Сейчас на форуме: (+6 невидимых)

 eXeL@B —› Протекторы —› Denuvo - мнение\опыт\обсуждение
<< . 1 . 2 . 3 . 4 . >>
Посл.ответ Сообщение

Ранг: 80.6 (постоянный), 194thx
Активность: 0.10.04
Статус: Участник

Создано: 31 августа 2016 18:24 · Поправил: v00doo
· Личное сообщение · #1

Мы тут обещали:

Готовый пример на 50 мин. видео по распаковке Denuvo и обходу CPUID [RUS]
Зеркала:
https://mega.nz/#!XdtDGbCS!qdAemhodvvVq5_2gVhpaN4RMFB0sK0xCq42OCezKnDM
Уже найдено в сети:
https://youtu.be/M4-8VLGQWnY
https://www.youtube.com/watch?v=4LlVenBI1WE

Английский вариант будет позже ближе к ночи, еще не рендерили.

Мы так же знаем, о наличии x86 билда Denuvo, который уже повесили на игры, интрига остается...

Принимаем критику\идеи\опыт.

Два основных условия топика:
1. Не просить кряки! Топик создан для исследования принципов и механизмов работы защиты.
2. Флуд в теме не приветствуется, но допускается в разумных количествах, всех нарушителей, кто перейдет черту - будут удалять.


По активности темы можно будет понять насколько это интересует людей.

| Сообщение посчитали полезным: Bronco, HandMill, SReg, sem0374, WildGoblin, SER[G]ANT, Johnatalbi, mkdev, red0x, verdizela, Haoose-GP, Qbik, zNob, exit_2, Groul, kurorolucifer, Nightshade, gloom, apan, Styx, 4kusNick, Veliant, 6oTBa, nv, rus935, oldman, Mast3r, Sexist, kassane, kouljaboy, JabukeGrada, ZLOFENIX, Voices_of_the_BULG

Ранг: 95.1 (постоянный), 247thx
Активность: 0.260.01
Статус: Участник

Создано: 03 сентября 2016 18:59
· Личное сообщение · #2

Понимаю, что это косвенно связано с денувой, но все же.К стиму разные игры по-разному привязаны.Некоторые не юзают апи в теле, а запускаются в контексте, соответственно и либа steam(steam_api64.dll) подгружается опосля.Собственно, в качестве примера оставлю здесь ссылку, на GasGuzzlersDemo, отвязанную от Steam мной.Важно - стим стаб (упаковщик) никогда не портит импорт и его не надо восстанавливать.Достаточно поправить EntryPoint в дампе и запатчить вызовы SteamApi в теле.Секция .bind удаляется по желанию.
GGED.zip:
Code:
  1. GasGuzzlers.exe [Оригинальный файл - требует наличие запущенного Steam] 
  2. GasGuzzlers_dump.exe [Распакованный файл с поправленной точкой входа - требует наличие запущенного Steam]
  3. GasGuzzlers_dump_fixed.exe [Пофикшены стартовые апи стима - 3 штуки]
  4. GasGuzzlers_dump_fixed2.exe [Вырезан импорт steam_api.dll + удалена секция .bind]
  5. GasGuzzlers_dump_fixed3.exe [Пофикшена последняя апи, вызываемая при выходе из игры]
  6. info.txt [Содержит адрес OEP, что и где нужно было запатчить и каким условиям удовлетворить]

Если что-то непонятно, то можете проверить распакованный и запатченные варианты с помощью cmpdisasm, ибо мне пофиг.Учтите, что в полных играх все намного сложнее и вызовов намного больше, соответственно и патч не поможет.
--> GGED.zip <--
PS.Если игра переключилась на английский язык, то нужно зайти в документы по адресу "\Gamepires\GasGuzzlersExtremeDemo", открыть GasGuzzlers.xml и изменить строчный параметр Language c en на ru.

-----
TEST YOUR MIGHT




Ранг: 80.6 (постоянный), 194thx
Активность: 0.10.04
Статус: Участник

Создано: 03 сентября 2016 20:06
· Личное сообщение · #3

unknownproject, CEG давно вымер.
Зачем вообще выкладывать файлы, без остального импорта?
unknownproject пишет:
GasGuzzlers_dump.exe [Распакованный файл с поправленной точкой входа - требует наличие запущенного Steam]

Этого достаточно, качаешь:
https://github.com/AyriaPublic/AyriaPlatform
Собираешь и все работает так как нужно, не портя логику игры, это слишком простая игра, а патчить апи в больших играх, так вообще сломает половину игры.



Ранг: 1.5 (гость), 1thx
Активность: 0.010
Статус: Участник

Создано: 03 сентября 2016 20:58 · Поправил: Jenienbod
· Личное сообщение · #4

i have managed to create 3 of the scripts that are used just nedd the last 2 now



Ранг: 6.8 (гость), 4thx
Активность: 0.020
Статус: Участник

Создано: 04 сентября 2016 01:01
· Личное сообщение · #5

Читаю оху...ю. Bronco ты чо концерт делаешь? Ну угараешь понимаю. Не хватает те веселья. Но чо издеваться то? Отвечай по теме и всё. Кто захочет правильный вопрос задать ответь без сарказма и все. Остальных рассуждателей хотетялей рабочих дампов на шару игнорь и все. Тут же весь офтоп и кончится. я так понял тя и на ресурсе игнорят знающие по каким то своим убеждениям(ну мож неправильно понимаю этот идиотский своеобразный форум). Да и пох....

Всем кто в теме с бронко могу только пожелать не делать из этого какой-то культ. Я бы хотел видеть вас может как наставников даже чтобы люди развивались. Но по личным наблюдениям на этом форуме научиться можно но спрашивать у кого-то нельзя никогда, потому-что тя говном измажут сразу. Ну честн все желание отбиваете.




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 04 сентября 2016 02:00
· Личное сообщение · #6

rus935 пишет:
Читаю оху...ю. Bronco ты чо концерт делаешь?

ваще не понял, это что за наезды?
в орбитрах не нуждаюсь, поток орков прогнозируемый, ситуация контролируемая. старые тёрки тебя так же не касаются. Так что ничем не выделился и встрял не по теме.
Как предмет дискуссий "защита" мало кого интересует,поэтому в её орбите тупо не здоровая атмосфера с самого начала.
Знание ПЕ формата, это хребет, который обязателен, для общения на этом форуме.
Вопросы ставить не обязательно, достаточно описать задачу или этап на котором застрял.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..


| Сообщение посчитали полезным: mak

Ранг: 30.2 (посетитель), 31thx
Активность: 0.060
Статус: Участник

Создано: 04 сентября 2016 10:47 · Поправил: oldman
· Личное сообщение · #7

Парни, спасибо за видосы, очень круто - даж вдохновило тоже полазить посмотреть что там да как..

Воопщем есть Doom, в нужное время активнутый бипасом. Версия не самая новая, до update2 hotfix-a, спокойно себе работает в оффлайн режиме.

Запускается без проблем, но если пытаешься c под x64dbg стартануть, даже без установленных бряков:

Last chance exception on 000000015A2418FC (C0000005, EXCEPTION_ACCESS_VIOLATION)!

Code:
  1. 000000015A2418EA | 8B 55 08       | mov     edx, dword ptr ss:[rbp + 8]
  2. 000000015A2418ED | 66 0F A3 C7    | bt      di, ax
  3. 000000015A2418F1 | F5             | cmc
  4. 000000015A2418F2 | 48 83 C5 0C    | add     rbp, C
  5. 000000015A2418F6 | 0F 82 4B BB 04 00  | jb      doomx64.15A28D447
  6. 000000015A2418FC | 89 10             | mov     dword ptr ds:[rax], edx  <----- падаем тут
  7. 000000015A2418FE | E9 84 1C 05 00       | jmp     doomx64.15A293587
  8. 000000015A241903 | F6 C4 77         | test    ah, 77


ScyllaHide свежая , от апреля этого года, профиль стоит VMProtect.

Про антидебаг читал в первоначальном топике: --> Link <-- , делал как пишет Elf, всё равно эксепшн ловлю.




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 04 сентября 2016 11:11
· Личное сообщение · #8

oldman, мало инфо.
Что в раксе?
Ну и подробней как запускал.
По Скиле приатачил конфиг.

d64e_04.09.2016_EXELAB.rU.tgz - scylla_hide.ini

-----
Чтобы юзер в нэте не делал,его всё равно жалко..




Ранг: 30.2 (посетитель), 31thx
Активность: 0.060
Статус: Участник

Создано: 04 сентября 2016 11:28
· Личное сообщение · #9

Bronco пишет:

oldman, мало инфо.
Что в раксе?
Ну и подробней как запускал.
По Скиле приатачил конфиг.


Спасибо за конфиг. В раксе = 0x2ea

Стим запущен в оффлайн режиме. С проводника на doomx64.exe - "Debug with x64dbg", запускается дебагер,
стоим на EP.. Бряков вообще нет, ну и поехали - F9.

Получаем тоже самое, эксепшн на том же адресе, в раксе = 0x2ea

Добавлено спустя 24 минуты
Бронко, подумал щаз, может вся эта канитель изза болгарских длл-ей: bink2w64.dll, VOKSI64.dll, да плюс
патченный стим внутри папки с думом..

Попробовал запустить с под дебагера Ларку с итальянским аспирином - закрывается процесс в дебагере.
Scylla с твоим конфигом.

Без дебагера - игра стартует. Да, ос - вин7 64.. Мож того, пора на 10-ку переползать?




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 04 сентября 2016 12:17
· Личное сообщение · #10

oldman пишет:
в нужное время активнутый бипасом

Хм..тогда почему-то у нас билды разные. Скинь версию билда.
По адресам другие инструкции, что в вулкане, что в в жл.
Егор в стартовом коде, значит вм_оеп или не нашёл, или уже проскочил.
Найди выход из этого вложения вм , тыкни аппаратный на исполнение, посмотри по стеку, после какой передачи управления егор на доступе.

Добавлено спустя 2 минуты
oldman пишет:
Бронко, подумал щаз, может вся эта канитель изза болгарских длл-ей: bink2w64.dll, VOKSI64.dll, да плюс
патченный стим внутри папки с думом..

Ну для их канители аттачиться к процессу надо, у них старт с консоли.

Добавлено спустя 19 минут
oldman пишет:
Попробовал запустить с под дебагера Ларку с итальянским аспирином - закрывается процесс в дебагере.

Да это цпю балуется, чтоб жёлтые не дебажили и не тырили

-----
Чтобы юзер в нэте не делал,его всё равно жалко..




Ранг: 30.2 (посетитель), 31thx
Активность: 0.060
Статус: Участник

Создано: 04 сентября 2016 13:32
· Личное сообщение · #11

Bronco пишет:
Хм..тогда почему-то у нас билды разные. Скинь версию билда.
По адресам другие инструкции, что в вулкане, что в в жл.
Егор в стартовом коде, значит вм_оеп или не нашёл, или уже проскочил.
Найди выход из этого вложения вм , тыкни аппаратный на исполнение, посмотри по стеку, после какой передачи управления егор на доступе.


Да, то что билды у нас разные я с твоего микс-ролика в котором ты в том числе дум ковыряешь, увидел.

У меня:
Code:
  1. DOOM  FileVersion  6, 1, 1, 706
  2. DOOM  ProductVersion 6, 1, 1, 1916


Щаз для пробы скачал свежий билд, там:

Code:
  1. DOOM  FileVersion  6, 1, 1, 808
  2. DOOM  ProductVersion 6, 1, 1, 1735


Он конечно отказывается работать и просит вывести стим из оффлайн режима.

Вообщем продолжил ковырять тот билд что у меня, по аналогии с деусом нашёл то что у тебя в ролике про deus называется << hr1 - как я понял создаются страницы по 1000 в верхней памяти:

Code:
  1. 000000015A42D74B | 41 B9 40 00 00 00        | mov     r9d, 40                            |
  2. 000000015A42D751 | 41 B8 00 30 10 00        | mov     r8d, 103000                        |
  3. 000000015A42D757 | BA 00 04 00 00           | mov     edx, 400                           |
  4. 000000015A42D75C | 31 C9                    | xor     ecx, ecx                           | 
  5. 000000015A42D75E | FF 15 FC DF 00 00        | call    qword ptr ds:[<&VirtualAllocStub>] |
  6. 000000015A42D764 | 48 89 84 24 F8 04 00 00  | mov     qword ptr ss:[rsp + 4F8], rax      | << hr1
  7. 000000015A42D76C | 48 8B 94 24 F8 04 00 00  | mov     rdx, qword ptr ss:[rsp + 4F8]      |
  8. 000000015A42D774 | 48 8D 8C 24 30 02 00 00  | lea     rcx, qword ptr ss:[rsp + 230]      | 
  9. 000000015A42D77C | E8 0F FF FD FF           | call    doomx64.15A40D690                  |


Так вот сюда - 015A42D751 - я попадаю ещё до краша, все странички по 1000 успешно создаются, а вот дальше..

Нашёл (или мне так кажется) то что называется в ролике c deusom << hpage:

Code:
  1. 000000015D4F8F70 | F9                   | stc                                 |
  2. 000000015D4F8F71 | F5                   | cmc                                 |
  3. 000000015D4F8F72 | 48 89 01             | mov     qword ptr ds:[rcx], rax     | << hpage
  4. 000000015D4F8F75 | 0F C0 E4             | xadd    ah, ah                      |
  5. 000000015D4F8F78 | 80 C4 1C             | add     ah, 1C                      |
  6. 000000015D4F8F7B | 66 41 1B C4          | sbb     ax, r12w                    |
  7. 000000015D4F8F7F | 8B 06                | mov     eax, dword ptr ds:[rsi]     |
  8. 000000015D4F8F81 | F5                   | cmc                                 |
  9. 000000015D4F8F82 | 48 81 C6 04 00 00 00 | add     rsi, 4                      |
  10. 000000015D4F8F89 | 45 84 F0             | test    r14b, r8b                   |
  11. 000000015D4F8F8C | F5                   | cmc                                 |
  12. 000000015D4F8F8D | 49 F7 C5 43 1C EB 3C | test    r13, 3CEB1C43               |
  13. 000000015D4F8F94 | 33 C3                | xor     eax, ebx                    |
  14. 000000015D4F8F96 | 2D 0A 5D 08 01       | sub     eax, 1085D0A                |
  15. 000000015D4F8F9B | E9 BF E1 0B 00       | jmp     doomx64.15D5B715F           |


Так вот в деусе сперва срабатывает бряк на <<hpage, а потом на <<hr1, в Думе же сперва <<hr1,
ну а потом уже ловлю краш, до <<hpage не добираюсь, или не то место.


Bronco пишет:
Ну для их канители аттачиться к процессу надо, у них старт с консоли.


Ты имеешь ввиду если запускать через дланчер? Вот 1 раз запускаешь через дланчер, стартует этот
патченный стим с одним думом в нём, игра запускается. Выходишь с нее, стим остается открытый,
теперь можно запускать сразу doomx64.exe. При этом все voksi64.dll есесно все равно подгружается.
У тебя в ролике даже видно момет где открыта карта памяти и там этот dll загружен. Я вот и подумал,
может какой-то конфликт идёт длл-ки с дебагером/защитой.




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 04 сентября 2016 14:33
· Личное сообщение · #12

oldman пишет:
или не то место.

В rax будет указатель на entry_metod_cpuid_or_syscall (можно пройтись по нему посмотреть), в rcx указатель на ячейку в секции кода, куда положат значение из rax. Там ошибиться трудно. эту страницу заполняют раньше тех что по 0х1000. В Думе функа смены атрибутов секций образа находится в секции кода,на неё выходят по разному, могут через стек, могут через "фантик" в странице, и обычно после неё шлёпают на стартовый код, который под слоем вм.
Там переход как в упыксе прописан длинным прыжком или последний call.
Вот если доберёшься туда, чуть пройдись потом жми в дебагере ртр. выйдешь на выход из блока передачи управления и востановления основного контекста цпу. Железяку на него и логируй после какого егор.))
Дум на шаблоность смотрел, пару раз запустил и забыл про него.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..


| Сообщение посчитали полезным: v00doo, Haoose-GP, oldman

Ранг: 1.5 (гость), 1thx
Активность: 0.010
Статус: Участник

Создано: 05 сентября 2016 01:29
· Личное сообщение · #13

скрипты я написал исправление ч страниц и исправление v странице, а также проверить наличие водяного знака, но в ролике он не показывает остальные авторские права или исправить модуль скриптов



Ранг: 30.2 (посетитель), 31thx
Активность: 0.060
Статус: Участник

Создано: 05 сентября 2016 15:49
· Личное сообщение · #14

Bronco пишет:
В rax будет указатель на entry_metod_cpuid_or_syscall (можно пройтись по нему посмотреть), в rcx указатель на ячейку в секции кода, куда положат значение из rax. Там ошибиться трудно. эту страницу заполняют раньше тех что по 0х1000


Ошибся я всё таки первый раз, настоящий hpage мутят тут:

Code:
  1. 000000015D598324 | 48 8B 4C 25 00       | mov     rcx, qword ptr ss:[rbp]    |
  2. 000000015D598329 | 48 8B 44 25 08       | mov     rax, qword ptr ss:[rbp + 8]|
  3. 000000015D59832E | 48 81 C5 10 00 00 00 | add     rbp, 10                    |
  4. 000000015D598335 | F8                   | clc                                |
  5. 000000015D598336 | F9                   | stc                                |
  6. 000000015D598337 | 48 89 01             | mov     qword ptr ds:[rcx], rax    | << hpage
  7. 000000015D59833A | 8B 06                | mov     eax, dword ptr ds:[rsi]    |
  8. 000000015D59833C | 48 81 C6 04 00 00 00 | add     rsi, 4                     |
  9. 000000015D598343 | F9                   | stc                                |
  10. 000000015D598344 | E9 CD 47 F1 FF       | jmp     doomx64.15D4ACB16          |


Теперь всё как надо, бряк на 15D598337 срабатывает раньше чем, на 15A42D74B где vpage по 1000 создаются.


Дальше стал по твоему ролику действовать, после входа в call qword ptr ss:[rsp + 60] и чуть далее поставил бряк на ret в virtualprotect и F9, раз наверное 40-45, там уже смотрю в стеке нетолько с дума его вызывают, а уже даже GameOverlayRenderer64.dll маячит, потом опять дум.. Вообщем пытался выйти на vm_oep, как у тебя в ролике, нашел 4 места с imul esp,ecx, xxxxxxx, аппаратные бряки поставил - но они не сработали, раньше упал в тот самый эксепшн.

Мне всё таки кажется, падает из за болгарина, чето он там намутил в своих дллах, возможно как и итальянцы - борется с дебагером, причем хитро, роняя денуву




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 05 сентября 2016 18:53
· Личное сообщение · #15

oldman пишет:
Мне всё таки кажется, падает из за болгарина

Мля.. напрягаете Дум ковырять, как бы не этично, перебегать дорогу раскрученной тиме, Дум её материал
Странно но подобный функционал в стартовом коде, в Деусе появился после 3-го патч_фикса. И мне казалось, что это реакция на решение ЦПЮ.
Code:
  1. 00000000005EEC78  000000015BE92385  doomx64.000000015BE92385
  2. 00000000005EEC80  00007FFE48D03C10  kernel32.VirtualQuery
  3. 00000000005EEC88  000000015C101CCA  doomx64.000000015C101CCA

Voksi как видишь тут не при делах. Снять нужные данные это не мешает. Ну а дамп только с аттача..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..




Ранг: 30.2 (посетитель), 31thx
Активность: 0.060
Статус: Участник

Создано: 06 сентября 2016 09:09
· Личное сообщение · #16

Bronco пишет:
Мля.. напрягаете Дум ковырять, как бы не этично, перебегать дорогу раскрученной тиме, Дум её материал


Нормально, слишком долго телятся, кто бы они ни были, приходится самим впрягаться

Bronco пишет:
Странно но подобный функционал в стартовом коде, в Деусе появился после 3-го патч_фикса. И мне казалось, что это реакция на решение ЦПЮ.


У тебя самый свежий апдейт дума? "Версия игры Update 2 HotFix, загружена 20.08.2016" ?
Даже если так, получается этот функционал в Думе был скорее ответом на бипас от Вокси, а вот почему его в Деус с самого начала не воткнули - это вопрос..

Bronco пишет:
Voksi как видишь тут не при делах.


Ты писал про деус что этим кодом с вм_оеп чекают все страницы.
Проясни плиз этот момент с вызовом VirtualQuery, хотя бы в общих чертах (про саму функцию в апи естественно я читал), это своего рода антидебаг? Ты считаешь, что у меня Дум ловит c0000005 под дебагером изза этого?




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 06 сентября 2016 13:11
· Личное сообщение · #17

Ну для начало немного мистики. Дамп который снимал в миксе, чтобы показать что он здоровый,лежит на диске по дате от 31 авг, а оригинал смотрю, что какого-то хера от 4 сен. А Вулкан от 6 августа, и он после инстала лежал в другой папке. Да и помнится что запускал ОпенЖЛ под отладчиком. Хз может стим после обновы, не зависимо от оффлайн режима чекает конект и обновляет исполняемые в фоновом режиме.
oldman пишет:
У тебя самый свежий апдейт дума?

Нет, тот билд где вулкан появился.
oldman пишет:
функционал в Думе был скорее ответом на бипас от Вокси

Сеорее всего это было в интерфейсе защиты, просто разрабы игр не заказывали. Ибо больше опций, больше кеша..
oldman пишет:
Проясни плиз этот момент с вызовом VirtualQuery

Проверяют все страницы и разделы в образах модулей, потом снапшот, потом процессы. В соседнем топе кидал инфо.
Нах это , я не вникал, ибо на двух билдах Деуса, оно не кобенилось, а на предпоследнем билде, уже некогда было разбираться, дамп тупо забрал с аттача.
oldman пишет:
Ты считаешь, что у меня Дум ловит c0000005 под дебагером изза этого?

Ну Пайпу он в начале для чего то создаёт. Повторюсь, что для сбора данных в скрипты, о выделенных страницах это не мешает.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..




Ранг: 30.2 (посетитель), 31thx
Активность: 0.060
Статус: Участник

Создано: 06 сентября 2016 13:27
· Личное сообщение · #18

Спасибо за инфу.

Bronco пишет:
Повторюсь, что для сбора данных в скрипты, о выделенных страницах это не мешает.


Я тебя понял, забью пока на борьбу с антидебагом, просто напрягло немного, у тебя сколько роликов уже было, где ты запускаешь и Ларку, Деус, Жс3 с под дебагера и они бодро работают до запуска игры. А тут Дум блин крашится, для проверки достал с полки Ларку лицензию, покупал ещё в самом начале, как вышла, обновил до последнего билда в стиме. Стим в оффлайн перевёл, файл steam_appid.txt c 391220 внутри в папке с ларкой создал, игра нормально стартует прямо с rottr.exe с папки.

Но как только запускаю с "Debug with x64dbg" , F9 - закрывается процес и пофигу ей на Скиллу с твоим конфигом.




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 06 сентября 2016 13:44 · Поправил: Bronco
· Личное сообщение · #19

oldman пишет:
F9 - закрывается процес и пофигу ей на Скиллу с твоим конфигом.

Упс..это не антидебаг,смотри внимательней видос
Тут дельту юзают для запуска. Пока она не меняется.
Возможно юзают тайминги, а под дебагером идёт потеря этих данных, или уже другая разница в величинах.
Куда пишут найти не сложно, но надо пройтись по выходу из первого вложения вм.
//Хотя сейчас в стартовом коде минимум уже три вложения вм.
В стеке будет указатель на небольшой метод(визуально увидишь:s3, в нём эмулят одну инструкцию - "add byte[addr],1".

-----
Чтобы юзер в нэте не делал,его всё равно жалко..




Ранг: 30.2 (посетитель), 31thx
Активность: 0.060
Статус: Участник

Создано: 06 сентября 2016 16:10
· Личное сообщение · #20

Bronco пишет:
Упс..это не антидебаг,смотри внимательней видос
Тут дельту юзают для запуска. Пока она не меняется.
Возможно юзают тайминги, а под дебагером идёт потеря этих данных, или уже другая разница в величинах.


Вот даже так? Теперь я понял, куда попал


Как и говорил, борьбу с безумным антидебагом пока бросил и занялся тем, что и хотел изначально сделать..
а именно получить рабочий дамп дума.

Пока получилось найти в своем билде дума адреса для первых двух скриптов DumpHPage, DumpVpage, главное
всё таки нашел адрес "<< VM OEP CODE START STEAM_DENUVO" и выше его как раз идут вызовы virtualprotect - устанавливают атрибуты секций, воопщем еще немного подготовительных мероприятий и можно делать дамп.



Ранг: 4.9 (гость), 1thx
Активность: 0.010
Статус: Участник

Создано: 07 сентября 2016 22:00
· Личное сообщение · #21

oldman пишет:
Как и говорил, борьбу с безумным антидебагом пока бросил и занялся тем, что и хотел изначально сделать..
а именно получить рабочий дамп дума.

Не мучай себя ребята с CPY красавчики и уже скинули таблу на дума



Ранг: 30.2 (посетитель), 31thx
Активность: 0.060
Статус: Участник

Создано: 08 сентября 2016 02:46
· Личное сообщение · #22

Nospamwss пишет:
Не мучай себя ребята с CPY красавчики и уже скинули таблу на дума


Респект Conspiracy. Но я совершено не мучаюсь,для себя ж разбираюсь - интересно просто. Первые два скрипта выполнил, дамп сделал, секции правлю, ну и дальше там ещё делов немеряно..

У меня задача относительно простая - по возможности повторить на Думе то, что сделали Бронко и Пайнтер с Деусом в мувике. Без спешки,так сказать в познавательных целях.




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 08 сентября 2016 08:30
· Личное сообщение · #23

Небольшая статистика по MadMax, версия файла 1.0.3.0
Выделенных страниц аж 25
Указателей на hpage аж 75
Часть родного оеп немного под слоем вм.
Указатель после ВинМайна для динамических цпуид всего 1.
Весь концепт защиты, как и стартовый код Хренуво не менялся на протяжении полутора лет.
В течении этого времени наращивалась только массовка..
Потратил на танцы с бубном 1 час.
С эмулем стима завёлся с пол оборота.
Сейвы работают.
Млять...так и будете ждать по 2 недели подачек от CPY ?
Релизить не собирась, ак не мой, библиотека там большая.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..


| Сообщение посчитали полезным: oldman, Johnatalbi

Ранг: 4.9 (гость), 1thx
Активность: 0.010
Статус: Участник

Создано: 08 сентября 2016 08:53
· Личное сообщение · #24

Bronco пишет:
Потратил на танцы с бубном 1 час.
С эмулем стима завёлся с пол оборота.
Сейвы работают.
Млять...так и будете ждать по 2 недели подачек от CPY ?

Ну молодец :D Конечно будем ждать других крякеров которые ломают за час еще нет так что нам и так нормально твой способ мб им не подходит или мб просто непонятен




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 08 сентября 2016 09:19 · Поправил: Bronco
· Личное сообщение · #25

Nospamwss пишет:
твой способ мб им не подходит или мб просто непонятен

Ну да, есть же статический метод извлекать логику, прямо в пожато_пошифрованной секции кода..
У меня тут затык, у Хренувы --> есть <--двойник :

-----
Чтобы юзер в нэте не делал,его всё равно жалко..





Ранг: 62.3 (постоянный), 51thx
Активность: 0.040.01
Статус: Участник

Создано: 08 сентября 2016 23:59
· Личное сообщение · #26

Bronco
Привет. Вопрос от антистарфорс-форума: если тебе предоставят акк, сможешь замутить кряк и в паблик его? Если да, то какая игра тебя интересует? Mad Max? =)




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 09 сентября 2016 00:46
· Личное сообщение · #27

Haoose-GP пишет:
Привет.

Прив. Парень толковый, сечёт с полуслова, толк будет. Он сам всё раскажет.

GamiltonBrau пишет:
Бронко боится ФБР и агентов Блашковича)

Вот почему у тебя голова квадратная, и в чужую жопу заглядываешь ?
С твоими минусами и бесполезными постами, ожидай вечный бан по айпи.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..





Ранг: 62.3 (постоянный), 51thx
Активность: 0.040.01
Статус: Участник

Создано: 09 сентября 2016 01:21 · Поправил: Haoose-GP
· Личное сообщение · #28

Bronco
Не покажешь код функции Check из скрипта 4.FixHPage? Пока на этом остановились =( Сам дамп снять получилось.



Ранг: 30.2 (посетитель), 31thx
Активность: 0.060
Статус: Участник

Создано: 09 сентября 2016 10:08
· Личное сообщение · #29

Не палите функцию Check пока, я хочу сам вкурить тему




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 09 сентября 2016 18:11
· Личное сообщение · #30

oldman пишет:
я хочу сам вкурить тему

Такой подход самый лучший. Морфинг слабый, методы короткие, с апдейтом движка скрипт работает 3 минуты. Сдампленная страница инициализирована, плюс цпуид и сускол динамические и за её пределами.
Задача простая. Сделать их статическими, найти трассой "неправильную" команду и исправить указатель в ней, на свои адреса инструкций. В чём между ними разница можно посмотреть после исполнения шапки скрипта.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..




Ранг: 30.2 (посетитель), 31thx
Активность: 0.060
Статус: Участник

Создано: 10 сентября 2016 08:13
· Личное сообщение · #31

Bronco пишет:
Задача простая.


Зацени результаты

А теперь применим полученные навыки для дальнейшего разваливания дума


<< . 1 . 2 . 3 . 4 . >>
 eXeL@B —› Протекторы —› Denuvo - мнение\опыт\обсуждение
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати