Вашему вниманию предлагаются наработки по декомпиляции ВМ.
Проект на сегодняшний день для меня завершен, но жаль если результат "ляжет на полку", может кому-нибудь и пригодится. Предлагаю сначала ознакомиться с обзором, и если будет интерес то могу выложить и сам плагин, или здесь или в личку заинтересованным лицам, каким образом, пока ещё не решил...
Но если кто-либо ожидает увидеть "автоматическое чудо", то сразу скажу - его нет. Для того чтобы получить результат нужна ручная предварительная работа:
- с исследуемой программы должна быть снята упаковка
- точки входа в ВМ находятся вручную
- возможно неоднократное "жамкание" клавиш в OllyDbg, а возможно и модификация кода, чтобы попасть в нужное место, в зависимости от защищенной функции
- необходимо вручную прицепить к программе требуемый секцию
- запись результатов в файл это тоже ручная работа, но уже более приятная

Не всё гладко обстоит с определением реализаций ВМ, на сегодняшний день примерно каждая третья реализация автоматом не определяется, приходится под неё модернизировать плагин, т.к. не могу сразу предусмотреть все случаи "издевательств" ВМ с кодом примитивов. Лучше дела с восстановлением "исходного" кода защищенных функций - 70% нормально восстанавливается, хотя во многом это зависит от самой структуры функции. Таким образом, если будет заинтересованность и помощь в нахождении подобных ситуаций, то проект может быть доведен до релизной стадии.

ЗЫ: Речь идет об Ореановских машинах. Нигде специально не упоминал.

9c41_03.03.2010_CRACKLAB.rU.tgz - VMSweeperLst.rar

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit пишет:
Декомпилит всё, на что можно поставить ЕИП
к сожалению, ни на рабочем дампе , ни на оригинале (на исполняемом пути) не может определить тип вм.
// если интересно, могу залить.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Привожу "правильные" опции ассемблера Ольки при которых создавался и тестировался плагин (выделены опции которые у некоторых пользователей действительно приводили к ошибкам анализа/декомпиляции кода).
[Settings]
IDEAL disassembling mode=0
Disassemble in lowercase=0
Separate arguments with TAB=0
Extra space between arguments=0
Show default segments=1
Always show memory size=1
NEAR jump modifiers=0
Show local module names=1
Show symbolic addresses=0
Use short form of string commands=0
Use RET instead of RETN=0
SSE size decoding mode=0
Size sensitive mnemonics=1
Top of FPU stack=1
Decode registers for any IP=0
Automatically select register type=0
Decode SSE registers=0

-----
Everything is relative...

| Сообщение посчитали полезным:

Обработаны все присланные программы, претятствия для получения декомпилированного кода устранены...

Новая версия VMSweeper v1.4 beta 10
Добавлено:
1. Улучшена разметка полностью затертой IAT.
2. Улучшено распознавание имен API функций.
3. Изменение размера виртуального сегмента под промкод (опция VMS size в ini файле).
4. Отслеживание содержимого памяти и всего стека при создании промкода.
5. Улучшена девиртуализация условных переходов.
6. Анализатор кода распознает ещё два вида кода: чистый и обфускированный. Ранее они находились в группе "Cancelled".
7. Девиртуализация инструкции sub esp без флагов.
8. Обработка входа в ВМ типа call xx (позволяет декомпилировать любой промежуточный вход в ВМ).
9. Автоматический режим анализа кода ВМ. Переход в этот режим осуществляется по запросу после первого рестарта приложения.
Код, полученный в этом режиме, может быть хуже кода полученного в ручном режиме ( Ctrl+F2 -> [ F9 ] -> Shift+F1 ), но
позволяет быстро проверить возможность декомпилируемости кода. В этом режиме работает только статический анализатор кода.
Исправлено:
1. Обработка транзитного (пустого) выхода из ВМ.
2. Устранено исключение при восстановлении соответствия регистров ВМ и CPU.
3. Определение количества аргументов обфускированной функции.
4. Пикод может детектироваться в любом сегменте исследуемой программы.

-----
Everything is relative...

| Сообщение посчитали полезным: SReg, huckfuck, _ruzmaz_, m0bscene, Nightshade, NikolayD, [Nomad], ClockMan, Gideon Vi, Smon, VodoleY, Yotun, Airenikus, daFix, stub, YDS, demon1232010, DGX, xmss, 4kusNick

Vamit

Can you share OllyDbg patch by Int'a. .

Thanks for this great tool , Vamit .

Edit : found the patch , Thanks SReg.

| Сообщение посчитали полезным:

Vamit пишет:
Привожу "правильные" опции ассемблера
хорошо воркает под пропиаренный патч...
Vamit пишет:
Удаление AntiDump
приатачил - "Section a12 final".


8876_01.03.2011_CRACKLAB.rU.tgz - log.log

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
приатачил - "Section a12 final".
Да, удаление антидампа не сработало, если либа та же, которую высылал мне, то скажи адрес декомпиляции.

-----
Everything is relative...

| Сообщение посчитали полезным:

Код Bronco это похоже на прогу так как есть вызов создания окна. А сам ВМПрот не пробовали декомпилить тот что на паблике есть 2.05?

| Сообщение посчитали полезным:

Vamit пишет:
если либа та же
лог от другой приблуды.
Vamit пишет:
скажи адрес декомпиляции
в либе опечатано с 10-ток фунок.
// Адреса фунок можно взять из таблицы экспорта + IB.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

nvrmind

| Сообщение посчитали полезным:

Люди добрые, а нет ли у когонибудь экзешника типа мессаджбокса накрытого кодевиртом, который может скушать свипер?

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Автору не помешает сделать хоумпейдж на том же народе для удобностии проверки обновлений.

| Сообщение посчитали полезным:

Новая версия VMSweeper v1.4 beta 11

Добавлено:
1. Обработчики FPU инструкций: fclex, fldcw, fstcw, fldz, fld1, fistp.
2. Окно ввода значений сегментов кода и ВМ теперь имеет три кнопки:
- Analyze - начать анализ точек входа в ВМ и восстановление импорта.
- Accept - принять введенные значения сегментов без выполнения анализа.
- Cancel - выйти не производя никаких изменений.
3. Вывод имен API функций в картах пикода, релоков и вызовов функций.
4. Девиртуализация инструкции add esp, xx
5. Улучшено восстановление частично затертой IAT.
6. Восстановление импорта типа: push reg; call vm -> call [api].
7. Восстановление импорта типа: push/pop reg; call vm -> mov reg,[api].
8. Улучшено распознавание точек входа в ВМ.
9. Улучшено распознавание цикла ВМ.
Исправлено:
1. Преобразование кода pop xx; jmp xx в retn.
2. Реструктуризация промкода. Пересечения блоков.
3. Устранено несколько исключений при девиртуализации кода.
4. Удаление кода антидампа.

-----
Everything is relative...

| Сообщение посчитали полезным: Ultras, TrueLies, hlmadip, ClockMan, obfuskator, m0bscene, Gideon Vi, V0ldemAr, zeppe1in, _ruzmaz_, Bronco, Airenikus, NIKOLA, d0wn, BAHEK, Smon, [Nomad], ajax, 4kusNick, daFix, r99, stas_02, uzgate, Sunzer, linhanshi

Новая версия VMSweeper v1.4 beta 12

Исправлено:
1. Исправлено несколько ошибок в декомпиляторе CodeVirtualizer, внесенных при разработке декомпилятора VMProtect, что позволяет в большинстве случаев (если ВМ успешно распознается) получать 100% исходный код.


Это скорее всего последняя сборка сделанная мной, дальнейшая разработка возможна только по индивидуальным заказам или ввиду собственной потребности использования данного продукта.
Ушел в продолжение разработки Декомпилятора С++...

-----
Everything is relative...

| Сообщение посчитали полезным: BAHEK, HandMill, _ruzmaz_, obfuskator, r_e, huckfuck, m0bscene, ClockMan, kioresk, sendersu, NikolayD, Isaev, Gideon Vi, Ultras, 4kusNick, xmss

Vamit пишет:
(если ВМ успешно распознается)

Что это значит? Вот есть у меня одна программка, которая накрыта VMProtect. Я загружаю её в ольку, стоя на ОЕР, выбираю Analyze all VM references, но получаю вот это:



Что делать?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL,

«…получать 100% исходный код» относится к CodeVirtualizer.

| Сообщение посчитали полезным:

kioresk
Это я понял, но я предполагаю, что ВМ может не распознаться и в случае с ВМпротом. На скриншоте как раз такой случай (наверное). Можно ли что-то сделать в таком случае?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет: Что делать?
Проверить правильность задания границ сегментов кода и вм и повторить анализ. Вообще-то Analyze all VM references не распознает типы вм, а только эвристически находит возможные входы в вм. Если она ничего не нашла, а вы уверены, что это вход в вм, то вставайте на него (обязательно EIP) и давите F1. Сначала идет анализ вм - определение инициализации вм, затем цикла вм, затем идентификация примитивов, затем построение промкода, затем декомпиляция промкода. Если что-либо на этих этапах не так - то всё можно увидеть в соотвествующих файлах или сообщениях.

Конкретно в твоем случае, если хочешь, чтобы я глянул и сказал причину нужно сообщить условия анализа - заданные диапазоны адресов, ОЕП и выслать прогу. А ещё лучше, если сам во всем разберешся и сообщишь что в этом-то месте декомпиль ведет себя некорректно, тогда можно рассчитывать что этот случай будет откорректирован в Свипере.

-----
Everything is relative...

| Сообщение посчитали полезным: ARCHANGEL

Vamit вернулся к старому проэкту... практически не косячит свипер, прозрел когда он мне поднял код промежуточного входа в ВМ. незнаю как воспримите.. а нельзя ли было бы в свипер добавить еще один функционал. пробег с точки типа ф1 на IP до какого то места (например количество команд) просто деморфом. цены бы не было такой весчи.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY Ответ уже был в топе , и вопрос был тотже =) .. Не рассчитывайте

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Есть ли возможность добавить anti-anti-vm (конкретно virtualbox), т.к. XP есть только на vm, которая успешно обнаруживается.

| Сообщение посчитали полезным:

vden,

Если используешь VMware, то пока можешь спокойно обходить детект ВМ так:

https://ssl.exelab.ru/f/action=vthread&forum=13&topic=14460#22

| Сообщение посчитали полезным:

> Если используешь VMware, то пока можешь спокойно обходить детект ВМ так:

VirtualBox это какбе совсем не VMWare

| Сообщение посчитали полезным:

DrGolova пишет:
VirtualBox это какбе совсем не VMWare
какбе там всё правильно написано

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

DrGolova пишет:
VirtualBox это какбе совсем не VMWare
VMBox это Oracle, поэтому она лучше варьки в разы там не падает сисер в бсод и норм можно проги трейсить через ольку, ещё хакерам на линуксе там хорошо херачить

| Сообщение посчитали полезным:

Joseph_Kerr пишет:
VMBox это Oracle, поэтому она лучше варьки в разы там не падает сисер в бсод и норм можно проги трейсить через ольку, ещё хакерам на линуксе там хорошо херачить

пора бы уже в процессе регистрации требовать сканы с справок от нарколога и психолога. Можно ещё от венеролога, но могут обвинить, да...

| Сообщение посчитали полезным: 4kusNick

kioresk пишет:
Если используешь VMware, то пока можешь спокойно обходить детект ВМ так
Анти-Анти-VMware встроен в VMSweeper,виртуаль бокс детектится множеством способов, читая инфу с биоса поиском соответствующих строк,поиск в процессе VboxService.exe, плюс глюки в выполнении некоторых асм опкодов...

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Кста, харварные бряки работают на последнем VMBox?

| Сообщение посчитали полезным:

kioresk
спасибо

V0ldemAr
да, вроде работают, правда не знаю работают ли если проц без аппаратной виртуализации

| Сообщение посчитали полезным:

Vamit
столкнулся с постоянным вылетом olly при анализе. как правивильно обработать этот участок или обойти его хотя бы временно? лог и трейс прикладываю

343d_01.08.2011_EXELAB.rU.tgz - VMS_MetaLang.zip

| Сообщение посчитали полезным:

neprovad
Чтобы ответить на твой вопрос нужно иметь исследуемый файл, если выложишь, то посмотрю...

-----
Everything is relative...

| Сообщение посчитали полезным: