Вашему вниманию предлагаются наработки по декомпиляции ВМ.
Проект на сегодняшний день для меня завершен, но жаль если результат "ляжет на полку", может кому-нибудь и пригодится. Предлагаю сначала ознакомиться с обзором, и если будет интерес то могу выложить и сам плагин, или здесь или в личку заинтересованным лицам, каким образом, пока ещё не решил...
Но если кто-либо ожидает увидеть "автоматическое чудо", то сразу скажу - его нет. Для того чтобы получить результат нужна ручная предварительная работа:
- с исследуемой программы должна быть снята упаковка
- точки входа в ВМ находятся вручную
- возможно неоднократное "жамкание" клавиш в OllyDbg, а возможно и модификация кода, чтобы попасть в нужное место, в зависимости от защищенной функции
- необходимо вручную прицепить к программе требуемый секцию
- запись результатов в файл это тоже ручная работа, но уже более приятная

Не всё гладко обстоит с определением реализаций ВМ, на сегодняшний день примерно каждая третья реализация автоматом не определяется, приходится под неё модернизировать плагин, т.к. не могу сразу предусмотреть все случаи "издевательств" ВМ с кодом примитивов. Лучше дела с восстановлением "исходного" кода защищенных функций - 70% нормально восстанавливается, хотя во многом это зависит от самой структуры функции. Таким образом, если будет заинтересованность и помощь в нахождении подобных ситуаций, то проект может быть доведен до релизной стадии.

ЗЫ: Речь идет об Ореановских машинах. Нигде специально не упоминал.

9c41_03.03.2010_CRACKLAB.rU.tgz - VMSweeperLst.rar

-----
Everything is relative...

| Сообщение посчитали полезным:

ClockMan пишет:
под вм запихнул
интересно посмотреть как это реализовано, сиськи под виртой это круто, гипервизор в ауте.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
интересно посмотреть как это реализовано, сиськи под виртой это круто, гипервизор в ауте
--> Encore karaoke v3.22 <--

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
--> Encore karaoke v3.22 <--
ща никак, на мобиле нет дебагера..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Давно ничего не писал в эту тему, вот обещанное когда-то...

Особенности структуры ВМ в VmProtect 3.1 и 3.2 (архитектура х86)
1. "Плавающие" регистры ВМ.
Три системных регистра ВМ: SVM - стек ВМ, PICODE - указатель на ленту пикода, OFFPRM - кодированное смещение обработчика примитива, могут размещаться в любом из 3х регистров ЦПУ esi, edi, ebp.
2. Примитивы ВМ:
- регистры eax, ecx, edx в примитивах разнозначны, это говорит о том что один и тот же примитив может быть реализован на разных регистрах.
- добавлены 3 NAND примитива для разных размеров инструкций (byte, word, dword).
- добавлено 5 примитивов смены вм, осуществляющих перемещение системных регистров ВМ.
3. Условные переходы.
Стековая реализация изменена на регистровую с NAND/NOR примитивами. Загружаются два возможных адреса перехода, затем анализируемые флаги преобразуются к маске 00000000/FFFFFFFF, маска применяется к переходам, результат дает адрес перехода.
4. Изменены некоторые шаблоны виртуализации инструкций.
- NAND/NOR примитивы равнозначны, каждая логическая инструкция может виртуализоваться любыми из них или их комбинацией.
5. Исполнение ВМ.
- на каждом безусловном переходе может осуществляться смена вм (изменение системных регистров, направление ленты пикода, изменение базы OFFPRM, алгоритм кодирования адреса примитива).
- так же смена вм может выполняться при каждом входе в вм после выполнения невиртуализованных вызовов функций или инструкций кода.
- Vmp 3.2 имеет уникальный алгоритм кодирования адреса каждого примитива.

Всё остальное осталось старым и было описано ранее.

-----
Everything is relative...

| Сообщение посчитали полезным: plutos, ELF_7719116, HandMill, 4kusNick, daFix, ClockMan, v00doo, mushr00m

Vamit пишет:
Загружаются два возможных адреса перехода, затем анализируемые флаги преобразуются к маске 00000000/FFFFFFFF, маска применяется к переходам, результат дает адрес перехода.
здесь можно немного поподробней??

| Сообщение посчитали полезным:

ELF_7719116
Можно и подробней на конкретном примере...
Обфускация и прочая хрень тут удалены, приведен чистый код пары виртуализованных инструкций, а сколько тут удалено хрени можно увидеть по адресам инструкций - они линейны


-----
Everything is relative...

| Сообщение посчитали полезным:

ELF_7719116

> здесь можно немного поподробней??

Условие в условном ветвлении - его опкод xor 1(опкод обратных условий отличается на единицу). Такой смысл полагаю.

-----
vx

| Сообщение посчитали полезным:

Vamit пишет:
Давно ничего не писал в эту тему, вот обещанное когда-то...

Особенности структуры ВМ в VmProtect 3.1 и 3.2 (архитектура х86)
1. "Плавающие" регистры ВМ.
Три системных регистра ВМ: SVM - стек ВМ, PICODE - указатель на ленту пикода, OFFPRM - кодированное смещение обработчика примитива, могут размещаться в любом из 3х регистров ЦПУ esi, edi, ebp.
2. Примитивы ВМ:
- регистры eax, ecx, edx в примитивах разнозначны, это говорит о том что один и тот же примитив может быть реализован на разных регистрах.
- добавлены 3 NAND примитива для разных размеров инструкций (byte, word, dword).
- добавлено 5 примитивов смены вм, осуществляющих перемещение системных регистров ВМ.
3. Условные переходы.
Стековая реализация изменена на регистровую с NAND/NOR примитивами. Загружаются два возможных адреса перехода, затем анализируемые флаги преобразуются к маске 00000000/FFFFFFFF, маска применяется к переходам, результат дает адрес перехода.
4. Изменены некоторые шаблоны виртуализации инструкций.
- NAND/NOR примитивы равнозначны, каждая логическая инструкция может виртуализоваться любыми из них или их комбинацией.
5. Исполнение ВМ.
- на каждом безусловном переходе может осуществляться смена вм (изменение системных регистров, направление ленты пикода, изменение базы OFFPRM, алгоритм кодирования адреса примитива).
- так же смена вм может выполняться при каждом входе в вм после выполнения невиртуализованных вызовов функций или инструкций кода.
- Vmp 3.2 имеет уникальный алгоритм кодирования адреса каждого примитива.

Всё остальное осталось старым и было описано ранее.
Скорее всего это задел для более глубокой модернизации протектора думаю скоро весь код вм будет размазан по странице памяти приложения что не позволит просто сдампить и изучать его...........

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

интересуют пруфы на разные генераторы/оптимизаторы/ир и дальнейшей компиляции например в х86, помимо ллвм, и есть ли такие есть в природе, либо что почитать на эту тему, но не теоретические талмуды с одной водой.

конпиль студии например пишет практически "как есть", конпиль дельфи совсем не оптимизирует ничего.

| Сообщение посчитали полезным:

по мотивам
http://0xeb.net/2018/03/using-z3-with-ida-to-simplify-arithmetic-operations-in-functions/

попробовал засунуть в z3 и дважды упростить



Чуток упростилось, но не до идеала. Второе упрощение ничего дополнительно не дает. Посчитало конечно верно.



-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: plutos, bartolomeo, mak, SReg, ELF_7719116, HandMill

собственно, этот тонкий момент, когда сгенерированный лучами вагон кода переносим из IDA для оптимизации и упрощения - обычно используется студия с настроенным на максимальную оптимизацию компилем а-ля intel parallel studio? или уже существуют проверенные, более прогрессивные варианты решения задачи?

| Сообщение посчитали полезным:

как-то так, символический решатель Maple

| Сообщение посчитали полезным:

Orlyonok
неправильно введено выражение. в исходнике инверсия, а не отрицание.

-----
старый пень

| Сообщение посчитали полезным:

Ну да, для maple в данном случае переменная имеет булевый тип, а не численный. Но поскольку в исходной задаче все операции побитовые, то это допустимо, я полагаю.

По крайней мере в C выражение ~ (x & y) & (x | y) даёт тот же результат, как и исходник.

| Сообщение посчитали полезным:

Orlyonok пишет:
символический решатель Maple
Только вы учитывайте, что помимо булевых операций там так же будут арифметические, и еще константы, и еще инструкции будут разбиваться флагами, и как вы уже эту штуку селектируете чтобы запихнуть в решатель

-----
В облачке многоточия

| Сообщение посчитали полезным:

Boostyq

Солвер ?
Подружка, может вы думаете что это инструмент от бога и может решить что угодно ?

Свернуть примитивные выражения можно и без такого рода инструментов. Тем более они вообще сомнительны. Тут бы семпл пригодился..

-----
vx

| Сообщение посчитали полезным:

difexacaw
Как раз-таки, я думаю, она думает наоборот

-----
IZ.RU

| Сообщение посчитали полезным:

difexacaw пишет:
Подружка
Мда, дурак и не лечится.
Настолько ярое желание докопаться до моих сообщений, что он даже не читает их, прежде чем отвечать свой бред.
difexacaw пишет:
Свернуть примитивные выражения можно
Ну так сверни.
Но насколько я помню это ты пытался свернуть алгоритм хэша в примитивах, когда там нечего было сворачивать, оскарбляя всех кто пытался тебе помочь.
И насколько я понимаю ты полное дно в этом, вначале сгенерируй хотя бы промкод и прооптимизируй его автоматикой, а потом лечи мне что можно и что нельзя.

-----
В облачке многоточия

| Сообщение посчитали полезным: DenCoder, SReg

Boostyq

Да не переживай так, я ведь просто пример спросил. Решать то что не решается, имхо пустая трата времени. Хотя некоторые может и тратят на это кучу времени, это их заработок.)

-----
vx

| Сообщение посчитали полезным: