Решил создать отдельную тему по VMProtect'у, чтобы собирать в одном месте информацию по этому проту и обсуждать детали.

Для начала ответ на самый распространенный вопрос.

1. Почему OllyDbg вылетает при запуске программы, защищенной VMProtect'ом?

Потому что VMProtect использует баг с переполнением буфера в старых версиях dbghelp.dll, из-за которого отладчик падает. Чтобы обойти его необходимо исправить баг в dbghelp.dll или положить в папку отладчика новую версию файла dbghelp.dll, который можно взять из комплекта Debugging Tools for Windows:

http://www.microsoft.com/whdc/devtools/debugging/default.mspx

Добавлено

Microsoft включил дистрибутив Debugging Tools в состав пакета Windows SDK (который весит достаточно прилично), поэтому вот альтернативные ссылки на:

1. Дистрибутив Debugging Tools v6.12.2.633 x86 от 26.02.2010 (18,3 Мбайт)

2. Только библиотека dbghelp.dll из дистрибутива Debugging Tools v6.12.2.633 x86 (0,5 Мбайт)

| Сообщение посчитали полезным:

С поиском и подменой «хэшей» вариант интересный, но не проще ли «по-старинке»: подменить хэндл, возвращаемый MapViewOfFile в EAX для последующей проверки целостности, на адрес выделенной через VirtualAlloc памяти, куда загружен «очищенный» от внесенных изменений исполняемый файл?

| Сообщение посчитали полезным:

YDS со старыми версиями не будет работать хотя сам такой способ юзал пару раз.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Carpe DiEm пишет:
форуме вмп уже --> выложили<-- ссылку
там молчание админа - видно ждет от этого топика более конструктивного продолжения

| Сообщение посчитали полезным:

Пробую снять VMP с помощью скрипта LCF-AT.
Найден адрес ОЕР: 0063FD28. Далее предполагается поиск адресов API функций. В режиме AutoMode работа скрипта зацикливается на Hardware breakpoint 1 at […] 0109EDB3, здесь прога долго шуршит и в конце концов запускается, т.е облом. Предусмотрен ручной вариант с оговоркой, что он нужен для старых версий VMP (кстати, как определить версию VMP? – DiE её не показывает. Отвечаю сразу: Google у меня не забанен). Для ручного режима LCF-AT предлагает воспользоваться ведео тутором, но при его просмотре у меня не получается сделать паузу (ни в Win XP, ни в Win 7), а без этого – никак.
Существует ли читабельный вариант тутора для ручного режима? Или как пройти дальше?

--> Victim <--

| Сообщение посчитали полезным:

Chris
думаю вопросы скрипта нужно задавать его автору http://forum.tuts4you.com/topic/30733-vmprotect-ultra-unpacker-10/
попробуйте в ollydbg.ini изменить значение с 0 на 1

Chris пишет:
у меня не получается сделать паузу
клик мышкой по видео или как на скрине


P.S. распаковуется на ура (winxp, wmware), оеп под вм, но проблем тоже не увидел

| Сообщение посчитали полезным:

Jaa, спасибо.

У меня прописана 1. Пробовал и 0 - без разницы.

По видео тутору тоже не получается: прога не идёт по пути, предписанному LCF-AT, а при первом же запуске затыкается на том же breakpoint'e.

| Сообщение посчитали полезным:

Хочу сказать по скрипту от LCF-AT. Работает замечательно, но бывают случаи, когда приходится править ручками и OEP, и добавлять недостающий импорт. И на мой взгяд зло - убирать релоки. Для exe-модулей это подойдёт. Для dll - не всегда! Пусть даже с отключеным ASLR, но база по которой она загрузится - непредсказуемо! Столкнулся со случаем, когда пришлось вручную находить OEP, добавить 3 недостающих импорта и 750+ релоков. Несмотря на это, в dll всё равно остался обфускированный код, который привязывает её к статическому адресу - тому, по которому распаковалась.

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
Хочу сказать по скрипту от LCF-AT. Работает замечательно
Есть файл http://rghost.ru/52032377 на котором скрипт не работает.не пойму почему.
Использую Ollyscript 1.82.Пробовал VMProtect 1.8 - 2.x API Turbo Tracer v1.2.VMProtect Ultra Unpacker 1.0.
скрипты запускаются и тишина.курсор как стоял на EP так и остался.
Может там не VMprot?Хотя анализатор RDG packer detecktor определил его наличие.
возможно по именам секций?вообщем когда детектитсяа оля наг появляется вмпрота.

| Сообщение посчитали полезным:

apc у меня даже Зевс нормально распаковал (правда в оепе немного ошибся) [OEP=5a95c4]
смотри внимательнее видео туториал по использованию скрипта VMProtect Ultra Unpacker 1.0
кстати, смысл инфопротектор анпакать? или тебе для других целей?

| Сообщение посчитали полезным:

Jaa пишет:
смысл инфопротектор анпакать? или тебе для других целей?
видео смотрел.там немного подругому.здесь же ни оер никахих сообщений.все тихо.у меня закралась мысль что это новая версия прота или сверху накрыто еще чем.
анпакнуть хотел что бы разблокировать буфер обмена.

| Сообщение посчитали полезным:

apc пишет:
анпакнуть хотел что бы разблокировать буфер обмена

ip блокирует буфер через свой драйвер.

| Сообщение посчитали полезным:

apc пишет:
у меня закралась мысль что это новая версия прота или сверху накрыто еще чем
А у тебя не закралась мысль, что скрипт просто встал на паузу? Открой лог скрипта и увидишь, что он пропатчил GetThreadContext. Для продолжения нужно нажать в плагине Resume script.

| Сообщение посчитали полезным:

Djeck пишет:
А у тебя не закралась мысль, что скрипт просто встал на паузу? Открой лог скрипта и увидишь, что он пропатчил GetThreadContext. Для продолжения нужно нажать в плагине Resume script.

Точно.Спасибо заработали скрипты.Но так до оер ни один не доходит.терминается процесс с ошибкой На
Message=Access violation when reading [00000000]
Message=Access violation when writing to [0013034C]

Gideon Vi пишет:
ip блокирует буфер через свой драйвер.
Не совсем понял.это книга в буфере обмена пишет-(На время чтения книги включена блокировка буфера обмена.)

| Сообщение посчитали полезным:

apc пишет:
Не совсем понял.это книга в буфере обмена пишет-(На время чтения книги включена блокировка буфера обмена.)

Ещё раз. Протектор ставит в систему драйвер, который перехватывает работу с буфером обмена. Это не делается силами VMP.

| Сообщение посчитали полезным:

Прошу заранее прощения если не туда... подскажите где можно попросить распаковать программу запротекченную сабжем?
От модератора: за полтора года просиживания на форуме до сих пор не заметил, что есть запросы и поиск специалистов?

| Сообщение посчитали полезным:

Приветствую всех. Прочитал статью про InLine VMProtect которую здесь выкладывали, хотел спросить, есть ли способ узнать последний хеш быстрым способом не считывая все хеши через скрипт.

| Сообщение посчитали полезным:

BlackArting
Нет

| Сообщение посчитали полезным:

Кто может помочь распаковать файл 1.dll что лежит в архиве ?

http://www.fayloobmennik.net/4002768

| Сообщение посчитали полезным:

Хватит уже ходить по всем подряд топикам и канючить. Есть запросы на взлом и поиск специалистов.

| Сообщение посчитали полезным: Jaa

надо поправить ресы, есть возможность снять пакер, peid и die разошлись во мнениях один говорит upoly другой Vmp, склоняюсь больше что это Vmp не разу правда на него не натыкался буду рад помощи, спасибо
http://rghost.ru/57384918

| Сообщение посчитали полезным:

djdram
пости сюда запросы - --> Запросы на взлом программ <--
но думаю бесплатно тебе уж точно никто снимать его не будет, скорее всего тебе сюда - --> Поиск специалистов <--

| Сообщение посчитали полезным: djdram, Gideon Vi, DenCoder

Jaa а что сложный пакер?

| Сообщение посчитали полезным:

djdram пишет:
надо поправить ресы, есть возможность снять пакер
Вообще о...вать стали
Archer
Может пора всё-таки инвайты включать. За три года один-два нормальных реверса и больше сотни полных ...

| Сообщение посчитали полезным: unknownproject, Jaa

djdram пишет:
а что сложный пакер?
Это не пакер, а протектор и далеко не самый худший.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

Djeck пишет:
За три года один-два нормальных реверса и больше сотни полных ...

... в чем заключается? Человек нарушил правила, ему на это указали, он уточнил сложность работы.
Давайте тогда уже инвайты на рождение выдавать. Один-два нормальных человека на сотню потенциальных ... рождаются.
Мы с тобой, кстати, тоже правила тут нарушаем.

Добавлено спустя 1 минуту
unknownproject пишет:
Это не пакер, а протектор

ресурсы при протекте сжимаются?

| Сообщение посчитали полезным: DenCoder

Доброго времени суток господа. Не стал создавать для своего вопроса отдельный тред, отпишу-ка я здесь. Сообственно вопрос : каким образом VMProtect'у удается защитить импорты PE что делает в дальнейшем дизассм бинаря труднорешаемой задачей ? На скрине ниже как раз таки IDA выплевывает сообщение с ошибкой
о том что импорт похерачен, а то стало анализ бинаря нынче усложнен:
[img]https://i.imgur.com/RN0At4L.jpg[/img]

Гугление по запросам protect pe import/antidisassm pe/corrupt pe import for ida antidisassm/etc ни к чему не привело. Поэтому прошу Вас помочь разобрать в вопросе.
Если можно господа опишите подробно процесс того как это происходит, приветствуются примеры с вырезками из кода или линками по подобной информации.
Сэмплы msgbox_clean / msgbox_vmprotected прилагаются.
https://mega.co.nz/#!nkJw0QRA!y3uma1IbymajmoB0QN4HBckr8SakwKNKxYzc0igrCIM

PS.: есчо вопрос в догонку, существуют ли методы затруднения дизассемблирования без значительного увеличения кода ?

Спасибо за внимание. С уважением, egyp7.

| Сообщение посчитали полезным:

egyp7 пишет:
Гугление по запросам protect pe import/antidisassm pe/corrupt pe import for ida antidisassm/etc ни к чему не привело
Нет там защиты импорта! То, что Вы назвали защитой, скорее можно назвать скрытием, и для обратной операции есть термин "восстановление импорта". Попробовать так поискать: --> восстановление таблицы импорта <-- и будет щасье

egyp7 пишет:
PS.: есчо вопрос в догонку, существуют ли методы затруднения дизассемблирования без значительного увеличения кода ?
Некоторые ВМ, например. В нативный код можно вставить фолтную инструкцию, назначение которой будет - вызов виртуальной машины для исполнения одной из её команд. Для дизассемблирования такого кода заодно придётся изучить систему команд виртуальной машины. А команд может быть сотня, с различным числом параметров, режимов, ...

-----
IZ.RU

| Сообщение посчитали полезным: egyp7

Gideon Vi пишет:
в чем заключается?
Во многом согласен с тобой, но посмотри например в этой теме - из семи страниц только одна несёт смысловую нагрузку, а остальные все - помогите снять, не запускается оля, чё такое vmprotect...
Конкретно выше писавшего человека - миллион раз уже говорили, НЕ ПОСТИТЕ СЮДА ЗАПРОСЫ! Для этого есть специальная тема, но нет стабильно раз в день на одной странице появляется чувак на танке и с бронежилетом на голове и говорит: вот файлы, снимите потом свисните.
Gideon Vi пишет:
Давайте тогда уже инвайты на рождение выдавать. Один-два нормальных человека на сотню потенциальных ... рождаются.
Пособия уже выдают Да и тут ты не прав, на сотню рождаются намного больше нормальных человек в .... их превращает жизнь.

Gideon Vi пишет:
Мы с тобой, кстати, тоже правила тут нарушаем.
Я в курсе. Готов нести ответственность по всей строгости закона (желательно условную:s1. Если по честному меня уж сложно назвать главным флудером я на форуме то последний раз писал полгода назад, но реально "мёртвые темы" и сообщения уже достали.
З.Ы. модраторам: Можете не предупреждать, всё сам понимаю, больше флудить не буду.

| Сообщение посчитали полезным: ajax

Djeck, есть ли туторы на русском про этот протектор, которые основаны не на скрипте LCFAT ?

| Сообщение посчитали полезным:

mazaxak
Я на русском не видел, да и на английском то тоже не густо

| Сообщение посчитали полезным: