Решил создать отдельную тему по VMProtect'у, чтобы собирать в одном месте информацию по этому проту и обсуждать детали.

Для начала ответ на самый распространенный вопрос.

1. Почему OllyDbg вылетает при запуске программы, защищенной VMProtect'ом?

Потому что VMProtect использует баг с переполнением буфера в старых версиях dbghelp.dll, из-за которого отладчик падает. Чтобы обойти его необходимо исправить баг в dbghelp.dll или положить в папку отладчика новую версию файла dbghelp.dll, который можно взять из комплекта Debugging Tools for Windows:

http://www.microsoft.com/whdc/devtools/debugging/default.mspx

Добавлено

Microsoft включил дистрибутив Debugging Tools в состав пакета Windows SDK (который весит достаточно прилично), поэтому вот альтернативные ссылки на:

1. Дистрибутив Debugging Tools v6.12.2.633 x86 от 26.02.2010 (18,3 Мбайт)

2. Только библиотека dbghelp.dll из дистрибутива Debugging Tools v6.12.2.633 x86 (0,5 Мбайт)

| Сообщение посчитали полезным:

с тутса:
Simple VMProtect P-Code Interpreter Overview
A video showing operation and understanding of VMProtect's virtual machine.

tuts4you.com/download.php?view.3051

у кого трафф позволяет может сказать о полезности этого мувика? качать стоит?

| Сообщение посчитали полезным:

MasterSoft
Посмотри тут

-----
Everything is relative...

| Сообщение посчитали полезным:

Я считаю, что бесполезен чуть больше, чем полностью. А там хз, вдруг, кому-то тайна мироздания открылась после него. Строится там граф неприлично больших размеров и просто зумится, смысл велик.

| Сообщение посчитали полезным:

Archer вы стали писать хокку?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: _ruzmaz_, coolangel, ressa, hlmadip, 4kusNick, NewBHack

Всем доброе время суток. Не нашел лучшего места как сюда задать вопрос. Имеем ВМпрот+Сенсилок. Имеем вызов VirtualAlloc с адресом под выделение Null которая резервит 60000h байт куда потом из 7 кусков декриптуеца длл-ка с пофаченым заголовком, в которой собственно и идет обращение к ключу. Внимание вопрос. Можно ли както неявным образом VirtualAlloc заставить выделять один и тотже сегмент памяти при Null параметре?

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY пишет:
Можно ли както неявным образом VirtualAlloc заставить выделять один и тотже сегмент памяти при Null параметре?
Можно, если он не занят чем-то
LPVOID WINAPI VirtualAlloc(
__in_opt LPVOID lpAddress,
__in SIZE_T dwSize,
__in DWORD flAllocationType,
__in DWORD flProtect
);

Упс, не дочитал, если lpAddress=NULL то наврядли.

| Сообщение посчитали полезным:

Читаем еще раз мой пост. передаеца null а выделяеца постоянно пространество 026E0000
lpAddress=null млять мистика. суть в том что в этом куске работает еще и ВМ. а у нее при инициализации адрес ленты инструкций прибит а адресному пространсту

Вопрос снят. Пока непоянтно как, но эта с....ка какимто образом меняет статические адреса, адаптируя ее под новое адресное пространство

ппц... вощем после расшифровки в память, в дллке подправляюца адреса под текущее адресное пространство,используя масив вордов, хранящий смещение где используюца статическая аресация... АД

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Вопрос по сабжу:
1. Можно ли закейгенить? (хотя бы имея валидную пару)
2. Можно ли снять наверняка не имея её? (не зависимо от опций)

кто может грамотно отвязать, стукните в личку или аську

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev у вас творение к эл. ключам отноение имеет? (типа сенсилока)

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

нет, просто код, привязка к железу, ответ от автора

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev ты свипера вамита пробывал? повезет или нет...

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY пишет:
повезет или нет
из 50 прог на 1-ой нормально только отрабатывает, на а-ля хелловорд

| Сообщение посчитали полезным:

SReg таже песня поэтому начал изобретать свой велик с квадратными колесами

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Собственно, вопрос был не совсем про разбор вм, а про кг с валидной парой, либо отвязкой без ключа. Не вижу, как вамитова тулза с этим может помочь.
Что касается своих квадратных колёс, выкладывайте, авось, и подровняют колёса. А что всё чо-то пишешь-пишешь, а профита как бы и не видно.

| Сообщение посчитали полезным:

Archer про x^2 колеса согласен, офтоп. но вопрос был про рестуктуризацию алго под ВМ, по сути токо вамит сделал прорыв, но он ща занят а его плаг таки не всегда (надеюсь пока) со всем справляеца, поэтому и пошли вариации на тему
З.Ы. плз ща без агры

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Archer
Собс-но без разбора DLL, которая тоже завмпротекчена автором, про кейген + патч говорить не приходится. Чисто кейген RSA 1024+ - ответ очевиден.

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

VMP IAT Fixer V0.2



Описание:
1) Поддерживает восстановление IAT в версии VMP 2.0х и выше, но неможет восстанавливать SDK IAT;
2) Программа мало тестировалась и возможны баги;
3) Для работы с серьезными программами она не годится.


P.S.
Здесь оригинальная тема ( китай правдо )


DOWNLOAD:
1a5e_21.07.2011_EXELAB.rU.tgz - VMP_IAT_Fixer_v_0.2.7z

| Сообщение посчитали полезным:

VMP IAT Fixer V0.7

V0.7
1. Adding new repair methods
PS:
Method1: still the original repair method, specifically described in the previous
Method2: get with the script used for the extension of the original DLL method, specific operations, see demo Tutorial2

V0.6
1. Increase the recording LOG function.

V0.5:
1 to repair a problem of automatic identification VM Code
2 repair nested loop, resulting in the problem identification error
3 repair nested loop, resulting in stuck problem

V0.4
1 of automatic identification Code Start, Code End, VM Start, VM End four variables, the four values ​​0 filled, you can automatically recognize, of course, can still specify your own.
2. Fix a recognition error BUG

V0.3
1 to increase resource protection detects, but does not provide repair
2. Fix a stuck BUG

P.S.
перевод гугловский

DOWNLOAD:

Софтина с тутором :
http://rghost.ru/16820951
http://megaupper.com/files/1TCV0KKG/VMP_IAT_Fixer_v_0.7.7z

Только софтина:
http://rghost.ru/16821131

| Сообщение посчитали полезным:

ищу unpackme для последней версии прота

| Сообщение посчитали полезным:

Существуют ли тулзы которые могут определить версию пакера с опциями?
В хелпе к VMSweeper'у говорится
"Загружаем программу в OllyDbg и добираемся до OEP или останавливаемся близко к ней, главный момент здесь – это данные программы не должны быть еще инициализированы!"
Как это, примерно хотя бы, проделать?

| Сообщение посчитали полезным:

Tunnel Rat пишет:
Существуют ли тулзы которые могут определить версию пакера с опциями?
Не видел

Tunnel Rat пишет:
"Загружаем программу в OllyDbg и добираемся до OEP или останавливаемся близко к ней, главный момент здесь – это данные программы не должны быть еще инициализированы!"
Как это, примерно хотя бы, проделать?
собственно это не особо важно. береш любой плаг к ольке который может тебя на TLS остановить. дальше пытаешся понять куда внедрился вмпрот. в последних версиях свипера есть авто анализ. его делать обязательно а вот результатами пользоваца не обязательно. немнго почитав код сможешь находить начало виртуальной машины. когда нашел ставиш туда EIP (обязательно) и жмакаеш ф1
З.Ы. потренеруйся на том екзешнике который у ВАМита тестовый

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

r99

ищу unpackme для последней версии прота

С последней версией пока не видел, а с 2.0.8 есть на tuts4you.

| Сообщение посчитали полезным:

r99

Vmprotect 2.09 UnpackMe
http://www.multiupload.com/OC0LGBQ5CP

| Сообщение посчитали полезным:

Люди, памагите, расскажите, кому не жалко, как спрятать варю от сабжа? Сам просто в этом конверте не разбираюсь, нубик

| Сообщение посчитали полезным:

del

| Сообщение посчитали полезным:

JeRRy/SND пишет:
Vmprotect 2.09 UnpackMe http://www.multiupload.com/OC0LGBQ5CP

перезалейте пожалуйста

| Сообщение посчитали полезным:

http://rghost.ru/37662153

| Сообщение посчитали полезным: sendersu, kioresk

Hi Guys.

today i will show you how you can Patch VMProtect's VM.
VMP has a feature called Check VM Object Integrity.that make VM Patching quite hard.
so i coded a tool to fool the vmp;)


on this Tutorial we will see how we can Patch CPUID Anti Dump of VMProtects, with my tool.


Notice:
this tutorial is not for newbie, you should be Intermediate at least.
also some knowledge of VMProtect's VM could be help you to understand better.

Download Tutorial & Tool
Password:
RahamSnD-Persia

Kind Regards.
Raham/SnD Team.
a Reverser From Persia.

http://forum.tuts4you.com/topic/28923-vmprotects-vm-crc-patching-cpuid/

| Сообщение посчитали полезным: Gideon Vi, schokk_m4ks1k, TLN

распаковка VMProtect 2.09 на примере unpackme.exe, с плагином для ольки!!!
с китайского сайта!

--> тут тутор и плагин к ольке<--

--> VMProtect_License_Bypass_by_ZeNiX.rar <--

--> Unpacking Vmp2.05 <--

| Сообщение посчитали полезным: TLN

Что-то плагина не наблюдаю. Да и lpk под паролем.
schokk_m4ks1k пишет:
--> Unpacking Vmp2.05 <--
это древнее видео от Kissy?

new: плаг нашёл ))) Видео может кто залить на rghost?

| Сообщение посчитали полезным: