же здесь не все так очевидно. ProtectionID не показывает каких-либо виртуалок на файлах кряка, так что хзхз.
Собственно, вот и линк на кряк. Изучайте.
п.с. CODEX, замечу, очень компетентные ребята. Эмули у них не аля 3DM, а реально качественные. Даже тут они не пошли по легкому (утрирую!) и типичному пути генерации файлов лицензий, но пошли олдфажному взлому через exe'шник. Но это еще не точно

| Сообщение посчитали полезным:

aire1 пишет:
Не кейген, видимо
быстро пробежался по PE (на работе софта нет да и времени тоже)
импорт ShadowOfWar.exe - steam_api64.dll
идем в импорт steam_api64.dll - codex64.dll
импорт codex64.dll - steamclient64.dll (либа запакована WUS0) после анпака предположу направит в sow.dll
экспорт sow.dll - init_keygen (4cdx.dll)

| Сообщение посчитали полезным:

dezmand07
Я не шарил в файлах. За инфу спасибо)

| Сообщение посчитали полезным:

SOUTH.PARK.THE.FRACTURED.BUT.WHOLE-CODEPUNKS
NFO.

| Сообщение посчитали полезным:

codepunks прикольно
две группы объединились в борьбе с денувой

| Сообщение посчитали полезным:

Поди и CPY подтянутся?

| Сообщение посчитали полезным:

Life.is.Strange.Before.the.Storm.Episode.2-CODEX
Примечательно, что из игры убрали дуню. Амежки поняли, что дуня не могет (особенно в паре с юнити)?

| Сообщение посчитали полезным:

Ребята, прошу писать более приземленно - именно с уклоном в техническую сторону вопроса.

Наткнулся на https://geektimes.ru/post/294587/ - ну что за люди! То что они быстро сольются я Вам сразу --> написал<--. Даже антиотладку уже не прикручивают к своему самопалу. Интрига то ведь в другом - что они возьмут теперь со стороны: обновленную версию VMProtect'а или что-то ещё или вообще скомбинируют. Очевидно же теперь, что у них всё на перекупе технологий завязано.

Ещё хочу дурацкий вопрос задать: трассировка кода - взводим TF-флаг и перезаписываем SEH? Как правильно и быстро делать это? Есть готовые решения в максимально простом виде? Задача чуть более точнее - быстро парсим хендлы в виртуалке.

| Сообщение посчитали полезным:

ELF_7719116
seh можно и не перезаписывать
AddVectoredExceptionHandler + __writeeflags/__readeflags
в гугле кода хватает по veh
например, __https://github.com/revsic/BranchTracer

| Сообщение посчитали полезным: ajax

ELF_7719116 пишет:
Наткнулся на
Это ж Ализар. Переводит статьи отовсюду не вдаваясь в смысл. Тоже самое можно написать про различные ролики на ютубе аля "Взлом Denuvo #86" где "автор" городит чушь о том что денува скоро начнет использовать 512-битное шифрование и т.д. и т.п. Короче пишут всякую ересь не разбираясь в вопросе и даже не заглядывая вовнутрь. ) Не обращай внимание и проходи мимо )

| Сообщение посчитали полезным: WildGoblin

Voksi_Bulgarian (это тот, что Steamworks фиксы делает) сказанул на своем форуме, что Assassin's Creed: Origins юзает использует что-то типа Denuvo 4.8 (но на деле они тупо обновили вм'ку и засрали код, вот и вся дуня 4.8)
Такие дела
Заявление
upd: тут уже, видимо, сами юбики сделали бутерброд. Все это жрет примерно 40% мощностей проца среднего сегмента.
Пост на Reddit

| Сообщение посчитали полезным:

aire1 пишет:
Voksi_Bulgarian (это тот, что Steamworks фиксы делает) сказанул на своем форуме, что Assassin's Creed: Origins юзает использует что-то типа Denuvo 4.8 (но на деле они тупо обновили вм'ку и засрали код, вот и вся дуня 4.8)
А я предупреждал ждите хотя бы месяц а потом делайте кряк, а счас получите обфусцированную машину с верху ещё накрытую вм

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
а счас получите обфусцированную машину с верху ещё накрытую вм
к релизу этой игры готовились обе команды, это заметно, но после получения бинаря от денувовцев, юбики просто перестраховались, и опечатали дополнительно тела функций инициализации, загрузчик дерьмопрота прицепился автоматом,+антидебаг.
--> Link <--

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: v00doo, Haoose-GP

Bronco пишет:
к релизу этой игры готовились обе команды, это заметно, но после получения бинаря от денувовцев, юбики просто перестраховались, и опечатали дополнительно тела функций инициализации, загрузчик дерьмопрота прицепился автоматом,+антидебаг.
Насколько сильно всё это им поможет и надолго ли, остаётся загадкой.

| Сообщение посчитали полезным:

Pu3Ho пишет:
Насколько сильно всё это им поможет и надолго ли, остаётся загадкой.
Я деликатно напомню, для тех у кого подгорает на тему взломанных игр , зависимых от лицензии Денуво.
Прежде чем приступить к "взлому", игру необходимо купить.
Для паблика, за полтора года, кроме альтруистов из шенгена (хак_сцена!), этого никто не делал.
------
Немного статистики по исполняемым файлам:

Разницы по трём файлам практически нет, возможно у безумства денувовцев всё таки есть предел.
Что касается тел функций инит, зависимых от лицензии (обычно их до 300), критерий детекта входа в макросы сейв_контекста есть, но пролог под морфом и обфускацией, в логе больше 60000 строк,сразу все вариации не найдёшь, чисто как пример(1.03):

Из не стандартного, пока только передача управления на вм дерьмопрота. Обычно вход в вм пишут на прологе тела функции, а остальной диапазон адресов тела "поедают" под свои задачи, но тут видно денувовцы "ручками" поработали по удалёнке, найти из такого числа стыренного кода нужный пролог, юбикам было бы сложновато:

а тем более лезть в секцию денувы:

суровый антидебаг от самой дуньки:


-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: mak, sefkrd, aire1, v00doo, Haoose-GP, DICI BF

Bronco пишет:
Я деликатно напомню, для тех у кого подгорает на тему взломанных игр , зависимых от лицензии Денуво.
Прежде чем приступить к "взлому", игру необходимо купить.
Для паблика, за полтора года, кроме альтруистов из шенгена (хак_сцена!), этого никто не делал.

Тогда я, чуть менее деликатно, задам прямой вопрос! Если к примеру, вам дать чистый аккаунт с лицензией этой копировать/вставить поделки, использующей красивую приписку "Origins", вы смогли бы что нибудь сделать? Не для паблик-резила конечно, но спортивного интереса ради... хе хе.

| Сообщение посчитали полезным:

Pu3Ho
Если не для паблика, то для чего? Акк есть - играйте ) Что значит "что-нибудь сделать"? У Bronco игра с аккаунтом очевидно есть, не переживайте. )
Что до самой игре - по сравнению с другими играми серии весьма хороша, интересна, красива. Отзывы в основном положительные. Почему сцена до сих пор не релизнула - не понятно. Может патча ждут 7 ноября.

| Сообщение посчитали полезным: aire1

--> STAR OCEAN - THE LAST HOPE - 4K & Full HD Remaster (Original EXE Only).rar <--

| Сообщение посчитали полезным:

Тем временем CPY снова начало долбить новые версии Денувки.
https://www.xrel.to/game-nfo/1493199/Sonic-Forces-CPY.html#

| Сообщение посчитали полезным:

Новость последних дней, кто ещё не в курсе:
Irdeto Acquires Denuvo, Bringing Together Decades of Security Expertise to Protect the Gaming Industry
Irdeto and Denuvo join forces to combat piracy, protecting games on desktop, mobile, consoles and VR devices for Electronic Arts, UbiSoft, Warner Bros, Lionsgate Entertainment and many others
AMSTERDAM - 23 January 2018
Я так понял, там а-ля очередная реикарнация VMProtect Cloakware Cybersecurity будут дополнительно вешать (то же самое, что в сделала EA в ACO) в уже защищенное денувкой приложение, а полученное а бабло делить пополам. Так что ждите, гибридов (помимо того, что там уже будет Steam-Origin-Uplay):

То что, это будет жрать в огромном количестве ресурсы CPU-памяти всем наплевать.

| Сообщение посчитали полезным:

ELF_7719116 пишет:
То что, это будет жрать в огромном количестве ресурсы CPU-памяти всем наплевать.
да не, рафик полностью неуиноуный это же из-за патчей от Meltdown и Spectre проблемы с тормозами

| Сообщение посчитали полезным:

весь код с тлс до еп дуньки гавнопрот исполняет за 130 милисек, дунька до оеп игры почти за 7 сек, и это без коннекта к серверам. при этом уже проц загружен на 30-40 %.
собственно гавнопрот кроме защиты целостности таблицы сех, больше ничем не вредит.


-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: MarcElBichon

ELF_7719116 пишет:
то же самое, что в сделала EA в ACO)
Ubisoft же) А не ЕА

| Сообщение посчитали полезным:

Bronco пишет:
весь код с тлс до еп дуньки гавнопрот исполняет за 130 милисек, дунька до оеп игры почти за 7 сек, и это без коннекта к серверам. при этом уже проц загружен на 30-40 %.
собственно гавнопрот кроме защиты целостности таблицы сех, больше ничем не вредит.
Пытаюсь сдампить ACO.exe после обхода всех CPUID но у меня затык PETools не видит тупо процесса АОС, при этом в диспетчере задач он висит, это антидамп чтоли какой?

Добавлено спустя 2 минуты
ELF_7719116 пишет:
Cloakware Cybersecurity + DENUVO + VMProtect + (что-то ещё)
StarForce + SecuRom + Safedisc + Denuvo + VMProt + Custom вот это уже явно никто не захочет ломать

Добавлено спустя 10 минут
Насколько я понимаю никто ещё не взломал чистоганом не сдампил вм даже на публику, только эмуляцию примитивов через steam_api делают как CPY, и самый мощный взлом я так понимаю это был кейген от STEAMPUNK'ов (молодцы, но не кажется ли вам что слили тупо метод дешифроки)

| Сообщение посчитали полезным:

Cashville пишет:
Пытаюсь сдампить ACO.exe после обхода всех CPUID но у меня затык PETools не видит тупо процесса АОС, при этом в диспетчере задач он висит, это антидамп чтоли какой?
процессы х64 петруха и не увидит, не знаю зачем тебе дамп, и чем это поможет, ну попробуй сцилкой под х64 сдампить...
Cashville пишет:
Насколько я понимаю никто ещё не взломал чистоганом не сдампил вм даже на публику
на паблике и не будет...пост совковый люд и так уже приборзел

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: ClockMan, v00doo

Cashville пишет:
Насколько я понимаю никто ещё не взломал чистоганом не сдампил вм даже на публику, только эмуляцию примитивов через steam_api делают как CPY
Щито вы несете
Cashville пишет:
Пытаюсь сдампить ACO.exe после обхода всех CPUID но у меня затык PETools не видит тупо процесса АОС
Сейчас бы дампить 64 битный процесс 32 битной тулзой и писать про "примитивы" и ВМ.

| Сообщение посчитали полезным: sefkrd, Bronco, ClockMan, soft, aire1

ACO.exe
вот доиграть пока не светит, тормознулся на бабе-гиене (шибко крутая), и вот с 1.20 залип на разборе.
но самая ходовая фраза в игре, типа "идиотЭ орангутале" , запомнилась, и по ходу она относиться напрямую к дуньке.
стата трассы для примера с одного входа в "вм" дуньки:
1.160000 инструкций, за 7 минут// это долго, надо смотреть где тормоза.
2.первичный фильтр по паттернам, в остатке 100 000 // это на морф прыга столько ушло
3. после деоба, 45 инструкций. из них 5 относятся к стыренному телу, остальное макросы сейв_ресторе контекста.
в общем 1 к 40000, гавнопрот отдыхает...
оголилось что то типа "ядра", этот функционал мелькал в максе, ларке, дэусе и др игр того периода.
до сентября прошлого года его не было. инструкции этого кода практически целые, за исключением операторов цикла, их растянули по всей странице.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: v00doo

Все сценовые релизы (кромей кейгенов STP) это не отлом денувы это подсовывания ей правильных данных для считывания в определённый момент. До сих пор не видел не одного отлома на паблик хотя бы сдампленного файла, я уже не говорю про полную деобфускацию кода. Сцена уже та

| Сообщение посчитали полезным: