Мы тут обещали:

Готовый пример на 50 мин. видео по распаковке Denuvo и обходу CPUID [RUS]
Зеркала:
https://mega.nz/#!XdtDGbCS!qdAemhodvvVq5_2gVhpaN4RMFB0sK0xCq42OCezKnDM
Уже найдено в сети:
https://youtu.be/M4-8VLGQWnY
https://www.youtube.com/watch?v=4LlVenBI1WE

Английский вариант будет позже ближе к ночи, еще не рендерили.

Мы так же знаем, о наличии x86 билда Denuvo, который уже повесили на игры, интрига остается...

Принимаем критику\идеи\опыт.

Два основных условия топика:
1. Не просить кряки! Топик создан для исследования принципов и механизмов работы защиты.
2. Флуд в теме не приветствуется, но допускается в разумных количествах, всех нарушителей, кто перейдет черту - будут удалять.

По активности темы можно будет понять насколько это интересует людей.

| Сообщение посчитали полезным: Bronco, HandMill, SReg, sem0374, WildGoblin, SER[G]ANT, Johnatalbi, mkdev, red0x, verdizela, Haoose-GP, Qbik, zNob, exit_2, Groul, kurorolucifer, Nightshade, gloom, apan, Styx, 4kusNick, Veliant, 6oTBa, nv, rus935, oldman, Mast3r, Sexist, kassane, kouljaboy, JabukeGrada, ZLOFENIX, Voices_of_the_BULG

oldman пишет:
Зацени результаты
"find rip, 49C7C4, 3" - не знал что так можно
я чтобы наверняка и не проскочить трассировкой шёл по ф7(esti).
//и наше вам с кисточкой..
Ну это неважно, если в итоге суммарно сошлось с количеством входов в методы.
======
Стартуй из под стима, смотри что там с сейвами. На одну сессию ПК, этого дампа хватит

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
"find rip, 49C7C4, 3" - не знал что так можно

Пришлось вот так, упорно давал ошибку на cmp 3:[rip],..

Bronco пишет:
шёл по ф7(esti).

Не подумал, учту.

Bronco пишет:
//и наше вам с кисточкой..
Ну это неважно, если в итоге суммарно сошлось с количеством входов в методы.

Спасибо Да, всё норм по количеству.

Но дамп с под оригинального клиента стима не взлетел от слова совсем.
Запустил стим, запустил doom.exe, приатачился, там 2 треда, на главный перешёл, rip поменял на VM OEP Steam denuvo - жму F9, сразу c0000005, причем во 2м треде, у которого ентри на 7Fffff....., я перевожу опять на Main тред, трасирую немного, F9 - опять тоже самое - c000005 во 2м треде, а потом еще пару раз так и уже главный тред упал в ВМ где-то, mov al, [rsi] - а RSI куда то высоковато показывает.

Буду разбираться, дамп переделаю, возможно где-то ошибка, а второе - я ведь как то совершенно упустил из виду в деусовом 2.DumpVpage эту тему и конечно не сделал ее в Думе:

6000000014256E600]=0x2B992DDFA232 //STAMP ------ Ну это еще более менее, метка какая-то в ехе

2:[00000001442DF550]=0x3128 //DELTA TO MOTOR ------ А вот это что-такое?

Так как эту делту я точно в думовском дампе не прописывал, возможно изза этого всё падает.

| Сообщение посчитали полезным:

oldman пишет:
Но дамп с под оригинального клиента стима не взлетел от слова совсем.
Ок..в стартовом коде реализована цикличная вм, переходы между примитивами через регистры идут, а передача управления и восстановление основного контекста через стек.В стартовом коде адрес выхода на макросы восстановления регистров в Думе один. Выйдешь на этот RET, ттыкни аппаратный , и прерываясь на нём смотри после какого егор.
oldman пишет:
метка какая-то в ехе
Игры в основном на плюсах, а студия штамп ставит. Метод не трогают, а он самый первый, или очень рядом к родному оеп.
oldman пишет:
А вот это что-такое?
Так как эту делту я точно в думовском дампе не прописывал, возможно изза этого всё падает.
Я выше уже ответил Без неё процесс завершают, и егоров нет. а перед этим Блу в цикле кружить начинает. Хендл то открывает, то закрывает, потом эксит.
=============
У меня затык по хомфронту. Разрабы при запуске сплеш разворачивают на весь экран, и под отладчиком дальше сплеша пройти не могу. Тупо чёрный экран, даже при вызове диспетчера процессов или смене пользователя.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
У меня затык по хомфронту. Разрабы при запуске сплеш разворачивают на весь экран, и под отладчиком дальше сплеша пройти не могу. Тупо чёрный экран, даже при вызове диспетчера процессов или смене пользователя.

Щаз взялся посмотреть, адреса для первых 2х скриптов быстро нашёл, но на самом свежем билде дебугера интерфейс зависает при попытке выполнить скрипт 2.DumpVpage. Главное дампы в папке minidump появлятся,
но в дебугер не вернутся. Видимо новый скриптовый движок слишком шустрый

А хоумфронт с крайенджином слегка придурошный, да. Я ему выставил в настройках оконный режим, один хер при старте на полный экран сплеш на неск. секунд разворачивает, потом уже в окно переключается

| Сообщение посчитали полезным:

oldman пишет:
один хер при старте на полный экран сплеш на неск. секунд разворачивает
Ну вызов сплеша обходить придётся, иначе на второй указатель для динамических цпуид не выйдешь под отладчиком.
Блу по ходу нервничать начал, при небольшом относительно Дума размере, в ХомФронт полный треш со страницами.Ровно 500, Методов в hpage 214, в стартовом коде 2 вложения вм. Уже 3 указателя на страницы с динамическим методами_инструкциями.А реальным препятствием стал сплеш от крайэнджине. Вот она "неприступность"..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Подключи 2 монитора.

| Сообщение посчитали полезным: Bronco, oldman

Archer пишет:
Подключи 2 монитора.
Угу, а потом Олька на не главном свои окна рисует, типа ctrl-g ... антидебаг мля... )

| Сообщение посчитали полезным:

hash87szf пишет:
Угу, а потом Олька на не главном свои окна рисует, типа ctrl-g ... антидебаг мля... )
На самом деле очень хороший совет от Арчи. Ставишь режим "расширить дисплей", перетаскиваешь на второй моник дебагер, и дебажишь этот "антидебаг"

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

В свое время для решения проблемы использовал какой-то враппер для directX. Что-то вроде дллки с конфигом кидалось в папку с игрой. Название было типа d3d9dx. Эта библиотека хукала вызовы directx и игра всегда запускалась в окне. Называлась как-то directX windower. Сейчас уже не вспомню. Но в свое время очень помогла при дебаге игр.

| Сообщение посчитали полезным:

Под х64 подобный хучёк не попался, хотя для рипа графы и 3д имеется. Обходить сплеш оказалось не желательно, данные размера и стиля окна менял , но в дх всё равно на весь экран, сам завис из-зв палева дебага. Юзают ИсДебаг, возвращает зеро, но где-то ещё что-то выстреливает, ниже ИсДебаг, с_принтф. после него инт3.
=========
//add
Хз когда мистер сделает совместимость скриптового двигла и кьютовского фейса. Более меннее стабильный снапшот решил залить.
--> Mr.eXoDia x64 dbg_snapshot_2016-08-29_12-36.rar (20.24MB) <--

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: mkdev

Поверх загрузчика Хренувы, Ориджин вешает свою шнягу - Activation64.dll.
Дальше практически всё то же самое, код загрузчика ничем не отличается от игр в стиме.
Стартовый код присутствует, но что в нём пока не смотрел, из различий - в ориджин жуют переходники для импорта, и возможно придётся восстанавливать саму табличку.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Поверх загрузчика Хренувы, Ориджин вешает свою шнягу - Activation64.dll.
За Battlefield 1 беспокоятся что ли? Мне кажется, что только на нём (на серии Battlefield) Origin и держится. Хотя если новый Mass Effect стартанут на Origin, то будет печаль-беда.

P.S. Battlefield 1 Ultimate Edition - почти 6 000 р. Поехавшие...

| Сообщение посчитали полезным:

Хз...Electronic Arts контора не молодая, с таким стажем под крылышком у этого издателя, достаточно много и франшиз и просто игр. Сотрудничество с Denuvo Software Solutions по ходу очень плотное, настолько плотное, что не только на демки, но и на бесплатные игры вешают эту дрянь.
Пока импорт не восстановишь, трудно сказать какая связка с клиентом у дампа с игр.
Стартовый код на порядок меньше чем в стиме.
====================
Юбики по ходу просекли, что этот хлыщь юзает лицензионный интерфейс творения Дерьматолога, и не стали пока переплачивать за шаблоны Блауковича, а используют VMProtectAPISDK напрямую.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
используют VMProtectAPISDK напрямую
Ну они как бы и раньше использовали вм прот для защиты онлайн игрушек от читеров)))

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
Ну они как бы и раньше использовали вм прот для защиты онлайн игрушек от читеров)))
Не вникал ваще..))) На Асаську подсадили, франшиза прикольная, но что внутри - было фиолетово.
SKIDROW практически всю линейку отрелизили до начала продаж.
===
Ну что братцы стряхнём пыль с Origin, пусть Гейб порадуется ?
//Смущает что это пендосы, надо шифроваться, а то шестой флот направят...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: ClockMan, Johnatalbi

Продолжаю борьбу с дунувой

Вести с полей:

1) Homefront во время free weekend-a был успешно переведен в вечное пользование путем
выдергивания тикетов Steamlite-ом, и последующего оффлайн-запуска через Lumaemu,
метод расписан тут --> Link <--.

Далее, следуя по пути кинА, exe-шник был сдамплен и прокачан 4-мя скриптами:

1_DumpHPage.txt
2_DumpVPage.txt
3_FixVPage.txt
4_FixHPage.txt

в результате чего дамп запускается и работает под тем же Lumaemu, в пределах одной сессии ПК.
Сейвы работают.

Далее мне предстоит жесткая борьба с оставшимися скриптами, и прописывание стартового кода


2) По думу - после успешного нахождения дельты, я теперь не получаю эксепшн с rax=0x2ea при запуске дампа.

Вместо этого Блу радует меня новыми фишками , см. атач. Есть некоторое подозрение, что это не Блу.. хотя не,
не может быть


14dc_14.09.2016_EXELAB.rU.tgz - doom.jpg

| Сообщение посчитали полезным: Bronco, Johnatalbi

oldman пишет:
Есть некоторое подозрение, что это не Блу..
Проверь одну вещь постав на атрибут секции(rdata) файла значение 40000040 ; Characteristics = INITIALIZED_DATA|READ

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: oldman

ClockMan пишет:
Проверь одну вещь постав на атрибут секции(rdata) файла значение 40000040 ; Characteristics = INITIALIZED_DATA|READ

Ты гений, дамп запустился

Секция, конечно не rdata называется, они у дунувы там для каждого ехе рандомно называются.. но насколько я читал .rdata это секция с постоянными данными, константами?
Вообщем вторая секция сверху, в моем случае называется .xtls, VA = 1BEF000, size = d5c000. Как только
поменял атрибуты с E0000060 на 40000040, дамп сразу запустился.. В чём секрет?

| Сообщение посчитали полезным: ClockMan

oldman пишет:
В чём секрет?
Висул студии стаб затычка(бряк поставь найдёшь код в проге)))))

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
Висул студии стаб затычка(бряк поставь найдёшь код в проге)))))


От оно чё.. я там в принципе полазил уже, только терпения и времени не хватило пока добраться до сути,
но по виду кода совершенно не дунувовская тема, отчего я и засомневался, что это Блу балуется.

Спасибо воопщем, теперь можно конкретно заняться получением полноценного,отвязанного от стима дампа

| Сообщение посчитали полезным:

Удачи)

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

oldman пишет:
1) Homefront во время free weekend-a был успешно переведен в вечное пользование путем
выдергивания тикетов Steamlite-ом, и последующего оффлайн-запуска через Lumaemu,
метод расписан тут --> Link <--.

Далее, следуя по пути кинА, exe-шник был сдамплен и прокачан 4-мя скриптами:

1_DumpHPage.txt
2_DumpVPage.txt
3_FixVPage.txt
4_FixHPage.txt

в результате чего дамп запускается и работает под тем же Lumaemu, в пределах одной сессии ПК.
Сейвы работают.
Дик работало когда шару давали а многие просрали шару
...

| Сообщение посчитали полезным:

oldman пишет:
после успешного нахождения дельты
В Ориджин та же фишка, только дельта другая.
Кто в теме, в какой библиотеке их апи, а то по иат пока не понятно. - EAWebKit.dll.CreateEAWebkitInstance
Схема та же, что и в стиме, только поверх Денуво ещё и врапер ориджин.Заморочено но решаемо.
Дамп ФИФА 2017 бодренько лётает с вм_оеп.

//del

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: oldman

Bronco пишет:
Дамп ФИФА 2017 бодренько лётает с вм_оеп

Быстро ты его ушатал

Bronco пишет:
Что то новенькое, на скиловские хуки не похоже, но тут хоть есть ординалы ядерных фунок:

Блу непреодолимо тянет в ядро?

Откуда он циферки сисколов знает, какие ему нужны, они же разные на разных ОСях - --> Удобная табличка SYSCALL под все ОСи <--

Хотя, с другой стороны места нынче много,можно под все ОСи заготовить код и нагенерить таких
страниц уже под конкретную ОСь

зы. Вот ещё исходник на С для получения списка сисколов и соотв. имени api на конкретном компе - --> Link <--

| Сообщение посчитали полезным:

oldman пишет:
Блу непреодолимо тянет в ядро?
нее...первая NTClose, это всё скилахайде воркает...
Блу для антидебага RTDSC стал юзать, после ВинМайна под дебагером без эмуля тактов далеко не убежишь.

Плюс в секцию кода заносят имя файла = ид лицухи .

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

В общем теперь понятно для чего VirtualQuery и вся шняга с снапшотами и тп.
На чём палят или чего не хватает пока не разобрался, но если мы стартуем из под дебагера, в стартовом коде нет обращений к VirtualAlloc, и соответственно страниц и указателей на них в теле тоже нет. Отсюда нет данных о проце, но и дальше по накатанной глубокая борода по коду.
В общем и это решаемо... С родного оеп тож бодренько лЁтает, даже эмуль не нужен, и родной клиент Origin покатит.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: oldman

Bronco пишет:
В общем теперь понятно для чего VirtualQuery и вся шняга с снапшотами и тп.
На чём палят или чего не хватает пока не разобрался, но если мы стартуем из под дебагера, в стартовом коде
нет обращений к VirtualAlloc, и соответственно страниц и указателей на них в теле тоже нет.

Респект, я только щаз в этом убедился. Это то, с чем я боролся в думе с самого начала, запуская его из под дебагера, получал С0000005 тут:



Запускал оригинальный не патченый дум, запускал дамп который на одну сессию, запускал дамп с уже встроенным стартовым кодом - если я запускал всё это из под дебагера я попадал в это место и получал экспешн, rax всегда был 0x2ea.

Как только я сделал дамп со стартовым кодом с атача, и запустил его с атача, я снова попал на это место,
только в этот раз RAX=23502EA -- указатель на динамический cpuid номер раз

| Сообщение посчитали полезным:

oldman пишет:
запустил его с атача
ага....это "обход" , это не взлом..
----------
Немного итогов за 2 недели со дня синема..
1.Куча непристойных предложений.
2.Один пользователь поверил, и вроде получилось.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Ну что, дорогие телезрители, вот Дум и стартанул с дампа со стартовым кодом! Да, пока на том же самом компе, и
вместо эмуля стима - стим от вокси, но! Дамп стартует после перезагрузки компа, и в стиме от Вокси я удалил
dbdata

Осталась "фигня" - доделать стартовый код, чтобы дамп стартовал на других компах

| Сообщение посчитали полезным: v00doo, Bronco, Johnatalbi, 4kusNick, kouljaboy, Styx

"Мы не молчим, мы работаем"

Написан мощный стартовый код с блекджеком логгером, который пишет в файл каждое срабатывание
диспатчера на предмет эмуляции цпуид. Сэмулированы все виды цпуид, которые Блу смог предложить

И немного статистики, парни, чтобы вы оценили масштабы беспредела Блу, который он вытворяет пока
грузится игра с денувой , пока вы неспешно лазеете по меню, пока загружаются сейвы:

Судя по логгеру, от момента запуска Дума до собственно игрового процесса, инструкция CPUID вызывается
около 7500 раз - основную массу из них вызывают из вм.

За этот же период времени происходит порядка 10000 ( десять тысяч) проверок CRC в памяти различных
участков виртуальных машин. Это число примерно, так как были учтены только те процедуры подсчета CRC
,которые мне были интересны , их порядка 13 штук, на самом деле таких процедур конечо больше.
CRC считается тоже виртуальными машинами.

Вот и посчитайте, сколько лишних инструкций с учетом обфускации выполняет ваш проц на благо защиты, и
можете начинать счета за электричество Блу выставлять


Воопщем, cpuid побеждено полностью. Остаются некоторые пока нерешенные вопросы с привязкой к среде, к
ОС... Работа продолжается

| Сообщение посчитали полезным: Bronco, 6oTBa, zNob, v00doo, Johnatalbi