eXeLab
eXeL@B DVD 2017 !

Видеокурс программиста и крэкера 5D 2O17
(актуальность: ноябрь 2O17)
Свежие инструменты, новые видеоуроки!

  • 400+ видеоуроков
  • 800 инструментов
  • 100+ свежих книг и статей

УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: cevile, v00doo (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Crack SecuROM & DENUVO
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 39 . 40 . >>
Посл.ответ Сообщение
ELF_7719116

Ранг: 336.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 28 марта 2012 14:24 · Поправил: 21 июля 2016 20:02 ELF_7719116 New!
· Личное сообщение · #1

Последние релизы крякнутых игрушек:
--> PREY RUTR <--
--> Sniper GW 3 RUTR <--
--> NieR:Automata RUTR <--
--> Tekken 7 RUTR<--
--> Dishonored 2 RUTR<--
--> ADR1FT RUTOR <--
--> Planet Coaster RUTR <--
--> ABZU RUTR <--
--> Warhammer 40,000: Dawn of War III RUTR <--
--> Constructor RUTR <--
--> Bulletstorm: Full Clip Edition RUTR <--
--> Total War: WARHAMMER RUTR <--
--> Dead Rising 4 RUTR <--
--> Moto Racer 4 RUTR <--
--> Sniper Elite 4 RUTR <--
--> FIFA 17 RUTR <--
--> Titanfall 2 RUTR<--
*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!**!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!**!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!**!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*!*

В связи со стремительно развивающимися событиями, данный топик будет реформирован. Перечень тем, на которые ведется обсуждение:

░▒▓▓-SecuROM 7/8 common (VM research; disk-check bypass attack; find OEP & dumping; cumulative attack...)
░▒▓▓-- SPR I (profiles; updates)
░▒▓▓-Requests for generation SecuROM PA Unlock code (SecuROM PA Online-activation) WOW! Only on EXELAB.RU
░▒▓▓-Denuvo ("surface" questions)
░▒▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

SPR I - Fight against the virtual machines (VM) of all SecuROM 7-8 versions (Подробности в 20, 23 посте.)


80_PA - SecuROM (PA) Online-Activation keygen! Holy shit!
[/url]
the list of programs (games), which can now be activated using 80_PA:
https://pastebin.com/eEmAVB1P or --> pastebin primary link <--

>>>>>>>> (!) Send me more games with SecuROM PA (!) >>>>>>>>>>>>

Denuvo Profiler (DProfiler)


------------
1.04.2012
Собственно я не сказал самого главного. SecuRom_Profiler 7 v1.0(SPR I) - часть большого зеленого пирога, под названием "ТИБЕРИУМНЫЙ РЕВЕРСИНГ" (статья опубликована в 159 номере ][. А позже, ещё одна итоговая статья - 199 ][), включает в себя собственно статью в журнале, ПОЛНУЮ техническую статью, материалы по SecuROM 7.33.0017, исходники X-кода и видео. Технический вариант статьи с приложениями можно брать отсюда:
Статья
Видео
Видео 2 (Продолжение)
Видео 3 (Окончательный разгром)
Видео 4 (В погоне за взломом DENUVO)
Имеет косвенное отношение к статье:
Видео косвенное

tags: SecuROM crack, VM, секуром взлом; кейген для SecuROM PA, 80_PA

Message for the companies(etc) using this protection: we can buy SecuROM/DENUVO SDK & sources. Сontact me according to the personal message. Сonfidentiality is guaranteed!!! The bought files will be used for private research!

░░░░░░░░░░
См. также:
diff_trace

▓▓
{ Атач доступен только для участников форума } - Sony DADC SecuROM vulnerability.zip
{ Атач доступен только для участников форума } - PATENT DENUVO.pdf (притащил v00doo)


▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
80_PA update 1.3.2 (Tellate edition + DENUVO leak content activation ). Official links (mirrors):
https://mega.nz/#!MBMG0SBC!ukRlkevdnaLII8qfmDcHT8bnnDD_qj-9i1R2lJtRrIs (или --> 80_PA link <--)
http://rgho.st/88PsZGHfT (или --> 80_PA link #2 <--)

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
DENUVO Leak content

Insider_prot (full variant, 444 Mb)
https://openload.co/f/PmOTfFFzflQ/Insider_prot.zip (--> Insider_prot link <--)
preview - http://i.imgur.com/3T0AIKK.png

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
Denuvo Profiler (DProfiler) - test version (0.2)
https://mega.nz/#!IEdFEBhK!G1JWZFzP4U5iAS5s4RaWxyX1QOV_5DFlu2-ReSew_WQ (или --> DProfiler link <--)
http://rgho.st/7MnHQf9NG (или --> DProfiler link #2 <--)

▒▓▒▓
Unravel_dump_SCY (клубок) for research
http://rgho.st/7x7b9RGtM

| Сообщение посчитали полезным: red0x, rootkid, kurorolucifer, DirtyHarry, MarcElBichon, HandMill, random, denfil777, TrueLies, Flippy1801, KOTwasya, r3n5m388, RmK-FreE, audiofeel, zNob, chegevara, v00doo, DenCoder, nick7, Haoose-GP, serilo, arnix, Qbik, alx30721, s2003r, DICI BF, Kindly, PavelDAS, WildGoblin, zzzombie1989, VanHelsing, ==DJ==[ZLO], omeh2003, asm-jaime, mushr00m, warezhunter_, dnv83, Groul, kassane, ReloadUGunz, tRuNKator, Cherbet, obfuskator, ClockMan, Nightshade, DimitarSerg, FrenFolio, Gideon Vi, yanus0, Vovan666, MasterSoft, slick, hlmadip, Dart Raiden, Bronco, BAHEK, SReg, [Nomad], verdizela, yagello, OnLyOnE, daFix, VodoleY, gena-m, m0bscene, ff0h, zeppe1in, antipod, huckfuck, kioresk, aRiX, 4kusNick, Ara, d0wn, Smon, cypherpunk, HAOSov, MacTep, aire1, s0cpy

Dart Raiden

Ранг: 62.8 (постоянный)
Статус: Участник

Создано: 28 марта 2012 18:30 · Поправил: Dart Raiden New!
· Личное сообщение · #2

Немножко побрюзжу - "вылаживают" только --> лажу <--. А такие утилиты - выкладывают ;)
ARCHANGEL


Ранг: 631.8 (!)
Статус: Участник
ALIEN Hack Team

Создано: 28 марта 2012 22:35 New!
· Личное сообщение · #3

ELF_7719116
Саплай из старкрафта! Конечно, нужно, выкладывай. Если вдруг не нужно - удалять с харда ненужное все умеют.
OnLyOnE


Ранг: 463.1 (мудрец)
Статус: Участник
Only One!

Создано: 28 марта 2012 23:51 New!
· Личное сообщение · #4

ELF_7719116 пишет:
нужно ли оно кому нибудь

Безусловно!
И вообще ты молодец хорошая работа.
Bronco


Ранг: 192.6 (ветеран)
Статус: Участник
Advisor

Создано: 29 марта 2012 02:44 New!
· Личное сообщение · #5

"Островки" - прикольно, но ёмко.... мну нравитЦо
drone

Ранг: 85.4 (постоянный)
Статус: Участник

Создано: 30 марта 2012 12:12 New!
· Личное сообщение · #6

может не надо русский юзать в gui?

| Сообщение посчитали полезным: DimitarSerg

Vovan666

Ранг: 617.3 (!)
Статус: Участник

Создано: 30 марта 2012 12:47 New!
· Личное сообщение · #7

drone
То есть когда китайцы на своем софт вылаживают это нормально, а на родном уже что-то не то.
Русский язык это лучший анти-чайна протектор.

| Сообщение посчитали полезным: albatros, obfuskator, ClockMan, gena-m, HandMill, SReg, ELF_7719116

OnLyOnE


Ранг: 463.1 (мудрец)
Статус: Участник
Only One!

Создано: 30 марта 2012 16:12 New!
· Личное сообщение · #8

drone пишет:
может не надо русский юзать в gui?

Учи русский язык...
ELF_7719116

Ранг: 336.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 30 марта 2012 19:49 New!
· Личное сообщение · #9

OnLyOnE
Спасибо!

Я рад, что удалось добиться таких впечатляющих результатов. В свою очередь, хочу поблагодарить всех тех, кто пишет статьи для новичков в одноименном разделе - начинал я с них, и ведь чему-то научился ...
VodoleY

Ранг: 479.4 (мудрец)
Статус: Участник

Создано: 30 марта 2012 20:17 New!
· Личное сообщение · #10

ELF_7719116 умница что пдф сделал... так держать
ELF_7719116

Ранг: 336.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 8 апреля 2012 20:08 New!
· Личное сообщение · #11

Кто в курсе, какая версия SecuROM'а последняя на данный момент(или последняя игрушка, вышедшая с ним)?
зы. Я знаю, что на оф. сайте есть список запротекченых игрушек - по датам выхода разбираться долго.
Kindly


Ранг: 212.7 (наставник)
Статус: Участник
RBC

Создано: 8 апреля 2012 21:08 New!
· Личное сообщение · #12

ELF_7719116 - --> Link <-- тут смотреть по последним релизам пробовал?
random

Ранг: 7.9 (гость)
Статус: Участник

Создано: 9 апреля 2012 16:51 New!
· Личное сообщение · #13

ELF_7719116
8.03.0012 последний билд
ELF_7719116

Ранг: 336.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 9 апреля 2012 17:49 New!
· Личное сообщение · #14

random
8.03.0012 в Dirt 3. По линку от Kindly, последняя с SecuROM вышла Men of War Condemned Heroes - наверняка билду сделали немного "INC EAX".
int


Статус: Пришелец

Создано: 9 апреля 2012 18:06 New!
#15

Эра открытой волны атак на протекторы началась)

ELF_7719116
Так держать, молодца!
ELF_7719116

Ранг: 336.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 26 апреля 2012 18:54 New!
· Личное сообщение · #16

Собственно для меня интересная мат задачка, которая реализована ... сами знаете где(смотреть название темы)
Кратко:
Два противоположных по логике алгоритма, представленными в виде двух процедур с двумя аргументами, которые отрабатывают друг за дружкой: во втором заносим любое число (например, 1), первый-ссылка на массив ключей(offset 00B93AFC, например), которые копируются в стек VM; на выходе в EAX получается что-то типа закодированного числа(0790A442), которое было передано во втором аргументе. Если это закодированное число(0790A442) скормить в второй аргумент алгоритма обратного хода, то на выходе в EAX мы получаем ту же 1, при условии, что массив ключей был одинаков(offset 00B93AFC).
Грубая техническая реализация: Число делится на две половинки лог операцией AND, одна из них "магически" увеличивается и последним XOR получается, что надо
[EBP+0C] - 2й аргумент сей процедуры (1й - указатель на один из массивов ключей, но я их уже вшил в код)
Вопрос №1 - Как это называется?
Вопрос №2 - ИМХО, этот код можно записать гораздо короче ?(прикол в четности/нечетности)

Прямой ход
Code:
  1. MOV EAX, A353A53A
  2. AND EAX,DWORD PTR SS:[EBP+0C]
  3. MOV ECX, A353A53A
  4. AND ECX,DWORD PTR SS:[EBP+0C]
  5. ADD ECX, 4BFD7FCD
  6. IMUL ECX, 29FDDBF3
  7. XOR EAX,ECX
  8. MOV ECX, A353A53A
  9. AND ECX,DWORD PTR SS:[EBP+0C]
  10. ADD ECX, E1B3EE35
  11. IMUL ECX, 0742F06E
  12. XOR EAX,ECX
  13. AND EAX, 5CAC5AC5
  14. XOR EAX,DWORD PTR SS:[EBP+0C]
  15. MOV ECX, A353A53A
  16. AND ECX,DWORD PTR SS:[EBP+0C]
  17. MOV EDX, A353A53A
  18. AND EDX,DWORD PTR SS:[EBP+0C]
  19. ADD EDX, 4BFD7FCD
  20. IMUL EDX, 29FDDBF3
  21. XOR ECX,EDX
  22. MOV EDX, A353A53A
  23. AND EDX,DWORD PTR SS:[EBP+0C]
  24. ADD EDX, E1B3EE35
  25. IMUL EDX, 0742F06E
  26. XOR ECX,EDX
  27. AND ECX, 5CAC5AC5
  28. XOR ECX,DWORD PTR SS:[EBP+0C]
  29. AND ECX, 5CAC5AC5
  30. MOV EDX, A353A53A
  31. AND EDX,DWORD PTR SS:[EBP+0C]
  32. MOV ESI, A353A53A
  33. AND ESI,DWORD PTR SS:[EBP+0C]
  34. ADD ESI, 4BFD7FCD
  35. IMUL ESI, 29FDDBF3
  36. XOR EDX,ESI
  37. MOV ESI, A353A53A
  38. AND ESI,DWORD PTR SS:[EBP+0C]
  39. ADD ESI, E1B3EE35
  40. IMUL ESI, 0742F06E
  41. XOR EDX,ESI
  42. AND EDX, 5CAC5AC5
  43. XOR EDX,DWORD PTR SS:[EBP+0C]
  44. AND EDX, 5CAC5AC5
  45. ADD EDX, 2371E3A6
  46. IMUL EDX, 6ECEF435
  47. XOR ECX,EDX
  48. MOV EDX, A353A53A
  49. AND EDX,DWORD PTR SS:[EBP+0C]
  50. MOV ESI, A353A53A
  51. AND ESI,DWORD PTR SS:[EBP+0C]
  52. ADD ESI, 4BFD7FCD
  53. IMUL ESI, 29FDDBF3
  54. XOR EDX,ESI
  55. MOV ESI, A353A53A
  56. AND ESI,DWORD PTR SS:[EBP+0C]
  57. ADD ESI, E1B3EE35
  58. IMUL ESI, 0742F06E
  59. XOR EDX,ESI
  60. AND EDX, 5CAC5AC5
  61. XOR EDX,DWORD PTR SS:[EBP+0C]
  62. AND EDX, 5CAC5AC5
  63. ADD EDX, CC45E78D
  64. IMUL EDX, 32E6B04C
  65. XOR ECX,EDX
  66. AND ECX, A353A53A
  67. XOR EAX,ECX


Обратный ход
Code:
  1. MOV EAX, DWORD PTR SS:[EBP+0C]
  2. AND EAX, 5CAC5AC5
  3. MOV ECX, EAX
  4. ADD ECX, 2371E3A6
  5. IMUL ECX, 6ECEF435
  6. XOR EAX,ECX
  7. MOV ECX,DWORD PTR SS:[EBP+0C]
  8. AND ECX, 5CAC5AC5
  9. ADD ECX, CC45E78D
  10. IMUL ECX, 32E6B04C
  11. XOR EAX,ECX
  12. AND EAX, A353A53A
  13. XOR EAX,DWORD PTR SS:[EBP+0C]
  14. MOV ECX,DWORD PTR SS:[EBP+0C]
  15. AND ECX, 5CAC5AC5
  16. MOV EDX,DWORD PTR SS:[EBP+0C]
  17. AND EDX, 5CAC5AC5
  18. ADD EDX, 2371E3A6
  19. IMUL EDX, 6ECEF435
  20. XOR ECX,EDX
  21. MOV EDX,DWORD PTR SS:[EBP+0C]
  22. AND EDX, 5CAC5AC5
  23. ADD EDX, CC45E78D
  24. IMUL EDX, 32E6B04C
  25. XOR ECX,EDX
  26. AND ECX, A353A53A
  27. XOR ECX,DWORD PTR SS:[EBP+0C]
  28. AND ECX, A353A53A
  29. MOV EDX,DWORD PTR SS:[EBP+0C]
  30. AND EDX, 5CAC5AC5
  31. MOV ESI,DWORD PTR SS:[EBP+0C]
  32. AND ESI, 5CAC5AC5
  33. ADD ESI, 2371E3A6
  34. IMUL ESI, 6ECEF435
  35. XOR EDX,ESI
  36. MOV ESI,DWORD PTR SS:[EBP+0C]
  37. AND ESI, 5CAC5AC5
  38. ADD ESI, CC45E78D
  39. IMUL ESI, 32E6B04C
  40. XOR EDX,ESI
  41. AND EDX, A353A53A
  42. XOR EDX,DWORD PTR SS:[EBP+0C]
  43. AND EDX, A353A53A
  44. ADD EDX, 4BFD7FCD
  45. IMUL EDX, 29FDDBF3
  46. XOR ECX,EDX
  47. MOV EDX,DWORD PTR SS:[EBP+0C]
  48. AND EDX, 5CAC5AC5
  49. MOV ESI,DWORD PTR SS:[EBP+0C]
  50. AND ESI, 5CAC5AC5
  51. ADD ESI, 2371E3A6
  52. IMUL ESI, 6ECEF435
  53. XOR EDX,ESI
  54. MOV ESI,DWORD PTR SS:[EBP+0C]
  55. AND ESI, 5CAC5AC5
  56. ADD ESI, CC45E78D
  57. IMUL ESI, 32E6B04C
  58. XOR EDX,ESI
  59. AND EDX, A353A53A
  60. XOR EDX,DWORD PTR SS:[EBP+0C]
  61. AND EDX, A353A53A
  62. ADD EDX, E1B3EE35
  63. IMUL EDX, 0742F06E
  64. XOR ECX,EDX
  65. AND ECX, 5CAC5AC5
  66. XOR EAX,ECX
mak


Ранг: 603.8 (!)
Статус: Участник
CyberMonk

Создано: 27 апреля 2012 01:02 New!
· Личное сообщение · #17

Код полностью симметричный, как в асм командах так и в последовательности замены следования констант, две разные идут в конце каждой интерации или наоборот, 5CAC5AC5 и A353A53A также симетричны, в других константах также видна симметричная связь. Имхо код можно было бы свернуть в одну процедуру добавив пару асм команд симетричной перестановки. Но так как константы дворд, нужна внешняя таблица, тогда ссылки можно симметрично менять. А далее циклы в уже собранной процедуре можно свернуть ...

Я бы использовал внешнюю таблицу, так проще, можно натуральный вариант тоже приложить?!

Может это простой метод выборки делением ... вариант с таблицей бы увидеть ..
ELF_7719116

Ранг: 336.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 27 апреля 2012 09:05 · Поправил: ELF_7719116 New!
· Личное сообщение · #18

mak
В cnc3game.dat
Target adresses:001520C0A & 00152253D
Для этих функций VM выпилена - все в нормальном виде. Внешних таблиц на данный момент там две найденных. Приведенная выше относится к циклу, который на инкремент работает.
mak


Ранг: 603.8 (!)
Статус: Участник
CyberMonk

Создано: 27 апреля 2012 20:53 New!
· Личное сообщение · #19

Посмотрел, срипал по новой в отдельный файл, сделал прямую симметрию быстро, она не рабочая, хотя можно было понять по комбинации констант в три и два .. мне кажется это не прямая симметрия, а двойная или тройная, не знаю как ее называют, думал возможно собрать в одну процедуру добавив RotateTable, пока не увенчалось успехом, но как назвать не знаю точно. Надо в книжках посмотреть ..

Может кому интересно, приложил вырезку асм кода, скомпиленный ехе и еще пару текстовиков просто для удобного анализа. Здесь нет процедур проб перестановки симметрии, только оптимизированные константы и удобное описание.

--> Link <--

Сам посмотрю еще чуть позже ...
ELF_7719116

Ранг: 336.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 28 апреля 2012 18:33 New!
· Личное сообщение · #20


Вообще моя теория складывается примерно так: делается AND на две половинки, первая идет для результирующего XOR, вторая сначала AND с обратной маской, затем умножение в общем случае на одну спец. константу и что остается - результирующий XOR и все это дело разбавлено. Тут явно важна четность числа, потому что, когда делается AND 5CAC5AC5-сначала число НЕчетное, а после результат A353A53A - четный. Второй сборник ключей - первые половинки в 10 раз больше.
mak


Ранг: 603.8 (!)
Статус: Участник
CyberMonk

Создано: 29 апреля 2012 16:46 New!
· Личное сообщение · #21

В голову ничего не приходит, похоже на Четные и нечетные функции и на криптографию на базе четных и нечетных чисел, может использоваться для построения Сбокс или построения вектора инициализации сбокса, которые динамически считаются. Есть разные модификации таких методов, альфабетик енкриптион как пример, в CAST используют динамическую постройку по типу четных и нечетных вариаций. Можно попробовать записать как макросы в крипт декрипт функции, как в Каст. Также может быть использовано просто как генерация коэффициента. Вырезал только эту часть, но судя по коду это часть большего алгоритма. Интересно что подается в два аргумента во входе на уровень выше этих двух операций.

Мысли интересные - The standards also introduce the idea of odd crypto- periods, and even crypto-periods, switching from odd to even (and back) with every key change. - В принципе это таже идея смены ключей по типу СБОКС.

Почитав немного по этой теме, в нескольких местах сказано что РотэйтТабле для таких крипто не проходит. Значит такой метод тоже не подойдет. Попробую в макросы обернуть.

Внизу приложен пример каст и док по четннечетнкрипто

{ Атач доступен только для участников форума } - Odd-Even Based Cryptography_CAST128.rar

| Сообщение посчитали полезным: ELF_7719116

ELF_7719116

Ранг: 336.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 30 апреля 2012 19:54 New!
· Личное сообщение · #22

"odd crypto- periods" - в этом определенно, что-то есть. Тем более, что документ датируется 2007 г. - дата выхода CnC3:TW с target version. Где еще можно качественную инфо по алгоритмам криптования почитать? Что такое СБОКС?
DimitarSerg


Ранг: 205.6 (наставник)
Статус: Участник
radical

Создано: 30 апреля 2012 23:11 New!
· Личное сообщение · #23

Брюс Шнайдер - Прикладная криптография (2 издание), конкретней - глава 14.10 (Теория проектирования блочного шифра -> проектирование s-блоков)
ELF_7719116

Ранг: 336.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 1 мая 2012 19:07 New!
· Личное сообщение · #24

Прочитал за SafeDisk 4.6.
Я не понял - фирмы разные(Macrovision / Sony DADC), по факту друг у друга код передирают ?! 5CAC5AC5... SDAPI... Более того, до этого сравнивал - прыжки через пролог WinAPI, процедура показа сообщений, трюки с пару десятками прыжков, короче совпадений в коде слишком много.
mak


Ранг: 603.8 (!)
Статус: Участник
CyberMonk

Создано: 3 мая 2012 03:23 New!
· Личное сообщение · #25

ELF_7719116

В первом посте уже писал, что может быть выборкой по таблице. В СэйфДиск как раз описывается этот вариант, строго по этому коду нужно смотреть передаваемые параметры и процедуры выше стоящие. Не было времени, я посмотрел только на пару уровней выше, где не увидел таблиц, а только передачу через стек, дальнейший рип выдал слишком большой код, поэтому оставил.

В целом это только вариации которые базируются на odd and even ... дальше уже можно определить по выше стоящему коду. Если там используют 5CAC5AC5 как маску, не факт что код срипан. Может они использовали одинаковые методы обращения к таблицам и скрестили это с криптографией. Не столь важно, можно оставить на потом, всегда так делаю.

Свернутый в макросы по делению регистровому, регистры можно свернуть думаю, частично они изменены, но размер от этого не меньше и хвостов немного есть

--> Link <--
ELF_7719116

Ранг: 336.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 3 мая 2012 18:04 New!
· Личное сообщение · #26

mak
Один из фактов "рипаного кода". Вот мусорный код из cnc3game.dat(SecuROM 7.33.0017)
Code:
  1. CPU Disasm
  2. Address   Hex dump          Command                                  Comments
  3. 0054A992  |.  50            PUSH EAX
  4. 0054A993  |.  B8 CCCDCECF   MOV EAX,CFCECDCC
  5. 0054A998  |.  B8 98A95400   MOV EAX,0054A998
  6. 0054A99D  |.  B8 01000000   MOV EAX,1
  7. 0054A9A2  |.  B8 00000000   MOV EAX,0
  8. 0054A9A7  |.  B8 CCCDCECF   MOV EAX,CFCECDCC
  9. 0054A9AC  |.  58            POP EAX

В статье про SafeDisk строка "Примечание: Также просматривая, эти отладочные обработчики, можно встретить ещё один парадокс:" и после идет картинка - в стиле "найдите одно отличие". В общем случае еще можно привести еще штуки три точно.
С алгоритмом "odd and even" в принципе все ясно. Единственное повторюсь для следующих поколений(писал выше)-вполне вероятно, что можно выдрать алгоритмы из тибериума ведь в сумме их результат нулевой, а отрабатывают они в подавляющем большинстве случаев друг за другом.
ELF_7719116

Ранг: 336.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 29 июля 2012 19:06 New!
· Личное сообщение · #27

SecuROM 8
На днях подогнали сабж в какой-то убогой игрушке "Храбрая сердцем" (Точная версия не определена, предположения колеблются в районе 8.04-05). Вероятно, это какая-то упрощенная версия сабжа или все так плохо.
Вообщем результаты поверхностного осмотра пациента: Неприятные... Конструктивно все тот-же SecuROM 7.35 Несколько видоизменилась проверка диска в виртуальном приводе. dyn_data_[ver].dll больше не создается-очевидно все пихают внутрь. Перекрывающего кода много поубирали между значимыми инструкциями - ударным трудом оптимизируют по скорости исполнения. VM в навесной броне нету. Короче расстроен, пишу письмо Блауковичу.
DillerInc


Ранг: 283.6 (наставник)
Статус: Участник
Author of GeTaOEP

Создано: 29 июля 2012 21:30 New!
· Личное сообщение · #28

По поводу "мусорного кода", приведённого выше, мне вспоминается такой момент.
Была игрушка - Pariah - там было много файлов, защищённых safedisc advanced. Среди этих файлов также были и библиотеки. Отладочный код обработчиков SDAPI был затёрт.
Так вот дело в том, что команда MOV EAX, 0054A998 требует релокации, а если восстанавливать обработчики путём вписывания их кода обратно в дамп, то релокация библиотеки испортит код по адресу 0x0054A999. Приходилось править релоки, т.е. удалять все подобные.

| Сообщение посчитали полезным: ELF_7719116

ELF_7719116

Ранг: 336.0 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 30 июля 2012 17:23 New!
· Личное сообщение · #29

В данном случае защищен один .EXE, релоков там не наблюдается. Но за dll безусловно верно сказано!
Oleg74

Ранг: 1.5 (гость)
Статус: Участник

Создано: 10 декабря 2012 19:30 New!
· Личное сообщение · #30

Извиняюсь, что поднял старую тему, однако вверху написано, что вопросы по защите SecuROM можно писать сюда. Скажите пожалуйста, есть ли надежный статический алгоритм 100% для определения версии защиты. ProtectionID 6.4.0 не видит последние версии. Я читал, что можно определить по файлу dyndata_версия_защиты.dll, но как сказано в посте выше - в последних версиях эту фитчу убрали и секции .securom вроде тоже теперь нету.
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 39 . 40 . >>
 eXeL@B —› Протекторы —› Crack SecuROM & DENUVO

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS