Решил создать отдельную тему по VMProtect'у, чтобы собирать в одном месте информацию по этому проту и обсуждать детали.

Для начала ответ на самый распространенный вопрос.

1. Почему OllyDbg вылетает при запуске программы, защищенной VMProtect'ом?

Потому что VMProtect использует баг с переполнением буфера в старых версиях dbghelp.dll, из-за которого отладчик падает. Чтобы обойти его необходимо исправить баг в dbghelp.dll или положить в папку отладчика новую версию файла dbghelp.dll, который можно взять из комплекта Debugging Tools for Windows:

http://www.microsoft.com/whdc/devtools/debugging/default.mspx

Добавлено

Microsoft включил дистрибутив Debugging Tools в состав пакета Windows SDK (который весит достаточно прилично), поэтому вот альтернативные ссылки на:

1. Дистрибутив Debugging Tools v6.12.2.633 x86 от 26.02.2010 (18,3 Мбайт)

2. Только библиотека dbghelp.dll из дистрибутива Debugging Tools v6.12.2.633 x86 (0,5 Мбайт)

| Сообщение посчитали полезным:

какой скил необходим
Самый важный скил - это желание, а ресурс - время, всё остальное второстепенно...

-----
Everything is relative...

| Сообщение посчитали полезным: parfetka

ar2r

Тебе не скилл нужен, а инструмент, который может данный протектор выполнять. Vamit к примеру собрал такое из говна и палок", ничего подходящего не нашлось.

-----
vx

| Сообщение посчитали полезным:

Тут кстати 3.3.1 под х32 появился в паблике (для интересующихся).

| Сообщение посчитали полезным: G100M

VOLKOFF пишет:
Тут кстати 3.3.1 под х32
а что разве бывает x64 билд?

upd. действительно, хотя x32 версия без проблем защищает x64 файлы.

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

VOLKOFF



| Сообщение посчитали полезным: mak, daFix, plutos, difexacaw

Очень мило, но я уже слышу как идут за дровами для костра

| Сообщение посчитали полезным: mak, mushr00m, Ate, plutos, difexacaw

Если есть привязка HWID, без серийника защищенный участок кода исполнится VM или он шифруется серийником?

| Сообщение посчитали полезным:

dimansound пишет:
без серийника защищенный участок кода исполнится VM или он шифруется серийником?
От маркеров зависит, если юзается один из ***LockByKey, то соответственно этот участок кода исполнится только с ключом.

| Сообщение посчитали полезным:

--> Тут <-- кстати 3.3.1 под х64 появился в паблике For_Exetools_Members

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным: RoKZaR, plutos, Vnv

plutos пишет:
перезалейте пожалуйста на другой обменник.
https://dropmefiles.com/5dPfd

| Сообщение посчитали полезным: plutos

BfoX пишет:
кстати 3.3.1 под х64 появился
насколько известно вмп может протектить любые бинари (шо 32 шо 64). Или в чём тут соль?

| Сообщение посчитали полезным:

mushr00m пишет:
Или в чём тут соль?

по мне - так понты...

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным: mushr00m

mushr00m пишет:
насколько известно вмп может протектить любые бинари (шо 32 шо 64). Или в чём тут соль?

Если 3.3.1 уже был под x32, а под x64 появился только сейчас, то плохо пишут

-----
IZ.RU

| Сообщение посчитали полезным: TryAga1n

А не никто не пробовал как Дефендер справляется с Вмпротом 2/3 х86-32?
На Гитхабе тулзы, mpengine с символами, может что то узабильное есть?

https://i.blackhat.com/us-18/Thu-August-9/us-18-Bulazel-Windows-Offender-Reverse-Engineering-Windows-Defenders-Antivirus-Emulator.pdf
https://github.com/0xAlexei/WindowsDefenderTools

| Сообщение посчитали полезным:

Деобфускатор стэка на питоне, не проверял, но сама техника весьма любопытная, используется двиг pywin32 --> Link <--

678d_11.04.2019_EXELAB.rU.tgz - sanxcr-VMPFuck-master.zip

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: plutos

С декабря не заходил
Vamit пишет:
Самый важный скил - это желание, а ресурс - время, всё остальное второстепенно...
это про ресурс, который нужно вложить чтобы в итоге чего-то добиться, не говоря уж о результате.
А как на счет вопроса все же? Ваш инструмент не открывашка, нужна логика и знание этого протектора?

difexacaw пишет:
Тебе не скилл нужен, а инструмент, который может данный протектор выполнять. Vamit к примеру собрал такое из говна и палок", ничего подходящего не нашлось.
как так? как выше написал - плагин ув. Вамита не открывашка, нужны логика и знания, верно?

| Сообщение посчитали полезным:

ar2r пишет:
нужны логика и знания, верно?

Если я тебе скажу, что нет, не нужны ни логика, ни знания, ты мне поверишь? Сам же знаешь ответ!
Зачем задавать пустые риторические вопросы?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Ребята, я просто давно не в теме, интерес остался и хочу попробовать поупражняться с сложным протектором.
Но плагин не палочка-выручалочка, я и спрашиваю - что нужно знать и уметь, что б справится с ВМП?

| Сообщение посчитали полезным:

ar2r пишет:
что нужно знать и уметь
Нужно знать алфавит и уметь читать, применить эти чудные абилки к этой теме.
Profit.

| Сообщение посчитали полезным:

ar2r пишет:
что нужно знать и уметь, что б справится с ВМП

это можно определить экспериментально.

попробуй справиться сам.
Если будет получаться, значит имеешь как раз то, что нужно.
Если не будет получаться - значит не имеешь того, что нужно.

Т.е. жизнь покажет.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: ar2r

plutos пишет:
попробуй справиться сам.
один из вариантов, накачаю туторов, тутс4ю жив еще? помимо него, где еще есть материалы?

| Сообщение посчитали полезным:

ar2r пишет:
где еще есть материалы?
да зачем далеко ходить? Здесь же на форуме полно материалов и тем, полностью посвященных протекторам.
А можно взять .exe, накрыть протектором и потом сравнивать накрытый с ненакрытым.
У каждого свои цели и свой подход.
Удачи!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

на оф.форуме анонс разработки для дотнета

| Сообщение посчитали полезным:

когда уже до Ведра доберуться

| Сообщение посчитали полезным:

ar2r пишет:
когда уже до Ведра
после выхода DENUVO на android


| Сообщение посчитали полезным: mak

На руборд есть VMProtect ULTIMATE v3.4.0 Build 1155.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: VOLKOFF, mushr00m, plutos

mak пишет:
На руборд есть VMProtect ULTIMATE v3.4.0 Build 1155.
кто там кривыми руками ссылки "выпрямляет"...

брал отсюда:
https://www.52pojie.cn/thread-1071176-1-1.html
левая кнопка
каптча
жмак и готово

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным: dezmand07, VOLKOFF, CyberGod, plutos, bizkitlimp

[!] Fixed a bug that occurred during virtualization of BT [m16], POP [m64]
[+] Added support of .NET applications
[+] Added disassembling PMULLD
[+] PE: Added support of COFF symbols
[*] ELF: Improved disassembling of SWITCH
[*] ELF: Improved support of relocations with type R_386_PC32
[*] PE: Improved exception handling
[*] PE: Improved support of Windows Server 2016 Datacenter

Допросились, интересно будет посмотреть как это чудо реализовано теперь

| Сообщение посчитали полезным:

VOLKOFF
Ну так не они первые вм на доднете соорудили, хотя думаю все равно интересно посмотреть.

| Сообщение посчитали полезным:

Kindly пишет:
жмак и готово

Блин, и правда, как легко, а я две недели изучал китайский что бы качнуть вот отсюда: --> OBABY@MARS <--
Там, кстати, полно разного другого добра для тех, у кого есть терпение.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: