UnVirtualizes CISC Themida/WL/CodeVirtualize Machines

Автор: Deathway



3bb2_25.03.2011_EXELAB.rU.tgz - OreansUnVirtualizerv1.0.rar

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: Maximus, Rio, HandMill

VodoleY я приватные версии не видел ваще ниразу и про конец фиме согласен. Ее уже сейчас можно анпачить не имея даже ключа, а с этим инструментом можно в том числе и восстанавливать то что лежит под VM.

Из нормальных протов остался только лишь VMProtect, но думаю, у него тоже нет шансов, и со временем и он загнется, как загибались проты до него.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
про конец фиме согласен
Тоьлко чтоб этим самым концом не получить полбу,под RISC VM плагинов вообще нету ;)

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan ты отстал от жизни
[v1.4]
...
- Risc-64 machine function
- Added OreansAssember_Risc.cfg

А на дворе версия 1.5 ;)

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным: -Sanchez-

Maximus пишет:
VMProtect, но думаю, у него тоже нет шансов

он вроде бы на паях в каком-то конверте?

| Сообщение посчитали полезным:

Gideon Vi
SenceLock

-----
Research For Food

| Сообщение посчитали полезным:

сабж Code Virtualizer не берёт?

| Сообщение посчитали полезным:

MasterSoft пишет:
сабж Code Virtualizer не берёт?
BoRoV пишет:
Supports WinLicense/Themida/CodeVirtualizer Cisc Machines
там кажется ещё видео есть про фимку и виртуалайзер.

| Сообщение посчитали полезным:

NikolayD
дык что-то пробовал на винлиценз - всё супер. на кодевиртуализере пишет что-то типа Machine instruction not found

| Сообщение посчитали полезным:

Code Virtualizer-это CISC из фимы/винлиценз, должен брать.

| Сообщение посчитали полезным:

MasterSoft незнаю, я именно им кодевирт долбил, правда с год назад. почти все получилось, год назад было пару глюков, я руками доделывал кое что, но вцелом работало

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Уважаемые члены форума. У меня возник вопрос по использованию этого плагина. При распаковке одной программы, я использовал этот плагин для восстановления оригинального кода программы. Он прекрасно отработал, и нормально восстановил весь код программы. Но, в нескольких восстановленных подпрограммах, я встретил такой код:



Среди нормального кода, затесалась такая пара инструкций:



Когда я зашел в CALL 0091143E, то увидел опять VM:



Однако, она уже не обрабатывается этим плагином. Если кто-либо сталкивался с таким явлением, поясните, что это значит, и как бороться с этим явлением (т.е., каким здесь был оригинальный код). Если нужна более подробная информация, можем пообщаться через личку.

Заранее благодарен за советы.

| Сообщение посчитали полезным:

vnekrilov а не вызов ли это функции, которая в свою очередь тоже под ВМ?
типа
startVM
functcion summ;
EndVM
StartVM
а:=1;
b:=2;
c:=summ(a,b);
EndVM
как то очень это смахивает на что, что говорил Вамит, о новом ВМпроте, когда Вмашина, вызываеца из ленты пикода, как функция

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

vnekrilov
1.Если не ошибаюсь, это может быть функция расшифровки строки.
2.Опять-таки, если не ошибаюсь, там надо руками указывать каждую функцию.
И какая версия плага?

-----
Research For Food

| Сообщение посчитали полезным:

VodoleY пишет:
как то очень это смахивает на что, что говорил Вамит, о новом ВМпроте,

А где можно об этом почитать поподробнее? Хотя странно, что код восстановлен нормально, но внутрь этого кода затесалась такой непонятный CALL.

daFix пишет:
И какая версия плага?

Последняя версия - 1.5

| Сообщение посчитали полезным:

vnekrilov пишет:
А где можно об этом почитать поподробнее? Хотя странно, что код восстановлен нормально, но внутрь этого кода затесалась такой непонятный CALL.
на последней страничке свипера

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

vnekrilov пишет:
CALL 0091143E
Ну попытайся заменить CALL на JMP может прокатит ,хотя что это возможно анти - дамп функция.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
Ну попытайся заменить CALL на JMP может прокатит

Я это попробовал первым делом, но не прокатило. Получил дамп в txt-формате, просмотрел его, но не нашел ни одной нормальной инструкции, откуда можно было-бы начать восстановление кода, т.е. там все мусор. Кстати, я попытался выполнить эту инструкцию при запуске программы, зашел в этот CALL, установил бряку памяти на доступе на секцию кода, и запустил программу. Остановился на API Sleep. А дальше меня выбросило на выполнение обычного и очень длинного кода, но в другом потоке программы. А потом я пришел на JMP 006BEAAC, который находится после этого CALL. Но что интересно, этот поток выполнялся в отдельной ветке кода с другим стеком, выделенным под эту ветку. Но как это заставить работать в обычной программе, пока не додумался.

| Сообщение посчитали полезным:

Вамит писал про вмпротект, а это ореансовский CISC. В циске виртуализацию нескольких функций одним блоком я не встречал. А раз другой стек, то другой тип вм там может быть-RISC. Возможно, та функция накрыта другой вм просто.

| Сообщение посчитали полезным:

Если кто-либо сталкивался с таким явлением, поясните, что это значит, и как бороться с этим явлением (т.е., каким здесь был оригинальный код).
Это может быть одно из двух (сужу по аналогии с вмпротом), или вызов спец. функции прота (кодирование строк, вызов полностью съеденной АПИ и другое) или вызов другой функции проги, которая целиком находится под вм, но в этом случае её тело в проге можно найти, там должен быть jmp на 0091143E и "мусорный" код...

-----
Everything is relative...

| Сообщение посчитали полезным:

vnekrilov пишет:
Получил дамп в txt-формате, просмотрел его, но не нашел ни одной нормальной инструкции
Ну выложи листинг поглядим...

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
Ну выложи листинг поглядим...

Листинг CALL 0091143E (JMP 0091143E) - полученный Oreans UnVirtualizer v1.5.

c53f_03.04.2012_EXELAB.rU.tgz - listing CALL 0091143E (JMP 0091143E).txt

| Сообщение посчитали полезным:

ИМХО замусорреный код под ВМ
008FCB21 PUSH EAX
008FCB44 SHL EAX,0x5
008FCBCD XOR EAX,0x218a
008FCC96 XOR EAX,EBP
008FCE42 PUSH EDI
008FCE63 AND AH,0xf1
008FCF56 XOR EAX,EDI
008FD06F POP EDI
008FD0EF POP EAX
явно мусор.. я смотрю Oreans UnVirtualizer v1.5. по прежнему часть примитивов не распознает?
008FC39D 0007(00000007)
008FC39F 001C(00000007)
чтоб алго дергать, его б от мусора почистить чемнибудь... хоть ручками

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

В начале функции могут идти антидампы, где-то с 0090E6BF примерно или дальше код более-менее чистый, может быть реальный код функции (по размеру места смотреть надо), этот адрес и надо в окошко вбивать в плаге. Может, и вся она антидамп, но я таких пока не встречал.
Как вариант-выложить файл, кто-нить и посмотрит, может.

| Сообщение посчитали полезным:

Когда видете код на подобие 00910CDE ADD EBX,DWORD PTR [EBP+0xa4d10f5] то стоит обратить внимание на [EBP+0xa4d10f5] это код чисто Oreans

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

К плагину есть скриншоты, там показано как отсекать проверки от кода. Читайте доки, и не будет таких листингов.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
Читайте доки, и не будет таких листингов

Такой листинг получает сам плагин, без вмешательства юзера. Ведь выделяешь адрес, и выбираешь команду UnVirtualize, и получаешь листинг. А потом выбираешь читаемый код, и вставляешь его. Поэтому такой замусоренный листинг получается автоматически.

ClockMan пишет:
то стоит обратить внимание на [EBP+0xa4d10f5]

Обращал внимание, но отладчик на таких адресах просто показывает вопросительные знаки (т.е. нет памяти по этим адресам, и программа просто валится).

| Сообщение посчитали полезным:

vnekrilov пишет:
А потом выбираешь читаемый код, и вставляешь его
Выбираешь и вставляешь? поподробнее.

Как бэ вроде ты ищешь откуда начинается реальный код и копипастишь этот адрес плагу.

| Сообщение посчитали полезным:

Ra1n0 пишет:
Как бэ вроде ты ищешь откуда начинается реальный код и копипастишь этот адрес плагу.

Абсолютно верно. Находишь реальный код, и адрес начала этого реального кода скармливаешь плагину. Сначала было как-то непривычно, а потом быстро набивается рука.

| Сообщение посчитали полезным:

в таком случае обычно делал так:
выделяем память где-либо для своих нужд, туда лепим код "jmp 0091143E" Запускаем плагин на этой новой инструкции, смотрим код.

| Сообщение посчитали полезным:

vnekrilov пишет:
Обращал внимание, но отладчик на таких адресах просто показывает вопросительные знаки (т.е. нет памяти по этим адресам, и программа просто валится).
правильно и будет валится если ты его вставишь в секцию кода, потомучто
ClockMan пишет:
[EBP+0xa4d10f5] это код чисто Oreans
где EBP "BaseOreans" и идёт обращение в секцию дата-код протектора.
Archer пишет:
Может, и вся она антидамп, но я таких пока не встречал
я раньше встречал другой код антидампа, поэтому сказать уверенно что это он немогу...

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: