Hypervisor-Bypass: Denuvo will nachrüsten

Kommentare
, , , ,
1

Hypervisor-BYPASS
Hypervisor-BYPASS1536×1024 708 KB

Kommentare zu folgendem Beitrag: Hypervisor-Bypass: Denuvo will nachrüsten

Nicht nur Microsoft geht gegen diese Technologie vor. Auch Irdeto, der Hersteller von Denuvo, will Hypervisor-Bypass Releases verhindern.

2

Wie schon in der vorherigen News geschrieben

"Nicht nur Microsoft geht gegen diese Technologie vor. "

Das ist blödsinn. Microsofts letzte Änderung hat 0 mit den HV Bypassen zu tun!

Der weitere crackdown für cross signed treiber kommt einfach daher das dieses Programm schon jahrelang aufgehört hat und diese Treiber oft probleme verursachen.

Kein einziger HV Bypass benutzt corss aigned treiber. Diese sind immer test signed.

3

Die vollständige Angriffskette

Der Crack nutzt eine mehrschichtige Abfangarchitektur. Entscheidend ist, dass hyperkd.sys und SimpleSvm.sys Alternativen für unterschiedliche CPU-Architekturen darstellen – sie sind nicht miteinander verschachtelt. KIRIGIRI.dll erkennt den CPU-Hersteller zur Laufzeit und lädt den passenden Treiber. Beide Treiber sind Open Source (werden aber nicht auf GitHub gehostet).

Auf Ring -2 (UEFI-Firmware) ist EfiGuard (EfiGuardDxe.efi) bereits vor dem Windows-Start aktiv. Es umgeht die Treibersignaturprüfung (DSE), sodass unsignierte Kerneltreiber ungehindert geladen werden können. Außerdem deaktiviert es PatchGuard, das andernfalls Kernelmodifikationen erkennen und einen Bluescreen verursachen würde. EfiGuard ist optional – der Crack bietet auch eine integrierte DSE-Umgehung durch Patching von UEFI-Laufzeitvariablen, und manuelle Methoden (Testsignaturmodus) funktionieren ebenfalls.

Auf Ring -1 / Ring 0 (Hypervisor + Kernel) wird je nach CPU eine der folgenden Lasten ausgeführt:

  • AMD-Systeme: SimpleSvm.sysEs handelt sich um einen in sich geschlossenen AMD SVM-Hypervisor, der alles übernimmt: CPUID-Abfangen, RDTSC-Spoofing, MSR-Abfangen, KUSER_SHARED_DATA-Spoofing und KdDebuggerNotPresent-Patching.
  • Intel-Systeme: hyperkd.sysLasten. Es handelt sich um einen dünnen Unterlegscheibentreiber, der importiert hyperhv.dll(Eine modifizierte Version des Open-Source-Projekts HyperDbg). Zusammen bieten sie über Intel VMX dieselben Funktionen: CPUID-Abfangen, RDTSC-Spoofing, KUSER_SHARED_DATA-Spoofing und KdDebuggerNotPresent-Patching.

Beide Methoden erzielen das gleiche Ergebnis: Das Betriebssystem wird in einer vom Hypervisor gesteuerten VM platziert, die Hardwareabfragen von Denuvo werden abgefangen und gefälschte Werte zurückgegeben, damit alle Umgebungsprüfungen erfolgreich sind.

Auf Ring 3 (Benutzermodus) startet ColdClientLoader die Spiel-EXE-Datei (re9.exe) mit den Goldberg Steam Emulator DLLs anstelle des eigentlichen Steam-Clients. Dadurch werden die Steam-Authentifizierung und SteamStub umgangen, indem alle Steamworks-API-Aufrufe lokal beantwortet werden und das Spiel als rechtmäßig besessen und im Offline-Modus ausgeführt gemeldet wird. KIRIGIRI.dll patcht außerdem statische Adressen in der Spiel-EXE-Datei, um den Capcom-DRM-Schutz und SteamStub zu umgehen.

Der Abfangablauf für einen Denuvo-Check

Wenn Denuvo eine Überprüfung innerhalb des Spielprozesses durchführt:

  1. **Denuvo-Anrufe CPUID**um zu prüfen, ob ein Hypervisor vorhanden ist
  • Der aktive Hypervisor-Treiber (SimpleSvm.sys auf AMD, hyperkd.sys+hyperhv.dll auf Intel) fängt dies im Ring -1 ab.
  • Gibt geänderte Ergebnisse zurück: Löscht das Hypervisor-Präsenz-Bit und gibt die tatsächliche CPU-Herstellerzeichenfolge zurück.
  • Denuvo erkennt: „Kein Hypervisor, echte CPU“
  1. Denuvo liest KUSER_SHARED_DATA bei 0x7FFE0000
  • Der Hypervisor-Treiber hat die Werte über seinen CounterUpdater-Thread gefälscht.
  • Denuvo erkennt: „Normale Windows-Umgebung“
  1. **Denuvo-Anrufe RDTSC**für Zeitprüfungen
  • Der Hypervisor fängt TSC-Lesevorgänge über VMCB/VMCS-Steuerbits ab.
  • Gibt konsistente Zeitwerte zurück, die nicht auf Einzelschrittbetrieb hinweisen.
  1. Denuvo-Prüfungen KdDebuggerNotPresent
  • Der Hypervisor-Treiber ändert diese Kernelvariable.
  • Denuvo meldet: „Kein Kernel-Debugger angeschlossen“
  1. Denuvo bestätigt seine Steam-Integration
  • Goldberg-Emulator steamclient64.dllReagiert auf alle ISteam*-API-Aufrufe
  • Gibt scheinbar gültige App-Inhaberschafts-, Benutzeridentitäts- und Ticketdaten zurück.
  1. Die Überprüfung unsignierter Treiber durch Denuvo würde normalerweise einen PatchGuard-BSOD auslösen.
  • EfiGuard hat PatchGuard beim Systemstart deaktiviert.
  • Das System bleibt trotz Kernel-Modifikationen stabil.

Umfassendes Sicherheitsaudit für Hochschulprojekt: Resident.Evil.Requiem.HYPERVISOR.V2-KIRIGIRI

Prüfungsdatum: 4. März 2026
(PDF 41 Seiten, deutsch)
Quelle → https://github.com/RD945/hypervisor-crack-audit

Download:

https://1fichier.com/?mc8v7lrfrdbsbk5z0i77

https://dl4free.com/?ginmnqsymnqlh79qoq13

https://zippyshare.day/cs5H5td1cf9fPrJ/file

1 „Gefällt mir“