Решил создать отдельную тему по VMProtect'у, чтобы собирать в одном месте информацию по этому проту и обсуждать детали.

Для начала ответ на самый распространенный вопрос.

1. Почему OllyDbg вылетает при запуске программы, защищенной VMProtect'ом?

Потому что VMProtect использует баг с переполнением буфера в старых версиях dbghelp.dll, из-за которого отладчик падает. Чтобы обойти его необходимо исправить баг в dbghelp.dll или положить в папку отладчика новую версию файла dbghelp.dll, который можно взять из комплекта Debugging Tools for Windows:

http://www.microsoft.com/whdc/devtools/debugging/default.mspx

Добавлено

Microsoft включил дистрибутив Debugging Tools в состав пакета Windows SDK (который весит достаточно прилично), поэтому вот альтернативные ссылки на:

1. Дистрибутив Debugging Tools v6.12.2.633 x86 от 26.02.2010 (18,3 Мбайт)

2. Только библиотека dbghelp.dll из дистрибутива Debugging Tools v6.12.2.633 x86 (0,5 Мбайт)

| Сообщение посчитали полезным:

Djeck, тема инлайна раскрыта на этой базе можно универсальный скрипт налабать, который будет фактически отключать проверку crc. плюсую однозначно!

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Как мне кажется лучше замутить это дело программным путём, а не скриптом. Я начал это дело, даже GUI нарисовал, и сволочи поджали на работе. Теперь хрен знает, когда время будет...
Да и надо решить вопрос со старыми версиями прота. Там проверка немного по другому.

| Сообщение посчитали полезным:

Djeck как реализовывать не важно) старые это какие? любые меньше 2.12?

-----
[nice coder and reverser]

| Сообщение посчитали полезным: Mishar_Hacker

Djeck пишет:
Да и надо решить вопрос со старыми версиями прота. Там проверка немного по другому.
да там лажа ваще, хидер даже в принципе подменить достаточно и усё.

Djeck пишет:
Как мне кажется лучше замутить это дело программным путём, а не скриптом. Я начал это дело, даже GUI нарисовал
делал уже прогу на коленке для патча crc, стали баги вылезать...да и с антидебагом тоже какие-то траблы были, но это можно рипнуть из вамитовского плага да и в паблике инфы есть, но я забил в итоге.

Hellspawn пишет:
старые это какие? любые меньше 2.12?
может и ошибаюсь, но вроде меньше 2.x

| Сообщение посчитали полезным:

MasterSoft так дебаг апи не юзать и все будет норм длл-ку инжектить в процесс и хукать диспатчер, например. а так вроде достаточно универсально будет, версию бы ещё детектить ветки 2.х в принципе достаточно.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
старые это какие? любые меньше 2.12
Да, уже на 2.08 файл не мапится в память. Надо ловить CreateFile или GetModuleHandle
MasterSoft пишет:
да там лажа ваще, хидер даже в принципе подменить достаточно и усё.
Это по методу LCF-AT? Если да, то это не инлайн. Держать рядом не патченный файл не кошерно. Да и на 2.08 например не прокатывает.
MasterSoft пишет:
делал уже прогу на коленке для патча crc, стали баги вылезать
Да какие там баги могут вылезать? Немного проблемно это место найти из-за мусора,но и это не огромная проблема.По анти-отладке вамит уже давал исчерпывающую информацию. А в последних версиях вообще халява: peb запатчить, железки спрятать и захучить Zw* функи. Единственное, так и не понял, как вмпрот палит мемори бряки на секции кода.
Hellspawn пишет:
версию бы ещё детектить
Да, это бы самому было интересно узнать. И вообще у меня складывается впечатление, что ты агрессивно настроен к проту Может быть CRC-патчер?

| Сообщение посчитали полезным:

Djeck пишет:
Это по методу LCF-AT? Если да, то это не инлайн. Держать рядом не патченный файл не кошерно.
не знаю чего там LCF-AT придумала, и зачем держать не патченый файл рядом...я говорю про патч хидера на оригинальный в памяти.
вот пример тебе грузанул:http://www.sendspace.com/file/5v74ik
там оригинал и патченный файл. просто хидер туда целиком запихнул, можно было обойтись патчем нескольких байт, но это я для наглядности.

Djeck пишет:
Да какие там баги могут вылезать?
ну я вообще как кодер не очень=) накодишь - молодец, может хоть прот обновят наконец, а то уныло уже.

Djeck пишет:
Немного проблемно это место найти из-за мусора,но и это не огромная проблема.
это как раз совсем не проблема, пару бряков и прикрутить дисасм как бы не сложно.

да проблемы вообще никакой нет в реализации, когда начал писать вроде было сначала всё няшно, даже работало=) а потом лень меня одолела и понял, что для себя и так сойдёт.

| Сообщение посчитали полезным:

MasterSoft пишет:
может хоть прот обновят наконец, а то уныло уже.
Да не не надо обновлять, и так хорошо
MasterSoft пишет:
да проблемы вообще никакой нет в реализации, когда начал писать вроде было сначала всё няшно, даже работало=) а потом лень меня одолела и понял, что для себя и так сойдёт.
Но это у всех так Вроде работает, да и ладно.

| Сообщение посчитали полезным:

Вообщем посмотрел, что творится со старыми версиями. Функция расчёта почти такая же, как и в новых. Различается не намного. Например для версии 1.70:



Единственное в версиях меньше 2.12 файл не размещается в памяти, но место сохранения можно найти вообще не запуская файл. Скрипт нужно немного доработать, а то в старых версиях файл запускается.
P.S. Пока не понял как читается файл с диска. CreateFile\ReadFile и т.д. не срабатывают.

| Сообщение посчитали полезным:

Djeck в младших версиях проверяется заголовок и какие-то критичные куски самого прота, ловить просто, мемори бряк на хидер

например, так это выглядит в файле от MasterSoft.



-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Спасибо тебе, волшебник.
А тем временем на форуме вмп уже --> выложили<-- ссылку на этот тред, в добавок практически готова версия 3.00.

| Сообщение посчитали полезным:

Carpe DiEm пускай читают, нам не жалко

Djeck как находить место без запуска? сигнатуры + дизасм?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
как находить место без запуска? сигнатуры + дизасм?
вообщем да. Искать mov dword ptr [ebp], eax. Найдётся несколько мест, но только в нашем после команды сохранения почти всегда стоит pushad.
Или ещё можно попробовать найти сдвиг SHL EAX, 4. Я находил только одну команду (нашу). Только в версиях до 2.xx, константа = 7, а поменьше от 4 до 7.
Carpe DiEm пишет:
А тем временем на форуме вмп уже --> выложили<-- ссылку на этот тред
Интересно, что чувак стуканул, но так и не понял как происходит патч хешей. Жалуется, что патчат пиб+ перехватывают Zw* функции Да и кстати, что-то ему пока не ответили.
P.S. интересно прот кодит до сих пор дерьмотолог?

| Сообщение посчитали полезным:

Чем больше наворотов у протектора, тем меньше ими пользуются шароварщики

| Сообщение посчитали полезным:

>Hellspawn
мемори бряк на хидер например, так это выглядит в файле от MasterSoft

нифига ,палит дебаггер

| Сообщение посчитали полезным:

Carpe DiEm пишет:
А тем временем на форуме вмп уже --> выложили<-- ссылку на этот тред
Djeck пишет:
чувак стуканул
Я более, чем уверен, что автор прота и без того чувака в курсе про этот тред ;)

Airenikus пишет:
Чем больше наворотов у протектора, тем меньше ими пользуются шароварщики
Большинство предпочитает простое и эффективное решение, это да, но те кто любит выжать максимум из купленного продукта не поленятся во всем разобраться, такие тоже встречаются.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Поглядел краем глаза тутор, почему-то не упоминается что существует проверка кода самого примитива CRC. Или же я не особо внимательно читал.

| Сообщение посчитали полезным:

neprovad ну так если мы хеши подмениваем то какая разница? или там отдельный код проверки?

newbie_cracker у меня ниче не палит.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

neprovad пишет:
Поглядел краем глаза тутор, почему-то не упоминается что существует проверка кода самого примитива CRC
Вот чтобы не задавать таких вопросов, надо глядеть не краем глаза, а обоими глазами .
Во-первых нам без разницы, что он там проверяет, мы меняем любые хеши. Пускай он хоть обосрётся проверять их.
Во-вторых сам примитив никто и не трогает, как мы можем не пройти проверку?
Hellspawn пишет:
у меня ниче не палит
палит, я уже об этом говорил. А как вообще оля ставит мемори бряки? Какие способы их запалить.

| Сообщение посчитали полезным: neprovad

Djeck VirtualProtect как же ещё.
запалить проверив атрибуты у памяти. На хеадер если ставить, то брякаемся как раз на проверке сразу, потом чуть потрейсить и вуаля:


-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Djeck пишет:
А как вообще оля ставит мемори бряки?
VirtualProtectEx (.... PAGE_GUARD) наверное...

| Сообщение посчитали полезным:

Djeck пишет:
существует проверка кода самого примитива CRC
что-нибудь типа
mov eax,[eax]

и хеши идут лесом

| Сообщение посчитали полезным:

>Djeck

палево как то обошол меняя настройки фантика и стронга

>Hellspawn

бряк на хидер
минуту в нтдлл запускал
потом сюда

минуты две по запускал ,только после этого выпал на хэши

| Сообщение посчитали полезным:

Мельком поглядел тутор, пока время было. Коль уж я в гритсах, придётся отрабатывать

в принципе, чувствуется, что редактора не было, местами грамматика хромает, запятые выставлены рандомно и есть очепятки типа API LOGER или VMProect

в противном случае указываем правильный в RVA-формате (т.е. как Вы видите его в отладчике)
лично мне в первую очередь из отладчика приходят в голову адреса в CPU, а там ВА, а не РВА

на мой взгляд, в патче лучше сверять адреса с учётом плавающей базы через дельта-смещение, иначе может быть коллизия, нежели последнюю часть адреса и часть хеша

И последнее нужно найти свободное место в качестве переменной. Сюда система запишет старое значение. Я указал место чуть ниже нашего патча
когда патч отожрётся и забудется эта вольность, она доставит много приятных моментов отладки, когда вызов апи паразапишет часть патча. лучше сделай push reg; push esp и не трогай область кода

«фиктивную» процедуру получения хешей
она нерелокабельна

насколько мне известно, LCF-AT - это она, а не он

что прота обновление не за горами, в принципе уже сказали, так что запасаемся поп-корном

И напоследок, с чем ты так и не разобрался, почему оно падает. Внутри ВМ на входе есть проверка и ветвление. Если проверка не проходит, оно уходит на плохую ветку и крашится. В проверке участвуют некоторые дворды из кода и выделенной памяти, TF из флагов. Конкретно в данном случае фейлится проверка на адрес 0x469e57 и лежащий в ней шифрованный адрес выделенной памяти, откуда берётся второй дворд. Второй дворд конкретно берётся из адреса 0xf70050, это было, видимо, перенаправлено с выделенной памяти скриптом. Полагаю, что это скорее всего косяк скрипта, но не разбирался, как он работает.

| Сообщение посчитали полезным:

Ребят. просмотрел тоже краем глаза.. ВАМита на вас нету.. я на эту граблину года 2 назад наступил, тоже пытался ЦРЦ править, создавая плаг для ольки, просчитывая ЦРЦ из бинаря с винта.. к сожалению данная технология не всегда работает. Беда в том, что в некоторых прогах идет самомодификация кода, и црц.. к моменту расчета, должна считаться уже модифицированного кода. В моем случае было гдето 1.5к црц проверок.. я подменил гдето 98 проц. изза селф модифи. Эта техника имеет право на существование, но не является поноцеей 100 проц.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Archer пишет:
в принципе, чувствуется, что редактора не было, местами грамматика хромает, запятые выставлены рандомно
Как нету? Word рулит
Archer пишет:
лично мне в первую очередь из отладчика приходят в голову адреса в CPU, а там ВА, а не РВА
Да конечно, это очепятка
Archer пишет:
она нерелокабельна
Да с этим полностью согласен. Каждый этот момент может поправить сам, я дописывал статью на последнем издыхании и сильно спешил, поэтому упустил этот момент
Archer пишет:
насколько мне известно, LCF-AT - это она, а не он
Ну значит ядрённая баба
Archer пишет:
И напоследок, с чем ты так и не разобрался, почему оно падает. Внутри ВМ на входе есть проверка и ветвление. Если проверка не проходит, оно уходит на плохую ветку и крашится
Хм.. интересно почему на xp всё ок, а на семерке фолт. Даже если снимать на 7, всё равно проверку не проходим. Причём тестил на разных компах, практически везде всё ок. Причём я это место видел и понял о чём ты говоришь, но не проверил точно, поэтому будучи не уверенным в своих мыслях не стал об этом говорить. Кстати, в процедуре расчёта хеша есть идентичная проверка. Стоит прыжок, и если не прыгнет идём на идентичный кусок расчёта. Хеш получится тот же самый, поэтому для меня осталось загадкой, зачем две одинаковые процедуры расчёта.
VodoleY пишет:
Ребят. просмотрел тоже краем глаза.. ВАМита на вас нету.. я на эту граблину года 2 назад наступил, тоже пытался ЦРЦ править, создавая плаг для ольки, просчитывая ЦРЦ из бинаря с винта..
Ты о чём? Нет я вправду не понял... Мы ничего не рассчитываем, всё делает сам прот. Зачем считать что-то с диска? Мы всего-лишь в месте сохранения подменяем сам хеш, ничего не меняя в функции расчёта.
VodoleY пишет:
Беда в том, что в некоторых прогах идет самомодификация кода, и црц.. к моменту расчета, должна считаться уже модифицированного кода
Как это может мешать нам? Ну пусть VMProt и считает, мы то здесь пр чём. Если есть возможность дай посмотреть прогу, что бы понять о чём ты говоришь

| Сообщение посчитали полезным:

Djeck пишет:
интересно почему на xp всё ок, а на семерке фолт
Лично у меня крашился анпаканый что на ХР, что на 7. Почему именно у тебя работает, не знаю. Можно, конечно, и всю проверку вытащить, а не частями, что я описал, но мне как-то ленно было.

| Сообщение посчитали полезным:

у меня пашет и на 7-ке и на хп но проверку надо ковырять в любом случае, а то не красиво.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

На счёт проверки, тоже прихожу к мнению, что и Арчи - видать где-то косячит скрипт. Снимал руками, вроде всё ок. Сначало думал, что это опция прота, которая проверяет целостность объектов вм, но даже на минимальных опциях (с выключенной опцией) происходит ошибка.
P.S. Вообщем, по статье сделаю вывод такой: она конечно же не лишена недостатков, но основная тема раскрыта, где и что патчить найдено, а как патчить пускай каждый выбирает свой способ.В любом случае хуже от того, что я написал этот туториал не будет.

| Сообщение посчитали полезным: Jaa

по уму надо творить анпакер. просто

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: