UnVirtualizes CISC Themida/WL/CodeVirtualize Machines

Автор: Deathway



3bb2_25.03.2011_EXELAB.rU.tgz - OreansUnVirtualizerv1.0.rar

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: Maximus, Rio, HandMill

Вообще-то софт по протекторам обычно складируют в Протекторы. Перенесено.

P.S. Эт чье вообще?
P.P.S. А, ясно, Deathway.

| Сообщение посчитали полезным:

int пишет:
P.S. Эт чье вообще?
Как чье ?!
BoRoV пишет:
the basic engine was from CodeUnvirtualizer, my other tool
Deathway конечно.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Остается кому-то заняться таки RISC машинами...

| Сообщение посчитали полезным:

я обожаю инструменты под названием пользуйтесь. это не упрек. кстати BoRoV именно сегодня было тоже самое. я с Vamit ом просидел в аське неделю чтоб мы хоть в терминах начали сходица. а он еще и мануал написал....
зы

---------------------------
OllyDbg: OllyDbg.EXE - Не удалось найти компонент
---------------------------
Приложению не удалось запуститься, поскольку MSVCR100D.dll не был найден. Повторная установка приложения может исправить эту проблему.
---------------------------
ОК
---------------------------

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Ну установи 2010 рантайм. Там же это по-русски написано.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV ты молодец. уважаю. а линукс мне под винду поставить не надо? за севодняшний диалог отдельно спс. помогло кстати. но блин комплектуйте уж дистрибы так чтоб уже не фантазировать
ЗЫ я старый больной делфист нафиг эти телодвиги

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным: Rio

VodoleY пишет:
но блин комплектуйте уж дистрибы так чтоб уже не фантазировать
Дык я тебе, что варезник, что бы репаки делать. Я размещаю оригинальные релизы. Все притензии к автору.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: VodoleY, inf1kek

BoRoV пишет:
Я размещаю оригинальные релизы. Все притензии к автору.
я так предполагаю, что VodoleY наверное подумал, что ты автор

BoRoV
Статус: Uploader
Обнови проты

| Сообщение посчитали полезным:

MasterSoft пишет:
я так предполагаю, что VodoleY наверное подумал, что ты автор
Дык в 3 посте написано кто, нужно читать внимательно.

MasterSoft пишет:
Обнови проты
Я думаю над этим... не нравится мне это направление... всё и так можно найти в инете...

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Значит, положить УПХ туда последний и выпилить проты нафиг. Заканчивайте оффтопить.

| Сообщение посчитали полезным: GPcH, inf1kek, SReg, Flashback/TMX

BoRoV спасибо, прикольный инструмент, ток если что кидать его надо в чистую ольку. ибо наступил на обсыпание.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Штуковина работает хорошо.
только пока не разобрался с джампами внутри вм.
например
10027B56 JNZ 0x21c
где увидеть код на который джамп должен прыгнуть?
и что он просит после того как создаёт Cisc_Uv_Dump.txt?

-----
zzz

| Сообщение посчитали полезным:

Мувик: http://www.sendspace.com/file/1lscnw

b0e7_26.03.2011_EXELAB.rU.tgz - Oreans UnVirtualizer 1.1.rar

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: zeppe1in, Nightshade, _ruzmaz_, vnekrilov

Ну что я могу сказать, примитивы разобрал четко. На этапе девирта таки не справился
ЗюЫю Свипер вамита походу тоже. Видимо это общая болячка при работе с длл.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

У меня всё как на видео. красота.

-----
zzz

| Сообщение посчитали полезным:

a802_28.03.2011_EXELAB.rU.tgz - Oreans UnVirtualizer 1.2.rar

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: VodoleY, oloo_

Автору респект, по крайней мере часть глюков уже ушла.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

У меня стабильно олька валится причем чистая. Даже на тех файлах, которые в архиве
Вроде понял. Надо как в свиппере быть как можно ближе к вызову кода, который под вм.
Если на оеп вызвать анвирт, то много шансов упасть

| Сообщение посчитали полезным:

Nightshade на скок я пытаюсь с ним работать надо стоять на точке входа в ВМ
З.Ы. Автору респектище. Есть пару косметических замечаний.. но он же вроде не русский?

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY пишет:
но он же вроде не русский?
Не, не русский.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

oloo_ специально для китайцев, кнопочку сделали
От модератора: Он не китаец... И не надо тут расовых прений...

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным: VodoleY

Я понимаю русский, у меня нет русской клавиатуры
и если это не проблема для вас, я буду писать английском языке
От модератора: пользуйся кнопкой Правка и кнопкой Полезное сообщение

| Сообщение посчитали полезным:

zeppe1in я вроде догнал про 10027B56 JNZ 0x21c
вобщем как аналог в асме 10027B56+21c=10027D72 и прибавь еще 5 так как при реконструкции кода он делает абсолютный джамп, т.е ищи лейбу с номером 10027D77
И кстати сегодня поднял кусок нераспознанного кода
02D90FA1 PUSH ECX
02D90FC4 00D5
02D90FD6 0018
очченнььь помогает синтакс файл
02D90FC4 NOT DWORD
02D90FD6 STORE DWORD PTR [ADDR]
еще сильно харят конструкции
MOV DWORD PTR [EBP+0ffffffech],ECX вместо MOV DWORD PTR [ebp-14],ECX
и привязка к базе 400000 А У МЕНЯ ДЛЛ дивиртуализатор все прибил, адреса угадываеш по окончаниям

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

d1c1_30.03.2011_EXELAB.rU.tgz - Oreans UnVirtualizer 1.3.rar

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: [0utC4St], VodoleY, inf1kek, oloo_, m0bscene, _ruzmaz_, 4kusNick, daFix, Ra1n0

вообще отлично, на моём таргете нормально отработал, эра полного отфака ВМов началась

| Сообщение посчитали полезным:

inf1kek ты не сильно прав, это помощник а не панацея. а если пару инструкций не разабрало? а они из 10-20 примитивов... вот возвращаемся к своим тулзам и кружку умелые руки. НО весч зачетная, без вопросов но про эру ты загнул, я согласен что началась эра их спользования, и соответственно попыток их нагибания

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

У меня почему-то на длл при восстановлении call есть такой баг. Например длл загружена по адресу 66900000, а в восстановленном коде есть много call 10001234 . Ну примерно так... Т. Е. Не учитывается база длл.

| Сообщение посчитали полезным:

Nightshade читай мои посты
угадывай по окончанию , базу он херит нафиг
З.Ы. есть полу ручной механизм если че стучи

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Может кто на екзетулсах написать автору, чтобы он поправил косяк с базой восстановленного кода?

| Сообщение посчитали полезным: