Решил создать отдельную тему по VMProtect'у, чтобы собирать в одном месте информацию по этому проту и обсуждать детали.

Для начала ответ на самый распространенный вопрос.

1. Почему OllyDbg вылетает при запуске программы, защищенной VMProtect'ом?

Потому что VMProtect использует баг с переполнением буфера в старых версиях dbghelp.dll, из-за которого отладчик падает. Чтобы обойти его необходимо исправить баг в dbghelp.dll или положить в папку отладчика новую версию файла dbghelp.dll, который можно взять из комплекта Debugging Tools for Windows:

http://www.microsoft.com/whdc/devtools/debugging/default.mspx

Добавлено

Microsoft включил дистрибутив Debugging Tools в состав пакета Windows SDK (который весит достаточно прилично), поэтому вот альтернативные ссылки на:

1. Дистрибутив Debugging Tools v6.12.2.633 x86 от 26.02.2010 (18,3 Мбайт)

2. Только библиотека dbghelp.dll из дистрибутива Debugging Tools v6.12.2.633 x86 (0,5 Мбайт)

| Сообщение посчитали полезным:

Скажите пожалуйста а имеется утилита показывающая на кого зарегистрирован vmp по маркерам и с какими настройками защиты был создан файл ?

| Сообщение посчитали полезным:

1-SDK пишет:
Скажите пожалуйста а имеется утилита показывающая на кого зарегистрирован vmp по маркерам

Такая утилита не может существовать. Метка это как номер клиента. Он что-то значит только для создателя протектора и антивирусов для детекта утекших билдов.

| Сообщение посчитали полезным:

Lambda тогда мне интересно кто нибудь разбирался где они хранятся с целью затирать?

| Сообщение посчитали полезным:

1-SDK
девмишь виртуальную машину и затираешь, все просто

| Сообщение посчитали полезным: 1-SDK, mushr00m

Jaa пишет:
все просто
На словах уж конечно. Чем поможет девирт вм в обнаружении метки?
Метка ставится компилятором, если разбирать то сам вмпрот, и она наверняка вне вм, потому что аверам как-то нужно детектить паленые версии.

-----
В облачке многоточия

| Сообщение посчитали полезным:

Boostyq пишет:
На словах уж конечно. Чем поможет девирт вм в обнаружении метки?
Метка там в первых и последних примитивах хэндлеров заключается, 4 байта число.

-----
IZ.RU

| Сообщение посчитали полезным: Bronco

вот тут ребята вроде как успешно борются с виртуализацией:
https://secret.club/2020/06/19/battleye-packet-encryption.html
https://secret.club/2020/07/06/bottleye.html

| Сообщение посчитали полезным:

bartolomeo



- нечитаемый мусор, крипта. От безысходности использован декомпиль. Без девирта теоретически можно свернуть в динамике(а для этого нужен инструмент), но вы даже не смогли OEP найти. Про какую динамику может идти речь

Кстате что с бустиком стало, её прибил ковид или она ушла после слива ?

-----
vx

| Сообщение посчитали полезным:

VTIL-Core

| Сообщение посчитали полезным:

difexacaw пишет:
нечитаемый мусор, крипта.
Бляя чел что ты несешь, абсолютно чистый код, да крипта, потому что до вирта крипта, если у тебя была бы хоть капля мозгов почитать статью.
У этих ребят статический декомпилятор, который решает не только вмпрот но и любую обфускацию, с символическим исполнением и анализом дфг.
Причем пол проекта паблик и никакого трепа, а свои мусорные солюшены ты можешь себе поглубже затолкать вместе с динамикой, никому это не интересно.
А насчет бустика, да походу загнулась девочка, либо просто увидела что этот форум из дедов и сам форум дед.

-----
В облачке многоточия

| Сообщение посчитали полезным: DimitarSerg