Сейчас на форуме: (+5 невидимых)

 eXeL@B —› Протекторы —› Виртуальная машина Themida
<< . 1 . 2 .
Посл.ответ Сообщение


Ранг: 90.1 (постоянный), 89thx
Активность: 0.290.56
Статус: Участник

Создано: 03 марта 2017 20:16 · Поправил: Boostyq
· Личное сообщение · #1

Всем привет
Изучаю один таргет, он упакован Темидой, версия от 2014 года (возможно позже)
Ранее я изучала предыдущую версию программы, и все было немного проще
Обфускации особой нет, проверки не интересуют, сломанный импорт и базовый мусор убрала через плагин LCF-AT.
Осталась одна проблема: это виртуальная машина, после распаковки я увидела вход виртуалки, только теперь все по-другому: ранее было push aabbccdd, jmp vm_entry, теперь же push aabbccdd, push eeffgghh, jmp vm_entry.
По сигнатуре нашла все вызовы, их оказалось 351, и, как я поняла, большая часть файла занимает секция вм. При этом - ни одна из функций не вызывается, я уже видела такое, и в том случае я намерено делала прыжки, чтобы пройтись плагином Oreans UnVirtualizer, теперь он не работает, так как рассчитан на более старые версии.
Цикл вм выглядит так:

Вопросы:
1) Могу ли я изучить статически виртуальную машину? У меня нет возможности запускать код, так как он нигде не используется, я также нашла инструмент VMattack. Так же меня интересует алгоритм в целом, я не могу зацепиться за что-либо, знаю принцип вм, но не представляю, что мне предстоит делать?
2) Есть ли какая-либо документация по вм темиды? Я знаю, что существует множество Fish/Risc/Cisc..? Не могли вы бы дать ссылки, если у вас есть.
3) Существуют ли какие-либо группы/проекты по изучению? Я имею опыт в реверсинге в целом, но не в виртуальных машинах, так что могла бы помочь тоже..
4) Почему после 2014 года пропали авторы плагинов LCF-AT, Deathway, а так же статьи? Неужели темида больше не актуальна?
5) Имеются ли у кого-то исходники плагинов девиртуализации?

Спасибо

-----
В облачке многоточия




Ранг: 488.1 (мудрец), 272thx
Активность: 0.350
Статус: Участник

Создано: 05 марта 2017 12:17 · Поправил: VodoleY
· Личное сообщение · #2

Boostyq а вы ща примитивы разбираете? или по кусочкам логику ВМ востановить пытаетесь?
возможно вам материал от ВАМита прийдется в пору.. там как раз он хорошо терминологию и логику расписал.. в свипере, соседняя темя про вмпротект

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....


| Сообщение посчитали полезным: Boostyq


Ранг: 324.3 (мудрец), 221thx
Активность: 0.480.37
Статус: Участник

Создано: 05 марта 2017 16:08
· Личное сообщение · #3

dosprog пишет:
а ты в курсе, каково среднестатистическое соотношение массы мосха у разнополых особей?

Вот давно доказано, что масса мозга не при чём ) Умный ты, или немножно больной - совсем не из-за массы мозга. Всё зависит от количества извилин, их глубины и связей между ними, если физически. Психически, ментально - применительно к реверсу в чём-то прав difexacaw - в концентрации внимания дело. Но вы же знаете, что о женщинах сложно судить - где правило, там масса исключений. )

-----
IZ.RU





Ранг: 90.1 (постоянный), 89thx
Активность: 0.290.56
Статус: Участник

Создано: 06 марта 2017 00:04 · Поправил: Boostyq
· Личное сообщение · #4

ого, вот это настрочили, сразу видно все по делу

difexacaw пишет:
Маловероятно что тс - девушка. Часто такой трюк используется, представиться бабой, что бы было какое то преимущество, так как отношение к ним снисходительное", так как это не обычно и основано на понятии что женщине это всё трудно. А тут я смотрю что то много баб появилось. Да невозможно такое физически, женский мозг способен аналитику выполнять не хуже мужского, но внимание женское не полноценное, нет должной концентрации на задачи, именно посему у них и не получается обычно.

difexacaw пишет:
Это не паранойя, у меня на разбор этих вещей уходит больше времени, чем на решение тех задач. Это когнитивная пихология, там всё очень очень трудно понять или осознать, так это немного иной слой реальности(попытки понять сам когнитивный механизм, можно весьма успешно двинуться на этом). Впрочем так всегда было, не понятно чему вы удивлены.

Мне всегда было интересно покопаться в разуме, особенно в своём. Даже как то был немного перебор, пришлось обратиться к доброму доктору
Доктор может быть и годный, а вот препараты нет.)

Ты прав в том, что маловероятно, а в остальном нет
ятянпруфовнебудет. шутка.
Да, я спросила совета, но я не разу не кричала, что кто-то обязан мне иным отношением. Кроме того, я ни разу не писала, что я девушка, чтобы получить какой-то ответ. Ну а изменять окончания, чтобы обезопаситься от тебя, чтобы не выделяться - вообще глупость
Ну а про физические возможности вообще бред, британский ученый блин, экстерминировать тебя мало

VodoleY пишет:
Boostyq а вы ща примитивы разбираете? или по кусочкам логику ВМ востановить пытаетесь?
возможно вам материал от ВАМита прийдется в пору.. там как раз он хорошо терминологию и логику расписал.. в свипере, соседняя темя про вмпротект

Спасибо, пытаюсь восстановить что делают блоки, прежде чем писать плагин попробую руками сделать
Так же сейчас восстанавливаю Oreans Unvirtualizer - за неимением исходников, возможно удастся понять что он хочет
Вообще все очень печально, после экспансии виртуалок темиды ее девиртуализация стала очень сложным процессом. Похоже, мы проигрываем: для сокращения этих трехэтажных конструкций нужен суперкомпьютер-оптимизатор, лол

-----
В облачке многоточия




Ранг: 3.1 (гость), 1thx
Активность: 0.010
Статус: Участник

Создано: 06 марта 2017 00:47 · Поправил: Darkwing Duck
· Личное сообщение · #5

Boostyq
лично для меня гендерный вопрос - это всего лишь лёгкая ирония, подкреплённая недюжинным восхищением за ваше упорство в очень нелёгком деле - обратной инженерии.
Что же вы меня совсем то уж игнорируете, я на прошлой странице спрашивал вас о практическом происхождении ваших навыков, может раскроете некоторые секреты?




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 06 марта 2017 01:08 · Поправил: difexacaw
· Личное сообщение · #6

Boostyq

Я ничего плохого вам не сказал, просто некоторые общие мысли, не относящиеся к задаче. Мне кажется странным, когда девчёнка говорит про ресерч(я не верю что вы девушка) етц

-----
vx


| Сообщение посчитали полезным: unknownproject


Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 06 марта 2017 01:28
· Личное сообщение · #7

difexacaw, то ты много пропустил из бытия форума, уделяя внимание больше васму.
Партнёр автора Камаза (унпакер для аспра), напротив, долгое время скрывала от всех, к какому полу она принадлежит. У каждого свои ролевые игры(или тараканы в башке), смысл тратить время на дедукцию...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..





Ранг: 331.1 (мудрец), 561thx
Активность: 0.190.06
Статус: Участник

Создано: 06 марта 2017 10:39
· Личное сообщение · #8

Boostyq пишет:
после экспансии виртуалок темиды ее девиртуализация стала очень сложным процессом. Похоже, мы проигрываем: для сокращения этих трехэтажных конструкций нужен суперкомпьютер-оптимизатор

Это не так, Темида - это средненькая вм и 100% восстановление кода после неё возможно, и мы не проигрываем, возьмите Вмпротект, после которого при некоторых опциях виртуализации можно только желать о полном восстановлении кода. И суперкомп тут не нужен, но рутины слишком много для ручного разбора.

-----
Everything is relative...




Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 06 марта 2017 11:12 · Поправил: vnekrilov
· Личное сообщение · #9

К сожалению Deathway давно ушел от дальнейшей работы по плагину Oreans Unvirtualizer. Разработчики новых версий Themida учли работу этого плагина, и резко усложнили протектор. Так, например, если в старых версиях темиды было что-то около 100 хэндлеров, то в последних версиях темиды их стало уже около 1000. Причем, очевидно, что 900 хэндлеров - это пустышка, которые призваны не дать работать плагину (в плагине выделена память для записи 100 хэндлеров, а 1000 хэндлеров там просто не помещаются). Кроме того разработчики протектора немного изменили алгоритм определения ключа типа протектора, и по этой причине плагин просто останавливается, показывая сообщение о том, что ключ не найден. Однако нужно отметить, что в последней версии плагина Deathway значительно улучшил механизм деобфускации кода хэндлеров, который очень прекрасно работает. Я было начал работу по доработке последней версии плагина Oreans Unvirtualizer (увеличил объем памяти для записи порядка 1000 хэндлеров, исправил алгоритм поиска ключа типа VM), но из-за катастрофической нехватки времени просто не могу завершить эту работу. Boostyq начала работу в этом направлении. Может быть она и сможет продолжить работу над этим плагином. Я готов поделиться тем, что я успел сделать.

| Сообщение посчитали полезным: ajax, Bronco, v00doo, ==DJ==[ZLO]


Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

Создано: 06 марта 2017 11:30
· Личное сообщение · #10

vnekrilov пишет:
> Я было начала работу

Вот и не знаю, что и думать теперь…

vnekrilov пишет:
> увеличил объем памяти для записи порядка 1000 хэндлеров, исправил алгоритм поиска ключа типа VM

Ты его по-живому патчишь или из исходников собираешь?

-----
EnJoy!





Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 06 марта 2017 11:57
· Личное сообщение · #11

ну там реально деобфускатор грамотный, печалька что только под х86
под текущую фимку врядли, они первые безцикловую вм реализовали.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..




Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 06 марта 2017 12:03
· Личное сообщение · #12

Jupiter

Исходников Oreans Unvirtualizer у меня нет. Патчил по живому... И спасибо за указанную ошибку, исправил...



Ранг: 95.1 (постоянный), 247thx
Активность: 0.260.01
Статус: Участник

Создано: 06 марта 2017 12:07
· Личное сообщение · #13

Bronco пишет:
Камаза (унпакер для аспра)

Угу.Камаз кодился на делфях,но почему-то в 70% случаев косячил при восстановлении дельфовых бинарей, а тот же скрипт волкса (для сверки после ручного анпака.Нихера себе, кто-то еще так делает.Шокед.) справлялся на ура.Плюс камаз даже не может нормально имена всем секциям вернуть, частенько делал бинарь нерабочим, чудесно всовывая пофикшенный импорт в старое место и не патча там, где надо былоОчень приватный инструмент, который так и остался кривым.WindowsXP навсегда

-----
TEST YOUR MIGHT




Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 06 марта 2017 12:13
· Личное сообщение · #14

unknownproject пишет:
Очень приватный инструмент, который так и остался кривым


Я разработал серию скриптов для распаковки Аспротекта, но очень часто использую и Камаз, потому что он неплохо деобфусцирует мусорный код, который нуждается в небольшой ручной правке, чтобы его можно было поместить на его родное место. Поэтому просто хаять этот прекрасный инструмент - НЕКОРРЕКТНО. Просто нужно уметь им правильно пользоваться...




Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 06 марта 2017 12:15 · Поправил: Bronco
· Личное сообщение · #15

unknownproject, это другая тема, акцент был на партнёре.
А Камаз даже своё время пережил, Волкс конечно далеко зашёл, СодеДоктор по его наработкам мутили, но SanX и PeKill зашли ещё дальше, и на выходе мы получили полною декомпиляцию первой ВМ, Вторую вот Валентин Иванавич Некрылов добил. А то что там с импортом косяки, так не было тогда Студии старше 7.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..




Ранг: 53.9 (постоянный), 33thx
Активность: 0.050
Статус: Участник

Создано: 06 марта 2017 12:50
· Личное сообщение · #16

vnekrilov пишет:
К сожалению Deathway давно ушел от дальнейшей работы по плагину Oreans Unvirtualizer. Разработчики новых версий Themida учли работу этого плагина, и резко усложнили протектор. Так, например, если в старых версиях темиды было что-то около 100 хэндлеров, то в последних версиях темиды их стало уже около 1000. Причем, очевидно, что 900 хэндлеров - это пустышка, которые призваны не дать работать плагину (в плагине выделена память для записи 100 хэндлеров, а 1000 хэндлеров там просто не помещаются). Кроме того разработчики протектора немного изменили алгоритм определения ключа типа протектора, и по этой причине плагин просто останавливается, показывая сообщение о том, что ключ не найден. Однако нужно отметить, что в последней версии плагина Deathway значительно улучшил механизм деобфускации кода хэндлеров, который очень прекрасно работает. Я было начал работу по доработке последней версии плагина Oreans Unvirtualizer (увеличил объем памяти для записи порядка 1000 хэндлеров, исправил алгоритм поиска ключа типа VM), но из-за катастрофической нехватки времени просто не могу завершить эту работу. Boostyq начала работу в этом направлении. Может быть она и сможет продолжить работу над этим плагином. Я готов поделиться тем, что я успел сделать.

Сейчас нет смысла в продолжении работы над Oreans Unvirtualizer. Разработчики многое поменяли в ВМ c 2012 года. Посмотрите последние версии (конец 2016 года)




Ранг: 331.1 (мудрец), 561thx
Активность: 0.190.06
Статус: Участник

Создано: 06 марта 2017 14:33
· Личное сообщение · #17

deniskore пишет:
Разработчики многое поменяли в ВМ c 2012 года.

Вот к чему приводит наличие в паблике декомпиляторов вм.

-----
Everything is relative...


| Сообщение посчитали полезным: hors


Ранг: 312.0 (мудрец), 349thx
Активность: 0.460.65
Статус: Участник
Advisor

Создано: 06 марта 2017 18:05 · Поправил: Bronco
· Личное сообщение · #18

Vamit пишет:
Вот к чему приводит наличие в паблике декомпиляторов вм.

наличие вм, для реверсов с большим опытом не препятствие, хотя и усложняет жизнь, но софт отламывается и без декомпиляции вм, а реализация вм по любому меняется и развивается именно по факту взлома.
Отсутствие инструмента на паблике лишь ограничивает кол-во участников в игре со взломом.
Вот то что скарженный прот гуляет по сети, вот это я не одобрямс.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..


| Сообщение посчитали полезным: vnekrilov

Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 06 марта 2017 18:53
· Личное сообщение · #19

deniskore пишет:
Сейчас нет смысла в продолжении работы над Oreans Unvirtualizer


Недавно мне пришлось снимать темиду последней версии с одной программы. И нужно было восстановить оригинальный ассемблерный код виртуализированных подпрограмм. И здесь прав Bronco, который отметил, что наличие VM не является препятствием для реверсеров с большим опытом. Конечно, пришлось повозиться с восстановлением кода, но он был успешно восстановлен, и распакованная программа нормально заработала. Хотя здесь можно было бы применить инлайн-патчинг этой программы, но требование заказчика для меня было законом. А недавно столкнулся с одной программой, в которой разработчик завиртуализировал 780 (!) подпрограмм. Вручную их восстанавливать конечно нереально. Но здесь прекрасно сработал инлайн-патчинг, который значительно упростил процесс реверсинга программы. А разработчики протекторов всегда будут улучшать свой продукт, с учетом опыта взлома программ, защищенных их протектором. Так что это вечная борьбы между разработчиками программ и реверсерами...

| Сообщение посчитали полезным: Jupiter, DenCoder, VodoleY, sendersu

Ранг: 0.5 (гость)
Активность: 0=0
Статус: Участник

Создано: 06 ноября 2018 04:30
· Личное сообщение · #20

vnekrilov
vnekrilov пишет:
Я готов поделиться тем, что я успел сделать.


Привет,

Можете ли вы поделиться своими улучшениями с плагином Oreans Unvirtualizer?
У меня есть сообщение об ошибке:
[AntiFish] Can't find the correct keys

Спасибо.



Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 23 декабря 2019 12:06
· Личное сообщение · #21

На форуме tuts4you по дивертуализации темиды я встретил очень интересную информацию от итальянского реверсера ROOT, который использует девиртуализатор последних версий темиды под названием Unvirtualize VM by Max. Полазил везде, но так этой тулзы я не нашел. Возможно, что она находится в глубоком привате!!! Есть ли эта тулза у кого-нибудь, и может ли кто-то приватно поделиться с ней?

| Сообщение посчитали полезным: BlackCode


Ранг: 71.5 (постоянный), 95thx
Активность: 0.10.38
Статус: Участник

Создано: 23 декабря 2019 13:02
· Личное сообщение · #22

vnekrilov
А на ехетулсе не выкладывали случайно?
Хотя бы в ПМ кинули и то дело было бы.



Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 23 декабря 2019 15:05
· Личное сообщение · #23

BlackCode пишет:
А на ехетулсе не выкладывали случайно?


Смотрел, но там этой тулзы нет.




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 23 декабря 2019 15:50
· Личное сообщение · #24

роот не собирался ею делиться и выкладывать
он хотел на паблик рашсарить только части которые используются в тулзе
она на делфях, в прочем это и так можно найти по его постам
мое предположение - напишите ему в лс, что бы он видел и понимал кто вы(автор статей по анпаку)
возможно поделится

| Сообщение посчитали полезным: vnekrilov
<< . 1 . 2 .
 eXeL@B —› Протекторы —› Виртуальная машина Themida
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати