Вашему вниманию предлагаются наработки по декомпиляции ВМ.
Проект на сегодняшний день для меня завершен, но жаль если результат "ляжет на полку", может кому-нибудь и пригодится. Предлагаю сначала ознакомиться с обзором, и если будет интерес то могу выложить и сам плагин, или здесь или в личку заинтересованным лицам, каким образом, пока ещё не решил...
Но если кто-либо ожидает увидеть "автоматическое чудо", то сразу скажу - его нет. Для того чтобы получить результат нужна ручная предварительная работа:
- с исследуемой программы должна быть снята упаковка
- точки входа в ВМ находятся вручную
- возможно неоднократное "жамкание" клавиш в OllyDbg, а возможно и модификация кода, чтобы попасть в нужное место, в зависимости от защищенной функции
- необходимо вручную прицепить к программе требуемый секцию
- запись результатов в файл это тоже ручная работа, но уже более приятная

Не всё гладко обстоит с определением реализаций ВМ, на сегодняшний день примерно каждая третья реализация автоматом не определяется, приходится под неё модернизировать плагин, т.к. не могу сразу предусмотреть все случаи "издевательств" ВМ с кодом примитивов. Лучше дела с восстановлением "исходного" кода защищенных функций - 70% нормально восстанавливается, хотя во многом это зависит от самой структуры функции. Таким образом, если будет заинтересованность и помощь в нахождении подобных ситуаций, то проект может быть доведен до релизной стадии.

ЗЫ: Речь идет об Ореановских машинах. Нигде специально не упоминал.

9c41_03.03.2010_CRACKLAB.rU.tgz - VMSweeperLst.rar

-----
Everything is relative...

| Сообщение посчитали полезным:

По многочисленным просьбам WMSweeper 1.5 beta 3
Изменений много, но не фиксировал, дорабатывал под себя...

62f8_08.04.2014_EXELAB.rU.tgz - VMSweeper.rar

-----
Everything is relative...

| Сообщение посчитали полезным: Quikken, SReg, Jaa, Airenikus, 4kusNick, daFix, Gideon Vi, VodoleY, CyberGod, Ultras, BAHEK, mak, Isaev

Thank you for update. My target gets IAT resolved by your plugin, but all VM functions return error. I followed all instructions, but seems the VM is not recognized properly by the plugin.

Google Translation: Спасибо за обновления. Моя цель получает IAT решены вашего плагина, но все функции ВМ вернет ошибку. Я следовал всем инструкциям, но, кажется, В.М. не распознан надлежащим образом с помощью плагина.

VMP Target / ВМП Целевая: http://www.sendspace.com/file/4i93ob





| Сообщение посчитали полезным:

Quikken пишет:
Thank you for update. My target gets IAT resolved by your plugin, but all VM functions return error. I followed all instructions, but seems the VM is not recognized properly by the plugin.
У вас dll файл, а в dll в последних протекторах добавлен новый примитив. Что он делает я не разбирался, следовательно обработчик примитивов под него не написан.
Exe файлы декомпилируются в большинстве случаев нормально.

-----
Everything is relative...

| Сообщение посчитали полезным:

Quikken пишет:
Not recognize VM primitive 0E


На вызов API похоже.

| Сообщение посчитали полезным:

Я тоже столкнулся с таким примитивом.
Если нужно могу прислать код примитива или файл полностью.

P.S. Не нашел где можно скачать исходники VMSweeper

| Сообщение посчитали полезным:

AutumnRain
Нигде

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: Jaa

Плохо. Тогда будем ждать Vamit

| Сообщение посчитали полезным:

AutumnRain есть вариант получения декомпиляции свипера без этого примитива. я когдато так поступал, когда свипер не мог многие примитивы распозновать. тебе надо в таблице адресов примитива, неизвестный заменить на какойто известный, свипер хоть и кривой код.. но построит. НО надо будет учитывать эту поправку.. НО по крайней мере хоть валиться не будет
З.Ы. 1 примитив можно и руками разобрать, и в нужных местах ставить себе пометочки. это лучше чем всю рутину лопатить

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY Заменить адрес примитва не получиться, т.к. таблица адресов примитивов используется в работе VMProtector'а.

И потом, даже если обмануть VMSweeper, то не понятно в каких местах сгенерированного кода нужно внести коррективы. VMSweeper к сожалению не ведет лог по которому было бы виден порядок исполнения примитивов.

| Сообщение посчитали полезным:

AutumnRain ДА ЧТО ВЫ ГОВОРИТЕ???!! вы открыли глаза на суть проблемы! оказывается примитивы испрользуются ВМПротом... о как.. Курите сорцы. Фокус имменно в замене адресов в таблице примитивов. это в главном цикле виртуальной машины, табличка аля lea edx,[eax*4+xxxxxx] xxxxx-это и есть ваша таблица
З.Ы, и не надо гнать на свипер. логово он ведет больше чем надо, другой вопрос что их никто не читает.. если вам с неизвестной прогой сложно, возмите пример по проще, хотя бы тот что вместе со свипером идет.. поиздевайтесь сначала над ним

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY Я наверно не точно выразился. Сами адреса из таблицы адресов в виде данных используются. По ним считается CRC. Которая потом идет еще куда-то.
Я вставлял в код не распознанного примитива jmp на код распознанного примитива. Но полученный код сильно уходит в сторону от оригинала.

| Сообщение посчитали полезным:

Привет всем!
Если у вас dll, то пока с ними ковыряться некогда, там ещё есть что-то..., если же экзешник с неизвестным примитивом то могу помочь - высылайте прогу и инфу где падает.
Насчет логов - там есть всё, даже то, что вам никогда не понадобится

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit
Как-то раз видел как свипер создал код из кучи push и pop. Этот код потом оптимизировался и приводился в нормальный вид. Можно ли в свипере добавить галку оставлять код в таком виде? Свипер частенько не собирает код в нормальный вид, но это можно сделать и руками.

| Сообщение посчитали полезным:

Nightshade
Это все есть в лог файлах, всё что делает Свипер (в последовательности действий) записывается в файлы.
Первый код созданный свипером это промкод - примитив вм заменяется кратким исполняемым аналогом, про него и идет речь, там много push/pop, т.к. вм стековая, всё это есть в файле .trc, вообще-то где-то был пост о всех логах и что в них содержится, только большинство их читать не умеют...
Свипер частенько не собирает код в нормальный вид, но это можно сделать и руками.
Конечно можно, если декомпиль дошел до секции a12 final и вы умеете читать логи и способны ЛОГИЧЕСКИ ПОНИМАТЬ ПРОИСХОДЯЩЕЕ, но для этого промкод не нужен (туда можно заглядывать в исключительных случаях), в основном всё нужное находится в .log файле.

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit
Вот ссылка на файлы

| Сообщение посчитали полезным:

AutumnRain
Доступ к данному ресурсу закрыт оператором связи по решению Роскомнадзора, прикрепи файл прямо к посту - размер небольшой...

-----
Everything is relative...

| Сообщение посчитали полезным:

http://rghost.ru/55001876
перезалил

| Сообщение посчитали полезным: AutumnRain

Ловите WMSweeper 1.5 beta 4

eaa8_07.05.2014_EXELAB.rU.tgz - VMSweeper.rar

-----
Everything is relative...

| Сообщение посчитали полезным: Jaa, AutumnRain, VodoleY, mak, CyberGod, vnekrilov, daFix, MarcElBichon, v00doo, Gideon Vi, Ra1n0, ClockMan, Mishar_Hacker

Добрый день всем.

Vamit, используя ваш замечательный плагин, я часто сталкиваюсь с ошибкой преобразования кода на этапе a10. В результате в OllyDbg попадет код в следующем виде:



т.е. вместо условного перехода - безусловный. Можно ли сделать так, чтобы переход все же остался условным? Хотя бы в виде:



P.S. Еще раз огромное спасибо за ваш плагин.

| Сообщение посчитали полезным:

AutumnRain, то, что Вы видите - это промежуточный код (п-код заменен ассемблерными вариантами примитивов)

На момент его создания декомпилятор еще не знает, что должно быть в конце блока (JMP или Jcc), поэтому там просто безусловный переход на одну из веток.

На это не стоит обращать внимания, декомпилятор продолжает разбирать вм дальше, но это отражается только в файлах лога. Там в большинстве случаев есть вполне приемлемый для анализа код.

| Сообщение посчитали полезным: VodoleY

Initial пишет:
На это не стоит обращать внимания
поддерживаю предыдущий пост. свипер это инсрумент.. это не ОнеКлик софт для снятия вмпрота. попробуйте полазить по логам свипера их там предостаточно аж с избытком. если научитесь в них разбираться будет вам щастье

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Так я же не против полазить по логам. Просто не очень понятно зачем в исследуемой программе вставляется промежуточный код который 100% не будет работать из-за безусловных переходов.

Причем вставка промежуточного кода происходит после возникновения ошибки на этапе a10. На этот момент VMSweeper уже обладает информацией для построения условного перехода.

Мое предложение доработки даст возможность получить работающий код. Который можно будет оптимизировать своим плагином, до получения полного собственного удовольствия.
Или простепать, если возникнет желание уточнить работу программы (сверяясь с логами VMSweeper'а)

| Сообщение посчитали полезным:

Свипер уже попал в референсы статей по ВМ
http://ru.scribd.com/doc/222907805/Introduction-to-Modern-Code-Virtualization

ЗЫ: оказывается баян и на тутси еще в январе 2014

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: Initial

AutumnRain это все следствие реализации логики ВМ прота.. там идет вычисление адреса джампа из констант в ленте ПиКода, с подмешиванием флагов. поэтому там по факту всегда джамп, а вот адрес.. вопрос вычисления

З.Ы т.е нет 2ух jne xxx jmp yyy, а есть один jmp eax..

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным: Initial

AutumnRain пишет:
Причем вставка промежуточного кода происходит после возникновения ошибки на этапе a10. На этот момент VMSweeper уже обладает информацией для построения условного перехода.

Этот код составляется еще до секции move line в лог файле.
А в случае неудачи, зачем-то в место начала декомпиляции ставится JMP на него . (наверно в отладочных целях)

| Сообщение посчитали полезным:

Initial jmp еще ставится как прыжок между 2мя блоками пикода, это когда идет смена адреса, но без пересчета хеша пикода. это внутренняя кухня

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY, все так.
Но я писал про JMP который ставится на адрес начала декомпиляции, мы, стоя на нём, нажимаем F1.

PS: хотя, Вы наверно это в ответ на другой пост

| Сообщение посчитали полезным:

Initial пишет:
VodoleY, все так.
Но я писал про JMP который ставится на адрес начала декомпиляции, мы, стоя на нём, нажимаем F1.
это вообще не то не то) там условных переходов нету. вход в ВМ до главного цикла ВМ это инициализация ВМ. к условным переходам вообще отношения не имеет. там все условные переходы или фиктивные.. или 2 равноценных ветки с разным морфом.. т.е пофигу куда ходить

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Может кто сталкивался, пробую декомпиль на паре фунок, идёт декомпиляция, через некоторое время получаю:


свипер 1.5 beta 4, сам софт не упакован, только 4 функи под ВМ.

-----
ds

| Сообщение посчитали полезным:

DimitarSerg пишет:
идёт декомпиляция, через некоторое время получаю
А в логе что? Секция а12 есть? тогда это конец...

-----
Everything is relative...

| Сообщение посчитали полезным: