Буквально несколько часов назад, на одном из китайских форумов неизвестные анонимусы в масках выложили в открытый доступ исходные коды известного Российского протектора VMProtect последних версий (3.2-3.5.1). Штаб-квартира фирмы VMPSoft находится в городе Екатеринбург на улице 8марта.

Пожалуй, наибольшую известность VMProtect получил после ГРАНДИОЗНОГО скандала с разработчиками DENUVO Software Solution Gmbh. Напоминаем, что последняя контора сама умудрилась незаконно, с нарушением авторского права, использовать в 2014-2015 годах исходные коды VMProtect версий 2.x-3.0.x банально переименовав их в DENUVO v1-v2, что в итоге было вскрыто сначало при взломе (cracklab), а затем, под давлением хакерской общественности, в марте 2017 года признано самими разработчиками VMPsoft в эпичном посте

Ввиду того, что дело шло к суду и получило нехилый такой резонанс, в июле 2017 на своём сайте разработчики VMProtect тихо написали короткое сообщение, что конфликт якобы улажен (при этом отключив комментарии к новости) и пошли пилить следующий билд, который как раз и был успешно слит.

Примечательно, что публичная версия программы DENUVO Profiler для анализа защиты, выпущенной на том же cracklab, подходила для анализа, как самого VMProtect, так и DENUVO.

Что известно на данный момент про саму утечеку

1) Оригинальный архив утечки разбит на три части, однако его успели скачать только два-три анонимуса. Сейчас распространяется в сети целый перепакованный архив.

2) В перепакованной версии отсутвуют некоторые важные файлы, прежде всего, механизмы работы VMProtect на Microsoft Windows. Возможно, эти файлы были вырезаны намеренно из оригинала первыми, кто скачал архив. По крайней мере, в андеграунде идёт их активный поиск.

3) Уже прошел слух, что к сливу могут быть причастны разработчики DENUVO (бывшие). По непотвержденным данным, один из быаших разработчиков DENUVO участвует в команде EMPRESS.

4) Годом ранее были слиты валидные сертификаты для цифровой подписи.

Как это повлияет на взлом игр в будущем?

В настоящий момент VMProtect используется отдельно от DENUVO, хотя чаще всего в одном и том же исполняемом файле на десятки-сотни мегабайт, как слоеный пирог.

Тем не менее это упростит взлом защищенных им игр. Причём самым существенным образом, если ключевые файлы исходного кода VMProtect под Windows найдутся публично или будут переданы той же EMPRESS неофициально (второй вариант наиболее вероятен). Как минимум, такой крупнейший слив подорвет доверие разработчиков игрушек к продукту VMProtect, заставив его разработчиков фактически начать с нуля разработку новой версии, а простые геймеры получат менее тормозящие игрушки.

DENUVO в «Gotham Knights» и «Atomic Heart»?? С оглушительного скандала устроенного самим Рейнгардом Блауковичем в самом начале ("пиратская" копия VMProtect 2.6/3.0) и продолжая постоянными взломами (привет EMPRESS) опять пытаться тормозить процессоры говнокодом виртуальной машины(VM)? Не тут то было! После выхода «Overwatch 2» какие-то бывшие директора Blizzard уже начали стричь бабло с самой Blizzard (и чуть раньше с Electronic Arts, а далее с Roblox Corporation) новым пылесосом «Byfron». Но обо всём по порядку.

С чего всё собственно началось

Началось в 2014 годус отьехавшего в мир иной SecuROM и выставления на мороз всей команды его разработчиков, купивших хату на другом конце г. Зальцбург. Ещё раньше до SecuROM туда же отправились:

❌SafeDisk

❌SolidShield

❌StarForce

Кроме начальной буквы  S:

❌AsProtect

❌Armadillo

Собственно, а чем все эти упомянутые защиты принципиально отличались от сегодняшних т.н. «Anti-tamper»? ВНЕЗАПНО, да ничем!!!

Ну разве что за исключением полного перехода с 32х на 64х разрядную архитектуру.

Инновации в Anti-tamper? Не, не слышал!

Вопреки некоторому устоявшемуся мнению для Anti-tamper кроме ненужного им DirectX 10-12 нет ничего абсолютно нового в версиях Windows 10,11.

API функция AddVectoredExceptionHandler() которую активно использует защита Blizzard DRM (Overwatch 1, StarCraft Remastered) - так это ещё Windows XP/Windows Server 2003. Низкоуровневые функции в системной библиотеке Windows NTDLL - практически все из вышеперечисленных выше сдохших защит использовали, правда это им не помогло!

KUSER_SHARED_DATA (использует DENUVO) - вообще Windows 2000. Разве что начиная с  десятки нельзя патчить в usermode, но это прямого отношения ко взломам не имеет.

cmd: rename «Blizzard DRM» «Byfron»

И тем не менее наши источники из фирмы «Боширов и Петров» сообщают буквально следующее - два бывших CEO из самой Blizzard Entertaiment ночами не спали, видев во сне как Блаукович пытается загребсти зеленый профит, и решили, по видимому, кинуть ОЧЕНЬ БОЛЬШОЙ камень в его огород с вывеской DENUVO (что весьма забавно). Предыщуим “конкурентом” был «Валера (Valeroa) настало твоё время» в 2018 году, который дальше единственной City Patrol: Police никуда не уехал. Возможно, этого Валеру наняли третьим, как идущего к успеху© пацана.

Официальный сайт Byfron от экс менеджеров Blizzard Entertaiment мало чем отличается по содержанию от сайта DENUVO Блауковича: всё те же «anti-tamper, anti-cheat....». Также предлагается отправить письмо для получения демонстрационной копии.

Вероятно, первой игрой где опробовали «Byfron» - был какой-то билд Apex Legend пару месяцев назад. Следующим, судя по сайту горе-разрабов, собираются «забуффронить» Roblox. Но по настоящему «Byfron» дебютировал именно в выпуске Overwatch 2...от Blizzard Entertaiment. И самое смешное, если открыть Overwatch.exe в отладчике, то довольно очевидно, что перед нами не что иное, как переименованный Blizzard DRM... от самой же Blizzard Entertaiment. Эдакий Reforged ??! Естественно из пунктов, что чуть выше бывшие СЕО Blizzard пошли по двум основополагающим и давно известным принципам: «тех же щей да больше налей» и «AddVectoredExceptionHandler с NTDLL».

Важный нюанс - в отличие от DENUVO (и SecuROM) оригинальный Blizzard DRM (и Byfron) не обладает виртуальной машиной (VM) в привычном понимании, что впрочем не означает более быструю работу на вашем центральном процессоре! Byfron (Blizzard DRM Reforged) опирается на технику, получившей мировую огласку в 2012 году... в одном из вирусов. Вирус делал ремаппинг (недокументированными возможностями NTDLL) самого себя в памяти, чем и обеспечивал себе феноменальную скрытность от детектирования. Тоже самое в принципе делается и с Overwatch.exe вкупе с гораздо большим масштабом и обьемами кода. Но даже это не самое главное! Тормоза и вылеты никуда не денутся ещё по той причине, что недокументированные возможности NTDLL официально никогда и нигде не публиковались Microsoft. Мало того, сама Microsoft постоянно заявляет, что часть вызовов NTDLL может поменятся (а может и не поменяться) в следующем обновлении винды и в один прекрасный момент на вашем компьютере перестанут работать все вирусы, ну и заодно Byfron (Blizzard DRM Reforged) с Overwatch 2.

С другой стороны баррикад читеры, которых вряд-ли остановит такой переименованый «Reforged» (ситуация очень похожа на скандал с переименованным «пиратским» VMProtect в DENUVO)

По материалам с cracklab

А что вы думаете по поводу такой «конкуренции» Blizzard vs DENUVO??

Как несложно заметить - количество контекстов виртуальной машины ("толщина") монотонно возрастало от Lords of the Fallen - всего навсего 10 контекстов версии VMProtect 2.0 и заканчивая Assassin’s Creed Origins - 19 контекстов VMProtect 3.0.  Наибольшая "толщина" виртуального слоя зафиксирована в Unravel - рекордные 40 (!!!) контекстов VMProtect 2.0 и 19 контекстов VMProtect 3.0, что является очень огромным значением. Очевидно, данный шаг продиктован агонией разработчиков DENUVO хоть как-то переломить ситуацию в лучшую сторону в плане взломостойкости защиты.

Собственно, первоначальная идея DENUVO строилась как раз на "утолщении" виртуального слоя, ибо инструментов наподобие представленного DENUVO_Profiler у взломщиков и в помине не было: можно наращивать количество контекстов виртуальной машины и не делать лишней работы, т.к. вручную изменить логику работы виртуальной машины даже 10 контекстов в Lords of the Fallen слишком трудоёмкое занятие, которое займет несколько месяцев (собственно, чем занимался хакер Voksi в Doom 4). Со временем, когда был написан трейсер виртуальной машины VMProtect - стало возможным изучить логику работы защиты DENUVO при чтении секретной таблицы (DENUVO X-Table) с двойными словами (DWORD), которая извлекалась из файлов лицензии.

Связав формирование рандомной матрицы из DENUVO X-Table с уникальным Hardware ID (HWID) Вашего компьютера, выявились некоторые уязвимости в алгоритме защиты, что дало возможность обойти защиту не нарушая логику работы виртуальной машины VMProtect. HWID состоит из четырех ключевых элементов Вашей системы Windows: CPUID процессора, системных структур KUSER_SHARED_DATA, данных 3 системных библиотек kernel32.dll-ntdll.dll-kernelbase.dll (находятся в C:\Windows\System32\), структуры Process Environment Block (PEB):

В дальнейшем, когда виртуальную машину VMProtect научились успешно исследовать, не считаясь с "толщиной"  её брони, разработчики не смогли придумать ничего лучше, как взять на вооружение CPS стиль программирования - обычная особенность работы компиляторов разворачивать код в специальном виде, с добавлением некоторой обфускации.

DENUVO 4.0 лишился главного козыря, который VMProtect успешно обеспечивал до конца - защиты от редактирования взломщиками логики работы виртуальной машины (НА САМОМ ДЕЛЕ, в привате  И ЭТА ФИТЧА ЗАЩИТЫ УСПЕШНО ВЗЛОМАНА! Авторы VMProtect знают об этом, но предпочитают молчать). Это развязало руки хакерам. В итоге, 4 версию ломали уже те, кому просто не лень написать скрипт, который палил все места чтения данных HWID/секретной таблицы DENUVO. За несколько дней все это дело без особого труда патчилось - редактировалось и пихалось в качестве кряка. Никто не вникал в тонкости построения рандомной матрицы и не разбирался с криптографией (как связан какой-то CPUID со вторым байтом пятого двойного слова в секретной таблице DENUVO). К слову, принципиально в этой области у DENUVO ничего принципиально не изменилось - с помощью примитивных операций СЛОЖИТЬ, СДВИНУТЬ, XOR'ить байты и контрольные константы вязать HWID с секретной таблицей.

DENUVO 5.0 - некоторая попытка использовать плюсы 4 версии с добавлением кода, генерируемого нейросетью на основе математических уравнений. Звучит как-бы круто, однако на самом деле дилемма защиты потрохов DENUVO от быстрого взлома обеспечивается тем же VMProtect 3.0 и Нидерландской Irdeto, которая шарашит спутниковыми тарелками.