vm for the masses - a vm compiler incl source
от автора:
hi,
i have attached the complete sourcecode of a working vm compiler. this compiler was used for the 'impossible crackme' - crackmes
i have also included a brief explanation of everything
please keep in mind that this vm underwent some major changes (read the impossible crackme threads), thats why parts of the code are messy and smelly
rapidshare.com/files/25706809/xm.zip

| Сообщение посчитали полезным:

outlaw_
У тебя нет прав для скачивания этого криптора. Я сейчас докачаю и выложу.

[edited]
Да, китайцы шутники поставили пасс и непонятно какой.
Тедди Роджерс говорит, что там вроде какое-то китайское слово...
ппц. будем ждать скажут ли они пароль.
[/edited]

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

TrueLies
Книги - эт громко сказанно...
Так, всякая бесполезная лабуда, скомпиленная в Maestro.
TrueLies пишет:
надо бы риппер потестить
Риппак приватный что ли????

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Почему приватный? Вот тут лежит. В 0.3 версии добавил распаковку Maestro, но книг для тестирования мало, поэтому и хотел на чужих проверить. В понедельник выложу 0.3.

-----
Сотрудник DHARMA

| Сообщение посчитали полезным:

TrueLies
Хм.. поиск по форуму, глючит по ходу, или ваще не работает...
-----------
Унпуцкера на файлОобменике - йок
-----------

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

TrueLies пишет:
но книг для тестирования мало, поэтому и хотел на чужих проверить

_http://hexcsl.com/upload/stats/707

| Сообщение посчитали полезным:

IcebergLock Protector

IcebergLock Protector (ILP) is a software protection system, which allows your application modules to be protected with deep integration with the protection system. ILP uses powerful encryption algorithms to hide critical parts of code, which will be decrypted only for execution time.

ILP allows software developers to implement their own registration keys generation algorithms. Only you, and nobody else, will know how to get registration information and decryption keys from a registration key.

ILP allows you to restrict your modules functionality in trial (demonstration) mode. You can implement full and demo functions pairs and the protector will automatically choose an appropriate function version to be executed depending on registration information. Full version functions are accessible only if a valid registration key is present (decryption keys for these functions are encoded in the registration key).

ILP contains embedded Internet License Manager (ILM) which allows manage licenses you grant to users. All data can be stored in a remote database in your web site. Database interchange is implemented using PHP scripts, but you can use in your real projects Perl, CGI or any other scripts. This feature allows you to organize your product on-line registration.
Other IcebergLock features
ILP can protect a batch of your project modules (applications and libraries) in a single process, using common project's protection parameters.
ILP encrypts and compresses code, import and relocations sections in every module.
ILP allows developers define hidden functions and blocks of code, full and demo versions of functions, which will be encrypted by the protector and decrypted for execution-time only. Full version functions can be decrypted only if a valid registration key is present.
ILP provides:
counteraction against debuggers and disassemblers;
modules integrity checking;
API for interaction between a module and the protection system;
hardware-dependent or predefined serial number schemes;
Black List for stolen or illegal serial numbers and email addresses.
Delphi, C++ Builder and Visual C++ examples included.
Demonstration mode limitations

Without a valid registration key, ILP will run in demonstration mode. There are the next limitations in this mode:
Demonstration period is limited down to 30 days since installation time;
Demonstration time of working is limited down to 60 minutes since first program run in current Windows session. After the demonstration time expires, you must reboot Windows to continue working with ILP;
You can protect only single hidden function, single plain block of code and single pair of full and demo functions in every module;
You can not import/export your protection projects data into/from databases.

To activate ILP and remove all demonstration limitations, you must purchase a license and receive a valid registration key from Iceberg Software Lab.

Download
Description File Size
IcebergLock Protector
Demonstration version. To activate and remove all demonstration limitations, a license must be purchased. ilp_setup_3.10.1.36.exe ~24MB
Documentation
Help documentation for IcebergLock Protector in CHM format. ILProtect.chm 2'577'337 bytes
Buy
License for Individual Developer for 1 year, 3 installations 99,00 USD.
License for Company for 1 year, 25 installations 299,00 USD.
License prolongation for Individual Developer for 1 year, 3 installations 20,00 USD.
License prolongation for Company for 1 year, 25 installations 60,00 USD.

www.ibsoftlab.ru/download.asp?fid=1

| Сообщение посчитали полезным:

XComp/XPack v0.98
XComp/XPack v0.98
----------
1. Welcome
----------
Thank you for trying XComp/XPack.
XComp and XPack are PE32-imagefile ('.dll' or '.exe') packer and rebuilder.
In using the software, the user agrees to indemnify and hold harmless the
author and software from any damages incurred, whether real or imagined.
No guarentees are given or implied the software will run under any circumstance
and/or on any machine.

- Rebuilder functionality
- strip debug data
- strip relocations
- strip export information
- change MZ-stubfile
- change file alignment
- change imagebase
- merge sections
- Packer functionality
- two compression algorithms
- resource packing
- loader section naming
- Packer features
- a missing library produce a message like 'xyz.dll not found'.
- a runnable MZ-exe stubfile.
- possibility to use 'in place' compression.


------------------
2. Archive content
------------------
The eXe Compressor XComp:
- XCompc.exe - console version
- XCompw.exe - gui version
and the eXe Packer XPack:
- XPackc.exe - console version
- XPackw.exe - gui version

both packers use the compression-DLLs:
- Xlzma.dll - LZMA compression
- Xlzss.dll - LZSS compression


---------------
3. Installation
---------------
- Copy the files ('*.exe' and '*.dll') into a directory of your choice.
- To start the executables use the explorer or a console window.
- If you like create a link in the 'SendTo' directory.


-----------------
4. Specifications
-----------------
- Requirements
- These packers neads at least Win95 or NT4.
The GUI version is best viewed with installed verdana fontset.
- Needed RAM: Win95/98/ME 64 MByte
NT/2K/XP 128 MByte (swapfilesize >= 384 MByte)
- Minimal screen resolution: 800 x 600 - GUI version
640 x 480 - console version
- Limitations
- Maximal imagefilesize: 20 MByte
- Packed files can't run on Win32s (running with NT/2K/XP and Win95/98/ME)
- Static TLS with callbacks is not supported


----------------------
5. Compression results
----------------------

Imagesize:
----------
XComp and XPack are nearly identical, but XComp uses a 'in place' packing.
The compressed data is placed at there original location. XPack concatenates
this data at the end of the newly created packed file. This exceeds the filesize
in memory (Imagesize).

Comments:
---------
- Packers with 'in place' compression: XComp, PECompact, UPX, PETITE
- Packers without 'in place' packing: XPack, UPack, MEW11, FSG
- It looked paradox - smaller filesize but greater imagesize...

Filesize:
---------
(ERR) - not a usable imagefile (can't run or crashes)

Comments:
---------
- PETITE 2.3:
- Problems with Borland CBuilder imagefiles (like OLLYDBG.EXE 1.1 or WinRAR.exe 3.42).
- You need hours(!) to pack a 10 MByte - AMD64 3000, 1024 MByte RAM, 160 GByte HD.
- UPack 0.399, MEW11 1.2:
- Couldn't pack files with a section alignment <> 4 KByte (like TOUCH.EXE 4.0 or OLLYDBG.EXE 1.0).
- UPack 0.399, MEW11 1.2, FSG 2.0:
- VC++ 7.1/8.0 exception handling not supported (moviemk.exe)
- A missing library results in a crashing program

Summary:
--------
- LZMA compression:
XComp/XPack 0.98 compared with UPack 0.399, PECompact 2.78, MEW11 1.2
---------------------------------------------------------------------
filesize > 2000 KB - packing ratio nearly identical with UPack 0.399
and mostly better as PECompact 2.78 or MEW11 1.2.
1. UPack 0.399 and XComp/XPack 0.98
2. PECompact 2.78
3. MEW11 1.2
filesize 200 - 2000 KB - packing ratio between UPack 0.399 and MEW11 1.2
1. UPack 0.399
2. XComp/XPack 0.98
3. PECompact 2.78 and MEW11 1.2
filesize < 200 KB - packing ratio between MEW11 1.2 and PECompact 2.78
1. UPack 0.399
2. MEW11 1.2
3. XComp/XPack 0.98
after all i think it's true to say that the compression is not very good but good.

- LZSS compression:
XComp/XPack 0.98 compared with UPX 2.0, PETITE 2.3, FSG 2.0
-----------------------------------------------------------
filesize > 2000 KB - packing ratio between UPX 2.0 and PETITE 2.3
1. UPX 2.0
2. XComp/XPack 0.98
3. PETITE 2.3
filesize 200 - 2000 KB - packing ratio between UPX 2.0 and PETITE 2.3
1. UPX 2.0
2. XComp/XPack 0.98
3. PETITE 2.3
filesize < 200 KB - packing ratio mostly better than UPX 2.0 and PETITE 2.3
1. XComp/XPack 0.98
2. UPX 2.0
3. PETITE 2.3
this is the same situation as with the LZMA compression - not very good but good.

- Best packers:
LZMA: PECompact 2.78 was the best exepacker with LZMA compression.
+ use 'in place' compression
+ good or very good compression ratio (LZMA)
+ it is difficult to find a incompressible imagefile.
+ fastest loading speed
LZSS: UPX 2.0 was the best exepacker with LZSS compression.
+ if possible 'in place' compression
+ very good compression ratio (LZSS)
+ it is difficult to find a incompressible imagefile.

www.soft-lab.de/JoKo/

| Сообщение посчитали полезным:

Китайский пакер с забовной погремухой Backdoor PE Compress Protector 1.0
rapidshare.com/files/96360449/BCPack.rar
скрипт для оеп
var oep
var mb

GMI eip, MODULEBASE
mov mb,$RESULT
GMEMI eip, MEMORYBASE
find $RESULT,#0?00000024000000#
cmp $RESULT,0
je quit
mov oep,[$RESULT+10]
add oep,mb
eval " oep =={oep} Go,Wait "
cmt eip,$RESULT
bphws oep,"x"
erun
bphwc
msg "OEP Faund!"
ret
quit:
ret

| Сообщение посчитали полезным:

Кому интересно делфи упакованое последней версией ZProtect в демо режиме
rapidshare.com/files/96636172/Project_packed.rar

| Сообщение посчитали полезным:

pavka
А ЗПротект еще продолжают разрабатывать? (или это не тот, который был с сорцаме на асме?)
И где его можно достать?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
А ЗПротект еще продолжают разрабатывать? (или это не тот, который был с сорцаме на асме?)
И где его можно достать?
Это бывший пеканцер ;)
ZProtect DEMO v1.3 released
Zprotect v1.3
Copyright 2008, Lifeengines
================================================== ===================


Zprotect is the next generation of encryption software protection system, with a number of revolutionary innovations, designed to protect your software products are not cracked, reduce piracy to you because of the economic losses, improve your return on investment! At the same time, Zprotect have good stability and compatibility, comprehensive support for the mainstream market 32/64-bit Windows operating system to provide a steady run on Intel / AMD 32-bit and 64-bit and various multi-core processors, you configure the software protection system the best choice!

Support file formats: EXE, DLL, SCR, OCX
Support of the compiler: ASM, Delphi, Borland C + + Builder, Visual C / C + +, Visual Basic;
Supported Operating Systems: 32-bit Windows 98/Me/NT/2000/XP/2003/Vista and its corresponding 64-bit versions.



The demo version has not released any conventional functional limitations, grey function has not yet developed End.
And the formal version of the distinction:
Jiake after the document has launched Logo (blinking screen);
Jiake the document automatically after 20 minutes with;
VM code and not open-handling capabilities.


Home products: www.Zprotect.cn
Technical Forum: forum.Zprotect.cn

| Сообщение посчитали полезным:

pavka
Теперь все ясно.
А я подумал про Zprotect который привязывал прогу к железу и вроде еще хукал апи.
з.ы.: а фул версии нету? или глубокий превад?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
а фул версии нету?
ломать будешь?дам

| Сообщение посчитали полезным:

pavka
Всмысле ломать? там че, рега?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
там че, рега?
ага

| Сообщение посчитали полезным:

pavka пишет:
Китайский пакер с забавной погремухой Backdoor PE Compress Protector 1.0
У мну он вообще не запускается

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

pavka Ну давай попробуем поломать...

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет:
Ну давай попробуем поломать...
Да не вопрос. Для начала демку распакуй имхо там не сложно, вм нет оеп не спертое, импорт простенький

| Сообщение посчитали полезным:

pavka пишет:
Ну давай попробуем поломать...
Да не вопрос. Для начала демку распакуй имхо там не сложно, вм нет оеп не спертое, импорт простенький
rapidshare.com/files/96829482/zprotect_Project_unpacked.zip.html
Вот и демка распакованная.

Секции не обрезал, импорт восстановил почти 100% оригинальный. Странно что PECancer/ZProtect релоки оставил на месте..

ДЛЛка используется только в процессе распаковки, оставил если кому-то интересно глянуть..

| Сообщение посчитали полезным:

DexCrypt v2.0
dump.ru/files/o/o016057001
Alex protector version 1.0 beta 2
dump.ru/files/o/o489861772

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Обновился PESpin
pespin.w.interia.pl/pespin132.rar

| Сообщение посчитали полезным:

mpress v0.71a
MPRESS
Version: 0.71a

MPRESS is a free, high-performance executable packer for PE32/PE32+/.NET executable formats!

MPRESS makes programs and libraries smaller, and decrease start time when the application loaded from a slow removable media or from the network. It uses in-place decompression technique, which allows to decompress the executable without memory overhead or other drawbacks; it also protects programs against reverse engineering by non-professional hackers. Programs compressed with MPRESS run exactly as before, with no runtime performance penalties.

MPRESS Features

Advanced compressing of .NET executable files (anyCPU,x86,AMD64,IA64 EXE)
Support for MS Framework 1.0/1.1/2.0/3.0
Does not require .NET Framework to be installed
Advanced compressing of PE32/PE32+ (AMD64) executable files (EXE, DLL, OCX, etc.)
Very fast decompression: ~210 MB/sec on an AMD 2500+
Static TLS support
Strip sensitive information (relocation, debug information, exceptions, etc.)
Compression of program code, data, and resources
Completely transparent, self-contained operation with UNICODE support
Command line interface allows to use MPRESS from a batch or from a make file
Full Windows 9x/NT/2000/XP/2003/Vista/2008 compatibility

Platform: Windows 9x/NT/2000/XP/2003/Vista

DL:
www.matcode.com/mpress.zip
From:
www.matcode.com/

| Сообщение посчитали полезным:

PRO-Tector™ SDK for Windows
///столкнулся в одной проге(разрабы раскалолись)...
принцип..пока не исследовал(раздача так называемых "плав." лицензий)
From:
www.pds-site.com/nalpeiron/products/protector/default.htm

| Сообщение посчитали полезным:

Скрипты для анпака PESpin 1.32 без дебагблокер
в арихиве скрипты и мувик типа манаула как пользоваться
rapidshare.com/files/101609476/PESpin_1.3_2_Scripts.rar

| Сообщение посчитали полезным:

pavka пишет:
Скрипты для анпака PESpin 1.32 без дебагблокер

а в чём проблема с блокером?

| Сообщение посчитали полезным:

Gideon Vi пишет:
а в чём проблема с блокером?
Это не порблема а просто другой анпак ;)

| Сообщение посчитали полезным:

> Это не порблема а просто другой анпак ;)

Последний, седьмой тип наномита там таки jmp short или что?
Так и не получилось его создать ни на одной программе (а суслик есть

| Сообщение посчитали полезным:

DrGolova пишет:
Последний, седьмой тип наномита там таки jmp short или что?
такой не попадался 6 байтовый 0F 8? ?? ?? ?? 00
2 байтовый 7? ?? , ?? C3
3 байтовый 8B ?? ??

| Сообщение посчитали полезным:

NEOx редиска, молчит.



- v1.1.500.2008 Beta - [12.02.2008]
- Several small bugs fixed

10b1_26.03.2008_CRACKLAB.rU.tgz - npack.zip

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

pavka пишет:
DrGolova пишет:
Последний, седьмой тип наномита там таки jmp short или что?
такой не попадался 6 байтовый 0F 8? ?? ?? ?? 00
2 байтовый 7? ?? , ?? C3
3 байтовый 8B ?? ??

А кто-то говорил что проблемы нет, это просто другой анпак =)
Как я уже сказал, попадались и разобраны все кроме седьмого, который тупо добавляет к eip константу - это может быть или jmp short или паддинг на границе цикла типа lea eax, [eax+0], что монопенисуально для выполнения кода, но немного неодинаково для сигнатур
0F 8? - это соответсно условный прыжок, кодируется одним типом наномита, длина команды (2/5) выдергивается из таблицы, флаги оттудаже. Из обработчиков прыжков видел тока jz/jnz и ja/jbe - т.е. тва токена в виртуальной машине.
2 байтовый 7? ?? , ?? C3 - там точно С3 неучаствует, из двухбайтовых это может быть или короткие условные прыжки (но это другие токены), или mov reg, [reg] - один токен, или ttt reg, reg - другой токен, поддерживающий двухбайтовые mov/or/xor/sub/add между двумя регистрами.
Во всех случаях оригинальная инструкция однозначно декодируется через ее оригинальный размер, а он есть в таблице.
т.е. для одного токена это может быть и mov reg,[reg] (2) и mov reg,[reg+imm8] (3) и mov reg,[reg+imm32] (6) в зависимости от длиинны.
В целом кроме ttt reg, reg оно умеет тырить тока два типа прыжков, пяток вариантов чтения из памяти в регистр, и один мегарулез типа jmp d,[reg*scale+imm32]
Если очень надо, могу сказать оффсеты, структуру токена VM, и конкретные значения ее опкодов, но это же не спортивно.
Меня же сильно интересует судьба последнего седьмого токена в виртуальной машине

| Сообщение посчитали полезным: