Здравствуйте!
Есть защищенный мутированный VMProtect'ом код(без виртуализации), версия 3+, нужно сделать сигнатуру для этого кода, при этом каждый билд программы генерирует рандомный мусор и рандомные регистры кода, но алгоритм остается тем же. Каждый билд программы сигнатура перестает быть рабочей, а нужно сделать ее универсальной, алгоритм кода не меняется.
Может быть, есть какие нибудь решения для моей проблемы?
Заранее спасибо!

| Сообщение посчитали полезным:

Топикастор купил бы уже лицензию, а не маелся хренью с о слитым билдом......

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

FOXHACKBOK
Я могу найти OEP в любой запротекчиной программы, достаточно знать в каком компиляторе была собрана программа до протекта, а у знать это просто.

Да и всем другим, у кого есть интерес, можете найти ОЕП в прикрепленном файле, в качестве поощрения получите +
--> Link <--

-----
Everything is relative...

| Сообщение посчитали полезным: difexacaw

Vamit
ты нафига спёр точку входа от mfc

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ARCHANGEL

Образа те два не криптованы, любая часть их и есть сигнатура.

Vamit

Хороший вопрос, на этом все выше и сольются вероятно.

-----
vx

| Сообщение посчитали полезным:

ClockMan
Это не я спер, а вмпрот, а ваше дело искать ОЕП...

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit пишет:
а ваше дело искать ОЕП...



-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

difexacaw пишет:
Хороший вопрос, на этом все выше и сольются вероятно.
С учётом того, что на третьей странице темы ты так и не вкурил про что она - про слив лучше помалкивать.

difexacaw пишет:
Образа те два не криптованы, любая часть их и есть сигнатура.
Внезапно, про то что файл не пакован написано в первом посте, и DimitarSerg для своих сэмплов про это сразу написал.
Ну так сделай сигнатуру чтоб работала на обоих бинарниках одновременно - находила начало алгоритма RC4.
Если до сих пор непонятно - файлов может быть не 2, а 100, и код в них мутирован по разному.
Всё ещё нет проблем с сигнатурой?
Толку с твоей любая часть их и есть сигнатура , если она работать будет только на одном конкретном варианте мутации.

По теме - никак это сигнатурами не решается.
Можно сконвертить x86 в llvm ir (--> Link <--), потом прогнать оптимизатор llvm и потом по этому llvm ir коду строить сигнатуру.
Или если исходный код присутствует и просто разбавлен мусором - писать свой оптимизатор, вычищать код от мусора и потом делать сигнатуру.
Если код поморфлен полностью (исходные команды в мутированном коде отсутствуют) - это не сработает.
Простых решений нет.

И в целом затея плохая - писать долго, а детектить всё равно будет не со 100% вероятностью.

| Сообщение посчитали полезным: Vamit

ClockMan
push A01E9075
Этот код не может быть ОЕП, т.к. расположен в секции прота, это какой-то вход в вм. ОЕП всегда должен быть в секции кода программы, а не прота защищающего её.

-----
Everything is relative...

| Сообщение посчитали полезным:

cppasm

> находила начало алгоритма RC4.

Зачем это нужно, если задача обнаружить ориг образ после крипта. Это ты не можешь понять про что тема.

Vamit

10сек на прямой запуск, ~1час на трассировку.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Это ты не можешь понять про что тема.
Тебе уже написали какая задача, хватит дурачком прикидываться (или не прикидываться ).

Не можешь решить задачу - так и напиши.

Судя по всему победит вариант №3:
ARCHANGEL пишет:
3. Не осилит/ сольётся/ не поймёт/ закончится молодецкий запал/ позовут резко на Васм.

-----
ds

| Сообщение посчитали полезным:

difexacaw пишет:
Зачем это нужно
Затем что напряги единственную извилину и прочти название и текст темы.
Какой позор, увидел что тс куда-то свинтил и пробует подменить понятия, якобы тс имел совсем другое ввиду, лишь один индеец понимает что.
Наберись мужества и реши задачу своими ко-ко-ко методами, либо вывешивай белый флаг

difexacaw пишет:
10сек на прямой запуск
У тебя же решение по OEP есть, мат.часть вся скурена, нам рассказывал какие мы тупые и неспособные на решение такой задачи, так давай найди oep под вм, а что медленно, ну ты же писал про оптимизации, профайл, avl-деревья, тайминги, ну и вот это все. Тебе протянули руку помощи, чтобы ты хоть на чем-то восстановил свое кредибилити, но и на этой задаче будешь под дурачка косить.

ClockMan пишет:
купил бы уже лицензию, а не маелся хренью с о слитым билдом
Какая между ними разница пфф? Детект ав никому не мешает, наоборот в файлах остается фингерпринт слитой лицензии, а не твой, многим это на руку.
Ты я вижу подхватил лихорадку клерка, то же в след за ним ерунду пишешь всю тему

-----
В облачке многоточия

| Сообщение посчитали полезным:

Vamit пишет:
Да и всем другим, у кого есть интерес, можете найти ОЕП в прикрепленном файле, в качестве поощрения получите +
--> Link <--
Танцуя от DefWindowProc которые просто находятся, можно найти WinMain по callstack?
Где ОЕП?

| Сообщение посчитали полезным:

difexacaw пишет:
Зачем это нужно, если задача обнаружить ориг образ после крипта.
Точно?
Ну ок, если 4 предложения для тебя слишком много.

Vine пишет:
Есть защищенный мутированный VMProtect'ом код(без виртуализации), версия 3+, нужно сделать сигнатуру для этого кода, при этом каждый билд программы генерирует рандомный мусор и рандомные регистры кода, но алгоритм остается тем же.
Так лучше?
Где тут про обнаружение оригинального образа?

| Сообщение посчитали полезным:

cppasm

> Где тут про обнаружение оригинального образа?

Защищённый/мутированный это следствие, тоесть сигнатура нужна для ориг кода.

Boostyq

> так давай найди oep под вм

Я уже это сделал и скрины сохранил, жду когда остальные осилят, ты в частности.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Я уже это сделал и скрины сохранил,
Да я уже все давно нашла, хотя я и не учавствовала в споре, жду вот пока ты выложишь адрес, скрины тоже сохранила, один из них выкладываю


-----
В облачке многоточия

| Сообщение посчитали полезным: Bronco

difexacaw пишет:
Защищённый/мутированный это следствие, тоесть сигнатура нужна для ориг кода.
Именно.
Для оригинального кода, а не для детекта образа.
Надо найти адрес конкретной функции после мутации.
Так понятно?

| Сообщение посчитали полезным:

cppasm

Так я это с самого начала утверждаю, а вы мне затираете про то что не понял что то.

> Надо найти адрес конкретной функции после мутации.

Логика у тебя кривая. Во первых если нужен ориг код, то и адреса или есчо что то нужно до мутации. А во вторых код" это локальная абстракция, есть образ ориг и после крипта. А рассматривать какой то кусок адресов отдельно в виде функции - безумие. Детект строится на основе образа в целом, в данном случае для любого крипта на EP будут общие ориг данные. Ну а что на счёт тех двух бинарях и про не осилил", так я не вижу смысла что либо предпренимать, если два образа фактически одинаковы и оригинальные.

Boostyq

Так показывай, что с EP ?

Добавлено спустя 1 час 21 минуту
Ладно не буду тянуть, вот мой результат. 4 запуска - 4 часа.

Если по скринам не понятно, могу нарисовать стрелочек

На последнем скрине FI это первая передача управления в кодовую секцию, по времени кстате совпадает с началом лога.

Первая AI разделена крипт кодом. Поэтому что именно считать EP.., если исходить из критерия-EP, то это первая выборка. Но там вирт лапша, поэтому для статик анализа EP является вторая выборка.

Vamit

Тебе лайкну только за то, что wow-шлюз вызывается с перезагрузкой ss --> Link <--

f1cc_29.03.2020_EXELAB.rU.tgz - v.7z

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Поэтому что именно считать EP
Речь шла про OEP, а ей считать первую инструкцию оригинального кода до обработки протектором, в каком бы виде она не была.
4 часа очень долго, сразу видно недостаток изучения матчасти, плохие тайминги, тормознутый профайл, дохлая выборка, сплошное разочарование одним словом.
Стрелочки ты конечно нарисуй, и побольше, чтобы мне понятно было, а вообще не знаю для чего ты притащил какой-то архив, шо решил 4 байта адреса пожать?

-----
В облачке многоточия

| Сообщение посчитали полезным:

Boostyq

Вот и найдена OEP, общем способом без моего участия. Пока оно крутилось я вообще за пивом ходил..

> 4 часа очень долго, сразу видно недостаток изучения матчасти

Сразу видно что в теме курица и она слилась. Не смотря на поливание говном выше.

Где же твоё решение ?

Ну а что долго, так я ничего с этим поделать не могу. Слишком огромное число итераций(редкое апп запускается 10 сек), железо у меня не фонтан. А бин трансляцию я не закодил пока, там было бы быстро.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Вот и найдена OEP
Вот - это где? Что-то я не наблюдаю адреса?

-----
В облачке многоточия

| Сообщение посчитали полезным:

Boostyq

Vamit придёт тебе стрелок начертит

-----
vx

| Сообщение посчитали полезным:

Дай я угадаю, в архиве лежат логи твоего упоротого визора, где тупо перечислены адреса всех инструкций в бинаре, а вамит должен будет найти нужный и подчеркнуть?
Это не решение, это болтовня очередная, гони адрес

-----
В облачке многоточия

| Сообщение посчитали полезным:

Boostyq

Нет, посмотри может. Есчо раз спрашиваю, твоё решение будет или так и дальше курятник разводить будешь ?

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
твоё решение будет или так и дальше курятник разводить будешь
Или. Шутка. Конечно будет, у меня уже все готово невзначай, и выложу сразу же после того как ты назовешь свой ответ)0))

-----
В облачке многоточия

| Сообщение посчитали полезным:

Boostyq

RVA 0x246647 - 0x100000 это вход в кодовую секцию после крипто мусора, на этой EP ориг код. До него исполнение вм мусора.

-----
vx

| Сообщение посчитали полезным: Vamit

Хорошо.
Интересный у тебя адрес вышел 0x246647, как удобно да? Вм вывела прямо на чистый код.
Ведь совсем такого не могло быть, что вмпрот сожрал точку входа, и она как раз исполняется под вм (это мусор который), но... видимо не этот случай.
Что-ж, ждем вамита, он наверное знает верный ответ.

-----
В облачке многоточия

| Сообщение посчитали полезным:

Boostyq

Так а твой вариант где ?

Реальная EP не там, так как была первая выборка, я ведь говорил. EP криптована, первый вызов из вм лапши с AI для установки seh. Но это условная EP, она по факту бесполезна.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Так а твой вариант где ?
Ты попался на бэйт, олух, я даже не скачивала этот файл
difexacaw пишет:
Реальная EP не там
Что-ж ты фраер сдал назад?

-----
В облачке многоточия

| Сообщение посчитали полезным:

Boostyq

> Что-ж ты фраер сдал назад?

Что значит сдал, та лапша крипто кода не различима, лишь только выборкой. Но локальная не имеет отношения к входам. Этот адрес и есть OEP.

> я даже не скачивала этот файл

Я так и думал, выше и сказал что слив. Изначально я хотел привести не верный адрес и не вылаживать скрины, но потом передумал. Понимая что ты ничто кроме как глупый троль.

Добавлено спустя 2 минуты
Есчо кто то решил, или быть может крэклаб умеет только без основательно сраца.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Что значит сдал,
То и значит, это адрес oep, ну то есть не этот, ну вот другой, я его знаю, но вам не скажу.
Адрес что ты дал просто выход из вм на незащищенный код, для этого не надо 4 часа, не надо говновизора, достаточно просто трассировать от точки входа примитивы, пока не попадется незащищенный код, вот и сам посчитай цену своему софту.
Все там различимо, для этого можно использовать декомпилятор вм, а не твою выборку, это просто очередной бестолковый выдуманный термин.

difexacaw пишет:
Изначально я хотел привести не верный адрес и не вылаживать скрины
Ты так и сделал, привел неверный адрес, и вылажил, от слова лажа.

difexacaw пишет:
Я так и думал
Это было очевидно, не я выпендивалась могу то могу се, впредь держи язык за зубами.
Я не намерена тратить свое время на тебя, потроллить дэбика - пожалуйста, а большего не заслуживаешь.

difexacaw пишет:
без основательно сраца
Да ты посмотри на свои сообщения в теме, 30 штук бесполезного бреда и самохвальства, а результата как всегда плюс минус ноль.
Никто не срется кроме как с тобой, потому что если ото всех воняет, это значит что ты обосрался.
Ты причина большого процента оффтопа на форуме, ты сам его плодишь и провоцируешь других на это, ликвидировать тебя и сразу стало бы спокойнее.

-----
В облачке многоточия

| Сообщение посчитали полезным: