Ранг: 373.6 (мудрец) Статус: Участник "Тибериумный реверсинг"
Создано: 28 марта 2012 14:24 · Поправил: 21 июля 2016 20:02 ELF_7719116 New! Цитата · Личное сообщение · #1
Voksi arrested in Bulgaria
В связи со стремительно развивающимися событиями, данный топик будет реформирован. Перечень тем, на которые ведется обсуждение:
░▒▓▓-SecuROM 7/8 common (VM research; disk-check bypass attack; find OEP & dumping; cumulative attack...) ░▒▓▓-- SPR I (profiles; updates) ░▒▓▓-Requests for generation SecuROM PA Unlock code (SecuROM PA Online-activation) WOW! Only on EXELAB.RU ░▒▓▓-Denuvo ("surface" questions) ░▒▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
SPR I - Fight against the virtual machines (VM) of all SecuROM 7-8 versions (Подробности в 20, 23 посте.)
80_PA - SecuROM (PA) Online-Activation keygen! Holy shit! [/url] the list of programs (games), which can now be activated using 80_PA: https://pastebin.com/VTj6GyUpor--> pastebin primary link <--
>>>>>>>>(!) Send me more games with SecuROM PA (!)>>>>>>>>>>>>
Denuvo Profiler (DProfiler)
------------ 1.04.2012 Собственно я не сказал самого главного. SecuRom_Profiler 7 v1.0(SPR I) - часть большого зеленого пирога, под названием "ТИБЕРИУМНЫЙ РЕВЕРСИНГ" (статья опубликована в 159 номере ][. А позже, ещё одна итоговая статья - 199 ][), включает в себя собственно статью в журнале, ПОЛНУЮ техническую статью, материалы по SecuROM 7.33.0017, исходники X-кода и видео. Технический вариант статьи с приложениями можно брать отсюда: ▒Статья ▒Видео ▒Видео 2 (Продолжение) ▒Видео 3 (Окончательный разгром) ▒Видео 4 (В погоне за взломом DENUVO) Имеет косвенное отношение к статье: ▒Видео косвенное
Message for the companies(etc) using this protection: we can buy SecuROM/DENUVO SDK & sources. Сontact me according to the personal message. Сonfidentiality is guaranteed!!! The bought files will be used for private research!
▓▓ { Атач доступен только для участников форума } - Sony DADC SecuROM vulnerability.zip { Атач доступен только для участников форума } - PATENT DENUVO.pdf (притащил v00doo)
▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓ 80_PA update 1.3.3 (REVIEW + DENUVO leak content activation ). Official links (mirrors): https://mega.nz/#!mXoTEJhb!2H1QoEP8dGZ82IZD63jJ9Y6rSZbwcZkNF3VD80pkn7M (или --> 80_PA link <--) http://rgho.st/7YzS28SYQ (или --> 80_PA link #2 <--)
▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓ DENUVO Leak content обращайтесь в личку - скину.
▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓ Denuvo Profiler (DProfiler) - test version 0.3 "INSPIRE" https://mega.nz/#!DLwExKya!kCyFXw1roY3MkFaTO56LJAd-amc2yXWVerV2ic38bgs (или --> DProfiler link <--) http://rgho.st/8kJMQ7BQL (или --> DProfiler link #2 <--)
▒▓▒▓ Unravel_dump_SCY (клубок) for research http://rgho.st/7x7b9RGtM
Создано: 26 июля 2015 22:50 New! Цитата · Личное сообщение · #2
Haoose-GP пишет: Battlefield Hardline - не взломали. И там только 64-битный EXE Посоны, а Вы не находите странным тот факт, что Denuvo защищает только x64 стандартные pe-файло! Совпадение?? Не думаю! Kindly пишет: ее отозвали, это порт со всеми вытекающими, поэтому и не стали ломать эту "сырую альфу". Там, вроде как, денуво улучшенный будет. Наверное из-за этого тоже. Haoose-GP пишет: Итальянская группа У этих макаронников есть свой оф. сайт??
Создано: 26 июля 2015 23:10 New! Цитата · Личное сообщение · #3
hello пишет: Там, вроде как, денуво улучшенный будет. Наверное из-за этого тоже. Возможно, но в стиме юзеры "забраковали" игру с первых дней, как раз в стиме вступила в силу новая система возврата денег в течении 30 дней с момента приобретения игры, в случае, даже если она не понравилась. этой возможностью начали все активно пользоваться, ибо игра оказалась сырой сборкой отнюдь не из-за триггеров денуво.
Создано: 29 июля 2015 02:24 New! Цитата · Личное сообщение · #6
Народ скажите а действительно эта денуво, ломает жеский диск в особенности SSD, раньше часто форсились эти слухи, хотелось бы узнать насколько они правдивы?
Ранг: 373.6 (мудрец) Статус: Участник "Тибериумный реверсинг"
Создано: 29 июля 2015 20:22 · Поправил: 1 августа 2015 13:12 ELF_7719116 New! Цитата · Личное сообщение · #8
fargod пишет: Народ скажите а действительно эта денуво, ломает жеский диск в особенности SSD, раньше часто форсились эти слухи, хотелось бы узнать насколько они правдивы? Gideon Vi пишет: Кроме анонимов Не скажу точно насчет файло и ломания SSD. Скорее всего, это домыслы анонимов, которые юзали FileMon. Вот за оперативную память, однозначно утверждаю, что денувко гадит там и жрет её: Страничек размером с 0x1000h (или 4096 dec) байт около 1169 штук! 1169 * 4096 = 4 788 224 байт оперативы, отдаете денувке (в случае Lords of Fallen). При том, что там находится всего чуть-чуть его инструкций и куча мусора. Аналогично так VM в SecuROM 7 версии гадит поступает. Под эту фигню отведена функа (практически без обфускации, чистая), которую можно найти по инициализации структуры:
Code:
...
000000014D98C3D6|MOVBYTEPTRSS:[RSP+168],6E|
000000014D98C3DE|MOVBYTEPTRSS:[RSP+169],34|
000000014D98C3E6|MOVBYTEPTRSS:[RSP+16A],C6 |
000000014D98C3EE|MOVBYTEPTRSS:[RSP+16B],2D|
000000014D98C3F6|MOVBYTEPTRSS:[RSP+16C],A6 |
000000014D98C3FE|MOVBYTEPTRSS:[RSP+16D],AB |
000000014D98C406|MOVBYTEPTRSS:[RSP+16E],A6 |
000000014D98C40E|MOVBYTEPTRSS:[RSP+16F],7A|
000000014D98C416|MOVBYTEPTRSS:[RSP+170],2C|
000000014D98C41E|MOVBYTEPTRSS:[RSP+171],3C|
000000014D98C426|MOVBYTEPTRSS:[RSP+172],A2 |
000000014D98C42E|MOVBYTEPTRSS:[RSP+173],18|
000000014D98C436|MOVBYTEPTRSS:[RSP+174],87|
000000014D98C43E|MOVBYTEPTRSS:[RSP+175],68|
000000014D98C446|MOVBYTEPTRSS:[RSP+176],97|
000000014D98C44E|MOVBYTEPTRSS:[RSP+177],FD |
000000014D98C456|MOVBYTEPTRSS:[RSP+178],F3 |
000000014D98C45E|MOVBYTEPTRSS:[RSP+C10],0|
...
Кстати, v00dooыч, ты говорил, что можно до OEP дойти с CPY: у меня на SteamAPI_GetHSteamPipe всё заканчивается - процесс после завершается. CPY в EAX там 0x07777 ложит. Там что-то еще крек-команды пропускают, потому что по отзывам в нете, кряк не у всех срабатывает. Возможно, это с ивентом связано, который в отдельно треде взводится.
Кстати, с NtSetInformationThread есть забавный сплойт (вроде, я его раскрыл) - у мну, после переустановки винды 7 и обновления, при постановке программного бряка на первую инструкцию этой нативной апи, денувко в RCX сует -1, вместо -2 и анти-дебаг не срабатывает - сразу 00000000C0000004 выплевывается, лол!
| Сообщение посчитали полезным: Gideon Vi, v00doo, fargod, Haoose-GP, zNob
Ранг: 373.6 (мудрец) Статус: Участник "Тибериумный реверсинг"
Создано: 4 августа 2015 17:24 · Поправил: 4 августа 2015 20:29 ELF_7719116 New! Цитата · Личное сообщение · #9
ВСЕМ! ВСЕМ! ВСЕМ! (to ALL! ALL! ALL!)
Кто скачал кряки 3DM, CPY, но они у них не работают! В защите идет проверка существования ветки реестра HKEY_CURRENT_USER\Software\Valve. Если у Вас не установлен Steam - игра будет тупо завершатся (ExitProcess). Решение проблемы: Установите Steam (--> ОТСЮДА <--)
или
Запхните в реестре файл reg следующего содержания:
На всякий пожарный, reg для создания LM ветки HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Valve (несмотря на то, что предварительно она не проверяется - запрос идет к HKEY_CURRENT_USER, что выше)
Еще раз, общие вопросы, которые могу возникнуть при работе с таблэтками:
Code:
Q: Скачал крякнутый steam_api64.dll (и иже с ним), заменил у себя, запускаю, процесс висит нескольк осекунд и завершается
A: Просто установи Steam-клиент с офф. сайта или запхни в HKEY_CURRENT_USER\Software\Valve данные, путем создания файла. В последлнем случае, не забудь потом снести их, когда соберешся устанавливать нормальный Steam-клиент
Q: Установил Steam (запхнул в реестр WIndows указанные данные, что вверху), игра выдает ошибку "offline...зайдите в Steam для первого раза"
A: НА ДАННОМ ЭТАПЕ - в этом случае, все вопросы к 3DM, CPY и тем кто выпускал кряк
Данную информацию я разместил в заглавном топике.
{ Атач доступен только для участников форума } - valve_steam_root_registry_CU_LM.7z
| Сообщение посчитали полезным: zNob, Gideon Vi, Haoose-GP
Ранг: 373.6 (мудрец) Статус: Участник "Тибериумный реверсинг"
Создано: 14 августа 2015 18:07 New! Цитата · Личное сообщение · #11
Haoose-GP пишет: Battlefield.Hardline-CPY Небось аналогично эмуляцией стима, а не полной распаковкой. DICE защищали Hardline специально от читаков, а не от пиратов.
Создано: 15 августа 2015 03:38 New! Цитата · Личное сообщение · #14
Gideon Vi пишет: О живучести ssd можно сделать вывод на основании недавнего теста наработки на отказ. Она - большая. Если оперативы мало на компе то юзается файл подкачки на диске, а дениво нужно как минимум 4 гига оперативы то у людей меньше чем с 8 гигами будут проблемы с SSD
Ранг: 373.6 (мудрец) Статус: Участник "Тибериумный реверсинг"
Создано: 15 августа 2015 20:50 New! Цитата · Личное сообщение · #17
ClockMan пишет: дениво нужно как минимум 4 гига оперативы то у людей меньше чем с 8 гигами будут проблемы с SSD Почему именно нужно минимум 4 гига оперативы??
ELF_7719116 пишет: Страничек размером с 0x1000h (или 4096 dec) байт около 1169 штук! 1169 * 4096 = 4 788 224 байт оперативы, отдаете денувке (в случае Lords of Fallen). + говнокод виртуальной машины с её лентами + статические функи = в памяти это всё метров на 150 потянет
Чес не совсем понимаю, что Вы на ссд накинулись. Вот сколько говнокода приходится CPU переваривать, ЭТО РЕАЛЬНО ВИДНО! На одних JMP'ах сумашедшее количество тактов теряется, не говоря уже о том, что для x64 архитектуры CPU должен иметь здоровенный кэш - чтобы перемолоть такое количество инструкций, нужна уйма времени!
Вот, кстати, окресности OEP - таки да, денувко научился её неплохо гадить. Неприятно, хотя...те, кто видел стандартную WinCrtMain (или как там её) у Microsoft VC++ x64 комплилера, догадаются, что загаженная OEP - не так страшна (ведь можно восстановить с другого источника).
В одном маленьком кусочке кода уже столько безусловных переходов - Ваш CPU просто офигеет БЕЗ DENUVO игрушки работали заметно быстрее-и не потому, что файлы на диске долго читаются, а ПОТОМУ ЧТО ПРОЦЕССОР ЗАДОЛБАЛСЯ ПРЫГАТЬ ПО ПЕРЕХОДАМ И ВИРТУАЛИЗИРОВАТЬ КОД В VM.
hello пишет: Денуву настолько нереально анпакнуть?? 1. Восстановить OEP - выдирать с другого источника и искать концы, куда денуво скидывает управление после WinCrtMain 2. Эмульнуть странички размером с 0x1000h (или 4096 dec) байт около 1169 штук! - но тут вроде бы понятно всё, за эту функу я сказал выше 3. Выпиливать VM - благо, по большей части виртуализируются входы в WinAPI и проверки их условий. 4. Разбираться с триггерами - грабли по ходу пьесы 5. Наверно есть что-то еще, чего я не знаю...
Создано: 15 августа 2015 21:14 New! Цитата · Личное сообщение · #18
ELF_7719116 пишет: 5. Наверно есть что-то еще, чего я не знаю... Вангую, что таки да. Разбирать любой протектор, я считаю, нужно начинать не с отладки каких-то отдельно взятых файлов, а с отладки именно самого протектора - необходимо смотреть как он работает с PE файлом. Потраченное время сокращается в разы, и все ранее тайное, становится явным Но тут уж естественно необходим сам прот.
Ранг: 373.6 (мудрец) Статус: Участник "Тибериумный реверсинг"
Создано: 1 сентября 2015 07:37 New! Цитата · Личное сообщение · #21
Haoose-GP пишет: Mad Max Свежак с Денувой Опять x64! Рекомендуемые требования - 8 Гб оперативы... С ума сошли штоле. А есть где мин. комплект для запуска взять?
Создано: 1 сентября 2015 23:56 New! Цитата · Личное сообщение · #25
hello Такая проблема на лицензии. В стиме многие пишут о ней. Пока обошли с помощью включения "бета-версии" в настройках стима. Имеется в виду бета-версия игры.
Создано: 2 сентября 2015 15:25 New! Цитата · Личное сообщение · #26
hello пишет: Лицензия?? Процесс висит пару сек и завершается?? Может steam виноват?! Я же написал в чём проблема. При нативной поддержке инструкций SSE3 они умудрились не догадаться, что далеко не у всех пользователей в стиме есть современные процессоры с поддержкой инструкций SSE4.1. Благо, патч уже выпустили. Такая же ситуация была и с релизом Metro Redux.
Что касается убийства Денувкой SSD, то просто не нужно выносить файл подкачки на SSD. Рядом с бинарниками она ничего не записывает. По крайне мере у меня на MGS.
Создано: 2 сентября 2015 16:09 New! Цитата · Личное сообщение · #27
У кого есть бабки лицензии с денуво покупать, то и на новый ssd найдутся. Отключать файлы подкачки, кэши и прочая хрень для увеличения срока службы ssd - это имхо тупизм, иначе нафига ssd покупать - чтоб искусственно затормозить систему или чтоб экономить его срок службы? сидите тогда на hdd.
Создано: 2 сентября 2015 18:55 · Поправил: 2 сентября 2015 18:55 DeZoMoR4iN New! Цитата · Личное сообщение · #28
Kindly пишет: Отключать файлы подкачки, кэши и прочая хрень для увеличения срока службы ssd - это имхо тупизм Полностью согласен. Да чего там говорить, если даже Мелкософты рекомендуют по возможности переносить файл подкачки на SSD. Масса ноутбуков продают с одним SSD. Другое дело, что в идеале для этого нужно иметь выделенный SSD или же делать бэкапы хотя бы раз в месяц, если система и файл подкачки на одном диске. Если же вы любите устанавливать репаки от Васи, которые активно используют всю память включая виртуальную во время установки и насилуют диск операциями ввода-вывода различных препроцессоров, то лучше скинуть своп на какой-нибудь "Раптор". Для большинства сценариев рядового пользователя хватит файла подкачки, который расположен на SSD.
Создано: 3 сентября 2015 12:24 · Поправил: 3 сентября 2015 13:07 Qbik New! Цитата · Личное сообщение · #30
Haoose-GP пишет: Вышел бета-патч на Бетмана (пока только на обменниках, в стиме уже откатили обратно). И тоже с обновленной Денувой. Нет в патче Денувы, там только стимовский стаб.
EP Denuvo
METAL GEAR SOLID V: THE PHANTOM PAIN - Тырк Mad Max - Тырк
EP SteamStub
Batman Arkham Knight (1.2.0.36) Beta Patch 2 - Тырк Топаем в call 1491083A0 и видим следущее - [1] Чуть ниже можно увидеть крипт стаба который расшифровывает DRMP.dll - это xTea + custom xor key - [2]
Создано: 3 сентября 2015 13:13 · Поправил: 3 сентября 2015 13:19 DeZoMoR4iN New! Цитата · Личное сообщение · #31
Qbik пишет: Нет в патче Денувы, там только стимовский стаб.
EP SteamStub Batman Arkham Knight (1.2.0.36) Beta Patch 2
Рекомендую выбросить на помойку ваш Protection ID. Сигнатура Steam Stub'а ещё ни о чём не говорит. С каких это пор у нас в Steam Stub'е секции с кодом виртуальной машины? Ответ прост - Denuvo под Steam Stub'ом.