|
Denuvo Anti-Tamper
|
|
|
MasterMist
|
Дата: Суббота, 21.05.16, 21:36 | Сообщение # 1 |
|
Прежде чем писать в теме, ознакомьтесь пожалуйста с правилами
|
| |
| |
|
Splendid5800
|
Дата: Суббота, 18.11.17, 09:02 | Сообщение # 9381 |
|
мож пацанов в армию забрали 
|
| |
| |
|
Synta
|
Дата: Суббота, 18.11.17, 10:12 | Сообщение # 9382 |
|
Цитата Splendid5800 (  ) мож пацанов в армию забрали lol
Вот кстати о чем-то подобном только хотел написать...никто не подумал, что может что-то случилось) причем скорее у стимпанков (если это вообще не один человек), всякое бывает, в больницу попал человек (если группа, то например тот кто особенно хорошо разбирается) или дома проблемы какие, не до взлома так сказать...а CPY как по мне вроде так и не стали ускоренно делать релизы, вот они может сидят разбирают ассассина
|
| |
| |
|
k3rnel-pan1c
|
Дата: Суббота, 18.11.17, 11:45 | Сообщение # 9383 |
|
Походу ещё и RtlUnhandledExceptionFilter палит отладчик и её тоже нужно обходить.
x64dbg создаёт процесс с флагами отладки. RtlUnhandledExceptionFilter, используя функцию NtQueryInformationProcess, определяет выполняется ли процесс по отладчиком, т.е. был ли он создан с флагами DEBUG_ONLY_THIS_PROCESS или DEBUG_PROCESS.
Если процесс запущен под отладчиком RtlUnhandledExceptionFilter возвращает EXCEPTION_CONTINUE_SEARCH.
[off]Тут нужно посмотреть SetUnhandledExceptionFilter, это пользовательский фильтр исключений (callback функция). Возможно здесь юбики и навесили антидебаг.
В таком случае RtlUnhandledExceptionFilter помещает в глобальную переменную новый адрес пользовательской callback функции и возвращает адрес старой.[/off]
После, RtlUnhandledExceptionFilter формирует диалоговое окно Application Error из функции NtRaiseHardError. Теоретически его можно избежать: либо вызвав функцию SetErrorMode с флагом SEM_NOGPFAULTERRORBOX до возникновения исключения, либо параметр AeDebug в реестре должен быть равен 1.
В общем при отладке внутри RtlUnhandledExceptionFilter у меня сработала printf с ошибкой No Valid Win32 Error Mapping.
|
| |
| |
|
yoi386
|
Дата: Суббота, 18.11.17, 12:59 | Сообщение # 9384 |
|
oxyggen Да как я писал ранее странно все это .. 
|
| |
| |
|
s1c85
|
Дата: Суббота, 18.11.17, 17:07 | Сообщение # 9385 |
|
так понимаю ни асасином ни нфсом ни старвасами не пахнет ещё? 
|
| |
| |
|
Undead_75
|
Дата: Суббота, 18.11.17, 20:47 | Сообщение # 9386 |
|
А списочек то нехило так вырос. Этого явно мы с вами не ожидали...
|
| |
| |
|
yoi386
|
Дата: Суббота, 18.11.17, 21:03 | Сообщение # 9387 |
|
Undead_75 Мда.. эт точно ... может они там отстреляли все что было и типа всё... ПО общей договоренности ушли в закат 
|
| |
| |
|
Undead_75
|
Дата: Суббота, 18.11.17, 21:18 | Сообщение # 9388 |
|
yoi386, да хз. Меня удивляет, что даже сами CPY не могут справиться. Ладно панки и кодекс.
Кодекс так вообще непонятно, с какой целью зарелизили тени мордора, тем самым дав надежду и показав, что и они не пальцем деланные, что и они могут распотрошить игру на которой есть 'Д'. А потом так вообще объединяются с панками, чтоб взломать этот несчастный симулятор автобуса и южный парк?
|
| |
| |
|
kuziara
|
Дата: Суббота, 18.11.17, 21:19 | Сообщение # 9389 |
|
Цитата yoi386 ( ) может они там отстреляли все что было и типа всё... ПО общей договоренности ушли в закат
[off]готовят свою распродажу игр к черной пятнице по самым выгодным ценам. 0 рублей 00 копеек.[/off]
|
| |
| |
|
yoi386
|
Дата: Суббота, 18.11.17, 21:36 | Сообщение # 9390 |
|
Undead_75 НЕ думаю что слово не могут справиться здесь уместно, тут какая то другая причина
|
| |
| |
|
Ripper174
|
Дата: Суббота, 18.11.17, 21:44 | Сообщение # 9391 |
|
Вам здесь уже даже разбирающийся человек наглядно показал,что неплохо доработали защиту в 4.7 версии, отсюда и задержки, а вы всё заговоры массонов ищите 
Другое дело, что группы могли бы поломать старые релизы пока что с серьезными обновами, раз застой интеллектуальный, непонятно почему они это не делают,а вместо этого ломают симулятор автобуса с протектом(и не лень же им было ) 
|
| |
| |
|
roadrunner
|
Дата: Суббота, 18.11.17, 21:59 | Сообщение # 9392 |
|
Ripper174, Они,скорей всего,не геймеры,а программеры,вот и у них «спортивный интерес» защиту преодолеть,а не по рейтингу игр выстраивать приоритет взлома 
|
| |
| |
|
Ripper174
|
Дата: Суббота, 18.11.17, 22:02 | Сообщение # 9393 |
|
roadrunner, ну в таком случае остался еще Handball 17 с трешкой,почему бы им его не сломать
Да и Anno/Heroes 7 тяжело назвать взломанными,ибо аддоны серьезные вышли.
Те же кодексы релизят обновы на обычные игры только так,так что вряд ли они "не в курсе" что надо бы обновить игры с денувой старые,думаю у них не только спортивный интерес
|
| |
| |
|
roadrunner
|
Дата: Суббота, 18.11.17, 22:17 | Сообщение # 9394 |
|
Ripper174, Нам только ждать...
|
| |
| |
|
Haoose
|
Дата: Суббота, 18.11.17, 23:36 | Сообщение # 9395 |
|
Цитата Ripper174 ( ) Вам здесь уже даже разбирающийся человек наглядно показал,что неплохо доработали защиту в 4.7 версии, отсюда и задержки
Эм... где? Ты про посты о Assassin's Creed Origins? Так там про денуву ни слова, до нее он еще не добрался, все эти антиотладки к ней не имеют никакого отношения. Про NFS он же написал что не ковырял ее из-за отсутствия лицензии.
|
| |
| |
|
Kidefo
|
Дата: Воскресенье, 19.11.17, 00:31 | Сообщение # 9396 |
|
Цитата Haoose ( ) Так там про денуву ни слова, до нее он еще не добрался, все эти антиотладки к ней не имеют никакого отношения.
Тогда к чему всё это было написано?
|
| |
| |
|
k3rnel-pan1c
|
Дата: Воскресенье, 19.11.17, 03:04 | Сообщение # 9397 |
|
Цитата Kidefo ( ) Тогда к чему всё это было написано?
Почему то все бегут вперед паровоза)
Что нужно чтобы спокойно трассировать vm'ки? Нужно закинуть экзешник в отладчик и (утрировано) сидеть отлавливать триггеры.
Но кое-что мешает это сделать - антидебаг. Можно сказать это первый уровень защиты, второй и третий это vmp и denuvo.
Пока не будет снят антидебаг, ни о какой речи про vmp и denuvo быть не может.
Антидебаг здесь ядерный (так просто не отловить).
В обычном смысле слова точкой входа является первая инструкция в программе (например main). Но мало кто догадывается, что перед тем как процессор начнёт выполнять main, в ядре ОС происходит целая процедура подготовительных работ.
Начинается она с LdrpInitializeProcess (функция инициализации процесса). Здесь подготавливаются регистры, контекст, а также она вызывает Kernel32ThreadInitThunkFunction из kernel32.dll (функция BaseThreadInitThunk), которая подготавливает основной поток (процесс один, а потоков у него может быть много). В LdrpInitializeProcess происходит ещё целая серия инициализации других функций, но их значимость сейчас неинтересна.
Далее процесс подготовки передаётся в функцию _LdrpInitialize. Здесь обрабатываются образы, пулы, wow64 и прочее. Затем процесс возвращает LdrpInitialize для дальнейшего перехода к LdrInitializeThunk.
Именно в LdrInitializeThunk все потоки пользовательского режима начинают свое выполнение (можно сказать что это своеобразная точка входа для точки входа). Эта функция вызывает NtContinue и завершается. И вот только теперь начинается main.
Вся эта хрупкая конструкция ломается в АСО на этапе передачи информации между ntdll.dll и kernel32.dll (BaseThreadInitThunk), в момент когда в регистр rcx попадает ловушка (подозреваю эта qword ptr [rcx+10]=[000000000038E010 <&Ordinal261>]=<acorigins.Ordinal261>). И всё, код выполняется совершенно по другой цепочке. На LdrInitializeThunk->NtContinue мы не попадаем, зато попадаем на NtCallbackReturn->syscall -> int 2e.
|
| |
| |
|
Haoose
|
Дата: Воскресенье, 19.11.17, 03:23 | Сообщение # 9398 |
|
k3rnel-pan1c, скажи пожалуйста, какая у тебя сейчас цель? Посмотреть как работает денува и попробовать ее сломать? Тогда лучше работать с каким-нибудь Соником, к примеру, где нет такого антидебага, VMP и т.п. Или же ты конкретно хочешь сломать именно ACO? Тогда работа утраивается, ведь к денуве еще приплюсовывается антидебаг с VMP + не забудь об эмуляторе Uplay, универсального-то нет. Или у тебя цель просто засунуть ACO под отладчик, обойдя антидебаг?
|
| |
| |
|
deadmau5
|
Дата: Воскресенье, 19.11.17, 11:32 | Сообщение # 9399 |
|
k3rnel-pan1c, насчет "триггеров", их вообще не нужно трогать, если лицензия пропатчана/собрана полностью валидной по методу STEAMPUNKS и CPY. И насчет антидебага, ACO прекрасно дебажится, если поставить петлю кое-где и приаттачиться к процессу  (разумеется, нужно произвести тщательную настройку ScyllaHide перед этим). Заметил, что ты много пересказываешь из того самого видео от Bronco и PainteR, многое сказанное тобой уже было показано в 1-й главе К тому же, как Haoose написал сверху, если цель исследовать новую Denuvo, начни с разбора нового Соника, там где нет слоя VMP.
|
| |
| |
|
k3rnel-pan1c
|
Дата: Воскресенье, 19.11.17, 13:30 | Сообщение # 9400 |
|
Цитата deadmau5 ( ) Заметил, что ты много пересказываешь из того самого видео от Bronco и PainteR, многое сказанное тобой уже было показано в 1-й главе
Что за видео? Про Bronco слышал, про второго нет.
Я не пересказывал, а шёл самостоятельно с самого начала, и не знал, что оказывается уже есть какие-то наработки 
Ну ок, дайте тогда почитать/посмотреть, чтобы мне велосипед не изобретать. А то трачу время, а оказывается это уже всё пройдено.
|
| |
| |
|
floeX
|
Дата: Воскресенье, 19.11.17, 23:23 | Сообщение # 9401 |
|
k3rnel-pan1c,
|
| |
| |
|
Reynor
|
Дата: Воскресенье, 19.11.17, 23:30 | Сообщение # 9402 |
|
Ну со стороны простого наблюдателя, не понимающего большинство сказанного, я предполагаю что человек просто ковыряет защиту потому что ему это интересно. Без конкретных целей. Кстати наблюдать за этим и мне интересно.
|
| |
| |
|
roadrunner
|
Дата: Понедельник, 20.11.17, 00:37 | Сообщение # 9403 |
|
k3rnel-pan1c, Спасибо! Очень познавательно!
|
| |
| |
|
IronManMetall
|
Дата: Понедельник, 20.11.17, 01:51 | Сообщение # 9404 |
|
Цитата Reynor ( ) Ну со стороны простого наблюдателя, не понимающего большинство сказанного, я предполагаю что человек просто ковыряет защиту потому что ему это интересно. Без конкретных целей. Кстати наблюдать за этим и мне интересно.
Цитата roadrunner ( ) k3rnel-pan1c, Спасибо! Очень познавательно!
k3rnel-pan1c + продолжай ковырять
|
| |
| |
|
Kindbad
|
Дата: Четверг, 23.11.17, 12:13 | Сообщение # 9405 |
|
Тишина то какая, все угомонились)))
|
| |
| |
|
yoi386
|
Дата: Четверг, 23.11.17, 12:27 | Сообщение # 9406 |
|
Kindbad ну а толку тему пополнять когда вестей с полей нет абсолютно.., все забили
|
| |
| |
|
Reynor
|
Дата: Пятница, 24.11.17, 10:01 | Сообщение # 9407 |
|
Как появятся какие-то новости, их обязательно тут запостят. А до того момента, хватит пустой болтовни!
|
| |
| |
|
Anubis998
|
Дата: Пятница, 24.11.17, 11:50 | Сообщение # 9408 |
|
[spoiler=Игроки просят убрать DRM защиту Denuvo из игры Assassin's Creed: Origin's] Испанский геймер Хорхе Кастаньеда (Jorge Castañeda) создал петицию на сайте change.org с просьбой убрать DRM-защиту из экшена Assassin's Creed: Origins. По его мнению, системы защиты, использующиеся в новой игре от Ubisoft, оказывают сильное влияние на производительность и делают её неиграбельной для многих пользователей.
Системы защиты Denuvo и VMProtect — это две программы, которые направлены на предотвращение пиратства в Assassin's Creed Origins.
Проблема заключается в том, что они негативно влияют на пользователей, которые платят за игру. Это программное обеспечение заставляет Assassin's Creed: Origins использовать 100% ресурсов наших процессоров. Это оказывает сильное влияние на производительность во многих локациях и делает Assassin's Creed Origins неиграбельной для многих пользователей.
Ubisoft, пожалуйста, подумайте о своих клиентах, которые заплатили за эту игру, и удалите DRM, чтобы мы могли наслаждаться Assassin's Creed Origins с хорошей производительностью. Это негативно влияет на отличную игру.
— Хорхе Кастаньеда
О негативном влиянии Denuvo и VMProtect на Assassin's Creed Origins стало известно сразу после выхода игры. Тогда хакерская группа Revolt сообщила, что системы защиты дополнительно нагружают процессор на 30-40%.
Источник и сама петиция по адресу:
https://vgtimes.ru/news....ns.html [/spoiler]
|
| |
| |
|
yoi386
|
Дата: Пятница, 24.11.17, 12:15 | Сообщение # 9409 |
|
Anubis998 Это просто самый топ, что могли придумать пираты 
|
| |
| |
|
Dimon1987
|
Дата: Пятница, 24.11.17, 12:15 | Сообщение # 9410 |
|
На мой взгляд никакую защиту с игры не уберут, разработчикам наплевать по большому счету на игроков, что там грузит и насколько это их не касается.
|
| |
| |
|
avrun
|
Дата: Пятница, 24.11.17, 12:22 | Сообщение # 9411 |
|
Давненько я сюда не заходил,т.к блашкавич все таки вин. и короли эстрады наверное не могут
Цитата Anubis998 ( ) системы защиты, использующиеся в новой игре от Ubisoft, оказывают сильное влияние на производительность и делают её неиграбельной для многих пользователей.
У меня проблем с загруженностью cpu нет(в новом асасине) I7 3770К(4.5Ггц),но это не значит,что у других игроков так же.Даже новые I5 работают на 99% Денува конечно злорадствует над системой-это понятно,но такие петиции подсадят и других разрабов на вм+денува и все будет как когда то отписывали 3DM----типа через год пиратства не будет
Вот такое будущее возможно..,ну и компьютеры тогда топовые будут не нужны,купим мыльную приставку с джойстиком(боже упаси) и____ ну продадим назад.Доля правды была от 3DM.
|
| |
| |
|
dixen18
|
Дата: Пятница, 24.11.17, 13:08 | Сообщение # 9412 |
|
Насчет нагрузки на проц - мой во время сложных сцен нагружается на 50-60% от всей мощности..А вот видео-карточка уже работает на 99% при высоких настройках. Системки в подписи
Что касается снятия защиты - естественно, Юби не уберут ее из игры. Если они из старых игр ее не убирают
|
| |
| |
|
Haoose
|
Дата: Пятница, 24.11.17, 21:50 | Сообщение # 9413 |
|
Давно игры не ломали на денуве? Ну вот вам свежий релиз
TransRoad: USA, версия 1.0.8, крякер все тот же.
|
| |
| |
|
LarsUp71
|
Дата: Пятница, 24.11.17, 21:58 | Сообщение # 9414 |
|
Haoose, Кто взломал?новые ребята?
|
| |
| |
|
Haoose
|
Дата: Пятница, 24.11.17, 22:00 | Сообщение # 9415 |
|
LarsUp71, я ж написал
Цитата Haoose ( ) крякер все тот же.
Potato_of_Doom с кс.рина, который первую версию ломал:
http://antistarforce.com/forum/126-17794-960421-16-1510442541
|
| |
| |
