Анончики, кто тут ТЫЖПРОГРАММИСТ, поясните это что такое эльф намутил? Это намек на потоковый взлом денувы?

https://exelab.ru/f/index.php?action=vthread&forum=13&topic=19719&page=27

Начиная свой пост хочу, прежде всего, поздравить всех со светлым праздником Рождества Христова! Да хранит Вас Бог!


Перехожу к технической части. Для красочности (и не только) представления сделан уклон в известную игрушку.

X-COM RESEARCH REPORT

Target: observation of critical data for formation of «TableData»
Status: research is complete
Text:
Мы знаем, что существует лицензионный файл хранящейся по умолчанию в c:\ProgramData\dbdata\00000000-0000-0000-0000-000000000000\11111111-1111-1111-1111-111111111111.dbdata(Steam) и C:\ProgramData\Electronic Arts\EA Services\License\*.dlf (Origin). При раскодировании вынимается xml, откуда читается (ксорится константами и раскидывается по секции кода) пошифрованная таблица «TableData», которая вяжется к критическим данным Вашего компьютера. Собственно это и есть главная привязка лицензии, остальные стимовские/оригиновские ID и тд можно выкинуть в сторону. Прежде чем перечислить критические компоненты, полагаю стоит внести ясность: говорить, что существует аппаратная (CPUID) и программная привязка к винде не совсем корректно и Вы поймете почему ниже.
(!)Достоверно установлены следующие компоненты привязки лицензии:
>>>>>> { specification start } >>>>>>>>>
CPUID
Метод доступа: прямой вызов инструкции много-много раз при переходах vm
Code:
//Additional Information / Feature Information //
EAX = 1;
Только 2 регистра: EBX, ECX

//Processor Brand String
EAX = 0x80000002
EAX = 0x80000003
EAX = 0x80000004


KUSER_SHARED_DATA
Полагается вшитая константа USER_SHARED_DATA в p-ленту
Критические данные:
Code:
+030...04С WCHAR NtSystemRoot
+026C ULONG NtMajorVersion; +
+0270 ULONG NtMinorVersion; +
+0274...+0284 UCHAR ProcessorFeatures
+02E8 ULONG NumberOfPhysicalPages;

Не включенные в лицензию, но читаемые:
Code:
+008 KSYSTEM_TIME InterruptTime.LowPart
+023C ULONG CryptoExponent;
+02BC ULONG TimeSlip;


IMAGE_DATA_DIRECTORY of system dll's x3
три штуки системных библиотек: ntdll / kernel32 / (последняя может быть разной)
Доступ: HMODULE в стеке + e_lfanew => определяется IMAGE_OPTIONAL_HEADER, в которой содержится IMAGE_DATA_DIRECTORY
Code:
!individual offsets
0x170 data directories exportdirectoryva
0x174 data directories exportdirectorysize
0x178 data directories importdirectoryva
0x17C data directories importdirectorysize
0x180 data directories resoursedirectoryva
0x184 data directories resoursedirectorysize
0x188 data directories exceptiondirectoryva
0x18c data directories exceptiondirectorysize
0x198 data directories relocationdirectoryva
0x19C data directories relocationdirectorysize
0x1A0 data directories debugdirectoryva
0x1A4 data directories debugdirectorysize


Process Enviroment Block (PEB)
Доступ: mov ecx, gs:[eax], где eax = 0x60 в примитиве vm
Code:
+118 OSMajorVersion
+11C OSMinorVersion
+12C ImageSubSystemMajorVersion
+130 ImageSubSystemMinorVersion
+0B8 NumberOfProcessors
// единственный отличающейся параметр по размеру чтения (WORD) !! У остальных выше = DWORD
+122 OSPlatformId

<<<<<<<<<<< { specification end } <<<<<<<<<<<<<<

Были проверены куча вариантов с разными CPUID и действующей лицухой на атакованных контекстах vmp: Win10 >> Win 7 и обратно - Win 7 >> Win 10. РАБОТАЕТ! Радости - полные штаны! Очень много чего теперь встало на свои места.
Полагая наперед вопрос об самом механизме проверки этих данных внутри вмпрота скажу так: пока у меня недостаточно данных для кейгенерации таблицы. Пока всего лишь догадки (мысли вслух), поэтому не относитесь серьезно: полагается, что таблица «TableData» хоть и разбита условно на DWORD, но сгруппирована по байтам. Байты раскиданы в определенном положении. Выполняется обратное преобразование chipper_data из таблицы для каждого компонента (PEB, IMG_DIR...) индивидуально, сырые же данные Вашей машины шифруются, так-же преобразовываются и результирующей логической операцией (xor, and... а может и add) превращаются в нулик.

Что в итоге we can:
...research new ability - universal emulator from DENUVO protected games. Уже высказанная идея с гипервизором имеет право воплотится в жизнь. По аналогии с Alcohol 120% создать универсальный загрузчик любой игры на текущий момент эмулируя данные в критических структурах + CPUID при условии наличия хотя-бы одной лицензии.
...upgrade offline-activation technology - ex: https://denuvo.net/ (намек они, надеюсь, поняли). Юзер делает дамп критических данных из спецификации и отправляет его продавцу, тот, эмулируя комп покупателя, получает лицуху и обратно отправляет ему.
... try research keygen («TableData» в худшем случае) - но тут понятно, что request vmprotect unvirtualizer (привет DenCodery) и точка.
...not to consider absence offline-activation in new games - просто делаем дамп критических данных и «TableData».

Для организации процесса кодинга в аттаче прилагаю head-файл с готовыми структурами (заполнения «сырых» данных). Корректировка будет производится по мере подтверждения/дополнения данных Вами. Хочу отметить, что для Denuvo Software Solution новость конечно отчасти шоковая! йохохо!