CODEX UNVIRTUALIZE DENUVO/VMProtect


**************

В связи со стремительно развивающимися событиями, данный топик будет реформирован. Перечень тем, на которые ведется обсуждение:

░▒▓▓-SecuROM 7/8 common (VM research; disk-check bypass attack; find OEP & dumping; cumulative attack...)
░▒▓▓-- SPR I (profiles; updates)
░▒▓▓-Requests for generation SecuROM PA Unlock code (SecuROM PA Online-activation) WOW! Only on EXELAB.RU
░▒▓▓-Denuvo ("surface" questions)
░▒▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

SPR I - Fight against the virtual machines (VM) of all SecuROM 7-8 versions (Подробности в 20, 23 посте.)


80_PA - SecuROM (PA) Online-Activation keygen! Holy shit!
[/url]
the list of programs (games), which can now be activated using 80_PA:
https://pastebin.com/EiMbV3YD or --> pastebin primary link <--

>>>>>>>> (!) Send me more games with SecuROM PA (!) >>>>>>>>>>>>

Denuvo Profiler (DProfiler)


------------
1.04.2012
Собственно я не сказал самого главного. SecuRom_Profiler 7 v1.0(SPR I) - часть большого зеленого пирога, под названием "ТИБЕРИУМНЫЙ РЕВЕРСИНГ" (статья опубликована в 159 номере ][. А позже, ещё одна итоговая статья - 199 ][), включает в себя собственно статью в журнале, ПОЛНУЮ техническую статью, материалы по SecuROM 7.33.0017, исходники X-кода и видео. Технический вариант статьи с приложениями можно брать отсюда:
▒Статья
▒Видео
▒Видео 2 (Продолжение)
▒Видео 3 (Окончательный разгром)
▒Видео 4 (В погоне за взломом DENUVO)
Имеет косвенное отношение к статье:
▒Видео косвенное

Хроники битвы при DENUVO 19.04.19
https://xakep.ru/2019/04/19/denuvo/

Message for the companies(etc) using this protection: we can buy SecuROM/DENUVO SDK & sources. Сontact me according to the personal message. Сonfidentiality is guaranteed!!! The bought files will be used for private research!

░░░░░░░░░░
См. также:
diff_trace

▓▓
615d_22.09.2013_EXELAB.rU.tgz - Sony DADC SecuROM vulnerability.zip
c177_01.02.2017_EXELAB.rU.tgz - PATENT DENUVO.pdf (притащил v00doo)


▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
80_PA new 2.0 hotfix (!!!). Official links (mirrors):
https://mega.nz/#!L6gGBYBK!Y9X-6LFBdow6a1_IBlDFbrS6PBF4RRz_n9kuSGiI0UM (или --> 80_PA_v2.0 keygen link <--)
--> Mirror #1 <--
--> Mirror #2 <--

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
DENUVO Leak content
обращайтесь в личку - скину.

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
Denuvo Profiler (DProfiler) - test version 0.3 "INSPIRE"
https://mega.nz/#!DLwExKya!kCyFXw1roY3MkFaTO56LJAd-amc2yXWVerV2ic38bgs (или --> DProfiler link <--)

| Сообщение посчитали полезным: yanus0, obfuskator, Vovan666, MasterSoft, slick, hlmadip, ClockMan, Nightshade, Dart Raiden, Bronco, BAHEK, SReg, [Nomad], DimitarSerg, verdizela, yagello, OnLyOnE, FrenFolio, daFix, VodoleY, gena-m, m0bscene, Gideon Vi, ff0h, zeppe1in, antipod, huckfuck, kioresk, aRiX, 4kusNick, Ara, d0wn, Smon, audiofeel, zNob, cypherpunk, zzzombie1989, MarcElBichon, v00doo, DenCoder, nick7, Haoose-GP, arnix, Qbik, serilo, s2003r, DICI BF, Kindly, PavelDAS, HandMill, VanHelsing, random, TrueLies, warezhunter_, denfil777, alx30721, omeh2003, asm-jaime, WildGoblin, mushr00m, Flippy1801, KOTwasya, r3n5m388, chegevara, Groul, dnv83, kassane, ==DJ==[ZLO], red0x, HAOSov, rootkid, DirtyHarry, MacTep, kurorolucifer, s0cpy, aire1, ReloadUGunz, tRuNKator, Cherbet, RmK-FreE, Pringell, IHateInventNicknames, go2crck, mak, Dimosz, Creckerhack, zd0x, Mustafa_Dev007, UnnyBolt, Isaev, Astap1516, Voices_of_the_BULG, EHS4N, SnakeByte, KOCMOC42, anarh1st47

Jupiter, вызываются ровно те же самые методы, что и через API Monitor, вплоть до эксепшена, ни там, ни здесь неизвестно на каком методе упало и как я говорил, я думаю, что это анти-дебаг кодексов и он думает, что вайн запустился с дебагером, поэтому хотелось как-нибудь получить лог вызовов с удачным запуском игры и уже смотреть, что WINE неправильно возвращает

| Сообщение посчитали полезным:

А там точно нет проверки на сам Wine?

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter, нету, да и навряд ли кодексы стали бы этим заниматься

| Сообщение посчитали полезным:

А, то есть речь не о самой игре, а о кряке к ней? Дошло )
Выложи кряк, который запускаешь, чтобы можно было проверить.

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter, не знаю как у вас тут с варезом, поэтому отправил Puyo Puyo Tetris в ЛС

| Сообщение посчитали полезным:

Посмотрел архив, там уже пропатченные файлы + эмулятор Steam.
То есть это всё-таки сама игра, только распакованная и пропатченная.

Вполне вероятно, что баг где-то в недрах VMProtect (steamclient64.dll). В том числе защита от отладки.
Фактически причин может быть огромное количество, начиная с отсутствия полноценной поддержки DirectX нужной версии под Wine.

ga2mer пишет:
нету, да и навряд ли кодексы стали бы этим заниматься
Это стандартная опция VMProtect, отказ работы в виртуализируемых средах (хотя Wine таковой и не является).

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter, баг навряд ли в VMP, ибо анпакми VMP спокойно запускаются, что в вайне, что в виртуалке в апи мониторе, сам VMProtect тоже запускается и программы через него обработанные тоже запускаются. С DX всё в порядке. Как я говорил, хватает хука на RtlInitString, чтобы игра отключилась. Попробую найти все апи из-за которых падает кряк и буду смотреть что с ними может быть не так в вайне

| Сообщение посчитали полезным:

ga2mer пишет:
баг навряд ли в VMP
с DX всё в порядке
ОК, не буду гадать.


ga2mer пишет:
хватает хука на RtlInitString

Ты используешь API Monitor (http://www.rohitab.com/apimonitor)?
Возможно, проблема в методе хука.


ga2mer пишет:
что с ними может быть не так в вайне

Покажи лог Wine, что он сам говорит о падении.

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
Ты используешь API Monitor?
Возможно, проблема в методе хука.

Да, но drltrace примерно там же падает и вайн тоже

Jupiter пишет:
Покажи лог Wine, что он сам говорит о падении
Лог с вызовам к апи - https://send.firefox.com/download/d291018a7e/#sNs1nQt0fRkycCft8b-epw
TL;DR всегда падает так

| Сообщение посчитали полезным:

Судя по логу:
- переполнение буфера идёт после многочисленных вызовов GetLastError, которым предшествует RtlAllocateHeap.
- всё это происходит после инициализации SteamAPI
- хуки KiUserExceptionDispatcher говорят об активности VMProtect

Не уверен, что прокатит с конкретным кряком CODEX, но попробуй использовать альтернативный Steam API emulator.

-----
EnJoy!

| Сообщение посчитали полезным:

ga2mer пишет:
всегда падает так
Есть предположение, что самому движку игры уже что-то не понравилось (намазанный вмпротом), раз он хочет MessageBox показать и ищет файл debug.bin

до этого момента, очевиден код протектора, ибо такой фигней может заниматься только он:


вряд-ли бы стал глючить сам эмуль стима - там то одни заглушки API по сути.


НЕОБХОДИМО учесть, что в Wine с DirectX 11 достаточно неопределенно всё было. Разве что играться с режимом совместимости под Windows 7, 8, etc.
И дрова самые адекватные открытые установить:


В VirtualBox возможно чуть поболее шансов завести будет.

| Сообщение посчитали полезным:

ELF_7719116 пишет:
НЕОБХОДИМО учесть, что в Wine с DirectX 11 достаточно неопределенно всё было. Разве что играться с режимом совместимости под Windows 7, 8, etc
В WINE с DX11 сейчас всё отлично, есть DXVK, который транслирует DX10/11 в Vulkan, собственно пуё пуё спокойно запускается через вентилевский Proton (Wine 3.7 с тем же DXVK), а с последним вайном и staging-патчами так и подавно 99% денуво игр.

ELF_7719116 пишет:
Есть предположение, что самому движку игры уже что-то не понравилось (намазанный вмпротом), раз он хочет MessageBox показать и ищет файл debug.bin
Ну я тоже подумал, что разрабы какой-то антидебаг поставили, но ведь лицензия запускается.

Но не работают все их дуня-кряки, решил пока отложить пуё и попробовать по пинать остальные

UPD: в остальных играх тоже всё плохо, все игры падают на кодексовом коде и всегда на тех же вызовах, что и при дебаге в Api Monitor и drltrace, с WinApiOverride идёт дальше этих вызовов, но игры не запускаются. Что странно, по беглому просмотру, аргументы у вызовов в вайне и WAO одни и те же и непонятно где кряк палит, что он дебажится.

UPD2: проверил FM2019 от FCKDRM, ровно такая же проблема, игра палит (и даже вызовы те же самые, до проверки дебаг регистров через get/set thread context), если её дебажат, но в отличии от других игр, эта DX9 и она запускается в виртуалке, что позволило проверить её запуск с игнором эксепшенов в x64dbg и она запустилась и игры на UE4 также "запускаются", буду копать в сторону игнорирования эксепшенов в вайне.

| Сообщение посчитали полезным:

Hitman.2.Build.1.0.Crack.FCKDRM за три дня до релиза (мощно)
ну и CPY наконец-то появились (после долгого отпуска ) Assassins.Creed.Odyssey-CPY

похоже ребятам из FCKDRM в кайф ломать игры с denuvo (причём те, который не накрыты vmp)

| Сообщение посчитали полезным: TryAga1n, yashechka

понесло CPY ,дуня деньги вовремя не перевела

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Хабр тоже хайпит:
--> Защиту Denuvo в Hitman 2 взломали за три дня до релиза — сразу после заявления компании о важности защиты в первые дни <--

Цитата:
Ситуация для владельца Denuvo, компании Irdeto, вдвойне неприятная, поскольку несколько дней назад она опубликовала заявление о важности защиты в первые дни релиза.



-----
EnJoy!

| Сообщение посчитали полезным:

Shadow.Of.The.Tomb.Raider-CPY
Sword.Art.Online.Fatal.Bullet.1.5.0.Crack.FCKDRM

вот это номер!
они решили за месяц взломать всё что есть
ну что, если до конца ноября грохнут ещё и Battlefield V, думаю разрабы вновь задумаются о целесообразности в дуне..

| Сообщение посчитали полезным:

dezmand07

Если у них есть хорошие инструменты, а это dbi, то эти реализации защиты фактически никакая не защита. Это всё обрабатывается автоматикой за минуты/часы.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
у них есть хорошие инструменты
Дизить/трейсить днями и ночами конечно никто не будет. Хороший программист всегда напишет софт удобный для себя.
У CPY и FCKDRM разный подход, и cpy ломают ну просто круто, не трогая PE

| Сообщение посчитали полезным:

difexacaw пишет:
Если у них есть хорошие инструменты
Вся проблема была что поверх дуни был навешен VMprot последней версии

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

thread: Electronic Arts Origin (EA Origin, Origin SDK) / DENUVO
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
последнее время много шумихи поднялось по сабжам. Начиная с лички и продолжая годной пастой
v00doo пишет:
Это не stub, это Origin SDK, игра получает необходимую информацию, например ник пользователя, статус сети и прочее, тоже самое что есть у steam или uplay, только тут нет никаких публичных документаций само собой, парни со сцены реверсят и пишут эмуляторы клиентов.
Инит говорит сдк какой идишник игры стартует, update служит для обновления колбечин сдк, его не надо вырезать уж точно.
Stub там один, protection id называет его EaDRM, там просто криптовка поверх бинаря, дальше восстанавливаются директории, если они были сперты и все, бинарь дальше чист, если там нет denuvo.

с чего вы взяли, что там эмуль (Origin_CORE а-ля Origin.exe) обязательно нужен? Юзается он, прежде всего EaDRM. Даже если Origin и накрыт DENUVO, это патчится, в принципе.

jude
bf4_dumped.exe (x64) отправил в личку
дампить через подмену Activation64.dll на втором вызове (из Origin.exe)
Первый раз запускается BFLauncher.exe, второй раз bf4.exe:
Дамп запускать самостоятельно (заменять оригинальный bf4.exe НЕ нужно)!
Место снятия дампа:


EaDRM / Stub резать здесь:


b613_26.11.2018_EXELAB.rU.tgz - BF4_dumps_images.7z

| Сообщение посчитали полезным: jude, dezmand07, bf_user

ELF_7719116
Супер!
Как я и говорил OEP это 0x1411840A8 - значит делал все верно.
А вот EaDRM / Stub я не верно вырезал тогда, увы.
Теперь все стало понятно почему у меня крашилось.
Большое спасибо ELF_7719116 за помощь и подробное описание процесса снятия дампа, удаление EaDRM / Stub, благодарен тебе!

| Сообщение посчитали полезным:

https://m.igromania.ru/news/79127/Na_smenu_Denuvo_mozhet_priyti_Valeroa.html

Тут это, Валеру подвезли. Кто нибудь скинет публично/лично мин рабочий набор (exe + dll) City Patrol: Police от Caipirinha Games??

| Сообщение посчитали полезным:

ELF_7719116, игру взял с рина - https://www93.zippyshare.com/v/LCqI0nAs/file.html

| Сообщение посчитали полезным:

ga2mer пишет:
ELF_7719116, игру взял с рина - https://www93.zippyshare.com/v/LCqI0nAs/file.html

I offer 1000,USD for crack

BTC, XMR, etc send me address + crack! (not a joke, a moderator can get in touch to verify my previous donations)

| Сообщение посчитали полезным: ELF_7719116

ga2mer пишет:
игру взял с рина - https://www93.zippyshare.com/v/LCqI0nAs/file.html
что эт за говно какое-то, накрытое дефолтным билдом VMProtect 3.0??

с покореженными данными в NT- заголовке, чтобы статику в заблуждение ввести. Там ещё сертификат нарушен и стимовских дллок с crt140 не хватает.
Кто-то рофлит?!

robertcase пишет:
I offer 1000,USD for crack
It's too small))

| Сообщение посчитали полезным:

ELF_7719116, Potato_of_Doom с рина, говорит
Stuff I noticed: the super secret unique protection mechanism here is VmProtect. The drm uses a shitton of antidebug, antihook and similar bullshit (but no cpuid hw magic) and the drm likely only relies on ISteamAppTicket::GetAppOwnershipTicketData(), IClientUser::BIsSubscribedApp() and IClientUser::GetSteamID(). Also the game is the worst shit I've ever seen.

стимовских дллок с crt140 не хватает
Если это про steam_api, то я не доложил

| Сообщение посчитали полезным:

ELF_7719116 пишет:
City Patrol: Police
У кого игра полностью есть дайте ссылку в личку,
З.Ы
нужно проверить экзешен)))

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ELF_7719116 пишет:
Кто-то рофлит?!

Походу
https://i.imgur.com/xZ72925.png

| Сообщение посчитали полезным:

Кстати, любопытное совпадение (пока ещё не видел, чтобы кто-то обратил внимание):
Valeroa.com - WordPress 4.9.8
Vmpsoft.com - WordPress 3.5.1

SecuROM.com - is no longer available! больше не существует официально (редирект на www.sonydadc.com/solutions/managed-services/digital-services-2/). Остался один https://support.securom.com/

| Сообщение посчитали полезным:

На сайте valeroa.com, если посмотреть исходный код страницы, есть интересные строчки



Можно это расшифровать?
Вторая строка ведёт на ролик ютуба https://www.youtube.com/watch?v=dQw4w9WgXcQ

| Сообщение посчитали полезным: TryAga1n, ELF_7719116