В связи со стремительно развивающимися событиями, данный топик будет реформирован. Перечень тем, на которые ведется обсуждение:

░▒▓▓-SecuROM 7/8 common (VM research; disk-check bypass attack; find OEP & dumping; cumulative attack...)
░▒▓▓-- SPR I (profiles; updates)
░▒▓▓-Requests for generation SecuROM PA Unlock code (SecuROM PA Online-activation) WOW! Only on EXELAB.RU
░▒▓▓-Denuvo ("surface" questions)
░▒▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

SPR I - Борьба с виртуальными машинами(VM) всех версий SecuROM 7-8 (Подробности в 20, 23 посте.)

-----
1.04.2012
Собственно я не сказал самого главного. SecuRom_Profiler 7 v1.0(SPR I) - часть большого зеленого пирога, под названием "ТИБЕРИУМНЫЙ РЕВЕРСИНГ" (статья опубликована в 159 номере ][), включает в себя собственно статью в журнале, ПОЛНУЮ техническую статью, материалы по SecuROM 7.33.0017, исходники X-кода и видео. Технический вариант статьи с приложениями можно брать отсюда:
▒Статья
▒Видео
▒Видео 2 (Продолжение)
Имеет косвенное отношение к статье:
▒Видео косвенное

tags: SecuROM crack, VM, секуром взлом; запросы на генерацию SecuROM PA
НЕ ЗАБЫВАЕМ, ЧТО СЮДА ПРИНИМАЕТСЯ ЛЮБАЯ ИНТЕРЕСНАЯ ИНФОРМАЦИЯ ПО 7 и 8 ВЕРСИЯМ!

Message for the companies(etc) using this protection: we can buy SecuROM SDK, paul.dll sources. Сontact me according to the personal message. Сonfidentiality is guaranteed!!! The bought files will be used for private research!

░░░░░░░░░░
См. также:
diff_trace

{ Атач доступен только для участников форума } - SPR_I_12.zip

| Сообщение посчитали полезным: MarcElBichon, audiofeel, zNob, zzzombie1989, obfuskator, ClockMan, Nightshade, DimitarSerg, FrenFolio, Gideon Vi, yanus0, Vovan666, MasterSoft, slick, hlmadip, Dart Raiden, Bronco, BAHEK, SReg, [Nomad], verdizela, yagello, OnLyOnE, daFix, VodoleY, gena-m, m0bscene, ff0h, zeppe1in, int, antipod, huckfuck, kioresk, aRiX, 4kusNick, Ara, d0wn, Smon, cypherpunk

ELF_7719116
Ахренеть!!! хотя признаюсь, за онлайн-активацию еще тогда начал догадываться. Кстати сонидац уже в курсе?
чем дебажите денуво х64?
Почему только cpuid, может там есть привязка к серийнику жесткого диска и тп?!
А у вонючего старфорса какой-то другой метод привязки к машине? Попробую провести аналогию. Если судить по приведенному коду, расшифровка в денуве осуществляется одной инструкцией dec rdx, но на её месте мы ведь должны были как раз увидеть ?

Nightshade пишет:
раньше вроде были хуки createfile. И если файл из списка идем в контейнер секурома.
в случае с denuvo, эти ублюдки звонят, что их защита является анти-тампер, т.е. навесная броня с элементами антидебага и виртуальной машины, соответственно. Насчет CreateFIle... надо копать глубже, там вроде самое более менее интересное начинается, когда защита стимовские длл'ки начинает вызывать.
hello пишет:
Почему только cpuid, может там есть привязка к серийнику жесткого диска и тп?!
Серийный номер харда, видеокарты, процессора - это SecuROM PA онлайн-активация. cpuid это как раз привязка к машине для VM. Плюс есть подозрения на GetCurrentThread и GetThreadId.
hello пишет:
А у вонючего старфорса какой-то другой метод привязки к машине? Попробую провести аналогию. Если судить по приведенному коду, расшифровка в денуве осуществляется одной инструкцией dec rdx, но на её месте мы ведь должны были как раз увидеть
Я ж к тому и клоню, что сей факт должен настораживать сразу! VM старфорса шифрует собирает индивидуальную инфу типа cpuid, GetThreadId... шифрует и рассовывает по углам, а потом проверяет в процессе. Впрочем, тут немного лукавлю: в последних вариантах SecuROM PA(концентрация этого словосочетания уже начинает зашкаливать), где активацию НИЗЯ поправить традиционным способом-запхнуть в EAX единичку после вызова drm_pagui_doit, работает как раз этот принцип - получил, зашифровал, запхнул, проверил через 100км кода...но об этом поговорим попозже
кстати, dec rdx и хранилище №1.5 не в единичном экземпляре представлены.
hello пишет:
чем дебажите денуво х64?
тащемта, мэйн проблемс. а отнюдь не мифическая "крутость" SecuROM 9 защиты. есть --> Mr.eXoDia <--, но, он откровенно не доставляет-"проскоки" при трассировке и обработка исключений...

к слову, вышел --> Protection ID.667 <--, который различает дерьнуво от остального.

А ида чё - не дебажит?

ELF_7719116
Не поделитесь ли ассемблерным листингом проверки unlock code, интересно покопаться.

nort91 пишет:
Не поделитесь ли ассемблерным листингом
ассемблерный листинг есть в защищенном файле-я уже писал, что там ничего сложного нет. Если умеете пользоваться точками останова на чтение/запись, большую часть цепочки(первые 4 функи очень просто выводятся и поддаются на анализ в Hex-Rays) выведете сразу + надо различать на глаз крипто-алгоритмы. Подскажу только, что их там две штуки(ПО СУЩЕСТВУ, ИХ ТАМ ДВА) придется встретить. Есть еще, правда, MD5 - но там он шибко главной роли не играет.
зы: У меня Сишные листинги проверки unlock code...и частично - генерилка request unlock code.

ELF_7719116У вас какая версия файла, в старых версиях где paul от EA GAMES и шкурка WinUI можно спокойно подменить константу и тогда лицензия будет считаться валидной, а вот в paul от SecuROM не прокатывает.

nort91 пишет:
У вас какая версия файла, в старых версиях где paul от EA GAMES и шкурка WinUI можно спокойно подменить константу и тогда лицензия будет считаться валидной, а вот в paul от SecuROM не прокатывает.
это я и так знаю! И даже знаю БОЛЬШЕ, как и в последних версиях (от секурома) обойтись без валидного unlock code(несмотря даже на что, есть прототип кейгена), прострелом в обход логики защиты-там всего на два действия больше надо выполнить, писал же выше:
ELF_7719116 пишет:
в последних вариантах SecuROM PA(концентрация этого словосочетания уже начинает зашкаливать), где активацию НИЗЯ поправить традиционным способом-запхнуть в EAX единичку после вызова drm_pagui_doit, работает как раз этот принцип - получил, зашифровал, запхнул, проверил через 100км кода...но об этом поговорим попозже
а еще об этом Nightshade писал --> на страницу раньше <--

ELF_7719116 пишет:
как и в последних версиях (от секурома) обойтись без валидного unlock code(несмотря даже на что, есть прототип кейгена), прострелом в обход логики защиты

Насчет денувы у меня проблемка: ведь Вы сказали, что должен быть заход в стимовскую библиотеку. Я ставлю бряк на секцию кода этой динам. библиотеки и игрушка падает с ошибкой 0xC0000005-бага отладчика мр.екзодии или что-то другое? Если не ставить - процесс просто завершается.

hello пишет:
...должен быть заход в стимовскую библиотеку
ФРАЗА меня зацепила, значится так: аналогично по сюжету "Операция Ы", два часа ночи, сторож охраняет склад, к сторожу сзади подходит хакер и говорит "бабуль! как пройти в стимовскую библиотеку?" тут сторож поворачивается и...оказывается это Гейб Ньюэлл ! Он говорит: "Йо-хо-хо, а Вы уже пришли" короче, я уже курнул эльфийской травы перед Новым Годом
hello пишет:
библиотеки и игрушка падает с ошибкой 0xC0000005-бага отладчика мр.екзодии или что-то другое? Если не ставить - процесс просто завершается.
По существу, вопрос удачный... Йо-хо-хо! Archer, я знаю, что ты тут Помнишь, я за биошок 1 и 2 тебе писал(просил наборы ключей повыдирать, как в BoneCraft), где точки останова не срабатывали?! Там не было стандартной проверки аппараток - UD2 с SEH, в котором контекст в вм перебирался. ТАМ БЫЛ:

я понял это, когда денуво начал разбирать этот трик типа идет с макс. опциями защиты. правда, для меня это немного фейспалм, т.к. в отличии от ud2 его обломать вообще very easy уж (ud2 с уровнем "easy"). hello у тебя два, одинаковых по сути, варианта:
1. Обломать непосредственно NtSetInformationThread - в RCX вместо -2 запхнуть 0x100500
2. Запатчить GetCurrentThread - в RAX пихать 0x0100500
И самое смешное с этим анти-дебагом NtSetInformationThread - в некоторых случаях (на компе, который на работе, обнаружил) Denuvo контекст криво верстает и нативная функа отрабатывает с ошибкой. Т.е. защита сама себе обламывает анти-дебаг. ахахаха! а еще там вроде IsDebuggerPresent нет(или используется в "фоновом" режиме). налейте разработчикам стакан рома за мой счет, пожалуйста!

Хочу еще обратить внимание, что в Denuvo нашел новые для меня:

нахер он использует - хер знает! Притом, что они недокументированные.

а еще помню, когда сам Арчи написал мне за денуво (до этого еще человек ~12 захламили заденувили мне на год вперед всю личку. А-А-А-А-А!!!), типа "возьми и взломай - будешь первым и тд", я написал ему "нет! пока не собираюсь. SecuROM PA и все такое...". И буквально пару дней спустя (или на следующий что ли) 3dm заявляют о взломе. Используя дедуктивный метод, я пришел к выводу: Арчи нанял китайцев из 3dm(их там много наверно), по 2 юаня каждому, те быстро впряглись и разобрали Denuvo по запчастям

Все фигня, лучше бы split second взломали

Знакомый мем, даже знаю откуда

ELF_7719116

ntStatus = RtlQueryProcessDebugInformation(GetCurrentProcessId(),
PDI_HEAPS|PDI_HEAP_BLOCKS,
buffer);

PDEBUG_HEAP_INFORMATION heapInfo = PDEBUG_HEAP_INFORMATION(PULONG(buffer->HeapInformation) + 1);

if (heapInfo->Flags == 0x50000062)
MessageBoxA(NULL,”Debugged”,”Warning”,MB_OK);
else
MessageBoxA(NULL,”Not Debugged”,”Warning”,MB_OK);

redlord пишет:
if (heapInfo->Flags == 0x50000062)
MessageBoxA(NULL,”Debugged”,”Warning”,MB_OK);
else
MessageBoxA(NULL,”Not Debugged”,”Warning”,MB_OK);
что с дебаггером, что без дебаггера - никаких сообщений, никаких эмоций со стороны защиты.

Gideon Vi пишет:
Все фигня, лучше бы split second взломали
Речь идет о Split Second: Velocity?! там секуром???
ARCHANGEL пишет:
А ида чё - не дебажит?
попробую в следующем году
random пишет:
Знакомый мем, даже знаю откуда
мем про арчера?

random
кстати, а денувой засирают игры только со steam/origin? FIFA15/LoF/DA:I - origin/steam/steam, так ведь? сомневаюсь я, что как отдельный anti-tamper он на что-то реально способен

ELF_7719116 пишет:
Речь идет о Split Second: Velocity?! там секуром???

Да. Нет Это старый мем с nodvd.net, которым принято было встречать новый кряк к любой игре, кроме split second.

Добавлено спустя 1 минуту
ELF_7719116 пишет:
кстати, а денувой засирают игры только со steam/origin?

это системы дистрибуции, притом разобранные. Основная защита все же в denuvo.

Добавлено спустя 1 минуту
random пишет:
Знакомый мем, даже знаю откуда

По секуру есть Unpacking Tools от многих команд в привате