Решил создать отдельную тему по VMProtect'у, чтобы собирать в одном месте информацию по этому проту и обсуждать детали.

Для начала ответ на самый распространенный вопрос.

1. Почему OllyDbg вылетает при запуске программы, защищенной VMProtect'ом?

Потому что VMProtect использует баг с переполнением буфера в старых версиях dbghelp.dll, из-за которого отладчик падает. Чтобы обойти его необходимо исправить баг в dbghelp.dll или положить в папку отладчика новую версию файла dbghelp.dll, который можно взять из комплекта Debugging Tools for Windows:

http://www.microsoft.com/whdc/devtools/debugging/default.mspx

Добавлено

Microsoft включил дистрибутив Debugging Tools в состав пакета Windows SDK (который весит достаточно прилично), поэтому вот альтернативные ссылки на:

1. Дистрибутив Debugging Tools v6.12.2.633 x86 от 26.02.2010 (18,3 Мбайт)

2. Только библиотека dbghelp.dll из дистрибутива Debugging Tools v6.12.2.633 x86 (0,5 Мбайт)

| Сообщение посчитали полезным:

Gideon Vi пишет:
нах стронг, он ппц, какой глючный
Ну да...если тупо чекать, а если....НичеГО лишнего, а тока дровеняка, то всё пучком

====
int пишет:
В этом случае сами примените патч на чистую ольку, потом перенесите изменения патча на вашу сборку
Мля.. Hellsp@wn надо напрячь, чтоб в фант добавил, тем паче он там с интами чего -то мутил..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Ну да...если тупо чекать, а если....НичеГО лишнего, а тока дровеняка, то всё пучком

Пучком канабиса тебе дико везет, что вы с автором на одной и той же версии ОСи

Bronco пишет:
Мля.. Hellsp@wn надо напрячь, чтоб в фант добавил, тем паче он там с интами чего -то мутил..

Хел забил на фантом, не?

int пишет:
P.P.S. Сопоставил патч Бумбокса (косметический) и свои в единую сборку, сейчас надо протестировать совместимость с плагинами.

Ня, а где потестировать?

| Сообщение посчитали полезным:

Кстати обнаружить отладчик всё равно можно во время трассировки исключения, причём даже если вообще отключить проверку на PUSHF/POPF. Но там будет уже Int3.

Gideon Vi пишет:
Ня, а где потестировать?
Здесь, не знаю правда, на сколько актуально дизайн менять.

| Сообщение посчитали полезным:

int,

скрипт выкладывай тоже — после описания антиотладки любой себе подобный скрипт набросает без проблем.
Только имхо часть скрипта у Bronco была лучше сделана.

Еще возможно в нем есть какие-то косяки, т.к. делал по-быстрому для старой версии (хотя на последней пролетавшей на паблике версии VMProtect'а он тоже работает), но если что — меня не пинать.



| Сообщение посчитали полезным:

int пишет:
Здесь, не знаю правда, на сколько актуально дизайн менять.

всех изменений - цветные кнопки? Ну их. А за фиксы респект.

| Сообщение посчитали полезным:

Ну как бы вот. Творения Demon666 из
http://www.exelab.ru/f/action=vthread&topic=13406&forum=12 &page=-1
вроде как повторил, в связи с этим возникло несколько вопросов
1. это ток у меня или это так всегда всего 80 хэндлеров?
2. Имхо инструкции ВСЕ всего 80тью хендлерами эмулить анриал это так?
3. Если я прав то каждой команде при виртуализации соответствует весьма конкретный вызов последовательности команд
ну и вопрос 3а
Команды исходной проги мутируются перед виртуализацие? если это все секрет можно в личку
З.Ы.
Int отдельное спасибо за консультацию, многое стало на свои места
З.Ы к дермотологу просьба не высказыватца, ВАШЕГО пиара почитал
З.Ы.Ы. Есть ток прога покрытая ХЗ какой версией НО купленой ОФ поэтому на дрозофила команды ловить нет возможности

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY пишет:
1. это ток у меня или это так всегда всего 80 хэндлеров?
Всего их может быть 255, а каждая реализация ВМ имеет столько реальных обработчиков примитивов сколько нужно для виртуализации кода накрытого этой ВМ.
2. Имхо инструкции ВСЕ всего 80тью хендлерами эмулить анриал это так?
На простую виртуализацию инструкций требуется гораздо меньше обработчиков примитивов, чем 80, а вообще-то см. ответ на вопрос 1.
3. Если я прав то каждой команде при виртуализации соответствует весьма конкретный вызов последовательности команд
Да, но не надо забывать про мутацию, сокрытие констант и другие опции - они разжижают виртуализацию, но не меняют её суть.
Команды исходной проги мутируются перед виртуализацие?
Опционально.

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit Как уже упоминал Демон,да действительно хендлеров в чистом виде 255, но некоторые Нужно рассматривать (так например запись в регистры ВМ когда номер команды есть индекс регистра) а некоторые просто для замуливания кода, когда несколько хендлов смотрят в один адрес-обработчик и номер команды нигде не учитываеца
например
case VM_IP of
$A0, $A2, $A4, $A6, $A8, $AA, $AC, $AE, $B0, $B2, $B4, $B6, $B8, $BA, $BC, $BE:
begin
bTmp:=CMD[VM_IP];// $A0, $A2, $A4, $A6, $A8, $AA, $AC, $AE, $B0, $B2, $B4, $B6, $B8, $BA, $BC, $BE:
asm
//тут идет получение индекса регистра
neg bTmp
ror bTmp,7
neg bTmp
and bTmp,$3c
end;
lstParams.Values['R']:=IntToHex(bTmp,2);
logs('(ebp-4) && Mov [ebp+0], VMR_R_ ');
//MOV EDX,DWORD PTR DS:[EAX+EDI] -вот так выглядит это в оригинале где EDI указывает на начало пространства в стеке для хранения регистров ВМ

А вот при тойже стреле пирса
$B5, $C1:
logs(' Mov Not[ebp+0] and not[ebp+2] (ebp-2)');
//в оригинале
MOV AX,WORD PTR SS:[EBP]
MOV DX,WORD PTR SS:[EBP+2]
NOT AL
NOT DL
SUB EBP,2
AND AL,DL
MOV WORD PTR SS:[EBP+4],AX
значение комманды которое приходит в АЛ как бы и не облакотилось А ХЕНДЛЕРОВ 2 (есть примеры и с большим количеством 4-6)
З.Ы. Если комуто интересно могу начать всю эту лабудень описывать с самого начала

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Vamit, а у тебя планы по твоей работе какие ? Покажешь что-нибудь рабочее ?

| Сообщение посчитали полезным:

[Anth] пишет:
Vamit, а у тебя планы по твоей работе какие ?
Довести до логического завершения...
Покажешь что-нибудь рабочее ?
Ещё рано..., вопросами засыплете

-----
Everything is relative...

| Сообщение посчитали полезным:

[Anth] я уже неделю, почти, сижу разбираюсь с Свипером. Поверь я уже Vamitа вопросами задолбал

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Вопрос всем. VMProtect пошифровал STRING ресурсы в BASE64 кодировку. Простая раскодировка не помогает, нужна еще какая то дешифровка. Вопрос: Нет ли у кого тузлы восстановить пошифрованные строки в ресурсах?

Пример:

STRINGTABLE
LANGUAGE LANG_RUSSIAN, SUBLANG_NEUTRAL
{
112, "pIVvrtiuBktuqb/FRPEm4Fc="
113, "q4xqqOOUExa2Cgq8SfEl+InWPGdcW84879kq/VNY1DpY2zT2pmTy87AKJm56/I1hO8ePb zp8FSs0SKrbBRKm1j7epWYG7LMCQj94FKcKcCTjrR8BPyYskGOhVj8jRKC5D8oYKopXYGQ Ke9HgWfRjSnM7+a07NnoqfZYrtQrjFQChhvh7kIJZ8nMMimmGVQpKkLhzk3mmVSsiiRviD 8kUsV3HM7y3FPGo018bcw=="
114, "wpJqoOav"
115, "t4pqsNaXJA=="
116, "r4V4sg=="
117, "o5R4peGv"
118, "r4Vx"
119, "q6x1ww=="
120, "q6xzww=="
121, "o4drs+ee"
122, "tIp1shCNETQ="
123, "sY961NecJA=="
124, "sJOcoeav"
125, "p4pyoNecJA=="
126, "padpsNaZDhGv0rHFSeMK41QONWZeYLA/8+QqMw=="
127, "pYdtpNuZDjOE0iQ4lCMK41QONWZeYLA/89w3Mw=="
}

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus
Исходя из чего уверенность, что это вмпрот сделал? Если необходим конечный результат, из памяти в уже дешифрованном виде не выдернуть?

| Сообщение посчитали полезным:

может это AES или ещё что-то, они тоже могут отображать результат в base64

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

YDS там стянули прогу у производителей и накрыли протом. Protection ID грит что это VM protect.
Может правда сами что дописали...

BoRoV
Не, я разобрался с кодом уже. Там именно base64 перекодировка, а потом простым вычитанием константы получается исходная строка.

Просто думал что это вмпрот сделал, а как я понял по сообщениям это какая то самопись...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

VMProtect пошифровал STRING ресурсы в BASE64 кодировку.
Если вы ВАГ ковыряете, то это не вмпрот, это внутренняя кодировка нежелательных для просмотра строк, а на оригинальном ВАГЕ вмпрота вообще нет.

Если необходим конечный результат, из памяти в уже дешифрованном виде не выдернуть?
В памяти ничего нет, декодировка выполняется динамически.

-----
Everything is relative...

| Сообщение посчитали полезным:

offtop/
Vamit пишет:
Если вы ВАГ ковыряете, то это не вмпрот, это внутренняя кодировка нежелательных для просмотра строк, а на оригинальном ВАГЕ вмпрота вообще нет
Насколько я помню на оригинальном PC Guard,а потом кому нелень вешали на расспакованный файл PEP,Themida,VM prot.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Vamit да, это от ВАГ, и файл не оригинальный, руссифицированный.
А есть у кого раскодировщик, иначе придется самому писать (((. И что же все таки там навешано?

ClockMan да, вы тоже целиком правы.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

А есть у кого раскодировщик, иначе придется самому писать
Если это про строки, то у меня есть, обращайтесь в личку, но там простой xor...
PS: но он под ВМ

-----
Everything is relative...

| Сообщение посчитали полезным:

Нашел недавно скрипт под ОД

translate.google.com/translate?hl=en&sl=zh-CN&u=http://wugy.52wd.net.cn/article-3907508-1.html&ei=OyehTNubCc6POI26iZcM&sa=X&oi=translate&ct=result&resnum=3&ved=0CB8Q7g
EwAg&prev=/search%3Fq%3DVMProtect%2B2.0x%2BUnpacker%2Bv1.0%26hl%3Den%26client
%3Dopera%26hs%3DI52%26rls%3Dru

Вопрос знатокам, что с помощью него можно сделать?

| Сообщение посчитали полезным:

Airenikus
вот оно, счастье, нашёл, и сам не знаю что...там написанно вроде: Vmprotect 2.0x Unpacker

потом сюда ещё загляни:



чтобы узнать "откуда" и "как" ищи там же мультики от китайчегов....

| Сообщение посчитали полезным:

А можно без сарказма? Вот взять и просто ответить? Есть толк от этого скрипта или это очередная "утка" ? Спасибо за понимание.

| Сообщение посчитали полезным:

А можно не задавать такие вопросы, а вот просто взять, посмотреть самому и решить, нужно это тебе или нет. Спасибо за понимание.
З.Ы. У всех разная мера нужности, лично я скриптами не пользуюсь в принципе. Кто-то поглядит и при необходимости допилит. А кто-то и уже готовый запустить не в состоянии.

| Сообщение посчитали полезным:

Airenikus пишет:
А можно без сарказма? Вот взять и просто ответить? Есть толк от этого скрипта или это очередная "утка" ? Спасибо за понимание.
Скрипт для восстановления IAT в стили аля нубби..

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

/ / Configuration area
mov first, 005D9333
mov write, 00D3BEAF
Может кто-нибудь дать ссыль на прогу, на которой этот скрипт отрабатывал (в оригинале)?

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

VMProtect API Turbo Tracer 1.0
***************************************************
( 1.) Basic OEP Finder [Intelli Version]
( 2.) VP & LA Anti Dump Redirection & Dumper
( 3.) Auto API Scanner [Value & System]
( 4.) Manually Section Serach Choice x3
( 5.) API Value Calculator
( 6.) Auto API Section Writer & Dumper
( 7.) Use This Script Also For Dumped Files!
( 8.) Supports VMProtect 1.8 - 2.x
( 9.) Exe & DLL Support [NO VMP DLL Box]
( 10.) Borland Delphi v.2010 Support! OEP 2. Sec.
( 11.) NO CPUID Fixing!
***************************************************

These are all features which I have added in the new script and I think that the script can also handle your targets too.In the movies you will also see how to rebuild some stolen OEP bytes in some UnpackMes.

View in that order:
***************************************************
Movie 01| Manually OEP Find & Rebuild Exsamples
Movie 02| Script OEP Find & Rebuild Exsamples
Movie 03| Script Unpack API FIX OF A Exe File
Movie 04| Script Unpack API FIX OF A Dll File

Сам топик здесь - forum.tuts4you.com/showtopic=24390

0373_19.11.2010_CRACKLAB.rU.tgz - VMProtect API Turbo Tracer 1.0.rar

| Сообщение посчитали полезным:

на анпак.цн наткнулся на плаг для ольки от нуби FKVMP. очевидно вмпрот в этом замешан , только вот никак не вкурю как его юзать, там есть ридми, но ведь нихрена не понятно эти иероглифы объясните для каких задач он?

Nooby
Thx

| Сообщение посчитали полезным:

MasterSoft:
Locate VM Entry (somewhere near push&call), right click and select "Start FKVMP". In Log window, it will show handler table, VM_INIT stack info and pcode log. Also it will comment every identified handler.

Then you can continue pcode decode by:

1. manually follow SetEip handler to new VM_EIP, follow new ESI in dump, right click on CPU Dump window(first byte) and choose "Continue FKVMP", finally select which VM interpreter to execute.

2. anywhere during VM execution(when you break in the middle) when EBX & ESI are representing valid key and VM_EIP, right click on CPU Register window and continue as 1.

Good luck.

| Сообщение посчитали полезным:

Nooby thanks for the describe,


MasterSoft Закинте в аттач, не скачать со сдернуть

| Сообщение посчитали полезным:

vw_ пишет:
Закинте в аттач
оно в аттач не влазит, вот зеркало rghost.ru/3351516/private/79d90c180be462cafe242566bbd2b1e2

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: