Решил создать отдельную тему по VMProtect'у, чтобы собирать в одном месте информацию по этому проту и обсуждать детали.

Для начала ответ на самый распространенный вопрос.

1. Почему OllyDbg вылетает при запуске программы, защищенной VMProtect'ом?

Потому что VMProtect использует баг с переполнением буфера в старых версиях dbghelp.dll, из-за которого отладчик падает. Чтобы обойти его необходимо исправить баг в dbghelp.dll или положить в папку отладчика новую версию файла dbghelp.dll, который можно взять из комплекта Debugging Tools for Windows:

http://www.microsoft.com/whdc/devtools/debugging/default.mspx

Добавлено

Microsoft включил дистрибутив Debugging Tools в состав пакета Windows SDK (который весит достаточно прилично), поэтому вот альтернативные ссылки на:

1. Дистрибутив Debugging Tools v6.12.2.633 x86 от 26.02.2010 (18,3 Мбайт)

2. Только библиотека dbghelp.dll из дистрибутива Debugging Tools v6.12.2.633 x86 (0,5 Мбайт)

| Сообщение посчитали полезным:

r99 пишет:
LZ0 добился почти идеальной распаковки
Есть мнение, что от ВМпрота там только конверт был, функции им не защишались. И в краканом ехе не вычищены секции вмпрота, да и вообще мусора полно. Так что до идеала еще копать и копать.

| Сообщение посчитали полезным: schokk_m4ks1k

VMP各版本的IAT修复方法 - --> Link <--
VMProtect的anti-Dump和API修复-终结篇 - --> Link <--

у кого есть аккаунт на 115.com - скачайте и выложите на бесплатный файлообменник, а то без номера китайского телефона не зарегиться! СПАСИБО

| Сообщение посчитали полезным:

Насколько сложно снять VMProtect 1.70.4-> phpbb3 * и есть ли какой-нибудь пример\мануал?
У меня он даже без Олли не запускается:


| Сообщение посчитали полезным:

Pchelovod
был тут свиновод
у него в блоге естъ мануалы
плохо шо он умер

| Сообщение посчитали полезным:

на китайском сайте для вмпрота плаг под первую ольку случайно нашел, только непонял для чего он, всё в крякозабрах! мож кто скажет для чего он?
--> ссыль на китайский сайт <--
--> Download <--
(pass - m4ks!k_for_exelab)

| Сообщение посчитали полезным:

school_m4ks1k пишет:
за паролем в личку

чето криво аттачится

51d5_20.11.2012_EXELAB.rU.tgz - VMP1.3.rar

| Сообщение посчитали полезным:

Похоже на анализатор и отладчик вм.


| Сообщение посчитали полезным:

Nightshade
но как этой радостью пользоваться, когда всё в крякозябрах???

| Сообщение посчитали полезным:

dermatolog, готовь веревку и мыло...
LCF-AT могёт

Hello together,

after a long time I decided to write a completely new VMProtect Unpack script.I checked older and newer VMProtect files which I found to create a new script which can handle all versions.After a long time of writing and testing is my work finished now and I am very proud of my latest "masterpiece" if I can say it so.This time I really tried everything to create a "All-In-One" script so that you as user have almost nothing to do anymore except to take a choice if the script ask you and thats all in the best case. So it will be very user-friendly again.No dumping no fixing no section adding no PE validating!All these steps does handle the script automatically.Good for you [bad for me with that lot of extra work]. But anyway so I did it with joy.
VMProtect Ultra Unpacker 1.0
******************************************************
( 1.) Advanced OEP Finder x2 [Intelli Version]
( 2.) AntiDump x4 Redirection & Dumper
( 3.) Auto API Scanner [Value & System]
( 4.) VM API Redirection
( 5.) VM API Re-Redirection to API
( 6.) API Log & Find [Import Table Data]
( 7.) Import Table Calculator
( 8.) Advanced IAT Creator [No Import-Fix necessary]
( 9.) Target File Dumper + PE Rebuilder
( 10.) Advanced Section Calc & Adder
( 11.) Resource AntiDump Code-Patcher
( 12.) Heap AntiDump Patcher
( 13.) TLS Callback Remover
( 14.) Auto Dump PE Rebuilder
( 15.) Exe & DLL Support [NO VMP DLL Box]
( 17.) ASLR TLSC & Reloc Cleaner
( 18.) CPUID & RDTSC Scan [Fix Manually]
******************************************************
Environment : ARImpRec.dll by Nacho_dj - Big Special Thanks

DLL is used to get:
******************************************************
API Names | Ordinals | Module Owners by Address
Also I created 4 videos for you so see how to use the script and what to do in a special situations if the script does fail to find the OEP or API LOGGER so you will see all what you need to know to get it also working if this happend.I added also the the UnpackMe's into the package for you.Just read the text files which I wrote and see the videos first before you start.So I think that you will like the script and that my work on it was not in vain.

If something not works for you or if you get any trouble or have any questions etc then just post a reply on this topic to get a answer.

greetz

VMProtect Ultra Unpacker 1.0

| Сообщение посчитали полезным: nick8606, CyberGod, DimitarSerg, schokk_m4ks1k, Maximus, tihiy_grom, Airenikus, BAHEK, Vamit, mak

-Sanchez- ну мыло рано с веревкой. Вот когда сделают восстановление VM (по аналогии с темидой) вот, тогда да...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным: SReg

Здравствуйте! Хотел одну прогу быстренько вскрыть. Оказалась закрыта VMP. К чему на данный момент пришли? Есть возможность вскрыть данный протектор?

| Сообщение посчитали полезным:

Ru_Romeo
Странный, очень странный вопрос для человека, через пост от которого лежит ссылка на скрипт по распаковке.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: Jaa

ARCHANGEL пишет:
через пост от которого лежит ссылка на скрипт по распаковке

так не лежит уже, может перезальете с tuts4you

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise
скрипт

e572_09.04.2013_EXELAB.rU.tgz - VMProtect Ultra Unpacker 1.0.rar

| Сообщение посчитали полезным:

--> Всё вместе <--. Пароль на архив: exelab

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: sivorog, Quaerensa, ksol

Кто бы подсказал как с 64bit приложений снимать сей прот...

| Сообщение посчитали полезным:

VmprotectRes Fixer
--> tutorial <--
--> Tool <--

| Сообщение посчитали полезным: plutos, Gideon Vi

Nightshade,
Не могли бы вы перезалить куда-нибудь и туториал и сам tool? Заранее спасибо!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
перезалить куда-нибудь и туториал и сам tool

--> Link <--

--> Link <--

Хотя я бы зарегистрировался, там не мало интересного.

| Сообщение посчитали полезным: plutos, yagello

Спасобо, Gideon Vi!
Я там регистрировался, но почему-то не могу залоговаться никак.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos, внимательнее, там мыло в качестве логина

-----
[nice coder and reverser]

| Сообщение посчитали полезным: plutos

Я так и не пойму, последний VMProtect кому-нибудь удавалось взломать?

| Сообщение посчитали полезным:

Взломать сам ВМП, сломать софт, защищенный ВМП или деВМить защищенный софт? В чем, собственно, ваш вопрос? И что вам даст ответ?

-----
старый пень

| Сообщение посчитали полезным: sivorog

Помогите распаковать программу под VMprotect, она два раза им повешена
http://rghost.ru/private/49199190/6c8b04c93e056997b61f50a7b58c3ab3
И еще, помогите с олей я когда ставлю плагины некоторые требуют Immunity Debbuger

| Сообщение посчитали полезным:

queyron пишет:
она два раза им повешена

OEP под VM, скриптом выше распаковать можно (смотря для чего вам эта распаковка)

| Сообщение посчитали полезным: queyron

Так-то все есть, и скрипты на многих протекторов, но как мне олю собрать если одни проблемы. Объясните кто как и что.

| Сообщение посчитали полезным:

Уважаемые посетители exelab!

В связи с тем, что несколько дней назад мною было дано обещание написать статью об инлайн патче VMProtect и учитывая, что прошло уже определенное время, мне всё чаще и чаще стали приходить вопросы о том, как долго ещё будет готовиться статья. Объясняю всем!

Статья готова на 90 %. В ней будет расказано о:
1) Общие сведения о VMProtect;
2) Описана распаковка VMProtect с помощью скрипта от LCF AT. Здесь также будет расказанно об общих проблемах при работе скрипта, а также о том, как пофиксить дамп после работы скрипта (спрятать отладчик от обнаружения,подправить иат и сделать возможность запуска на других системах). Глава ИСКЛЮЧИТЕЛЬНО ДЛЯ НОВИЧКОВ.
3) Инлайн патч анпакми, собственного приготовления
4) Инлайн патч реальной коммерческой программы.

О ВМ рассказываться не будет точно, потому что сейчас не до неё. Её нужно исследовать долго и нудно.

Основные затруднения у меня сейчас связаны с катастрофической нехваткой времени, как назло завалили работой. Работаю по 20 часов в сутки, поэтому как понимаете сейчас не до инлайнов.
Вторая проблема заключается в RTDS и CPUID. Пока не могу разобраться как это дело фиксить. Людей имеющих информацию по этой теме прошу поделиться.

Так что убедительная просьба не задавайте вопросов по статье в личке. Каждому ответить не могу, ибо уже от написания статьи пальцы устали

Спасибо за понимание.

| Сообщение посчитали полезным: SReg, vnekrilov, ARCHANGEL, evggrig, deniskore, Vnv, Mishar_Hacker, 4kusNick

на тутсах LCF AT ссылается вот на это видео http://www.sendspace.com/file/k1fzks - some video about cpuid fix
Может поможет. Удачи.

Add И еще одно видео http://rghost.net/49809871

| Сообщение посчитали полезным:

Приветствую всех. Наконец-то я собрался с последними силами и закончил статью по инлайну VMProtect. Краткое содержание:
1) Обзор литературы по протектору;
2) Распаковка с помощью скрипта;
3) Доработка импорта после скрипта;
4) Рассмотрен обфусцированный код VMProtect;
5) Инлайн анпакми 2 методами;
6) Инлайн реальной коммерческой программы;

Туториал написан простым, человеческим языком. Первая часть рассчитана на новичков. Уровень подготовки для второй части (инлайн) я определить затрудняюсь, пусть каждый поставит его сам для себя. Пытался объяснить всё подробно, в некоторых местах по нескольку раз.

-----------------------------------------------------------------------------------
Ссылки:
Файлы к туториалу: mediafire
Скрипты: mediafire
Исходники: mediafire
Инструменты: mediafire
Только туториал: mediafire
Полный набор (всё необходимое): mediafire
------------------------------------------------------------------------------------------
Из-за ограниченного времени не успел рассмотреть некоторые, интересные с моей точки зрения, опции протектора. Оставим на другой раз. В любом случае по инлайну считаю: тема сисек раскрыта
Буду очень признателен за отзывы, конструктивную критику и любые замечания. Надеюсь Вам понравится.

| Сообщение посчитали полезным: zNob, Gideon Vi, SReg, deniskore, CyberGod, vnekrilov, Hellspawn, tihiy_grom, drone, GroundHog, Vnv, r_e, Mishar_Hacker, Jaa, Airenikus, mak, d0wn, Valemox, nick8606, kid, stas_02, BAHEK, vlaten, DICI BF, Xlab0s, gloom, plutos, ksol, Orlyonok, apslash, Maximus, verda

Перезалил для истории.

| Сообщение посчитали полезным: plutos