UnVirtualizes CISC Themida/WL/CodeVirtualize Machines

Автор: Deathway



3bb2_25.03.2011_EXELAB.rU.tgz - OreansUnVirtualizerv1.0.rar

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: Maximus, Rio, HandMill

Nightshade, ты опиши конкретику, кто-нибудь да и запостит

| Сообщение посчитали полезным:

Ну вот кусок восстановленного кода
66A8A0CF MOV DWORD PTR [EBP+0xfffffff0],EAX
66A8A10E CMP DWORD PTR [EBP+0xfffffff0],0x0
66A8A14A JE 0x1fa9
66A8A156 MOV EAX,DWORD PTR [0x100bc184]
66A8A162 MOV ECX,DWORD PTR [EAX+0x6c]
66A8A182 CALL 0x10003660
на самом деле код должен быть таким
MOV EAX,DWORD PTR [0x100bc184] > 100bc184 - 10000000 +Dllbase
CALL 0x10003660 > 10003660 -10000000 + Dllbase
Т е моя база например 66A70000, а код восстанавливает на базу 10000000

| Сообщение посчитали полезным:

Nightshade
Может плаг читает базу из PE заголовка,попытайся изменить значения на реальную базу(подправив PE хидер).

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Nightshade пишет:
Может кто на екзетулсах написать автору, чтобы он поправил косяк с базой восстановленного кода?
Попробуй заюзать плаг на Vista или 7-ке. Венда, начиная с Vista, пишет в PE заголовок реальную базу DLL-ки и скорее всего баги не будет.

| Сообщение посчитали полезным:

Nightshade пишет:
Может кто на екзетулсах написать автору, чтобы он поправил косяк
Багрепорты все восновном сыпятся на тутс
http://forum.tuts4you.com/showtopic=25548&st=0

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

dermatolog пишет:
Попробуй заюзать плаг на Vista или 7-ке.
Я и так на вин7

| Сообщение посчитали полезным:

BoRoV
Желательно бы в шапке указывать и заливать последнюю версию плагина. Так намного удобнее будет смотреть, появилась ли новая версия, или нет.

| Сообщение посчитали полезным: [0utC4St], VodoleY, zeppe1in, _ruzmaz_

BoRoV will You provide source code for this plugin?

| Сообщение посчитали полезным:

oloo_ пишет:
BoRoV will You provide source code for this plugin?
Это не я автор.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

in my case i have lots of unresolved instructions

0249DEC7 MOV DWORD PTR [EBP+0xffffc2a8],0x499602d2
0249DF27 MOV DWORD PTR [EBP+0xffffc2ac],0x499602d2
0249DFA5 MOV DWORD PTR [EBP+0xffffc2b0],0x499602d2
0249DFFB MOV DWORD PTR [EBP+0xffffc2b4],0x499602d2
0249E072 LEA EDX,DWORD PTR [EBP+0xffffc2a8]
0249E108 PUSH EDX
0249E121 PUSH 0x454f60

0249E133 0001 //unresolved ??????
0249E149 015A(0249D7A6) //unresolved ??????
0249E14E NOP
0249E14F 0009 //unresolved ??????

0249E150 RETN

| Сообщение посчитали полезным:

oloo_
Contact author on tuts4you/EXETools.

| Сообщение посчитали полезным:

oloo_
first try to set in option much bigger size "max virtual opcodes to read"!

| Сообщение посчитали полезным:

i dont think so it will help...but will try

| Сообщение посчитали полезным:

возможно у тебя с импортом косяк.

| Сообщение посчитали полезным:

реконструкция таблице импортов 100% правильно,
mне нужно только сделать реконструкцию "virtual opcodes"

| Сообщение посчитали полезным:

oloo_ пишет:
0249E121 PUSH 0x454f60
0249E133 0001 //unresolved ??????
0249E149 015A(0249D7A6) //unresolved ??????

call dword[00454f60]

Real avtor Deathway,plies bug reports --> Link <--

| Сообщение посчитали полезным:

already done:
http://forum.tuts4you.com/showtopic=25548&st=60&gopid=121469&

| Сообщение посчитали полезным:

BoRoV умер, а между делом утилита мега полезная. Она восстанавливает VM темиды (CISC инструкции, которые встречаются в большинстве программ) в первоначальный вид. Поэтому приложу версию 1.3

7a46_01.12.2011_EXELAB.rU.tgz - Oreans UnVirtualizer 1.3.rar

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus, а это не она https://ssl.exelab.ru/f/action=vthread&forum=13&topic=17944&page=0#25 ?

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV точно она, извини, обнови тогда шапку.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

BoRoV не умер, не надо тут, я его только вчера в ирке видел
А что касается софта, сыроват ещё, где-то в половине случаев где-нибудь случается косяк, и в итоге не собирает код, а то и собирает неправильно, что ещё хуже. Хотя допилить до рабочего состояния не так уж и сложно, думаю, но автор явно не торопится.

| Сообщение посчитали полезным:

Вот пример его ошибки при снятии виртуалки



А вообще не хватает анализа валидных ссылок на VM и автоматического определения границ секции кода и виртуальной машины

-----
Research For Food

| Сообщение посчитали полезным:

[v1.4]
- Fixed Cisc - CALL [REG32+IMMC]
- Fixed Cisc - SHL REG32, IMMC
- Fixed an issue with odbg when using context menu
- Added TAB key on windows
- Added autofill on FindReferences window
- Risc-64 machine function Posted Image
- Added OreansAssember_Risc.cfg

Well, it was a long journey to deal with Risc, but i'ts almost finished, hope you like it Posted Image

Some info about RISC machines
- It's still on debug mode, so it may take long time for deofuscate it
- 128 variant is not avaible, it could fail on that machine
- The example provided was modified in order to show how to deal when deofuscation fails
- In case of failure, two errors may popup (1) About Follow jump, this has a trail-error solution:
press reload and then the other option, (2) about could not find XXXX handler,
in this case the left list control show the current vm entry, and the right one the 'ideal handler',
on 80% of cases, the red instruction is the problem, the yellow part shows the handler that could
not be identified, press delete after selecting the 'wrong instruction' on the left panel (could be more than one)
- The example was compiled with full protection 64variant
- Can't read some opcodes like movzx, xchg, movsx, muls, div, etc

--> Link <--

| Сообщение посчитали полезным: daFix, SReg, Qbik, vnekrilov, Nightshade, BAHEK, obfuskator

В этой версии есть фикс адресов в дизасме?

| Сообщение посчитали полезным:

[v1.5]
- Fixed Unvirtualize with Jump on CISC machines
- Fixed some errors when handling signed constants on RISC
- Fixed an issue when processing MOVS instrution on CISC machine
- Fixed some inversion data when processing COMM, REGX, REGX (like XOR EDI,ESI was decoded as XOR ESI,EDI)
- Fixed a problem when handling AH CH DH BH registers on COMM2 instructions
- Added MOVSX - MOVZX - XCHG - IMUL - MUL - DIV - IDIV - PUSHFD - POPFD instructions on RISC
- Added CALL [ESP+IMMC] on Cisc Machine
- Added support of dump files on RISC machines
- OreansAssember_Risc.cfg updated
- DLL Support on CISC and RISC machines

There is a fix regarding Risc machines, if you unvirtualized the opcodes, there is a high chance that you obtain the inversed form of this opcodes COMM REGX,REGX (like XOR EDI,ESI was decoded as XOR ESI,EDI). This errrors is fixed on the latest version

DLL support is now avaible, however Risc machines must be initialized first (not a problem, since risc machines are always encrypted).

On both machines, it's recommended the devirtualization once the eip reach the oep.


8f98_10.03.2012_EXELAB.rU.tgz - Oreans UnVirtualizer 1.5.rar

| Сообщение посчитали полезным: VodoleY, SReg, MasterSoft, daFix, Maximus, m0bscene, obfuskator, Ra1n0, hlmadip

Oreans RISC machine documentation


86df_12.03.2012_EXELAB.rU.tgz - Oreans RISC machine documentation by Deathway.rar

| Сообщение посчитали полезным: Gideon Vi, yanus0, tihiy_grom, DimitarSerg, _ruzmaz_, obfuskator

ну вот и пришел конец фиме

| Сообщение посчитали полезным:

эх, Вамиту бы такой запал

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

я бы не был бы так рад касательно фимы.. там приватные версии с 2к примитивами.. а Вамит круче проджект сделал, типа более адаптабельный под изменения, а Deathway чистит сигнатурно, наскок я знаю

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY
оба крутые. но без сырков представляют малую ценность имхо.

-----
zzz

| Сообщение посчитали полезным: