eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 3 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: rthax (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Crack SecuROM & DENUVO
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 44 . 45 . >>
Посл.ответ Сообщение

Ранг: 363.2 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 28 марта 2012 14:24 · Поправил: 21 июля 2016 20:02 ELF_7719116 New!
Цитата · Личное сообщение · #1

Voksi arrested in Bulgaria


В связи со стремительно развивающимися событиями, данный топик будет реформирован. Перечень тем, на которые ведется обсуждение:

░▒▓▓-SecuROM 7/8 common (VM research; disk-check bypass attack; find OEP & dumping; cumulative attack...)
░▒▓▓-- SPR I (profiles; updates)
░▒▓▓-Requests for generation SecuROM PA Unlock code (SecuROM PA Online-activation) WOW! Only on EXELAB.RU
░▒▓▓-Denuvo ("surface" questions)
░▒▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓

SPR I - Fight against the virtual machines (VM) of all SecuROM 7-8 versions (Подробности в 20, 23 посте.)


80_PA - SecuROM (PA) Online-Activation keygen! Holy shit!
[/url]
the list of programs (games), which can now be activated using 80_PA:
https://pastebin.com/VTj6GyUp or --> pastebin primary link <--

>>>>>>>> (!) Send me more games with SecuROM PA (!) >>>>>>>>>>>>

Denuvo Profiler (DProfiler)


------------
1.04.2012
Собственно я не сказал самого главного. SecuRom_Profiler 7 v1.0(SPR I) - часть большого зеленого пирога, под названием "ТИБЕРИУМНЫЙ РЕВЕРСИНГ" (статья опубликована в 159 номере ][. А позже, ещё одна итоговая статья - 199 ][), включает в себя собственно статью в журнале, ПОЛНУЮ техническую статью, материалы по SecuROM 7.33.0017, исходники X-кода и видео. Технический вариант статьи с приложениями можно брать отсюда:
Статья
Видео
Видео 2 (Продолжение)
Видео 3 (Окончательный разгром)
Видео 4 (В погоне за взломом DENUVO)
Имеет косвенное отношение к статье:
Видео косвенное

tags: SecuROM crack, VM, секуром взлом; кейген для SecuROM PA, 80_PA

Message for the companies(etc) using this protection: we can buy SecuROM/DENUVO SDK & sources. Сontact me according to the personal message. Сonfidentiality is guaranteed!!! The bought files will be used for private research!

░░░░░░░░░░
См. также:
diff_trace

▓▓
{ Атач доступен только для участников форума } - Sony DADC SecuROM vulnerability.zip
{ Атач доступен только для участников форума } - PATENT DENUVO.pdf (притащил v00doo)


▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
80_PA update 1.3.3 (REVIEW + DENUVO leak content activation ). Official links (mirrors):
https://mega.nz/#!mXoTEJhb!2H1QoEP8dGZ82IZD63jJ9Y6rSZbwcZkNF3VD80pkn7M (или --> 80_PA link <--)
http://rgho.st/7YzS28SYQ (или --> 80_PA link #2 <--)

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
DENUVO Leak content
обращайтесь в личку - скину.

▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓▒▓
Denuvo Profiler (DProfiler) - test version 0.3 "INSPIRE"
https://mega.nz/#!DLwExKya!kCyFXw1roY3MkFaTO56LJAd-amc2yXWVerV2ic38bgs (или --> DProfiler link <--)
http://rgho.st/8kJMQ7BQL (или --> DProfiler link #2 <--)

▒▓▒▓
Unravel_dump_SCY (клубок) for research
http://rgho.st/7x7b9RGtM

| Сообщение посчитали полезным: yanus0, obfuskator, Vovan666, MasterSoft, slick, hlmadip, ClockMan, Nightshade, Dart Raiden, Bronco, BAHEK, SReg, [Nomad], DimitarSerg, verdizela, yagello, OnLyOnE, FrenFolio, daFix, VodoleY, gena-m, m0bscene, Gideon Vi, ff0h, zeppe1in, antipod, huckfuck, kioresk, aRiX, 4kusNick, Ara, d0wn, Smon, audiofeel, zNob, cypherpunk, zzzombie1989, MarcElBichon, v00doo, DenCoder, nick7, Haoose-GP, arnix, Qbik, serilo, s2003r, DICI BF, Kindly, PavelDAS, HandMill, VanHelsing, random, TrueLies, warezhunter_, denfil777, alx30721, omeh2003, asm-jaime, WildGoblin, mushr00m, Flippy1801, KOTwasya, r3n5m388, chegevara, Groul, dnv83, kassane, ==DJ==[ZLO], red0x, HAOSov, rootkid, DirtyHarry, MacTep, kurorolucifer, s0cpy, aire1, ReloadUGunz, tRuNKator, Cherbet, RmK-FreE, Pringell, IHateInventNicknames, go2crck, mak, Dimosz, Creckerhack



Ранг: 60.4 (постоянный)
Статус: Участник

Создано: 3 сентября 2015 13:52 · Поправил: 3 сентября 2015 13:56 Haoose-GP New!
Цитата · Личное сообщение · #2

Соглашусь с DeZoMoR4iN.
Рекомендую выбросить на помойку ваш Protection ID
А при чем тут Protection ID? У него скрины с Ольки.

Но все таки, Qbik, если вы так уверены, вышлите в личку (если тут постить нельзя) кряк для этого патча - если он заработает (игра запустится) - я соглашусь с вами =) Все просто. А если же вы не сможете сделать работающий патч - наверное тогда вы согласитесь с нами, что там Denuvo )

Ранг: 5.0 (гость)
Статус: Участник

Создано: 3 сентября 2015 14:22 · Поправил: 3 сентября 2015 14:28 DeZoMoR4iN New!
Цитата · Личное сообщение · #3

Haoose-GP пишет:
А при чем тут Protection ID? У него скрины с Ольки.

Во-первых, это x64dbg Во-вторых, предполагаю, что товарищ пропустил исполняемый файл через Protection ID и побежал в отладчик, поэтому и упомянул эту тулзу. Сигнатурный поиск - это конечно круто и модно, но нужно ручками всегда подстраховываться. А вообще достаточно было взглянуть на структуру исполняемого файла и далеко не бегать.

Ранг: 74.8 (постоянный)
Статус: Участник

Создано: 3 сентября 2015 14:44 · Поправил: 3 сентября 2015 15:01 v00doo New!
Цитата · Личное сообщение · #4

DeZoMoR4iN пишет:
Во-первых, это x64dbg Во-вторых, предполагаю, что товарищ пропустил исполняемый файл через Protection ID и побежал в отладчик, поэтому и упомянул эту тулзу.

Соглашусь со всем, понять, что там стим стаб можно и без сигнатурного поиска, просто глянув импорт, а под стим стабом - денуво, у бетса она была и остается, а то иначе бы уже давно содрали стим стаб и подкинули эмуль апи стима и прекрасно бы играли.
DeZoMoR4iN пишет:
Рекомендую выбросить на помойку ваш Protection ID

А вот тут сразу как-то радикально. Protection ID - это очень хороший анализатор, очень редко ошибется, другое дело, что это всего лишь приятное дополнение и тут применять его к шифрованному куску для поиска денувы не самый правильный вариант, да и пока не было крупного апдейта с добавлением сигнатур денувы, мелкий был.

Ранг: 11.2 (новичок)
Статус: Участник

Создано: 3 сентября 2015 15:35 · Поправил: 3 сентября 2015 15:36 Qbik New!
Цитата · Личное сообщение · #5

DeZoMoR4iN пишет:
предполагаю, что товарищ пропустил исполняемый файл через Protection ID и побежал в отладчик, поэтому и упомянул эту тулзу.

С роду не использовал. А так вы правы что под стабом - хренуво. Погулял по коду, выплюнула меня от сюда на EP Denuvo (0000000144108728) сюда... А я так надеялся что ее там нет...эх

Ранг: 363.2 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 6 сентября 2015 19:19 New!
Цитата · Личное сообщение · #6

Дамы и господа!
У меня для вас ХОРОШАЯ, но в то же время - ПЛОХАЯ НОВОСТЬ!
DENUVO есть, по крайней мере, одна достаточно серьезная уязвимость! Брешь в Вашей электронной безопасности.
Я сразу предупреждаю всех и вся: SSD это ерунда! А вот если за DENUVO возьмутся вирусописатели - facepalm'ами Вы не напасетесь.

ИТАК. В двух словах Вы, наверняка, в курсе, что в любой файл может быть помещено тело вируса. Можно это сделать статически, можно динамически. Единственаня проблема и самая палевная часть сего мероприятия - передача управления на вредоносный код. Понятно, что нужно ставить JMP'ы в теле кода или юзать CreateRemoteThread, в случае динамики. Казалось бы, в загаженном денувьем ексешнике это невозможно. ДА ВОТ И НЕТ! DENUVO сам предоставлят такую шикарную возможность!!! Можно исполнять любой код в файле, используя функцию самой защиты. Ньюансы остаются только в записи кода, но и тут DENUVO даёт всяческие поблажки.
Перехожу на технический язык Передача управления на OEP в денувке происходит непривычно в отличие от SecuROM, StarForce и тд. Как оказалось, виртуальная машина не при делах (ожидаемо было, что она нас кинет на OEP). Мы имеем более сложную, открытую структуру, которая выполняет роль дополнительной обвертки (wrapper) между системным загрузчиком и защищенным файлом (его OEP), со своими задачами - если поставить точку останова на OEP, то в стеке мы увидем башенку из двух адресов возврата к денувке, И ТОЛЬКО ПОТОМ ссылки в нативные длл'ки...
Так вот в DENUVO_OEP_Wrapper есть функа, которая исполняет TLS_Callbaks защищенного приложения (это пока гипотеза, но я склоняюсь к мнению, что это именно TLS каллебки). Выглядет она так (адреса опускаю специально):
Code:
  1. SUB RSP,48
  2. LEA RAX,QWORD PTR DS:[<HMODULE>]
  3. MOV QWORD PTR SS:[RSP+30],RAX
  4. MOV RAX,QWORD PTR DS:[DENUVO.lpTLS_TABLE]
  5. MOV QWORD PTR SS:[RSP+28],RAX
  6. CMP QWORD PTR SS:[RSP+28],0
  7. JE batmanak.********* //if exist
  8. MOV RAX,QWORD PTR SS:[RSP+28]
  9. MOV QWORD PTR SS:[RSP+20],RAX
  10. MOV RAX,QWORD PTR SS:[RSP+20]
  11. CMP QWORD PTR DS:[RAX],0 //TLS_ADDRESS != NULL
  12. JE batmanak.*********
  13. MOV RAX,QWORD PTR SS:[RSP+20]
  14. MOV RAX,QWORD PTR DS:[RAX]
  15. MOV QWORD PTR SS:[RSP+38],RAX
  16. XOR R8D,R8D
  17. MOV EDX,1
  18. MOV RCX,QWORD PTR SS:[RSP+30]
  19. CALL QWORD PTR SS:[RSP+38] //EXECUTE!!!
  20. MOV RAX,QWORD PTR SS:[RSP+20]
  21. ADD RAX,8 //GET NEXT ADDRESS
  22. MOV QWORD PTR SS:[RSP+20],RAX
  23. JMP batmanak.*********
  24. MOV DWORD PTR DS:[DENUVO.TLS_Execute_Complete],1
  25. ADD RSP,48
  26. RET


По адресу DENUVO.lpTLS_TABLE можно спокойно забивать таблицу адресов в открытом виде. Он не проверяется никак. Таким образом, используя инструментарий денувы, можно прятать свой исполняемый код, не заботясь о его исполнении

МОЖЕТЕ РАСПРОСТРАНЯТЬ! Это важно!


Ранг: 60.4 (постоянный)
Статус: Участник

Создано: 7 сентября 2015 22:50 New!
Цитата · Личное сообщение · #7

ELF_7719116
Ты хочешь сказать что, если, к примеру, китайцы завтра выпустят кряк на MGSV, в котором будет измененный EXE-файл, и они захотят встроить в него вирус (в EXE-файл), то антивирусы его не запалят?

Ранг: 363.2 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 8 сентября 2015 07:29 New!
Цитата · Личное сообщение · #8

Haoose-GP
Такое вполне возможно!

Ранг: 39.0 (посетитель)
Статус: Участник

Создано: 8 сентября 2015 10:50 New!
Цитата · Личное сообщение · #9

ELF_7719116 пишет:
можно прятать свой исполняемый код, не заботясь о его исполнении

А зачем о нём заботится? Юзверь кряк по своей воле стартует. Гэйм овэр мэн, гэйм овэр. Где мина лежит, роли не играет.

Кто в курсе, Стим это пофиксил? Плюс прокси длл проблемы?
https://codeinsecurity.wordpress.com/2013/10/11/steam-code-execution-privilege-escalation-to-system/


Ранг: 60.4 (постоянный)
Статус: Участник

Создано: 8 сентября 2015 19:27 New!
Цитата · Личное сообщение · #10

Так. Китайцы выпустили наконец свой кряк. 1,3 Gb - кряк с патчем. (ну с обновлением игры т.е.) Для Metal Gear Solid V


Ранг: 256.3 (наставник)
Статус: Участник
Advisor

Создано: 9 сентября 2015 16:08 New!
Цитата · Личное сообщение · #11

чья работа на лукоморье?
судя по линкам на ляб, ноги у статейки по ходу с ляба растут.

Добавлено спустя 2 минуты
Haoose-GP пишет:
Китайцы выпустили наконец свой кряк. 1,3 Gb

да их по ходу пучит от радости за поднебесную, оттого и вмутили шнягу с uts+8.

Ранг: 5.0 (гость)
Статус: Участник

Создано: 9 сентября 2015 18:25 · Поправил: 9 сентября 2015 18:26 DeZoMoR4iN New!
Цитата · Личное сообщение · #12

Bronco пишет:
да их по ходу пучит от радости за поднебесную, оттого и вмутили шнягу с uts+8

Возможно, задумка стала таковой лишь благодаря обстоятельствам*.
____________________________________________________
*chinese skill



Ранг: 256.3 (наставник)
Статус: Участник
Advisor

Создано: 10 сентября 2015 11:53 New!
Цитата · Личное сообщение · #13

DeZoMoR4iN пишет:
благодаря обстоятельствам

каким таким обставам нужно быть чтобы привязываться к временной зоне?

Ранг: 363.2 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 12 сентября 2015 19:48 New!
Цитата · Личное сообщение · #14

//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\ DENUVO Anti-debug //\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\
опирается на GetCurrentProcessId

----------------- ntdll.<NtSetInformationThread> -----------------
вызывается отсюда в главном потоке:
Code:
  1. ntdll.dll[4DA80] | ".text":000000007742DA80 <NtSetInformationThread>
  2.  
  3. 000000014329FBA6 | 48 C7 84 24 18 0F 00 00  | MOV QWORD PTR SS:[RSP+F18],0            |
  4. 000000014329FBB2 | 48 C7 44 24 20 00 00 00  | MOV QWORD PTR SS:[RSP+20],0             |
  5. 000000014329FBBB | 41 B9 08 00 00 00        | MOV R9D,8                               |
  6. 000000014329FBC1 | 4C 8D 84 24 18 0F 00 00  | LEA R8,QWORD PTR SS:[RSP+F18]           |
  7. 000000014329FBC9 | BA 07 00 00 00           | MOV EDX,7                               |
  8. 000000014329FBCE | 48 8B 44 24 58           | MOV RAX,QWORD PTR SS:[RSP+58]           |
  9. 000000014329FBD3 | 48 8B 48 58              | MOV RCX,QWORD PTR DS:[RAX+58]           |
  10. 000000014329FBD7 | 48 8B 44 24 58           | MOV RAX,QWORD PTR SS:[RSP+58]           |
  11. 000000014329FBDC | FF 50 18                 | CALL QWORD PTR DS:[RAX+18]              | ntdll.NtSetInformationThread
  12. 000000014329FBDF | 85 C0                    | TEST EAX,EAX                            |

Сплойт был опубликован уже давно ([t]https://exelab.ru/f/index.php?action=vthread&forum=13&topic=19719&page=3#8[/t) - программная точка останова на первой инструкции.

----------------- kernel32.SetThreadContext -----------------
Вызывается из VM несколько раз в главном потоке. Противодействует работе аппаратных точек останова. Для обламывания достаточно вернуть EAX = 1 (4 раза), т.е. заставить думать защиту - что всё в порядке. Иначе, править WInAPI нужно уже 6-8 раз.
По существу, это замена трику с SEH на инструкции UD2 в SecuROM с последующим вытаскиваем контекста.

----------------- ntdll.RtlQueryProcessDebugInformation и подобные ему -----------------
ОНИ ВООБЩЕ НЕ РАБОТАЮТ ДО СИХ ПОР! Ошибка в реализации?!


****************************************** DENUVO Anti-attach ******************************************
Древний баян ntdll.DbgUiRemoteBreakin с kernel32.ExitProcess на первой инструкции:
Code:
  1. 00000000774D4080 | FF 25 00 00 00 00        | JMP QWORD PTR DS:[<&RtlExitUserProcess> |
  2. 00000000774D4086 | 00 38                    | ADD BYTE PTR DS:[RAX],BH                |
  3. 00000000774D4088 | 40 77 00                 | JA ntdll.774D408B                       |
  4. 00000000774D408B | 00 00                    | ADD BYTE PTR DS:[RAX],AL                |
  5. 00000000774D408D | 00 8B 48 60 80 79        | ADD BYTE PTR DS:[RBX+79806048],CL       |
  6. 00000000774D4093 | 02 00                    | ADD AL,BYTE PTR DS:[RAX]                |
  7. 00000000774D4095 | 75 0A                    | JNZ ntdll.774D40A1                      |
  8. 00000000774D4097 | F6 04 25 D4 02 FE 7F 02  | TEST BYTE PTR DS:[7FFE02D4],2           |
  9. 00000000774D409F | 74 19                    | JE ntdll.774D40BA                       |
  10. 00000000774D40A1 | 65 48 8B 04 25 30 00 00  | MOV RAX,QWORD PTR GS:[30]               |
  11. 00000000774D40AA | F6 80 EE 17 00 00 20     | TEST BYTE PTR DS:[RAX+17EE],20          |
  12. 00000000774D40B1 | 75 07                    | JNZ ntdll.774D40BA                      |
  13. 00000000774D40B3 | E8 D8 8B F5 FF           | CALL <ntdll.DbgBreakPoint>              |
  14. 00000000774D40B8 | EB 00                    | JMP ntdll.774D40BA                      |
  15. 00000000774D40BA | 33 C9                    | XOR ECX,ECX                             |
  16. 00000000774D40BC | E8 6F F5 F4 FF           | CALL <ntdll.RtlExitUserThread>          |
  17. 00000000774D40C1 | CC                       | INT3                                    |

+ усиленный GUARD-ТРЕДОМ (Thread) с LowPriority, в котором крутится kerne32.VirtualProtect с PAGE_EXECUTE_READ.


//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\//\

У меня будет еще интересное наблюдение: в игре MadMax dll'ка 3dmgame.dll (от самих китайцев) содержит DENUVO виртуальную машину + доп. три секции для него.
3dm'ам слили DENUVO SDK???


{ Атач доступен только для участников форума } - 3dmgame_denuvko.7z


Ранг: 315.6 (мудрец)
Статус: Участник
born to be evil

Создано: 13 сентября 2015 13:52 · Поправил: 13 сентября 2015 22:12 ajax New!
Цитата · Личное сообщение · #15

ELF_7719116
это вмпротом кряк защитили типа

добавлено: тут без тулс видно, и версия не свежая. а почему возникла мысль, что денува там вообще есть? (или файл не тот приложен?)

Ранг: 363.2 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 13 сентября 2015 17:32 New!
Цитата · Личное сообщение · #16

Ну так что же, зачем же вы... Что же вы, меня ребёнком считаете? Скажите мне правду, это же собака, Ватсон, м?
Я вижу что пишет ProtectionID - но в данном случае, получается VM денувы и вмпротекта одинаковы чтоле. Скиньте файло, накрытый VMProtect x64. Уверен, что PID - ошибается!

Ранг: 363.2 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 19 сентября 2015 17:27 New!
Цитата · Личное сообщение · #17

(!) 3dmgame.dll (библиотека китайцев 3DM в MaxMax)- защищен VMProtect или DENUVO?!

Это очищенный первый (ведущий) примитив VM в 3dmgame.dll - по виду(структура + обфускация JMP) он аналогичен DENUVO VM, что и в MadMax.exe (LordsOfFallen, BATMAN: AK и тд)
Code:
  1. DENUVO 1st instance ~ v1.3
  2. // 2  аргумента //
  3. 000007FEF287E6E7 | PUSH 36119A41 //arg.2 - зашифрованная delta к указателю на ленту p-code
  4. 000007FEF285F1DC | PUSH 515ED7C3 //arg.1 - вероятно, указазатель адреса возврата (как в SecuROM 7).
  5.  
  6. //БЛОК сохранения x64 регистров CPU//
  7. 000007FEF288FEC4 | PUSH RCX
  8. 000007FEF288EAAD | PUSH R15
  9. 000007FEF2891291 | PUSH RDX
  10. 000007FEF288FA42 | PUSH R13
  11. 000007FEF288FB68 | PUSH R8
  12. 000007FEF288F383 | PUSH R9
  13. 000007FEF28915B4 | PUSH RBP
  14. 000007FEF288FF2B | PUSH R10
  15. 000007FEF288F90B | PUSH RDI
  16. 000007FEF288E435 | PUSH RSI
  17. 000007FEF288E3E0 | PUSH RSI
  18. 000007FEF2891205 | PUSHFQ
  19. 000007FEF288E22D | PUSH R14
  20. 000007FEF288FF32 | PUSH R12
  21. 000007FEF288EE10 | PUSH RBX
  22. 000007FEF288EE14 | PUSH RAX
  23. 000007FEF288EE38 | PUSH R11
  24.  
  25. // ?? //
  26. 000007FEF288EE4E | PUSH QWORD PTR DS:[7FEF289156E] //спц. QWORD - не влияет
  27.  
  28. // Блок получения HMODULE
  29. 000007FEF288EE60 | MOV RAX, [HMODULE] //reloc - dll.hmodule
  30. 000007FEF288EE75 | MOV R13,RAX
  31. 000007FEF4F7EE86 | PUSH RAX //в стек
  32.  
  33. //БЛОК получения 2го аргумента
  34. 000007FEF288EE8C | MOV ESI,DWORD PTR SS:[RSP+A0] //ESI - зашифрованная delta к ленте p-code
  35.  
  36. //БЛОК расшифровки delta
  37. !следующие три инструкции это одна - SUB ESI,B608B688
  38. 000007FEF288EEA2 | NOT ESI 
  39. 000007FEF288EEB3 | ADD ESI, B608B688
  40. 000007FEF288EECB | NOT ESI 
  41.  
  42. //Блок резервания стека и равняем хвост - зона обмена данными между примитивами(exchange zone)
  43. 000007FEF288EEE3 | SUB RSP,140 
  44. 000007FEF288EEF3 | AND RSP,FFFFFFFFFFFFFFF0
  45.  
  46. //Блок извлечения начального указателя на Хранилище №1.5 delta-смещений
  47. 000007FEF288EF16 | LEA R12,QWORD PTR DS:[1.5_delta_table_start_pointer]
  48.  
  49. //Блок восстановления delta указателя на ленту p-code + 0x100000000 + HMODULE
  50. 000007FEF288EF20 | MOV RAX,100000000
  51. 000007FEF288EF35 | ADD RSI,RAX 
  52. 000007FEF288EF49 | ADD RSI,QWORD PTR SS:[RBP] 
  53.  
  54. //Блок извлечения закодированного управляющего байта (control byte) из ленты 
  55. ! ОБРАТИТЕ ВНИМАНИЕ НА ДЕКРЕМЕНТ (обратный ход) - у SecuROM прямой ход
  56. 000007FEF288EF4F | MOV AL,BYTE PTR DS:[RSI-1] //непосредственно чтение ленты p-code
  57.  
  58. //Блок расшифровки управляющего байта
  59. !RBX - magic-byte для расшифровки. Блок операций с декодированием magic-byte
  60. 000007FEF288EF62 | ADD AL,BL
  61. 000007FEF288EF6A | ROL AL,1  
  62. 000007FEF288EF70 | XOR AL,E0 
  63. 000007FEF288EF75 | DEC AL
  64.  
  65. //БЛОК прыжка НА СЛЕДУЮЩИЙ ПРИМИТИВ
  66. 000007FEF288FDA1 | MOV RDX,QWORD PTR DS:[R12+RAX*8]
  67. 000007FEF288E58C | LEA RSI,QWORD PTR DS:[RSI-1] // ДЕКРЕМЕНТ  1.5_delta_table_start_pointer !
  68. 000007FEF2891366 | INC RDX //статический расшифровщик (у SecuROM был CPUID тут)
  69. 000007FEF289136A | ADD RDX,R13 //получаем RVA
  70. 000007FEF289136D | JMP RDX //на следующий примитив

----------------------------------------------------------------------------------------------------------------------------------------------------------------
а вот очищенный первый (ведущий) примитив VM в VMProtect 3.0.3:
Code:
  1. VMProtect 3.0.3 1st instance
  2. // 1 аргумент на ленту p-code
  3. PUSH C448567B
  4. CALL 11.vmp.7FEEE4D2EF2 - прямой вызов 1st_instance
  5.  
  6. //БЛОК сохранения x64 регистров CPU//
  7. PUSH RCX
  8. PUSH R8
  9. PUSH R9
  10. PUSH R13
  11. PUSH R10
  12. PUSH R11
  13. PUSH RBP
  14. PUSH RDX
  15. PUSH R14
  16. PUSH RAX
  17. PUSH RSI
  18. PUSH RDI
  19. PUSHFQ
  20. PUSH R12
  21. PUSH RBX
  22. PUSH R15
  23.  
  24. //Блок получения HMODULE
  25. MOV RAX, [HMODULE] //reloc - dll.hmodule
  26. PUSH RAX
  27.  
  28. //Блок получения 1го аргумента 
  29. MOV RSI,QWORD PTR SS:[RSP+90] //RSI - зашифрованная delta к ленте p-code
  30.  
  31. //БЛОК расшифровки delta ленты p-code
  32. DEC ESI
  33. NEG ESI
  34. ROL ESI,2
  35. XOR ESI,5FF7148F
  36. SUB ESI,30976D10
  37.  
  38. //Блок восстановления delta указателя на ленту p-code + 0x100000000 + HMODULE
  39. ADD RSI,RAX
  40. MOV RAX,100000000
  41. LEA RSI,QWORD PTR DS:[RSI+RAX]
  42.  
  43. //Блок резервания стека и равняем хвост - зона обмена данными между примитивами(exchange zone)
  44. SUB RSP,180
  45. AND RSP,FFFFFFFFFFFFFFF0
  46.  
  47. //Блок обратного преобразования в delta (??)
  48. MOV RAX,[HMODULE]
  49. SUB RBX,RAX
  50.  
  51. //БЛОК прыжка НА СЛЕДУЮЩИЙ ПРИМИТИВ
  52. LEA R12,QWORD PTR DS:[1.5_delta_table_start_pointer]
  53. SUB RSI,1 // ДЕКРЕМЕНТ  1.5_delta_table_start_pointer !
  54. MOVZX EAX,BYTE PTR DS:[RSI] //непосредственно чтение ленты p-code
  55. JMP QWORD PTR DS:[R12+RAX*8] //на следующий примитив...

*******************************************************************************************************************************************
Что мы имеем в итоге. А факты довольно ошеломительны и забавны:
1. Я склоняюсь к тому, что в случае с 3dmgame.dll ProtectionID ошибается - там DENUVO, а не VMProtect
2. Китайцы из 3dm получили в своё распоряжение DENUVO SDK. Но это настолько невероятно!
3. DENUVO VM == VMProtect 3.0.3 VM. Отличия чисто косметические! По существу, 1 vs 2 аргумента + magic-byte, в видимых мной границах, не даёт о себе знать. Очень неплохо получить обьяснения авторов VMProtect по этому поводу!

| Сообщение посчитали полезным: hello


Ранг: 226.1 (наставник)
Статус: Участник

Создано: 19 сентября 2015 18:42 New!
Цитата · Личное сообщение · #18

Даже если дерматолог получил работу в денуво или продал сорцы старого вмпрота, вряд ли он будет что-либо объяснять

Ранг: 363.2 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 19 сентября 2015 20:30 New!
Цитата · Личное сообщение · #19

TryAga1n пишет:
Даже если дерматолог получил работу в денуво или продал сорцы старого вмпрота

Дерматолог? Это типа автор вмпротекта? Какие-же тупорылые идиоты эту хрень кодят, и какие же кретины её покупают за такие немыслимые суммы - оно явно того не стоит. Я так понимаю, зис из хи - https://exelab.ru/int/polytech.php

Code:
  1. VMProtect 3.0
  2. August 25th, 2015 :: 15 comments
  3. ...
  4. [*] New VM architecture
  5. [+] A new function VMProtectIsProtected is added to the SDK

DENUVO гораздо раньше вышел - выходит, этот Ваш дерматолог просто нагло спи... своровал идею VM у Denuvo Software Solutions GmbH. Я уверен, что сам автор вмпрота никому ничего не продавал (VM-близнец свежий) и никуда не устраивался - иначе вмпротект больше некому было бы пилить и новые версии не выходили так часто!
Так что у нас РАЗОБЛАЧЕНИЕ наклевывается: авторы VMProtect передрали идею VM у DENUVO. В итоге, потонут они все вместе, т.к. этому к типу VM, на самом деле, не так сложно будет uNvirtualizer
Есть более детальная инфа по дерматологу??


Ранг: 245.4 (наставник)
Статус: Участник
RBC

Создано: 19 сентября 2015 21:22 New!
Цитата · Личное сообщение · #20

ELF_7719116 пишет:
Есть более детальная инфа по дерматологу??

а когда впервые денуво то появилась?
дерматолог запилил свой прот уже много лет назад.

Ранг: 20.5 (новичок)
Статус: Участник

Создано: 19 сентября 2015 22:01 New!
Цитата · Личное сообщение · #21

Kindly пишет:
дерматолог запилил свой прот уже много лет назад.

Так ельф жеж вроде и пишет, что по логам с сайта, архитектура VM была официально изменена 25 августа 2015г. в версии 3.0
Если в старых версиях вмпрота архитектура VM совершенно другая, тогда плагиат от дерматолога налицо!


Ранг: 519.5 (!)
Статус: Участник
5KRT

Создано: 19 сентября 2015 23:18 New!
Цитата · Личное сообщение · #22

ELF_7719116
Чего на дерматолога-то набросились всей кучей? Ну, пилит чувак свой прот, пусть и дальше пилит. Он же не под дверь вам гадит по ночам.
Тройку он уже очень давно пилил и архитектура была готова ещё в 2014, а может и того раньше


Ранг: 508.3 (!)
Статус: Участник
оптимист

Создано: 20 сентября 2015 02:26 New!
Цитата · Личное сообщение · #23

ELF_7719116
Вам не приходила мысль что разработчиков выгнанных с Sony DADC AG, мог подобрать Dermatolog?

Добавлено спустя 4 минуты
ELF_7719116 пишет:
Китайцы из 3dm получили в своё распоряжение DENUVO SDK. Но это настолько невероятно!

Кстате сайт как то лежал у денуво могли и спи*дить

| Сообщение посчитали полезным: hello


Ранг: 20.5 (новичок)
Статус: Участник

Создано: 20 сентября 2015 08:06 New!
Цитата · Личное сообщение · #24

daFix пишет:
Чего на дерматолога-то набросились всей кучей? Ну, пилит чувак свой прот, пусть и дальше пилит.

Чад Нельсон тоже пилил и пилил... но как-то не фортануло!

ClockMan пишет:
Кстате сайт как то лежал у денуво могли и спи*дить

Или кто-то из первых недовольных покупателей психанул и слил


Ранг: 245.4 (наставник)
Статус: Участник
RBC

Создано: 20 сентября 2015 09:06 · Поправил: 20 сентября 2015 09:07 Kindly New!
Цитата · Личное сообщение · #25

hello пишет:
Или кто-то из первых недовольных покупателей психанул и слил

как-то толсто. обычно такие защиты никому не дают. разработчики игры высылают авторам прота игру, и те сами ее накрывают и отсылают с инструкциями назад.
если слив sdk и был, то явно по вине какого-нибудь обиженого сотрудника.

Ранг: 363.2 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 20 сентября 2015 15:15 New!
Цитата · Личное сообщение · #26

hello пишет:
Если в старых версиях вмпрота архитектура VM совершенно другая, тогда плагиат от дерматолога налицо!

ClockMan пишет:
Вам не приходила мысль что разработчиков выгнанных с Sony DADC AG, мог подобрать Dermatolog?

Ребята, теперь я уверен, что всё наоборот!
Действительно недостающим пазлом были старые версии вмпрота, что я, собственно, и сделал.
ИТОГ: VM VMProtect 2.13 == VM DENUVO. Практически один в один!
I repeat: VM VMProtect 2.13 == VM DENUVO и версия VMProtect 3.0.3 недалеко ушла от них. THIS IS FACT!

Получается, что Ваш дерматолог, всё таки, продал сорцы старой VMProtect 2.13 в Denuvo Software Solutions GmbH (или они у него свистнули?!), и на поступившие деньги сделал версию 3.0.3, но, с релизом чуть подзатянул...эт, конечно, всё догадки.

Code:
  1. VMProtect 2.13 - 1st instance
  2.  
  3. EntryPoint (EP): JB 2.13.vmp.7FEF02ED593
  4. (!)     PUSH 806D8D8F
  5. JMP 2.13.vmp.7FEF02F5ADA
  6. (!)     PUSH C8B500BA
  7. JMP 2.13.vmp.7FEF02FB70C
  8. JMP 2.13.vmp.7FEF02FA34E
  9. (!)      PUSH RSI
  10. LEA RSI,QWORD PTR DS:[RBX*8+20BB4B52]
  11. MOVSX ESI,DL
  12. JMP 2.13.vmp.7FEF02FB8F6
  13. (!)      PUSH R11
  14. MOV RSI,FFFFFFFF964EE19A
  15. MOVZX ESI,BL
  16. BSWAP SI
  17. MOVSX RSI,BL
  18. (!)      PUSH RBP
  19. MOVSX RSI,DL
  20. (!)      PUSH R15
  21. LEA RSI,QWORD PTR DS:[RDX-4554D105]
  22. (!)      PUSHFQ
  23. BT CX,DI
  24. DEC SI
  25. (!)      PUSH R8
  26. RCR RBP,1A
  27. ADC RSI,2864104C
  28. (!)      PUSH R12
  29. CMC
  30. BTC EBP,6
  31. (!)      PUSH R13
  32. JMP 2.13.vmp.7FEF02FBF1F
  33. ADD EBP,ESP
  34. ROR R13D,19
  35. (!)      PUSH RAX
  36. ADD EBP,ESP
  37. CMP EDI,ESP
  38. RCR SI,CL
  39. SHR R13D,CL
  40. (!)      PUSH RCX
  41. XOR SI,DI
  42. ADD BP,687E
  43. SBB R13D,62373016
  44. RCR SI,CL
  45. (!)      PUSH RBX
  46. XCHG EBP,R13D
  47. TEST RBP,FFFFFFFFBB641218
  48. XADD R13W,SI
  49. (!)      PUSH R14
  50. BSR R13W,SI
  51. (!)      PUSH RDI
  52. DEC R13D
  53. JMP 2.13.vmp.7FEF02FA260
  54. STC
  55. SBB R13D,EAX
  56. (!)      PUSH R9
  57. ROR R13D,1
  58. INC R13W
  59. INC R13
  60. (!)      PUSH R10
  61. XADD R13W,SI
  62. BTR R13D,ESP
  63. RCR R13W,D
  64. (!)      PUSH RAX
  65. MOV R13W,602A
  66. SHRD AX,DI,5
  67. (!)      PUSH RDX
  68. BTS ESI,B
  69. STC
  70. (!)      PUSH QWORD PTR DS:[7FEF02FB394]
  71. NOT AH
  72. (!)      MOV RAX,[HMODULE]
  73. SBB BP,CX
  74. MOV R13,RAX
  75. NEG SI
  76. BTS SI,7
  77. ADC ESI,EAX
  78. DEC SI
  79. (!)      PUSH RAX
  80. BTS RBP,RSP
  81. XCHG RBP,RSI
  82. NOT ESI
  83. (!)      MOV ESI,DWORD PTR SS:[RSP+A0]
  84. SUB EBP,EAX
  85. MOV RBP,RSP
  86. BT SP,BX
  87. CMC
  88. CLC
  89. (!)      SUB RSP,140
  90. JMP 2.13.vmp.7FEF02FA7F2
  91. INC EDI
  92. (!)      AND RSP,FFFFFFFFFFFFFFF0
  93. ADC EDI,A3D89045
  94. TEST DX,BX
  95. MOV RDI,RSP
  96. AND R12D,EBX
  97. BSR AX,SI
  98. BTS AX,9
  99. BTC CX,SP
  100. (!)      LEA R12,QWORD PTR DS:[7FEF02F8731]
  101. CLC
  102. BTR CX,BP
  103. (!)      MOV RAX,100000000
  104. CLC
  105. (!)      ADD RSI,RAX
  106. STC
  107. BTC RCX,2
  108. BTC CX,C
  109. (!)      ADD RSI,QWORD PTR SS:[RBP]
  110. NOT CL
  111. MOV AL,DH
  112. (!)      MOV AL,BYTE PTR DS:[RSI]
  113. MOVZX RCX,DL
  114. MOVZX RAX,AL
  115. BSWAP CX
  116. SETBE CL
  117. INC RCX
  118. NOT CL
  119. (!)      MOV RCX,QWORD PTR DS:[R12+RAX*8]
  120. JMP 2.13.vmp.7FEF02FB7B8
  121. (!)      INC RCX
  122. CMC
  123. TEST CH,5D
  124. CMP ECX,EAX
  125. BT EAX,D
  126. (!)      ADD RCX,R13
  127. JPO 2.13.vmp.7FEF02F9E72
  128. JMP 2.13.vmp.7FEF02F9580
  129. (!)      LEA RSI,QWORD PTR DS:[RSI+1]
  130. JMP RCX


Ранг: 245.4 (наставник)
Статус: Участник
RBC

Создано: 20 сентября 2015 16:48 New!
Цитата · Личное сообщение · #27

ELF_7719116
а как тебе вариант, что дерматолог сам является одним из разработчиков денуво?
vmprot - софт, denuvo - игры.


Ранг: 508.3 (!)
Статус: Участник
оптимист

Создано: 21 сентября 2015 05:26 New!
Цитата · Личное сообщение · #28

Kindly пишет:
vmprot - софт, denuvo - игры

Увы я думаю что вм прот не принадлежит уже дерматологу, скачал демку 3 версии с его сайта она скомпилирована на С++, а дерматолог по жизни писал на делфях, хотя ильфак тоже писал иду на делфях, а разбогатев нанял людей и они стали писать на С.

Ранг: 268.3 (наставник)
Статус: Модератор
CrackLab

Создано: 21 сентября 2015 06:31 New!
Цитата · Личное сообщение · #29

ну взял и на си переписал. вон и на форуме написано у него
VMProtect 3.0
1. Ядро полностью переписано на C++ (больше никакого паскаля и ассемблера)

Ранг: 5.0 (гость)
Статус: Участник

Создано: 6 октября 2015 02:35 New!
Цитата · Личное сообщение · #30

Блаукович & KO vs. Сами_знаете_кто

P.S. Dragon Age Inquisition Deluxe Edition - CPY

| Сообщение посчитали полезным: hello


Ранг: 20.5 (новичок)
Статус: Участник

Создано: 6 октября 2015 08:12 New!
Цитата · Личное сообщение · #31

На 2 странице этой же темы тоже самое только про GTA IV. Но с другой стороны там ничего не написано же про краклаб и вообще конкретно про кого-то значит ломать можно и нужно!
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 44 . 45 . >>
 eXeL@B —› Протекторы —› Crack SecuROM & DENUVO

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS