Code Unvirtualizer
by Deathway - 2009
======================================================


v1.0
- First NON beta release
- Contains OreansJunk.cfg, OreansSyntax,cfg
- Support MultiBranch, Labels
- Designed to work with Themida Virtual Machine
- Added JUMP table.txt


- Start Address contains the very first ESI
- Thunk Adddress contains others address,
always bigger than the girst ESI, this is to maintain
the order of the decrypted virtual opcodes
ThunkAddress is what is going to be read from memory,
Startaddress is a reference to calculate the distance
and therefore the labels, in case you are entering
to a VM data, you sohuld set Thunk address and Start address
with the same value. This setting is repercuted like this

Example
StartAddress:430000 ThunkAddress:430000
00000000 MOVE ADDR, 00000006 (Vm_Eax)

StartAddress:430000 ThunkAddress:4359E6
000059E6 MOVE ADDR, 00000006 (Vm_Eax)

In some ocasions you will see that Jumps leads to a
region non-loaded by the ReadProccessMemory, this helps
you to determine the destination of the jump

Example to convert from OreansSyntax to AssemblerSyntax


000059E6 MOVE ADDR, 00000006 (Vm_Eax)
00005A0D LOAD DWORD PTR [ADDR]
00005A0E MOVE ADDR, 00000006 (Vm_Eax)
00005A1D LOAD DWORD PTR [ADDR]
00005A36 TEST DWORD
00005A40 STORE FLAGS(Vm_Unk)
0155(00000801)
00005A65 JCC @Label1(00005AEC)
00005A88 LOAD DWORD 0
00005A9C MOVE ADDR, 00474094
015E
015A(0B84CA65)
00005AB5 NOP
00005AB6 LOAD DWORD PTR [ADDR]
00005AB7 JMP @Label2(00005B64)
@Label1
00005B03 MOVE ADDR, 004166b9
015E
00005B26 LOAD ADDR
00005B37 JMP @Label2(00005B64)


test eax,eax
je label1
push 0
call [00474094]
label1:
jmp VirtualEnd

link http://www.multiupload.com/4091M9ENUX

| Сообщение посчитали полезным:

боян, я ее еще в апреле вылаживал
http://exelab.ru/f/action=vthread&topic=13950&forum=13&pag e=0#8

если ты это взял это с тутс, то тот чел, что там это выложил он оч часто вылаживает старье, я там говорить это не стал, т.к. не особо говорю на буржуйском

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoVЭто версия 1 а в том посте 0.3

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

http://exelab.ru/f/action=vthread&topic=13950&forum=13&page=0#8
BoRoV пишет:
Обновилось до версии 1.0, автор говорит что все пофиксено и должно работать нормально
http://www.sendspace.com/file/qk0y8d
ты уверен?

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Это бинарник или сорсы?

| Сообщение посчитали полезным:

бинарник , сорсы просить надо , я так и знал что автор не бросит проект

Поправка Это ты автор этой программы ??? (а понятно типо приват был)

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Ну кому надо, а у кого и так есть. Я просто всегда интересуюсь тем, что выкладывают сначала в привате, а через неделю уже на паблик. Всё-таки опасаюсь что закончится тем, что кто-нибудь выложит на паблик мой инструментарий и релизы.

| Сообщение посчитали полезным:

А может кто-нибудь выложить еще раз этот унвиртуалайзер? Пожалуйста.
А то у меня Google глючит и ничего не находит. А эти ссылки умерли.

| Сообщение посчитали полезным:

https://www.sendspace.com/file/g68yir

| Сообщение посчитали полезным: plutos, Kuzya69

sendersu
Sorry, the file you requested is not available.
Possible reasons include:

- File date limit has expired.
- File was not successfully uploaded.

It is not possible to restore the file. Please contact the uploader and ask them to upload the file again.

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

а у меня все нормально загрузилось и открылось

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

BfoX
--> Mega <--
--> Rghost <--

| Сообщение посчитали полезным: