Вот calc.exe. Протект вроде новый. Давайте его заценим.

Ваш файл calc.exe (размер 123 кбайт)

доступен по адресу: webfile.ru/205935 в течение 21 день до 19:19 24.03.2005.

| Сообщение посчитали полезным:

...или reversing.net

| Сообщение посчитали полезным:

Решил оживить старую тему. Набрел на VMProtect 1.06 (h**p://w*w.polytech.ural.ru/files/vmprotect.exe). На сайте много рекламы ("Защита программного обеспечения нового поколения" итд), но гугль дал всего несколько ссылок (половина на китайском) и непохоже, чтобы кто-либо им пользовался. Написал тестовую прожку, обработал, посмотрел - добавилась пара секций и куча мусора ... У кого-то есть реальный опыт использования/оценка стойкости/ссылки на какой-то софт, использующий эту защиту ? Судя по номеру версии (и интерфейсу) программа еще очень сырая. Стоит юзать ?

| Сообщение посчитали полезным:

gazlan рульный протектор, декомпилить очень гиморно, не знаю возможно ли, если тока не найдеЦЦа какой-нить герой который напишет дизасм.. но все равно вроде как там генерируеЦЦу опкоды по разному ...

-----
Пиво, сиськи, транс

| Сообщение посчитали полезным:

2 gazlan:
Интерфейс и номер версии ВООБЩЕ никак не говорит о качестве программы )
Если программа проста в использовании - то у неё простой интерфейс (и наоборот - если интерфейс сложный, то и программа видимо тоже будет сложна в использовании).
Тоже самое про номер версии - чем выше номер версии, тем как правило сложнее интерфейс и вследствии этого сложнее на ней работать ...

| Сообщение посчитали полезным:

gazlan

LikeRusXP 3.5 была им обработана.

| Сообщение посчитали полезным:

имхо, протект ничего, но снять его возможно. опкод зависит от позиции на ленте. имхо, самый правильный путь создания декомпиля - использовать эмуль, благо сама машина открыта. самое простое - бряк на ret из виртуальной машины, и крутиться-крутиться. плоховато закрыт вызов функций, хотя переходники "шифруются". поэтому не стоит использовать эту защиту в вб прогах, а в частности поэтому крекми5 от GPcH ломается легко.

| Сообщение посчитали полезным:

NIKOLA
Не знаю, уж чем ЛайкРус там был задрючен, но его версии 3.5 и 3.55 я аж по 2 дня ковырял, пока сломал, причем почти без перерывов на хавчик и прочее.
Довольно неприятная вещь и раздражает, хотя с юзаньем в Ольке обратной трассировки и большим терпением расковырять прогу можно.

| Сообщение посчитали полезным:

Спасибо всем ответившим.

-= ALEX =- пишет:
генерируеЦЦу опкоды по разному

Угу. Но не думаю, что там большой набор вариантов.

dermatolog пишет:
Интерфейс и номер версии ВООБЩЕ никак не говорит о качестве программы

Ага. надо реверсировать 300+ Kb кода, провести многомесячное исследование ... смотрю на то, что можно увидеть. Об остальном спрашиваю людей более сведущих.

NIKOLA пишет:
LikeRusXP 3.5 была им обработана.

Я думал, основное там - Obsidium

gary_gray пишет:
самый правильный путь создания декомпиля - использовать эмуль, благо сама машина открыта. самое простое - бряк на ret из виртуальной машины, и крутиться-крутиться.

В моем тесте было 183 вызова вирт.машины + хрен знает сколько проходов по ней в каждом цикле - устал "крутиться-крутиться"

gary_gray пишет:
плоховато закрыт вызов функций, хотя переходники "шифруются". поэтому не стоит использовать эту защиту в вб прогах

Я смотрел прогу на VC, вызовы API. "Шифрование" - фигня, но если таких вызовов много, то опять-таки лениво

А чем VB проще/хуже (если там нэйтив код) ?

Archer пишет:
аж по 2 дня ковырял, пока сломал

Может найдешь еще 2 часа и напишешь тьютор по съему VM ?

| Сообщение посчитали полезным:

gazlan
Да я не снимал его толком. В Лайкрусе вроде Ориен навешен, я его снял, а дальше патчил по-дикому прогу. Там просто очень много мусорного кода, который раздражает, но патчить не мешает.

| Сообщение посчитали полезным:

Archer пишет:
Там просто очень много мусорного кода

Да, уже заметил - в мусор превращаются все защищенные функции +
переходники + 2 секции самого протектора.

| Сообщение посчитали полезным:

Автор лайкруса всех развлекает - на самом деле он в каждой версии юзает разные проты и ориен и обсидиум и вм протект.

-----
Всем не угодишь

| Сообщение посчитали полезным:

gazlan
ты не понял: бряк надо ставить на выходе из вм, расценивая её как чёрный ящик. а ориентироваться по вызовам через переходники, переодически поглядывая в стеки вм. это воистину ручная и гиморная работа, но посильная при хорошем стимуле.

что касается вб в нативе - то он ничем не хуже. я говорю про любой код, в котором много вызовов. в этом случае довольно просто всё разбирается.

ваще я уже говорил, эту защиту надо использовать исключительно на вычисляющих кусках кода, без вызовов и всяких абстракций.

| Сообщение посчитали полезным:

gary_gray пишет:
эту защиту надо использовать исключительно на вычисляющих кусках кода, без вызовов и всяких абстракций

Понял, спасибо.

| Сообщение посчитали полезным:

например алго в кейгенах защищать

| Сообщение посчитали полезным:

Nitrogen
Часто рипают?

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Nitrogen пишет:
например алго в кейгенах защищать
ЛОЛ, кейгены стали защищать от особо рьяных крэкеров.

-----
Всем не угодишь

| Сообщение посчитали полезным:

Nitrogen пишет:
например алго в кейгенах защищать
Точна! Аффтар жжот. Классную идею подкинул
Видимо рипперов много развелось, раз такие меры

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

всякое случается.. лучше обезопасить себя .. правда размер чуть ли не в два раза увеличивается, а кг ессно на асме и протекчу всего лишь саму процедуру генерации

| Сообщение посчитали полезным:

Nitrogen пишет:
всякое случается.. лучше обезопасить себя .. правда размер чуть ли не в два раза увеличивается, а кг ессно на асме и протекчу всего лишь саму процедуру генерации
Я чето думал что ты прикалываешься... не думал что ты серьезно... хотя может и недурная идея... еще поверх VMProtect'а дотфиксом прогони со спертыми байтами - тады ваще гузло для рипера

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

VMProtect с некоторого времени каспер стал называть вирусом.

| Сообщение посчитали полезным:

2nd пишет:
VMProtect с некоторого времени каспер стал называть вирусом.

Цитирую пост дерматолога от 30.09.05

Письмо от сотрудника компании "лабаратория Касперского":
=============================================================
Ситуация следующая. Нам приходит большое количество троянских программ
и rootkit'ов обработанных вашим VM-Protect'ом.
Вполне очевидно, что анализировать подобные файлы практически
невозможно. Небольшое исследование показало, что из всего
множества защищенных файлов нашлось только одно коммерческое
приложение обработанное вашим продуктом.
В результате в базы была добавлена эвристика которая выдает вердикт
suspicion (подозрительный объект) и добавлена false
alarm запись для этого продукта, что бы избежать ложного срабатывания.
=============================================================

В связи с этим до выяснения причин, по которым защита в лице
VMProtect-а определяется антивирусом данной компании как "вирус
VM-Protect", рекомендую для защиты своего ПО использовать обновлённую
версию программы:
http://www.polytech.ural.ru/files/vmprotect_108b5.exe http://www.polytech.ural.ru/files/vmprotect_108b5.exe ]http://www.polytech.ural.ru/files/vmprotect_con_108b5.exe

http://www.polytech.ural.ru/files/vmprotect_con_108b5.exe[/c

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Мде, вот что происходит.
Хочется верить, что автор прота не поддастся на провокации и будет радовать нас новыми версиями
Хотя сотрудников лаборатории тоже понять можно... ;) Надо же как-то базу пополнять

-----
crypto.freak

| Сообщение посчитали полезным:

Для Дерматолога:
GPcH пишет:
Вполне очевидно, что анализировать подобные файлы практически
невозможно.
Дерматолог, отпиши им отборным матом с упоминанием про суд, что это из проблемы, ты только пишешь протектор для защиты какой-нибудь своей программы и выкладываешь протектор по доброте душевной! Совсем уже обнаглели уроды.

GPcH пишет:
Небольшое исследование показало, что из всего
множества защищенных файлов нашлось только одно коммерческое
приложение обработанное вашим продуктом.
Если есть, значит протектор используется по назначению, и ты не виноват, что трояны пакуют им. Пиши и матери и говори, что не имеют права!

| Сообщение посчитали полезным:

2 all:

1. По моей просьбе сообщение в AVP было изменено на "возможно заражён вирусом Type_Win32" (читать как "возможно заражён неизветсным вирусом")
2. Начиная с версии 1.08 защита в лице VMProtect-а вообще не детектится AVP (надолго ли ? ))

| Сообщение посчитали полезным:

dermatolog пишет:
надолго ли ? )
До тех пор, пока очередной трой им не запакуют

dermatolog
Вообще хочу сказать большое спасибо, потому что пользуюсь протом регулярно, для тех же целей, что и Nitrogen А случаи рипов были Даже несмотря на то, что на кейгене висел не один, а несколько крипторов разных. Видимо просто дампят, а потом рипают. Уроды.

-----
crypto.freak

| Сообщение посчитали полезным:

cbs пишет:
Видимо просто дампят, а потом рипают. Уроды
А чего мучаться? Чего бы не навешал, это не 100% гарантия, что не распакуют. А 100% гарантия - это табличка серийников (такая-себе база) и по нажатию кнопки "Generate" кейгенчик выдает серийник из базы. Ну а если и с именем надо, то можно на несколько имен сгенерить, проблемы будут только с теми кейгенами, где генерится ответный код...Способ, конечно, некрасивый, но зато облом для риппера
PS: А что Доктор Вэб по этому поводу говорит(запакованных троянов)?

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
Чего бы не навешал, это не 100% гарантия, что не распакуют.
Так вот вся фишка ВМПротекта в том, что его не надо распаковывать Надо "всего лишь" написать декомпиль для ВМ. А вот если человек такое может сделать, то он точно не станет алгоритм из кейгена рипать

-----
crypto.freak

| Сообщение посчитали полезным:

cbs пишет:
Так вот вся фишка ВМПротекта в том, что его не надо распаковывать
Ссори, немного не так выразился
cbs пишет:
Надо "всего лишь" написать декомпиль для ВМ
Ну на данный момент времени соглашусь. Просто где гарантия, что человек, который напишет декомпиль его где-нить не выложит? Вот если его кто-нить напишет и выложит, то рипать будут кому хочется

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
Ну на данный момент времени соглашусь.
Этот 'данный' момент длится уже достаточно долго, что не может не радовать Все-таки, время здесь решает, т.е. если даже когда-нибудь и появится какая-нибудь автоматическая тулзень, то это будет очень не скоро, так что актуальность кода, который можно получить, будет незначительна.

Error_Log пишет:
Просто где гарантия, что человек, который напишет декомпиль его где-нить не выложит? Вот если его кто-нить напишет и выложит, то рипать будут кому хочется
Дело в том, что проекты подобной сложности редко делают "just for fun" Если сделают, то, скорее всего, это будет за $ или как рабочий инструмент, который в паблик просто так не попадет. Примерами могут послужить StarForce и ExeCryptor

-----
crypto.freak

| Сообщение посчитали полезным:

Обновился VMProtect v 1.09 [ от 17.10.2005 ]
www.polytech.ural.ru/files/vmprotect.exe

| Сообщение посчитали полезным: