Вашему вниманию предлагаются наработки по декомпиляции ВМ.
Проект на сегодняшний день для меня завершен, но жаль если результат "ляжет на полку", может кому-нибудь и пригодится. Предлагаю сначала ознакомиться с обзором, и если будет интерес то могу выложить и сам плагин, или здесь или в личку заинтересованным лицам, каким образом, пока ещё не решил...
Но если кто-либо ожидает увидеть "автоматическое чудо", то сразу скажу - его нет. Для того чтобы получить результат нужна ручная предварительная работа:
- с исследуемой программы должна быть снята упаковка
- точки входа в ВМ находятся вручную
- возможно неоднократное "жамкание" клавиш в OllyDbg, а возможно и модификация кода, чтобы попасть в нужное место, в зависимости от защищенной функции
- необходимо вручную прицепить к программе требуемый секцию
- запись результатов в файл это тоже ручная работа, но уже более приятная

Не всё гладко обстоит с определением реализаций ВМ, на сегодняшний день примерно каждая третья реализация автоматом не определяется, приходится под неё модернизировать плагин, т.к. не могу сразу предусмотреть все случаи "издевательств" ВМ с кодом примитивов. Лучше дела с восстановлением "исходного" кода защищенных функций - 70% нормально восстанавливается, хотя во многом это зависит от самой структуры функции. Таким образом, если будет заинтересованность и помощь в нахождении подобных ситуаций, то проект может быть доведен до релизной стадии.

ЗЫ: Речь идет об Ореановских машинах. Нигде специально не упоминал.

9c41_03.03.2010_CRACKLAB.rU.tgz - VMSweeperLst.rar

-----
Everything is relative...

| Сообщение посчитали полезным:

Если интересно, небольшая утилита для приклеивания импорта, найденного свипером к дампу. Довольно простая, тестировалась на exe, но по крайней мере у меня, работает

В командной строке нужно указать текстовый файл, в который скопировали содержимое VM Reference, и путь к дампу.

| Сообщение посчитали полезным: SReg, vnekrilov, Jaa, Laki

Может кто знает как заставить OllyDbg v1.10 нормально обрабатывать MMX и SSE инструкции? Причем не только отображать их в окне кода, для этого есть плагины, но и работать с этими инструкциями через свой SDK ассемблировать и дизассемблировать.

-----
Everything is relative...

| Сообщение посчитали полезным:

А можно в свипер добавить функциональности?
Ну к примеру:
1) В настройки вынести переключатель между софтовыми и железными бряками, которые ставит свипер. Просто кажется у меня свипер из-за железных бряков не может правильно декомпилировать ВМ. Наверное защита проги ловит. Но чего-то я сам эту защиту поймать не могу. Одна ВМ никак не декомпилируется доходит до а07 этапа. И терминейтед.
2) И еще ввести кнопочку "Abort" с удалением установленных свипером бряков, а то бывает что жертва уже рухнула, а свипер никак не хочет отключиться от жертвы, и приходится несколько раз перезапускать жертву. Пока свипер поймет, что ему уже "не светит"
3) Ну и все-таки хотелось-бы иметь возможность принудительно задавать конечный адрес, чтоб свипер не лез на следующие ВМ, а тихонько отходил в сторону от жертвы.

| Сообщение посчитали полезным:

Не, а чего, никто не сталкивался с таким?
Свипер завалил жертву, а бряк оставил. При следующем запуске он ищет этот бряк, чтоб продолжить свои вычисления, опять валит жертву, но бряк еще не снял. и т.д. и т.п. Хорошо, если этот бряк стоит недалеко от ОЕП. А если путь к этому бряку проходит, через кучу манипуляций в дебагере, связанных с вводом нужных значений. Приходится экспериментировать, чтоб "убедить" свипер, что он должен завершиться.

Да и кстати, не плохо было-бы включать какую-нибудь метку, которая подсказывает, что свипер работает. Например после перезагрузки, а лучше все время. А то когда полоса загрузки свипера пропадает, становишься как слепой. Все на ощупь.

| Сообщение посчитали полезным:

О, плагины для иды... для Оли... для mr.Exodia...

Vamit мне помог своими трудами с терминами, большое ему за это Благодарю... В моей x64-вмашине попалось не 168 примитивов, а 79. Основную просто протрейсил, обошёл антиотладку (лоховская, я бы по-другому сделал), дошёл до OEP->DllMain, сдампил даже... а импорт в разнобой по разным адресам
Ну весело, дампить малый толк... И ВАУ - 2я вм(те же 79 примитивов), и один из примитивов способен вызвать 3ю... да что за байда

...

Написал вмтрейсер... почти... порядка 30 примитивов уже трейсит и показывает, что нужно-то ))
Почему я писал? Да потому что под x64 до сих пор только иииидаааа, но не обладает нужным мне функционалом...
Так бы мог и плаг для иды набросать, но моё - это нэйтив!

Но набухался я не поэтому!!!

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
Но набухался я не поэтому!!!

Узнаю старого товарища
Будешь готовый продукт делать в итоге?

-----
Research For Food

| Сообщение посчитали полезным:

Версия для меня точно будет. Но чтобы пользоваться всем, ещё немало работы вдобавок к запланированной надо провести. Например, автоматически распознавать сами примитивы под x64, как-то эмулировать некоторые api-функции... Решить, как распространять(нет желания, чтоб было в публичном доступе) - тоже немаловажно. Так что подует ветер - доведу до ума !

-----
IZ.RU

| Сообщение посчитали полезным:

WMSweeper доведен до релиза 2.0, успех полной декомпиляции вмпрота с созданием исходного кода составляет более 90%. Внесены следующие изменения:
- полное раcпознавание соответствия регистров вм и CPU
- девиртуализация инструкций с ModRM и SIB адресацией
- обработка любых инструкций в коде (MMX, SSE и прочие + те, которые Олька даже и не знает)
- распознавание пакетных вызовов на завиртуализованные функи и АПИ
- вставка созданного кода в нужное место, хотя это и затирает важную информацию, но позволяет скопировать созданный код в копию программы или в ИДА
- полностью статическая декомпиляция, без точек останова и исполнения кода
- оптимизатор структуры функции по условным/безусловным переходам на минимальную размер
Примерчик прилагается...
Новой версии Свипера в свободном доступе по определенным причинам не будет но если кому-то что-то потребуется декомпильнуть - обращайтесь.

4931_26.06.2015_EXELAB.rU.tgz - 78CD80.rar

-----
Everything is relative...

| Сообщение посчитали полезным: ClockMan, Maximus, Jaa, CyberGod, Vnv, [Nomad], samtehnik, daFix, srm60171, sendersu, Kuzya69, Ra1n0, DenCoder, 4kusNick, m0bscene, Bronco, vnekrilov, neprovad, s0cpy, NewNikitoZ, gloom, SReg, freudz

Так, по просьбам на декомпиляцию, чтобы не тратить ни мое ни ваше время:
1. выкладываем только нужный файл и либы для него, если такие имееются, ссылки на полный софт мне не нужны и инсталлировать его я всё равно не буду
2. сообщаем ОЕП и адреса декомпилируемых фунок, искать всё это в проге я тоже не буду
3. оказываю помощь только в декомпиляции фунок и предоставляю их исходный код, всё остальное дело ваших рук и головы
4. будьте готовы на скромное вознаграждение
5. если не предоставлена нужная информация, то реагировать на такие запросы так же не буду

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit пишет:
будьте готовы на скромное вознаграждение
А я уже думал вы занялись благотворительностью

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Vamit
Мне работы не оставили? )

Хотя я только начал дербанить различные вм. Хотя и непостоянно над ними тружусь, от случая к случаю, но есть какая-то своя декомпиляция... но у Вас лучше! Правда без поддержки x64 пока )

-----
IZ.RU

| Сообщение посчитали полезным:

Почем нынче декомпиляция?

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Подозреваю, что это пассивная защита от бездельников

| Сообщение посчитали полезным: DenCoder

Gideon Vi пишет:
Подозреваю, что это пассивная защита от бездельников
Так-то оно так, немного от бездельников. Но скилы кодинга тут обязательны, чтоб снять внятный листинг команд вм )

-----
IZ.RU

| Сообщение посчитали полезным:

тут просто крашится



| Сообщение посчитали полезным:

Vamit, плезир слинкуй плуг под Mr.eXoDia x64 dbg.
а то плагин есть, и дебагер есть под х64, а в связке ничего нетУ

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Ты про что? Свипер только в связке с 32 разрядной Олькой может работать...

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit пишет:
- полностью статическая декомпиляция, без точек останова и исполнения кода
жаль, а то всё чаще попадается с другой разрядностью.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Vamit, плезир слинкуй портируй плуг под Mr.eXoDia x64 dbg.
т.е. плуг только на x32 завязан? вроде же только инструкции толще должны быть, ядро обфускации наверняка одно и тоже

| Сообщение посчитали полезным:

reversecode пишет:
т.е. плуг только на x32 завязан? вроде же только инструкции толще должны быть, ядро обфускации наверняка одно и тоже
Как я понял из доки по созданию свипера вся раскрутка ВМ базируется на заранее выявленным шаблонах. Т.е. для x64 Vamit'у фактически нужно заново исследовать VMP 2.x
Да и в x64 появляются новые инструкции, поиску которых тоже нужно обучить свипер.
Но пусть сам Vamit разъяснит поле работ над x64.

PS. Да и ковыряние в x64 под вторую версию VMP уже не актуально.

| Сообщение посчитали полезным:

Да всё просто, анализ кода, девиртуализация и декомпиляция базируются на полном разборе всех вариантов асм инструкций, в х64 - другие инструкции, следовательно под каждую их них должен быть написан свой обработчик. А среда анализа - это Олька 1.10 со своим асмом и дизасмом, Свипер же не законченная прога, а плагин, который базируется на конкретном SDK под Ольку... вот и весь ответ.

-----
Everything is relative...

| Сообщение посчитали полезным:

vden пишет:
Если интересно, небольшая утилита для приклеивания импорта, найденного свипером к дампу. Довольно простая, тестировалась на exe, но по крайней мере у меня, работает

В командной строке нужно указать текстовый файл, в который скопировали содержимое VM Reference, и путь к дампу.
Если у кого-нибудь осталась тулза, дайте знать в личку. Спасибо! ;)

-----
once you have tried it, you will never want anything else

| Сообщение посчитали полезным:

gloom пишет:
vden пишет:
Если интересно, небольшая утилита для приклеивания импорта, найденного свипером к дампу. Довольно простая, тестировалась на exe, но по крайней мере у меня, работает

В командной строке нужно указать текстовый файл, в который скопировали содержимое VM Reference, и путь к дампу.
Если у кого-нибудь осталась тулза, дайте знать в личку. Спасибо! ;)

https://dailyuploads.net/0ijsiw388tsz

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: gloom

Всем привет! Хочу декомпильнуть одну функцию, получаю ошибку:
Can't execute VM handler Jmp in address 0x00D07531!
Перешел по адресу, а там мусор:

Комплект: Оля 1.10, последний фантик, WMSweper 1.5 beta 4. Программа 2013 года. Как можно обойти эту ошибку?

UPDATE: Почитал тему, все понял.

| Сообщение посчитали полезным:

reversecode пишет:
http://www.slideshare.net/ReCrypt/deobfuscation-and-beyond
на 10 странице VMSweeper вспоминают
Нашёл таки видосик, по этой призентации на 12:21 Вспоминают ВМСвипер вот прямая ссылка
--> 1ODkJ4zF0YU?t=12m17s <--
"Мы прочитали книжку про символьные вычисление и построили своё казино"
Интересно что книжка тоже такую хочу. Странно что их никто не спросил про это

| Сообщение посчитали полезным:

-Sanchez- пишет:
Can't execute VM handler Jmp in address 0x00D07531!
подозреваю 2 варианта. либо у тебя не правильно таблица примитивов разспозналась, либо свипер ее не поддерживает. если хочеш просто обойти.. грубо. то можно в таблице примитивов.. адрес 0x00D07531 подправить на ИЗВЕСТНЫЙ свиперу примитив.. только это если ты уверен, что все действительно ДО этого правильно
все это надо начинать рассматривать с главного цикла ВМ (там есть указатель на ленту пикода и адресс таблицы примитивов)

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Тут проскакивала утилита для приклеивания импорта, сделанного vmsweeperом. По старым ссылкам ее скачать не получается. Никто не выложит ее еще раз?

| Сообщение посчитали полезным:

jazzz пишет:
Тут проскакивала утилита для приклеивания импорта, сделанного vmsweeperом. По старым ссылкам ее скачать не получается. Никто не выложит ее еще раз?

--> Link <--

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: jazzz

Если кому-то нужно, вот исходники, пока не потерял

https://github.com/vdisasm/pas-vmp-glueimport

| Сообщение посчитали полезным: antipod, mak, jazzz, Jupiter, mkdev

Возможно уже спрашивали, но что то сходу не найду, что значит ошибка Decoder VM is not running? И еще при попытке декомпильнуть функцию происходит краш программы и вообще железные бряки приводят к падению программы несмотря на то что все плагины настроены и сама программа уже распакована? С софтовыми нет проблем. Что вообще тут можно сделать?

| Сообщение посчитали полезным: