Решил создать отдельную тему по VMProtect'у, чтобы собирать в одном месте информацию по этому проту и обсуждать детали.

Для начала ответ на самый распространенный вопрос.

1. Почему OllyDbg вылетает при запуске программы, защищенной VMProtect'ом?

Потому что VMProtect использует баг с переполнением буфера в старых версиях dbghelp.dll, из-за которого отладчик падает. Чтобы обойти его необходимо исправить баг в dbghelp.dll или положить в папку отладчика новую версию файла dbghelp.dll, который можно взять из комплекта Debugging Tools for Windows:

http://www.microsoft.com/whdc/devtools/debugging/default.mspx

Добавлено

Microsoft включил дистрибутив Debugging Tools в состав пакета Windows SDK (который весит достаточно прилично), поэтому вот альтернативные ссылки на:

1. Дистрибутив Debugging Tools v6.12.2.633 x86 от 26.02.2010 (18,3 Мбайт)

2. Только библиотека dbghelp.dll из дистрибутива Debugging Tools v6.12.2.633 x86 (0,5 Мбайт)

| Сообщение посчитали полезным:

Сначала подумал, что пародия на аналогичную тему на EXETools, но вдруг вспомнил, что такая же тема есть по криптору. Закрепил.

| Сообщение посчитали полезным:

kioresk пишет:

1. Почему OllyDbg вылетает при запуске программы, защищенной VMProtect'ом?

Потому что в ней есть баг, который VMProtect успешно использует. Чтобы обойти его необходимо положить в папку с OllyDbg новую версию файла dbghelp.dll, который можно взять из комплекта Debugging Tools for Windows:

Баг не в Ольке, а в самой dbghelp.dll, которая, подгружая отладочные символы, не выполняет проверку на переполнение буфера, в результате специальным образом составленная Debug Directory вызывает тихое выпадение отладчика в осадок. Я фиксил это дело вручную, без всяких Microsoft'ов.

c9a8_18.03.2010_CRACKLAB.rU.tgz - DBGHELP.DLL

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL,

спасибо за дополнение, я помню что дело было в хитро закрученном импорте, но сам не разбирался, поэтому и написал для простоты, что баг в Ольке.

Шапку поправил.

| Сообщение посчитали полезным:

Не уверен, но похоже 16-битная логика не работает правильно. Вот кусок обработчика (без сохранения флагов и без обфускации) для 16-битной логики:

not dword ptr [ebp+0]
mov ax, [ebp+0]
sub ebp, 2
and [ebp+4], ax

Для тех кто не шарит в дискретной математике поясню: это не стрелка Пирса (и вообще не функция Шеффера), а значит функция не базисная и ей невозможно эмулировать логику. Что это? Баг конкретной версии (или вообще целой линейки) или обфускация (попытка запутать деобфускатор)? Пока неизвестно, но дальнейшие исследования это помогут выяснить.

| Сообщение посчитали полезным:

Это крипто

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

progopis пишет:
Что это? Баг конкретной версии (или вообще целой линейки) или обфускация (попытка запутать деобфускатор)?
Приведенной информации мало для правильного ответа, необходимо знать что положили по [ebp], сохраняются ли флаги после and, и дальнейшее использование переменной по [ebp+2] и/или по [ebp+4]. В общем это может быть как и обфускацией, так и простым and с двумя short значениями и т.д.

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit
progopis пишет:
без сохранения флагов и без обфускаци
Т.е. флаги сохраняются, я об этом указал. На самом деле я ступил. Ибо:

not dword ptr [ebp+0], а не not word ptr [ebp+0]

т.е. Not делается сразу на два операнда. Так что вы, Vamit, не правы в своём утверждении:

Vamit пишет:
Приведенной информации мало для правильного ответа

Это самый настоящий Nor16.

| Сообщение посчитали полезным:

progopis пишет:
Это самый настоящий Nor16
Только больше похоже на Nand16

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit
Ну что вам сказать? Откройте книгу по дискретной математике.

| Сообщение посчитали полезным:

К вопросу о логике:
NOR = Not Or -> Not (a or b) - истина только если a = b = false (стрелка Пирса)
NAND = Not And -> Not (a and b) - ложь только если a = b = true (штрих Шеффера)

Законы де Моргана (доказываются построением таблицы):
NOR = Not (a Or b) = (Not P) And (Not b) - VMProtect (использует последнюю формулу)
NAND = Not (a And b) = (Not a) Or (Not b) - Obsidium (использует первую формулу)

| Сообщение посчитали полезным:

Здравствуйте!

Появился вопрос, по данному проту. Ранше использовал скрипт "VMProtect 1.7 - 2.0 OEP & Unpack Helper 1.3", а ща он начал мну выдавать такое:



Может кто подскажет как от этого избавиться? Вроде StrongOD нормально настроил(

int

Хмм, спасибо хоть и за такой ответ.

| Сообщение посчитали полезным:

А в чём, собственно, вопрос? Где взять готовое решение для распаковки? Данная тема предполагает обсуждение протектора и выкладывание своего материала. Остальное касается темы "Запросы на взлом". Вот автору скрипта вопросы и задавайте.

| Сообщение посчитали полезным:

На счет новизны незнаю, но в теме ни одного руководства не встретил

--> VMProtect 1.70.4 (Unpacking) <--

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Unpacking Vmprotect 2.05

--> DOWNLOAD <--

P.S.

mak Спасибо.

| Сообщение посчитали полезным:

BAHEK

www.multiupload.com/7G0C49MN6U

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

прекрасно щас почитаемс
блин всё на китайском нех не понятно! может кто переведёт всё?

| Сообщение посчитали полезным:

Обещал одному товарищу описать анти-отладку, надо ли выложить поноценную статью с описанием как разбиралась антиотладка или же хватит простого перечисления того, что было найдено? Пока методы обнаружения виртуальных машин (вмваре и иже с ними) не разбирал, т.к. не было актуально.

P.S. На unpack.cn выложен очередной патч для ольки, который в комплекте с нашим с Киореском скриптом и плагинами помогает обойти всё. Скрипт смогу выложить после одобрения со стороны Киореска.

| Сообщение посчитали полезным:

Статья с описанием разбора полезней будет. А почему спрашиваешь? Конечно выложи.

| Сообщение посчитали полезным:

Ну я могу выложить просто упорядоченный список механизма антиотладки, а можно преподнести это в более полезном виде, описать, как разбирались необходимые хендлеры, куда ставить бряки важно было и пояснить в чём фишка каждого из применённого метода анти-отладки. Вопрос лишь во времени.

| Сообщение посчитали полезным:

int пишет:
На unpack.cn выложен очередной патч для ольки
А дальше нельзя было закинуть ???
int пишет:
помогает обойти всё.
Да вроде с этим проблем пока нет. Один дров стронга перекрывает тупо всё.
//нах ещё какие-то скрипты ???

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Олькин баг стронг не перекрывает. И синих экранов мне хватает на фантоме. Нах юзать стронг?

Bronco пишет:
А дальше нельзя было закинуть ???
Я всегда выкладываю там. Здесь мой труд не уважают (это не понты, здесь реально другая тематика форума).

P.S. Свою работу я выкладываю на паблик не с целью пиарить свой ник. Мне нужны баг-репорты. По предыдущему патчу я не получил никаких комментариев. На unpack.cn хоть UB дают за посты, что может пригодиться в дальнейшем (там много чего интересного выкладывают). Здесь набивать ранг и выслушивать "твой патч на фиг нам не упал" мне не интересно.

| Сообщение посчитали полезным:

int пишет:
Олькин баг стронг не перекрывает
Да забивай все отладочные регистры любыми железяками и не будет косяка с темповым бряком
//один-два рабочих, остальные какие хочешь( исполнение, запись, чтение), и куда хочешь.
А ваще непонятно, раз там заливаешь, нах тогда здесь постить ???

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Да забивай все отладочные регистры любыми железяками и не будет косяка с темповым бряком
Темповый бряк в таком случае будет в виде Int3 и тоже можно спалить, если сделать правильно.

Здесь я постил по поводу антиотладки, обещал статью одному товарищу, хочу узнать мнение людей как лучше её оформить. А вообще уже оффтоп пошёл.

| Сообщение посчитали полезным:

Bronco пишет:
int пишет:На unpack.cn выложен очередной патч для ольки
А дальше нельзя было закинуть ???
int пишет:
P.S. Свою работу я выкладываю на паблик не с целью пиарить свой ник.
дык где работа, выложил китайчегом, чтоб скачать нужно 10 юб, и где паблик, тот же приват

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

int пишет:
надо ли выложить поноценную статью с описанием как разбиралась антиотладка или же хватит простого перечисления того, что было найдено?
статью с описанием как разбиралась антиотладка конечно)

| Сообщение посчитали полезным:

Таким образом останавливаюсь на варианте со статьёй - поверхностные результаты выкладывать не буду. Патч в атаче. Со статьёй, правда, придётся подождать, мне надо выполнить текущую работу.

679d_06.07.2010_CRACKLAB.rU.tgz - ollydbg.1.10-patch.rar

P.S. Это последний патч для оли 1.10. Дальнейшая работа будет только по 2-ой ольке - включение поддержки плагинов.

ClockMan


| Сообщение посчитали полезным:

+1感谢楼主分享

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

int пишет:
надо ли выложить поноценную статью с описанием как разбиралась антиотладка

так интереснее

int пишет:
679d_06.07.2010_CRACKLAB.rU.tgz - ollydbg.1.10-patch.rar

он включает в себя исправление дизасма?

Bronco пишет:
Один дров стронга перекрывает тупо всё.

нах стронг, он ппц, какой глючный

| Сообщение посчитали полезным:

Gideon Vi пишет:
он включает в себя исправление дизасма?
Да, там внутри описаны все патчи.

P.S. Будьте осторожны! Патч затирает байты без проверки старых! Т.е. если есть какие-то другие патчи, могут быть конфликты (обычно конкуренция за место в конце секции .text). В этом случае сами примените патч на чистую ольку, потом перенесите изменения патча на вашу сборку.
P.P.S. Сопоставил патч Бумбокса (косметический) и свои в единую сборку, сейчас надо протестировать совместимость с плагинами.

| Сообщение посчитали полезным: