Сейчас на форуме: (+5 невидимых)

 eXeL@B —› Протекторы —› Oreans UnVirtualizer ODBG Plug-in
<< . 1 . 2 . 3 . 4 . >>
Посл.ответ Сообщение


Ранг: 533.6 (!), 232thx
Активность: 0.450
Статус: Uploader
retired

Создано: 25 марта 2011 21:02 · Поправил: BoRoV
· Личное сообщение · #1

UnVirtualizes CISC Themida/WL/CodeVirtualize Machines

Автор: Deathway

Code:
  1. This tool will help conversion VirtualOpcodes -> Assembly Instruction
  2. restoring the original code of your virtualized Application, the basic engine
  3. was from CodeUnvirtualizer, my other tool
  4.  
  5. [Features]
  6. - Supports WinLicense/Themida/CodeVirtualizer Cisc Machines
  7. - Supports almost all common opcodes
  8. - Supports CHECK_MACRO_PROTECTION
  9. - Supppots MultiBranch Tech
  10.  
  11. [Use]
  12. - Right-click on the jump leading to the Virtual Machine Area and press Unvirtualize (If machine isn't found
  13. you have to click again, after checking that the full machine was correctly deofuscated)
  14.  
  15.  
  16. [Oreans UnVirtualizer]
  17. [v1.0]
  18. - First public Version


3bb2_25.03.2011_EXELAB.rU.tgz - OreansUnVirtualizerv1.0.rar

-----
Лучше быть одиноким, но свободным © $me


| Сообщение посчитали полезным: Maximus, Rio, HandMill

Ранг: 516.1 (!), 39thx
Активность: 0.280
Статус: Участник

Создано: 01 апреля 2011 13:26
· Личное сообщение · #2

Nightshade, ты опиши конкретику, кто-нибудь да и запостит




Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 01 апреля 2011 15:03
· Личное сообщение · #3

Ну вот кусок восстановленного кода
66A8A0CF MOV DWORD PTR [EBP+0xfffffff0],EAX
66A8A10E CMP DWORD PTR [EBP+0xfffffff0],0x0
66A8A14A JE 0x1fa9
66A8A156 MOV EAX,DWORD PTR [0x100bc184]
66A8A162 MOV ECX,DWORD PTR [EAX+0x6c]
66A8A182 CALL 0x10003660
на самом деле код должен быть таким
MOV EAX,DWORD PTR [0x100bc184] > 100bc184 - 10000000 +Dllbase
CALL 0x10003660 > 10003660 -10000000 + Dllbase
Т е моя база например 66A70000, а код восстанавливает на базу 10000000




Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 01 апреля 2011 15:14
· Личное сообщение · #4

Nightshade
Может плаг читает базу из PE заголовка,попытайся изменить значения на реальную базу(подправив PE хидер).

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.





Ранг: 116.6 (ветеран), 8thx
Активность: 0.050
Статус: Участник

Создано: 01 апреля 2011 16:18
· Личное сообщение · #5

Nightshade пишет:
Может кто на екзетулсах написать автору, чтобы он поправил косяк с базой восстановленного кода?

Попробуй заюзать плаг на Vista или 7-ке. Венда, начиная с Vista, пишет в PE заголовок реальную базу DLL-ки и скорее всего баги не будет.




Ранг: 533.6 (!), 232thx
Активность: 0.450
Статус: Uploader
retired

Создано: 01 апреля 2011 16:49
· Личное сообщение · #6

Nightshade пишет:
Может кто на екзетулсах написать автору, чтобы он поправил косяк

Багрепорты все восновном сыпятся на тутс
http://forum.tuts4you.com/showtopic=25548&st=0


-----
Лучше быть одиноким, но свободным © $me





Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 01 апреля 2011 17:40
· Личное сообщение · #7

dermatolog пишет:
Попробуй заюзать плаг на Vista или 7-ке.

Я и так на вин7



Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 01 апреля 2011 17:54 · Поправил: vnekrilov
· Личное сообщение · #8

BoRoV
Желательно бы в шапке указывать и заливать последнюю версию плагина. Так намного удобнее будет смотреть, появилась ли новая версия, или нет.

| Сообщение посчитали полезным: [0utC4St], VodoleY, zeppe1in, _ruzmaz_

Ранг: 1.9 (гость)
Активность: 0=0
Статус: Участник

Создано: 06 апреля 2011 20:08
· Личное сообщение · #9

BoRoV will You provide source code for this plugin?




Ранг: 533.6 (!), 232thx
Активность: 0.450
Статус: Uploader
retired

Создано: 06 апреля 2011 20:14
· Личное сообщение · #10

oloo_ пишет:
BoRoV will You provide source code for this plugin?

Это не я автор.

-----
Лучше быть одиноким, но свободным © $me




Ранг: 1.9 (гость)
Активность: 0=0
Статус: Участник

Создано: 10 апреля 2011 16:12
· Личное сообщение · #11

in my case i have lots of unresolved instructions

0249DEC7 MOV DWORD PTR [EBP+0xffffc2a8],0x499602d2
0249DF27 MOV DWORD PTR [EBP+0xffffc2ac],0x499602d2
0249DFA5 MOV DWORD PTR [EBP+0xffffc2b0],0x499602d2
0249DFFB MOV DWORD PTR [EBP+0xffffc2b4],0x499602d2
0249E072 LEA EDX,DWORD PTR [EBP+0xffffc2a8]
0249E108 PUSH EDX
0249E121 PUSH 0x454f60

0249E133 0001 //unresolved ??????
0249E149 015A(0249D7A6) //unresolved ??????
0249E14E NOP
0249E14F 0009 //unresolved ??????

0249E150 RETN



Ранг: 101.0 (ветеран), 344thx
Активность: 1.150
Статус: Участник

Создано: 10 апреля 2011 16:16
· Личное сообщение · #12

oloo_
Contact author on tuts4you/EXETools.



Ранг: 35.4 (посетитель), 15thx
Активность: 0.020
Статус: Участник

Создано: 11 апреля 2011 14:22
· Личное сообщение · #13

oloo_
first try to set in option much bigger size "max virtual opcodes to read"!



Ранг: 1.9 (гость)
Активность: 0=0
Статус: Участник

Создано: 11 апреля 2011 21:28
· Личное сообщение · #14

i dont think so it will help...but will try



Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

Создано: 12 апреля 2011 13:49
· Личное сообщение · #15

возможно у тебя с импортом косяк.



Ранг: 1.9 (гость)
Активность: 0=0
Статус: Участник

Создано: 12 апреля 2011 14:09
· Личное сообщение · #16

реконструкция таблице импортов 100% правильно,
mне нужно только сделать реконструкцию "virtual opcodes"



Ранг: 5.5 (гость), 3thx
Активность: 0.010
Статус: Участник

Создано: 12 апреля 2011 14:15
· Личное сообщение · #17

oloo_ пишет:
0249E121 PUSH 0x454f60
0249E133 0001 //unresolved ??????
0249E149 015A(0249D7A6) //unresolved ??????


call dword[00454f60]

Real avtor Deathway,plies bug reports --> Link <--



Ранг: 1.9 (гость)
Активность: 0=0
Статус: Участник

Создано: 12 апреля 2011 16:03
· Личное сообщение · #18

already done:
http://forum.tuts4you.com/showtopic=25548&st=60&gopid=121469&




Ранг: 392.8 (мудрец), 108thx
Активность: 0.260.01
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 01 декабря 2011 09:39 · Поправил: Maximus
· Личное сообщение · #19

BoRoV умер, а между делом утилита мега полезная. Она восстанавливает VM темиды (CISC инструкции, которые встречаются в большинстве программ) в первоначальный вид. Поэтому приложу версию 1.3

7a46_01.12.2011_EXELAB.rU.tgz - Oreans UnVirtualizer 1.3.rar

-----
StarForce и Themida ацтой!





Ранг: 533.6 (!), 232thx
Активность: 0.450
Статус: Uploader
retired

Создано: 01 декабря 2011 09:50
· Личное сообщение · #20

Maximus, а это не она https://ssl.exelab.ru/f/action=vthread&forum=13&topic=17944&page=0#25 ?

-----
Лучше быть одиноким, но свободным © $me





Ранг: 392.8 (мудрец), 108thx
Активность: 0.260.01
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 01 декабря 2011 09:52
· Личное сообщение · #21

BoRoV точно она, извини, обнови тогда шапку.

-----
StarForce и Themida ацтой!





Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 01 декабря 2011 09:58
· Личное сообщение · #22

BoRoV не умер, не надо тут, я его только вчера в ирке видел
А что касается софта, сыроват ещё, где-то в половине случаев где-нибудь случается косяк, и в итоге не собирает код, а то и собирает неправильно, что ещё хуже. Хотя допилить до рабочего состояния не так уж и сложно, думаю, но автор явно не торопится.




Ранг: 529.0 (!), 110thx
Активность: 0.290.04
Статус: Участник
5KRT

Создано: 01 декабря 2011 14:22
· Личное сообщение · #23

Вот пример его ошибки при снятии виртуалки

Code:
  1. MOV ESI,DWORD PTR DS:[EAX]
  2. CALL DWORD PTR DS:[EAX+8]  <--- Вот тут должен быть регистр ESI


А вообще не хватает анализа валидных ссылок на VM и автоматического определения границ секции кода и виртуальной машины

-----
Research For Food




Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

Создано: 05 марта 2012 23:37
· Личное сообщение · #24

[v1.4]
- Fixed Cisc - CALL [REG32+IMMC]
- Fixed Cisc - SHL REG32, IMMC
- Fixed an issue with odbg when using context menu
- Added TAB key on windows
- Added autofill on FindReferences window
- Risc-64 machine function Posted Image
- Added OreansAssember_Risc.cfg

Well, it was a long journey to deal with Risc, but i'ts almost finished, hope you like it Posted Image

Some info about RISC machines
- It's still on debug mode, so it may take long time for deofuscate it
- 128 variant is not avaible, it could fail on that machine
- The example provided was modified in order to show how to deal when deofuscation fails
- In case of failure, two errors may popup (1) About Follow jump, this has a trail-error solution:
press reload and then the other option, (2) about could not find XXXX handler,
in this case the left list control show the current vm entry, and the right one the 'ideal handler',
on 80% of cases, the red instruction is the problem, the yellow part shows the handler that could
not be identified, press delete after selecting the 'wrong instruction' on the left panel (could be more than one)
- The example was compiled with full protection 64variant
- Can't read some opcodes like movzx, xchg, movsx, muls, div, etc


--> Link <--

| Сообщение посчитали полезным: daFix, SReg, Qbik, vnekrilov, Nightshade, BAHEK, obfuskator


Ранг: 241.9 (наставник), 107thx
Активность: 0.140.01
Статус: Участник

Создано: 06 марта 2012 17:50
· Личное сообщение · #25

В этой версии есть фикс адресов в дизасме?



Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

Создано: 10 марта 2012 09:11
· Личное сообщение · #26

[v1.5]
- Fixed Unvirtualize with Jump on CISC machines
- Fixed some errors when handling signed constants on RISC
- Fixed an issue when processing MOVS instrution on CISC machine
- Fixed some inversion data when processing COMM, REGX, REGX (like XOR EDI,ESI was decoded as XOR ESI,EDI)
- Fixed a problem when handling AH CH DH BH registers on COMM2 instructions
- Added MOVSX - MOVZX - XCHG - IMUL - MUL - DIV - IDIV - PUSHFD - POPFD instructions on RISC
- Added CALL [ESP+IMMC] on Cisc Machine
- Added support of dump files on RISC machines
- OreansAssember_Risc.cfg updated
- DLL Support on CISC and RISC machines

There is a fix regarding Risc machines, if you unvirtualized the opcodes, there is a high chance that you obtain the inversed form of this opcodes COMM REGX,REGX (like XOR EDI,ESI was decoded as XOR ESI,EDI). This errrors is fixed on the latest version

DLL support is now avaible, however Risc machines must be initialized first (not a problem, since risc machines are always encrypted).

On both machines, it's recommended the devirtualization once the eip reach the oep.



8f98_10.03.2012_EXELAB.rU.tgz - Oreans UnVirtualizer 1.5.rar

| Сообщение посчитали полезным: VodoleY, SReg, MasterSoft, daFix, Maximus, m0bscene, obfuskator, Ra1n0, hlmadip

Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

Создано: 12 марта 2012 17:27
· Личное сообщение · #27

Oreans RISC machine documentation


86df_12.03.2012_EXELAB.rU.tgz - Oreans RISC machine documentation by Deathway.rar

| Сообщение посчитали полезным: Gideon Vi, yanus0, tihiy_grom, DimitarSerg, _ruzmaz_, obfuskator

Ранг: 7.7 (гость), 51thx
Активность: 0.010
Статус: Участник

Создано: 14 марта 2012 12:52
· Личное сообщение · #28

ну вот и пришел конец фиме




Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

Создано: 14 марта 2012 13:01
· Личное сообщение · #29

эх, Вамиту бы такой запал

-----
От многой мудрости много скорби, и умножающий знание умножает печаль




Ранг: 488.1 (мудрец), 272thx
Активность: 0.350
Статус: Участник

Создано: 14 марта 2012 14:29
· Личное сообщение · #30

я бы не был бы так рад касательно фимы.. там приватные версии с 2к примитивами.. а Вамит круче проджект сделал, типа более адаптабельный под изменения, а Deathway чистит сигнатурно, наскок я знаю

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....





Ранг: 127.3 (ветеран), 44thx
Активность: 0.090
Статус: Участник

Создано: 14 марта 2012 22:15
· Личное сообщение · #31

VodoleY
оба крутые. но без сырков представляют малую ценность имхо.

-----
zzz



<< . 1 . 2 . 3 . 4 . >>
 eXeL@B —› Протекторы —› Oreans UnVirtualizer ODBG Plug-in
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати