Сейчас на форуме: (+5 невидимых)

 eXeL@B —› Протекторы —› VMProtect 3.2: запуcтить приложение и остановить его на указанном адресе
. 1 . 2 . 3 . >>
Посл.ответ Сообщение


Ранг: 331.1 (мудрец), 561thx
Активность: 0.190.06
Статус: Участник

 Создано: 22 ноября 2018 10:47
· Личное сообщение · #1

Доступ к оригинальному коду приложения защищенного любым протектором до недавнего времени выполнялся довольно просто - любой дебагер с защитой от антидебага и далее дело техники, поиск ОЕП, бряк и дамп.
Сейчас же протекторы сделали шаг вперед и вся защита от антидебага уже не действует. Конкретный пример, вмпрот версии 3.2 + x64dbg + ScillaHide дает отрицательный результат что при прямом старте, что при аттаче. Драйверный же TitanHide на Windows 10 вообще не удается установить. Пока найдено такое решение вопроса - запуск приложения, дамп его процесса, загрузка в дебаг/дизасм и реверс кода. Довольно хорошая утилитка для этого имеется, например --> Process Dump <--. Но с восстановлением импорта в ней имеются недоработки, местами ломает код самого приложения, но решение тоже имеется - делать два дампа, один с импортом для дизасма, а второй без импорта для дебагера. Всё прекрасно и всё работает, основная задача получить доступ к оригинальному коду для его исследования решена. Но есть одно но, в данном случае теряется начальная инициализация статических переменных, а их первоначальное значение важно для правильного реверса кода. Вопрос, имеются ли какие либо инструменты позволяющие запуcтить приложение и остановить его на указанном адресе?
Была тут одна интересная тема от Инде по поиску ЕП, но он её закрыл. В принципе, я думаю, эту задачу его визору решить по силам, только нужно изменить формулировку, не искать ОЕП, т.к. в общем случае её может и не быть, а довести приложение до заданного адреса.

-----
Everything is relative...

Ранг: 7.1 (гость), 6thx
Активность: 0.040.01
Статус: Участник

 Создано: 22 ноября 2018 11:45 · Поправил: lx60
· Личное сообщение · #2

Для такой цели можно лоадер сделать, который зациклит прогу в заданном месте. Я так 3 старфорс в своё время на оеп останавливал, далее аттачился, дампил и восстанавивал импорт. Такой своеобразный обход антидебага




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

 Создано: 22 ноября 2018 12:04 · Поправил: f13nd
· Личное сообщение · #3

Vamit пишет:
Была тут одна интересная тема от Инде по поиску ЕП, но он её закрыл. В принципе, я думаю, эту задачу его визору решить по силам
Есть также unicorn, которым бы наверное это тоже можно решить. Про бесконечный цикл на оеп тоже хороший совет, такое тоже мелькало в других темах. По дампу находишь оер, берешь какую-нибудь ближайшую апи, лодырем перехватываешь и поймав с нужным адресом возврата зацикливаешь.

-----
2 оттенка серого


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

 Создано: 22 ноября 2018 13:50 · Поправил: difexacaw
· Личное сообщение · #4

f13nd

> По дампу находишь оер

Опять двацать пять.. как находишь среди событий. Это не вопрос, я даже не спрашиваю.

Vamit

Я давно говорил что отладка - не способ и не инструмент. Смотри - сбрасываем рабочий набор одним сервисом, затем его запрашиваем. Получается кернел лог со всеми вашими действиями(дамп выборок). Две апи существующие с xp и до сих пор ваши" плагины это не обрабатывают. Фактически обрабатываются лишь задействованные механизмы антиотладки. Любое изменение в механизмах приводит к неработоспособности всего этого набора тулз.

> Вопрос, имеются ли какие либо инструменты позволяющие запускать приложение и останавливать его на указанном адресе?

Таким образом было найдено множество уязвимостей в ядре --> Link <--, несколько человек реализовали гипервизор, который отслеживал повторную выборку данных. Так находился повторный дереференс указателей, а значит возможность рц атаки на ядро.

Но это всё глобальное, если нужно локально сделать, то инструментов нет.

Добавлено спустя 1 час 13 минут
Vamit

> нужно изменить формулировку, не искать ОЕП

Вам нужно понять что это чисто викс методы, это лишь реализация под конкретную задачу. Это нужно что бы незаметно брать всё апп под контроль, реализовать софт анклавы(сокрытие памяти), обойти аввм. Данного типа визор так устроен, что можно на всё ап поставить атрибут N/X. В первых реализациях была исходная цель, это всё было запилено на высокий профайл - работа апп под визором не отличается от прямого исполнения, для это те все темы и нужны были; оптимизация циклов етц. Задача поиска EP заместила реализацию быстрого визора, я остановился на половине реализации. Там сборка в памяти для очень быстрого исполнения. Эти реализации не уместны в связи со сложностью, тоесть тут нет смысла это обсуждать.

Так или иначе если вы хотите это использовать, то придётся:

- собирать это налету", для этого нужно разобраться как устроен визор. Но тогда любые задачи легко решаются.
- это всё написано на масме 32. Если нужен порт, то варианта два - либо реализовать на си, либо собирать копию под 64, в таком случае изменений минимум, механизмы теже.

- С нуля реализовать это никто не может, слишком много нюансов, куча времени уходило на отладку, примерно год.

-----
vx

| Сообщение посчитали полезным: mak


Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

 Создано: 22 ноября 2018 15:13
· Личное сообщение · #5

Vamit пишет:
Сейчас же протекторы сделали шаг вперед и вся защита от антидебага уже не действует. Конкретный пример, вмпрот версии 3.2 + x64dbg + ScillaHide дает отрицательный результат что при прямом старте
--> Link <--

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: BlackCode


Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

 Создано: 24 ноября 2018 11:30
· Личное сообщение · #6

difexacaw пишет:
- это всё написано на масме 32. Если нужен порт, то варианта два - либо реализовать на си, либо собирать копию под 64, в таком случае изменений минимум, механизмы теже.

Мне помнится, что ты говорил только про 32 битные системы, уточнив что в х64 твой енжин работать не будет. Может я что-то путаю ..

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

 Создано: 24 ноября 2018 14:18
· Личное сообщение · #7

mak

Это же сборки под разные архитектуры. Под 64 есть эмулятор 32 wow. Но это не 64.

-----
vx

Ранг: 18.4 (новичок), 3thx
Активность: 0.020
Статус: Участник

 Создано: 24 ноября 2018 19:24 · Поправил: gggeorggge
· Личное сообщение · #8

Можно использовать pintool. В заданном адресе можно записать инструкцию eb fe (зацикливание), а потом отсоединить pintool и подключиться дебаггером.




Ранг: 331.1 (мудрец), 561thx
Активность: 0.190.06
Статус: Участник

 Создано: 24 ноября 2018 19:41
· Личное сообщение · #9

В заданном адресе можно записать инструкцию eb fe (зацикливание)
Записать куда, в сегмент кода? Дак он ещё пустой на момент старта проги, а когда вмпрот туда образ распакует от записанного ничего не останется.

-----
Everything is relative...

Ранг: 18.4 (новичок), 3thx
Активность: 0.020
Статус: Участник

 Создано: 24 ноября 2018 20:00
· Личное сообщение · #10

Записать после распаковки конечно. Дайте программу, попробую остановиться в нужном месте.




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

 Создано: 24 ноября 2018 20:11
· Личное сообщение · #11

Vamit

> он ещё пустой на момент старта проги, а когда вмпрот туда образ распакует от записанного ничего не останется.

Тоесть я так понял нужно реализовать два значения в одной области памяти в зависимости от доступа к этой памяти ?

-----
vx


Ранг: 331.1 (мудрец), 561thx
Активность: 0.190.06
Статус: Участник

 Создано: 24 ноября 2018 20:19
· Личное сообщение · #12

difexacaw
Нет, нужно просто остановить исполнение программы на заданном адресе.

-----
Everything is relative...


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

 Создано: 24 ноября 2018 20:20
· Личное сообщение · #13

Vamit

Почему тогда не сделать по простому, точку останова поставить к примеру.

-----
vx


Ранг: 331.1 (мудрец), 561thx
Активность: 0.190.06
Статус: Участник

 Создано: 24 ноября 2018 20:28
· Личное сообщение · #14

difexacaw
Вы тему читали? Вмпрот ловит все отладчики и терминирует приложение.

-----
Everything is relative...


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

 Создано: 24 ноября 2018 20:43
· Личное сообщение · #15

Vamit

Я про отладчик не говорю. Простую обработку ловушки написать и заинжектить. Либо в немного более сложном случае использовать запрет на доступ к памяти и обработать ловушки.

Добавлено спустя 7 минут
А есчо вам ведь не нужен универсальный вариант, у вас конкретная ведь версия прота. Почему не посмотреть что там по антидебагу, написать фильтры ?

-----
vx

Ранг: 7.1 (гость), 6thx
Активность: 0.040.01
Статус: Участник

 Создано: 25 ноября 2018 10:36 · Поправил: lx60
· Личное сообщение · #16

Vamit Прога грузит библиотеки? Если грузит, прицепить свою длл к одной их них, а в ней уже запустить тред с проверкой на наличие нужных байт по заданному адресу, затем зациклить прогу, либо то же самое лоадером - проверка+запись.




Ранг: 331.1 (мудрец), 561thx
Активность: 0.190.06
Статус: Участник

 Создано: 25 ноября 2018 12:39
· Личное сообщение · #17

Прога грузит библиотеки? Если грузит, прицепить свою длл к одной их них
Грузит, но только системные, своих нет. Вообще это всё полуфабрикатные решения, хотелось бы универсальный вариант, позволяющий останавливать любую программу на заданном адресе, работающую в системе Вин10 как в х86, так и в х64 режимах.

-----
Everything is relative...


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

 Создано: 25 ноября 2018 14:23
· Личное сообщение · #18

Vamit

Можете семпл любой вмп накрыть 86 и выложить ?

-----
vx


Ранг: 331.1 (мудрец), 561thx
Активность: 0.190.06
Статус: Участник

 Создано: 25 ноября 2018 14:55
· Личное сообщение · #19

Можете семпл любой вмп накрыть 86 и выложить ?
Для этого нужен последний Вмп 3.2, у меня его нет, а со всеми предыдущими проблема отсутствует. Могу только попросить тех у кого он есть сделать тестовый семпл с максимальной защитой.

-----
Everything is relative...


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

 Создано: 25 ноября 2018 14:57
· Личное сообщение · #20

Vamit

Только опцию выключите, что бы он варю не детектил.

-----
vx


Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

 Создано: 25 ноября 2018 16:32 · Поправил: mak
· Личное сообщение · #21

difexacaw

Версии VMP 3.2 есть в сети с ключами для обеих x32-x64 версий, ушло в личку, тестируй

Vamit

Очень странно, что у тебя его нет, тема здесь открыто пробегала ..

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

 Создано: 25 ноября 2018 21:46 · Поправил: difexacaw
· Личное сообщение · #22

Я немного покопался. Он как то ловит отладчик, видимо через гуй(тень), вот активность до вывода окна с сообщением, что отладчик запален:

Code:
  1. NT 0x0 0x7C815242 NtQueryInformationProcess
  2. NtQueryInformationProcess(class: 0x1A)             ; <- SystemLoadImage
  3. DF to PEB.Debugged at 0x7C81312C
  4. NT 0x1 0x7C85AA48 NtQueryInformationProcess
  5. NtQueryInformationProcess(class: 0x7)
  6. NT(ProcessDebugPort)                         ; <- fixed
  7. NT 0x2 0x90AC95 NtQueryInformationProcess
  8. NtQueryInformationProcess(class: 0x1E)             ; <- fixed
  9. NT(ProcessDebugObjectHandle)
  10. NTS 0x11AA NtUserGetProcessWindowStation
  11. NTS 0x11A7 NtUserGetObjectInformation
  12. NTS 0x11D0 NtUserModifyUserStartupInfoFlags
  13. NTS 0x1192 NtUserGetDCEx
  14. NTS 0x1194 NtUserGetForegroundWindow                 ; <- ??
  15. NTS 0x11E3 NtUserQueryWindow                          ; <- ??
  16. NTS 0x11E3 NtUserQueryWindow
  17. NTS 0x10CB NtGdiGetTextCharsetInfo
  18. NTS 0x1029 NtGdiCreateRectRgn
  19. NTS 0x10C0 NtGdiGetRandomRgn
  20. NTS 0x10DE NtGdiIntersectClipRect
  21. NTS 0x1091 NtGdiExtSelectClipRgn
  22. NTS 0x10CB NtGdiGetTextCharsetInfo
  23. NTS 0x10C0 NtGdiGetRandomRgn
  24. NTS 0x10DE NtGdiIntersectClipRect
  25. NTS 0x1091 NtGdiExtSelectClipRgn
  26. NTS 0x1143 NtUserCallOneParam
  27. NTS 0x1179 NtUserFindExistingCursorIcon
  28. NTS 0x11FF NtUserSetCursor
  29. NTS 0x1143 NtUserCallOneParam                      ; <- ??
  30. NTS 0x1179 NtUserFindExistingCursorIcon
  31. NTS 0x11FF NtUserSetCursor
  32. NTS 0x101E NtGdiCreateCompatibleDC
  33. NTS 0x1090 NtGdiExtGetObjectW
  34. NTS 0x10DA NtGdiHfontCreate
  35. NTS 0x10CF NtGdiGetTextMetricsW
  36. NTS 0x10D8 NtGdiGetWidthTable
  37. NTS 0x107A NtGdiDeleteObjectApp
  38. NTS 0x1194 NtUserGetForegroundWindow                 ; <- ??
  39. NTS 0x11E3 NtUserQueryWindow                          ; <- ??
  40. NTS 0x11E3 NtUserQueryWindow
  41. NTS 0x1180 NtUserGetAtomName
  42. NTS 0x1157 NtUserCreateWindowEx
  43. NTS 0x121F NtUserSetWindowFNID
  44. NTS 0x113E NtUserCallHwndParam
  45. NTS 0x11CC NtUserMessageCall
  46. NTS 0x11CC NtUserMessageCall
  47. NTS 0x113C NtUserCallHwndLock
  48. NTS 0x1180 NtUserGetAtomName
  49. NTS 0x1157 NtUserCreateWindowEx
  50. NTS 0x1220 NtUserSetWindowLong
  51. NTS 0x11CC NtUserMessageCall
  52. NTS 0x11CC NtUserMessageCall
  53. NT 0x3 0x7C91D46B NtOpenSection
  54. NT 0x4 0x7C916EA2 NtQueryAttributesFile
  55. NT 0x5 0x7C916EA2 NtQueryAttributesFile
  56. NT 0x6 0x7C91C971 NtOpenFile
  57. NtOpenFile(\??\C:\WINDOWS\system32\UxTheme.dll)
  58. NT 0x7 0x7C91C993 NtCreateSection
  59. NT 0x8 0x7C91C9B8 NtQuerySection
  60. NT 0x9 0x7C91C9EF NtClose
  61. NT 0xA 0x7C91BD03 NtMapViewOfSection
  62. NT 0xB 0x7C91BE47 NtClose
  63. NT 0xC 0x7C91CF4C NtProtectVirtualMemory
  64. NT 0xD 0x7C91CFE9 NtProtectVirtualMemory
  65. NT 0xE 0x7C91CFF6 NtFlushInstructionCache
  66. NT 0xF 0x7C91CBB0 NtOpenKey
  67. NtOpenKey(\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UxTheme.dll)
  68. DF to PEB.Debugged at 0x7C91C429
  69. NTS 0x11B7 NtUserGetWindowDC
  70. NTS 0x1143 NtUserCallOneParam
  71. NT 0x10 0x7C915028 NtOpenThreadTokenEx
  72. NT 0x11 0x7C915044 NtOpenProcessTokenEx
  73. NT 0x12 0x7C915060 NtQueryInformationToken   ; <- ??
  74. NtQueryInformationToken(class: 0x1)
  75. NT 0x13 0x7C91506A NtClose
  76. NT 0x14 0x7C918B01 NtOpenKey
  77. NtOpenKey(\REGISTRY\USER\S-1-5-21-1085031214-823518204-682003330-500)
  78. NT 0x15 0x77DC6A39 NtOpenKey
  79. NtOpenKey(Software\Microsoft\Windows\CurrentVersion\ThemeManager)
  80. NT 0x16 0x77DC6F03 NtQueryValueKey
  81. NT 0x17 0x77DC6BF3 NtClose
  82. NT 0x18 0x77DC6BF3 NtClose
  83. NT 0x19 0x7C915028 NtOpenThreadTokenEx
  84. NT 0x1A 0x7C915044 NtOpenProcessTokenEx
  85. NT 0x1B 0x7C915060 NtQueryInformationToken   ; <- ??
  86. NtQueryInformationToken(class: 0x1)
  87. NT 0x1C 0x7C91506A NtClose
  88. NT 0x1D 0x7C918B01 NtOpenKey
  89. NtOpenKey(\REGISTRY\USER\S-1-5-21-1085031214-823518204-682003330-500)
  90. NT 0x1E 0x77DC6A39 NtOpenKey
  91. NtOpenKey(Control Panel\Desktop)
  92. NT 0x1F 0x77DC6F03 NtQueryValueKey
  93. NT 0x20 0x77DC6BF3 NtClose
  94. NT 0x21 0x77DC6BF3 NtClose
  95. NTS 0x1213 NtUserSetProp
  96. NTS 0x11EF NtUserRemoveProp
  97. NTS 0x122F NtUserSystemParametersInfo
  98. NTS 0x10DA NtGdiHfontCreate
  99. NTS 0x1191 NtUserGetDC
  100. NTS 0x10CF NtGdiGetTextMetricsW
  101. NTS 0x1143 NtUserCallOneParam                  ; <- ??
  102. NTS 0x107A NtGdiDeleteObjectApp
  103. NTS 0x11CC NtUserMessageCall
  104. NTS 0x11CC NtUserMessageCall
  105. NTS 0x122F NtUserSystemParametersInfo
  106. NTS 0x1180 NtUserGetAtomName
  107. NTS 0x1157 NtUserCreateWindowEx
  108. NTS 0x1220 NtUserSetWindowLong
  109. NTS 0x11CC NtUserMessageCall
  110. NTS 0x11CC NtUserMessageCall
  111. NTS 0x11EF NtUserRemoveProp
  112. NTS 0x1213 NtUserSetProp
  113. NTS 0x1179 NtUserFindExistingCursorIcon
  114. NTS 0x1179 NtUserFindExistingCursorIcon
  115. NTS 0x1179 NtUserFindExistingCursorIcon
  116. NTS 0x1197 NtUserGetIconInfo
  117. NTS 0x1090 NtGdiExtGetObjectW
  118. NTS 0x107A NtGdiDeleteObjectApp
  119. NTS 0x107A NtGdiDeleteObjectApp
  120. NTS 0x118F NtUserGetCursorFrameInfo
  121. NTS 0x1222 NtUserSetWindowPos
  122. NTS 0x11CC NtUserMessageCall
  123. NTS 0x11CC NtUserMessageCall
  124. NTS 0x1180 NtUserGetAtomName
  125. NTS 0x1157 NtUserCreateWindowEx
  126. NTS 0x1220 NtUserSetWindowLong
  127. NTS 0x11CC NtUserMessageCall
  128. NTS 0x11CC NtUserMessageCall
  129. NTS 0x11EF NtUserRemoveProp
  130. NTS 0x1213 NtUserSetProp
  131. NTS 0x1220 NtUserSetWindowLong
  132. NTS 0x113B NtUserCallHwnd
  133. NTS 0x1203 NtUserSetFocus
  134. NTS 0x11CC NtUserMessageCall
  135. NTS 0x11C2 NtUserInvalidateRect
  136. NTS 0x1220 NtUserSetWindowLong
  137. NTS 0x11B3 NtUserGetThreadState
  138. NTS 0x122B NtUserShowWindow
  139. NTS 0x11CC NtUserMessageCall
  140. NTS 0x1178 NtUserFillWindow
  141. NTS 0x113C NtUserCallHwndLock
  142. NTS 0x11CC NtUserMessageCall
  143. NTS 0x1134 NtUserBeginPaint
  144. NTS 0x11CC NtUserMessageCall
  145. NTS 0x10DE NtGdiIntersectClipRect
  146. NTS 0x10DA NtGdiHfontCreate
  147. NTS 0x107A NtGdiDeleteObjectApp
  148. NTS 0x10DE NtGdiIntersectClipRect
  149. NTS 0x10CC NtGdiGetTextExtent
  150. NTS 0x1172 NtUserEndPaint
  151. NTS 0x1134 NtUserBeginPaint
  152. NTS 0x11CC NtUserMessageCall
  153. NTS 0x10DE NtGdiIntersectClipRect
  154. NTS 0x10A7 NtGdiGetDCDword
  155. NTS 0x116B NtUserDrawIconEx
  156. NTS 0x1172 NtUserEndPaint
  157. NTS 0x1134 NtUserBeginPaint
  158. NTS 0x11CC NtUserMessageCall
  159. NTS 0x10DE NtGdiIntersectClipRect
  160. NTS 0x10CB NtGdiGetTextCharsetInfo
  161. NTS 0x1172 NtUserEndPaint
  162. NTS 0x11DA NtUserPeekMessage
  163. NTS 0x11CC NtUserMessageCall
  164. NTS 0x11CC NtUserMessageCall
  165. NTS 0x11CC NtUserMessageCall
  166. NTS 0x124E NtUserWaitMessage
  167. NTS 0x11DA NtUserPeekMessage
  168. NTS 0x11CC NtUserMessageCall


Все важные события я пометил. Базовыми сервисами детект невозможен, кроме как запрос токенов - отладочные привилегии етц. Для тени нужно смотреть подробно что за вызовы.

Первая версия олли крэшит, он и раньше её дебагпринтом прибивал. Вторая версия как отладчик просто полный ппц.

Я не использовал запуск под отладчиком, а аттач как jit на EP. Поэтому среда апп запускается не под отладчиком. В модуле нет тлс, которая могла бы сработать до еп.

Кроме кучи тск интересных событий больше нет.

-----
vx

| Сообщение посчитали полезным: Jupiter, mak


Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

 Создано: 25 ноября 2018 22:17
· Личное сообщение · #23

difexacaw
По тулзе: предлагаю в лог также писать результат вызова, чуть более информативно будет.

difexacaw пишет:
NtOpenKey(\REGISTRY\USER\S-1-5-21-1085031214-823518204-682003330-500)
Это твою учётку запрашивает или просто лезет за учётной записью администратора (S-1-5-21-...-500)?

-----
EnJoy!


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

 Создано: 25 ноября 2018 22:30
· Личное сообщение · #24

Jupiter

> предлагаю в лог также писать результат вызова, чуть более информативно будет.

В смысле статус после вызова сервиса ?

Это не проблема, только чем это поможет с поиском метода его детекта.

> Это твою учётку запрашивает или просто лезет за учётной записью администратора

Откуда мне знать, я подробности не смотрел. Время ушло на дамп теневых сервисов что бы имена в логе посмотреть, пришлось обрабатывать таблицы j00ru, в сети ничего кроме этого не нашлось.

А есчо гемор с олли, она столь глючна, что нужна куча времени что бы с ней нормально работать, пофиксить некоторые детали.

Сам же вмп этой версии без каких либо проблем запускается под dye, только это как и раньше долго варится - минут 20 он крутит память ничего не вызывая. Можно почистить всё что бы быстрее было, отключить не нужное, но на это нужно время, почему то раньше никто не выложил семплы.

-----
vx


Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

 Создано: 25 ноября 2018 23:04
· Личное сообщение · #25

difexacaw пишет:
В смысле статус после вызова сервиса ?

Да


difexacaw пишет:
Это не проблема, только чем это поможет с поиском метода его детекта.

Я специально написал, что это "по тулзе". С методом детекта вмпротом никак не связано.


difexacaw пишет:
пришлось обрабатывать таблицы j00ru

Так они же в удобном csv/json виде, быстро парсятся, чем ты не доволен?


difexacaw пишет:
минут 20 он крутит память ничего не вызывая

А по профайлу на чём самые тормоза? И это на каком проце?

-----
EnJoy!


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

 Создано: 25 ноября 2018 23:41
· Личное сообщение · #26

Jupiter

> быстро парсятся, чем ты не доволен?

Масм не переваривает бинарный дамп.

> А по профайлу на чём самые тормоза? И это на каком проце?

Не зависит от проца. Инструмент изначально с нуля писался для доказательства что можно отследить некоторые инструкции, фактически был спор на пиво. Вы ведь читали. Затем задача появилась по поиску EP.

Это не расчитано на профайл изначально, адресный транслятор слишком много выполняет работы, сохраняется стек вызовов и циркулярные буфера, нет кэша инструкций и пакетной обработки..

Пусть в данном случае и медленно, но эти инструменты отлично работают.

-----
vx


Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

 Создано: 26 ноября 2018 00:56
· Личное сообщение · #27

difexacaw пишет:
Масм не переваривает бинарный дамп
csv и json - это простые текстовые форматы
можно на питоне написать парсер, чтобы ускорить, можно выкинуть лишние варианты и оставить только твою Windows XP (SP3) x86.

Сохранил отдельно json под Windows XP (SP3) x86: win32k-winxp-sp3.json, можешь его грузить и парсить по int номеру syscall.

b12b_26.11.2018_EXELAB.rU.tgz - win32k-winxp-sp3.json

-----
EnJoy!


Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

 Создано: 26 ноября 2018 11:14
· Личное сообщение · #28

difexacaw
Ваша пои*ень работает на уровне ring0 или ring3

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.


Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

 Создано: 26 ноября 2018 11:22
· Личное сообщение · #29

ClockMan
Скачай и проверь сам:
--> d3s.7 <--

Взято отсюда:
--> про пивас <--

-----
EnJoy!

Ранг: 64.9 (постоянный), 47thx
Активность: 0.120.02
Статус: Участник

 Создано: 26 ноября 2018 16:51
· Личное сообщение · #30

у мну лж.exe просто падае под х32дбг на вин10х54
непонятно шо демонстрируецца, то шо дебагвью не ловит ивэтнс?


. 1 . 2 . 3 . >>
 eXeL@B —› Протекторы —› VMProtect 3.2: запуcтить приложение и остановить его на указанном адресе
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати