| Сейчас на форуме: (+7 невидимых) |
 |
eXeL@B —› Протекторы —› Помогите определить ВМ |
| Посл.ответ | Сообщение |
|
|
Создано: 25 марта 2011 12:34 · Личное сообщение · #1 Добрый день! К сожалению я не так много видел Виртуальный Машин изнутри. Может ктото сходу определить что за машина. так выглядит вход в ВМ pusha pushf cld call $+5 //типа кодонезависима pop edi .... lodsb //выбор команды из ленты (далее команда хешируеца) ...... movzx eax, al jmp dword ptr [edi+eax*4] //так выглядит вызов обработчика примитива, всего из как видно 256 ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....  |
|
|
Создано: 25 марта 2011 12:54 · Личное сообщение · #2 CodeVirtualizer, либо CISC Themida/WL, что одно и то же. |
|
|
Создано: 25 марта 2011 13:44 · Личное сообщение · #3 Чем CISC отличается от RISC? Может кто дать краткое описание? P.S. Википедию читать не предлагать. |
|
|
Создано: 25 марта 2011 14:17 · Личное сообщение · #4 int По логике вещей - http://www.kailib.ru/part2?start=9 CISC. Базовая защита, защищенный код относительно быстро выполняется. CISC-2. Расширенная защита, код занимает больше места, чем в случае CISC. Чуть более медленный. RISC-64. Каждая виртуальная инструкция занимает 64 бита, защита сильнее, чем у CISC, но защищенный код выполняется медленно. RISC-128. Усовершенствованный супермедленный и суперзащищенный вариант RISC-64 Для CISC процессоров поддерживается одновременное встраивание в защищенное приложение нескольких виртуальных процессоров одного типа, но с разной системой команд. Это повышает защиту, но увеличивает размер исполняемого кода приложения. ----- От многой мудрости много скорби, и умножающий знание умножает печаль | Сообщение посчитали полезным: VodoleY, vnekrilov |
|
|
Создано: 25 марта 2011 15:29 · Личное сообщение · #5 ajax спасибо, кстати давно хотел задать подобный вопрос, но int меня опередил ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
|
Создано: 25 марта 2011 16:12 · Личное сообщение · #6 Ну так это всё в хелпе самой фимы написано, я думаю, int не про то спрашивал. Его конкретика интересует. 
----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 25 марта 2011 16:44 · Поправил: VodoleY · Личное сообщение · #7 конкретно по теме, подтвердилось CodeVirtualizer. Всем спасибо. З.Ы. вот было бы не плохо в ВиКи добавить так сказать ключевые моменты ВМ, чтоб можно было визуально хоть ее узнать ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
|
Создано: 25 марта 2011 16:51 · Личное сообщение · #8 VodoleY пишет: чтоб можно было визуально хоть ее узнать А толку? Это напоминает историю как один хотел написать анализатор на нейро сетях... ----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 25 марта 2011 17:20 · Личное сообщение · #9 BoRoV когда знаешь с чем имеешь дело не тратишь лишнее время на изобретение велосипедов, а хотябы уже нужные мануалы читаеш ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
|
Создано: 25 марта 2011 17:33 · Личное сообщение · #10 VodoleY пишет: когда знаешь с чем имеешь дело не тратишь лишнее время на изобретение велосипедов, а хотябы уже нужные мануалы читаеш Хехе. Ну всё один в один Code:
Ну вот, на тебе ситуацию. Это Вход в ВМ энигмы. VodoleY пишет: хотябы уже нужные мануалы читаеш Покажи мне хоть один ман? VodoleY пишет: когда знаешь с чем имеешь дело не тратишь лишнее время на изобретение велосипедов Я не видел ни то, что бы велосипед, но даже колеса для этого велосипеда почти нет. ... И как тебе помогла эта информация? ----- Лучше быть одиноким, но свободным © $me | Сообщение посчитали полезным: SReg |
|
|
Создано: 25 марта 2011 17:55 · Поправил: VodoleY · Личное сообщение · #11 BoRoV об этом и речь. есть у каждой вм свои особенности (енигму не видел, сказать не могу) но вот ВМПротекта и (уже КодеВирта) машины для меня узнаваемы. как вариант ВМПрот - 1. выборка из ленты байткода MOV AL,BYTE PTR DS:[ESI] (может быть ESI+n ) 2.выборка кода примитива MOV EDX,DWORD PTR DS:[EAX*4+Base] или MOV EСX,DWORD PTR DS:[EAX*4+Base] 3. передача управления ему через RET xx то что в шапке тоже достаточно характерный код З.Ы кстати а продолжение кода показать можешь? (можно в приват интересно просто) подозреваю что там jmp VM_seg ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
|
Создано: 25 марта 2011 19:04 · Личное сообщение · #12 VodoleY пишет: вот было бы не плохо в ВиКи добавить так сказать ключевые моменты ВМ, чтоб можно было визуально хоть ее узнать Я этим уже занимаюсь... | Сообщение посчитали полезным: vnekrilov |
|
|
Создано: 26 марта 2011 09:25 · Поправил: zeppe1in · Личное сообщение · #13 VodoleY В дллке Сlisecure точно такая же вм, 1 в 1. Совсем недавно разбирался с ней, в ручную восстанавливал код. А есть готовые deVirtualizer'ы?) Мне просто показалось, что там всё достаточно просто. Хотя это был мой первый опыт с вм) а, всё нашол в соседней теме
----- zzz |
|
|
Создано: 26 марта 2011 09:40 · Личное сообщение · #14 zeppe1in Swepper by Vamit в теории разбирает кодевирт и вмпротек , но проэкт находица на стадии доработки ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
eXeL@B —› Протекторы —› Помогите определить ВМ |
Для печати