پشت پرده استفاده غیر قانونی DENUVO از VMProtect

پشت پرده استفاده غیر قانونی DENUVO از VMProtect

مقالات و آموزش
با اینکه امروزه Baldman یا همون مرد کچل خودمون جدیدترین بازی های مجهز به آخرین نسخه های محافظت DENUVO رو سریع و مثل آب خوردن کرک می کنه و بازی RiME توسط او پس از 6 روز کرک شده، اما هنوز رکورد سریع ترین کرک *برای تیم CPY ، با گذشت فقط 5 روز از انتشار بازی، برای Resident Evil 7 هستش. انتشار کرکی که باعث شد کمپانی DENUVO اعلام کنه که در حال بروزرسانی نسخه های محافظت خودشه که بعدا این نسخه ها توسط CPY به نام DENUVO چهارم و v4 نام گذاری شد که اتفاقا Baldman فقط داره این نسخه های جدید رو کرک می کنه و البته CPY هم این کارو انجام میده ولی به کندی. اما گویا بنظر میرسه انگیزه تغییر و بروزرسانی DENUVO کرک شدن زودهنگام بازی ها و ارائه یک سیستم قوی تر نبوده و اونا مجبور شدن که اینکارو انجام بدن. 
* ( در طول نوشتن این مقاله بازی TEKKEN 7 توسط BALDMAN پس از 4 روز کرک شد! و رکورد بالا جابجا شد )



اگر به چند ماه پیش برگردیم متوجه میشیم که DENUVO اعلام کرده بود قراره در نسخه های جدید old bootloader رو حذف کنه و یک VM اختصاصی بجای VMProtect ارائه کنه. در ابتدا توجه همگان به این بود که لابد به دلیل شناسایی ضعف هایی در این بخش از سیستم محافظت ، این کمپانی تصمیم گرفته با نوشتن یک بستر اختصاصی امنیت رو بالاتر ببره. اما گویا موضوع از این قرار نبوده و اظهارات تیم VMProtect در طول ماه های گذشته مواردی رو بیان کرده که کمتر کسی ممکن بود همچین موردی حتی به ذهنش خطور کنه ، چون امکان نداره کسی فکر کنه یک شرکتی مثل DENUVO که در حال انتشار سیستم محافظت برای عدم استفاده غیر قانونی از نرم افزار و بازیه ، خودش بصورت غیر قانونی از نرم افزار VMProtect استفاده کنه!



اجازه بدید قبل از پرداختن به اظهارات drVano که گقته میشه از تیم VMProtect ، بدونیم دقیقا این نرم افزار که از کشور روسیه توسط شخصی بنام Ivan Permyakov بنیان گذاری شده از کجا اومده و چی کار میکنه. طبق گفته سازنده ، VMProtect یک ابزار قوی برای مقابله با سرقت یا استفاده غیر قانونی از نرم افزار و برنامه ها هستش که از معروفترین مشتری های اون که ایرانی ها بیشتر می شناسن، شرکت های Cyberlink و Daemoon Tools هستند. این برنامه کدهای اجرایی برنامه ها رو در محیط های شبیه سازی شده اجرا می کنه تا از دسترسی بهشون توسط هکر ها تا حد ممکن جلوگیری بشه. در اصل تمام برنامه های محافظت که با این هدف ساخته میشن یکبار کدهای اجرایی رو Encrypt می کنند و موقع اجرا اونو دوباره Decrypt و رمزگشایی می کنند اما در VMProtect هیچوقت کدهای اجرایی رمزگشایی و یا همون Decrypt نمیشه بلکه این کدهای اجرایی در CPU مجازی و محیط VM با همان حالت Encrypt شده اجرا میشه که چون خارج از محیط متداول معماری x86 / x64 اینکار انجام میشه دسترسی رو هرچه بیشتر برای هکر ها سخت تر میکنه. این برنامه تمام فایل های اجرایی و کتابخانه ای و درایور ها مثل EXE, SCR , DLL, OCX, BPL , SYS رو پشتیبانی می کنه و با پشتیبانی از نسخه های 64 بیتی برنامه ها قابلیت اجرا بر روی تمام نسخه های ویندوز از Win95 تا Win10 رو داره و دائما بسته های بروزرسانی دریافت می کنه. حق استفاده از لایسنس و قیمت این برنامه از 199$ شروع میشه و برای مصارف تجاری و شرکتی تا 999$ و یا بیشتر فروخته میشه.



drVano یکی از توسعه دهندگان VMProtect صحبت های خودش رو حدود 3 ماه پیش اینطوری شروع میکنه:
من می خوام داستان یک شرکت اتریشی باهوش و طماع که بهش Denuvo گفته میشه رو تعریف کنم. مدتی قبل ، این شرکت سیستم محافظت خودش رو با همین اسم منتشر کرد. اما موضوع مورد توجه اینه که اونا قطعا بصورت غیر قانونی از نرم افزار VMProtect ما استفاده می کردند.

drVano در ادامه بیشتر توضیح میده که حتی با DENUVO مذاکره هم شده بود. اون میگه:
حدود 3 سال پیش شرکت های VMProtect و DENUVO برای احتمال و امکان استفاده VMProtect در سیستم DENUVO وارد مکاتبه شدند. VMProtect بهشون بطور شفاف گفت که امکان نداره بتونن با استفاده از یک لایسنس استاندارد 500 دلاری اینکارو انجام بدن چون اگر DENUVO می خواست چنین چیز مشابهی رو خودش بسازه براشون صدها هزار دلار خرج داشت. اما به هر حال بدون اینکه توافق و یا قراردادی شکل بگیره DENUVO کار خودش رو پیش برد و یک لایسنس ارزون قیمت از VMProtect خرید و رفت دنبال پول پارو کردن.
همه چیز برای DENUVO داشت خوب پیش می رفت تا اینکه ما بهشون اطلاع دادیم که لایسنس و حق مجوز برنامه VMProtect شما باطل شده بخاطر اینکه شما قوانین استفاده از اون رو نقض کردید. ما پیشنهاد هایی دادیم تا مشکل رو برطرف کنیم و خسارت های ما بصورت جزئی پرداخت بشه اما طرح پیشنهادی ما نادیده گرفته شد.بعد از اون VMProtect از روش های غیر معمول وارد ماجرا شد و با همکاری با شرکت Sophos ، نرم افزار آنتی ویروس این شرکت فایل های DENUVO رو توافق کرد به عنوان مهاجم و بدافزار تشخیص بده. ما همچنین با VALVE صحبت کردیم تا اجازه نده کلاه برداران از این پلتفرم استفاده کنند. ما بدنبال این هستیم تا با ارائه مستندات قانونی DENUVO رو به دادگاه بکشونیم و این می تونه درس خوبی برای توسعه دهنده های طماع باشه که به مالکیت حقوقی و معنوی همکاران خودشون اهمیت نمیدن.



صحبت های drVano بازتاب گسترده ای رو در سایت های خبری و شبکه های اجتماعی گذاشت اما در نهایت چند روز پیش Ivan Permyakov مدیر عامل VMProtect گفت : صحبت هایی که در مورد ارتباط ما با شرکت DENUVO میشه خیلی وقته که قدیمی شده و کاملا بی ربطه. و مشخص نیست که این گفته اون بخاطر اینه که در نهایت DENUVO در نسخه چهارم VMProtect رو حذف کرد و یا اینکه با رسانه ای شدن این موضوع DENUVO بهایی رو به VMProtect پرداخت کرده و تونسته رضایت این شرکت رو جلب کنه.



با اینکه کرک شدن DENUVO فقط به حذف VMProtect محدود نمیشه اما شاید امروز همه می دونن که حذف این سیستم باعث شده که چقدر نسخه چهارم DENUVO سریع تر کرک بشه و در مقابل نسخه های قبلی ضعیف تر عمل کنه. چیزی که با گفته های این شرکت مبنی بر ارتقای امنیت بعد از کرک شدن زود هنگام RE7 مطابقت نداره. بنظر میرسه DENUVO حاضر شده هر بهایی رو پرداخت کنه تا تهمت استفاده غیر قانونی بهش نخوره حتی اگر سیستم محافظتش ضعیف تر عمل کنه و با حذف VMProtect سریع تر کرک بشه. واقعا خیلی خنده داره که در نهایت گفته بشه یک شرکتی که جلوی استفاده غیر قانونی از نرم افزار ها رو میگیره و محافظت منتشر میکنه خودش بصورت غیر قانونی از یک نرم افزار دیگه استفاده کنه!

کسی چه می دونه ، شاید در نفوذ ها و کرک هایی که از DENUVO منتشر میشه تیم VMProtect هم دست داشته و این تیم ها و اسم های جدید و بی سابقه ای که DENUVO رو کرک می کنند بی ارتباط با مهندسان امنیتی این شرکت نباشند. ولی چیزی که مشخص و واضحه اینه که عمر DENUVO تموم شده و تقریبا دیگه همه ، چه گیمر ها و چه توسعه دهندگان قانع شدند که نباید از این سیستم استفاده کرد.