Проблема с VMProtect

Сейчас на форуме: asfa (+7 невидимых)

Посл.ответ	Сообщение
zzzteph Ранг: 0.8 (гость) Активность: 0=0 Статус: Участник	Создано: 06 июня 2010 01:25 · Личное сообщение · #1 Здравствуйте. С чего начинать ( какие первые шаги предпринять ) при распаковке программ запакованных VMProtect(<=1.2) ? И где обычно располагается сам обработчик VM ???

NikolayD Ранг: 189.9 (ветеран), 334thx Активность: 0.3↘0 Статус: Участник	Создано: 06 июня 2010 01:46 · Личное сообщение · #2 Нaчинaть нaдо кaк обычно от простого к сложному+поиск юзaй гдe-то былa тeмa по этому протeктору.
zzzteph Ранг: 0.8 (гость) Активность: 0=0 Статус: Участник	Создано: 06 июня 2010 14:35 · Личное сообщение · #3 кaк обычно от простого к сложному Если известно что зашифрована именно 1-на функция программы, явного перехода на VM , найти что-то найти никак не могу . поиск юзaй гдe-то былa тeмa по этому протeктору. - там не много не по теме .
Coderess Ранг: 355.4 (мудрец), 55thx Активность: 0.32↘0 Статус: Uploader 5KRT	Создано: 06 июня 2010 19:11 · Личное сообщение · #4 Вобще тема по VMProtect вот она, а если не имел опыта в распаковке, то логичнее направить в запросы http://exelab.ru/f/action=vthread&forum=13&topic=15982 ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes
NikolayD Ранг: 189.9 (ветеран), 334thx Активность: 0.3↘0 Статус: Участник	Создано: 06 июня 2010 19:29 · Личное сообщение · #5 ну и тaргeт выклaдывaй чтобы ускориться aвось помогут.
zzzteph Ранг: 0.8 (гость) Активность: 0=0 Статус: Участник	Создано: 06 июня 2010 22:59 · Личное сообщение · #6 как бы я мучаюсь с crackme5 от GPcH ( www.dotfix.net/other/CrackME5.rar ). Может быть кто-нибудь с этим сталкивался ?? ( имею ввиду , какая-нибудь полезная информация по нему- поэтому и задал вопрос здесь ) .
Isaev Ранг: 756.3 (! !), 113thx Активность: 0.61↘0.05 Статус: Участник Student	Создано: 07 июня 2010 00:27 · Поправил: Isaev · Личное сообщение · #7 --- угу, понял уже ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh
zzzteph Ранг: 0.8 (гость) Активность: 0=0 Статус: Участник	Создано: 07 июня 2010 00:34 · Личное сообщение · #8 Тк крякми с VMprotect.
Coderess Ранг: 355.4 (мудрец), 55thx Активность: 0.32↘0 Статус: Uploader 5KRT	Создано: 10 июня 2010 21:38 · Личное сообщение · #9 Возьмите другой крякми ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes
zzzteph Ранг: 0.8 (гость) Активность: 0=0 Статус: Участник	Создано: 11 июня 2010 01:21 · Личное сообщение · #10 Если бы мог , взял бы , однако парюсь с этим. Такие дела . Все же может кто-нибудь его разбирал или сталкивался с похожим?
ZLOvar Ранг: 40.4 (посетитель), 3thx Активность: 0.08↘0 Статус: Участник	Создано: 11 июня 2010 18:35 · Личное сообщение · #11 На кряклябе куча материала по этой теме. Хотя бы та же самая ссылка от Coderes'a.
OKOB Ранг: 527.7 (!), 381thx Активность: 0.16↘0.09 Статус: Участник Победитель турнира 2010	Создано: 11 июня 2010 22:53 · Личное сообщение · #12 Изначально топикстартером неправильно объявлена тема как ВМПротект и следовательно все посылы в эту сторону. Каким боком GPcH к VMProtect? Тем более, что у него есть свой dotFix. Что сказано на сайте GPcH ? Крякми v5.0 - VM protection, а не VMProtect и от этого нужно плясать. ----- 127.0.0.1, sweet 127.0.0.1
ZLOvar Ранг: 40.4 (посетитель), 3thx Активность: 0.08↘0 Статус: Участник	Создано: 11 июня 2010 23:18 · Личное сообщение · #13 Вопрос решился сам собой
int Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 11 июня 2010 23:20 · Личное сообщение · #14 OKOB там VMProtect. Версия ниже 1.8 даже: Code: dotfix0:0040B456 pushf ; сохранить регистр флагов в стэке для ВМ dotfix0:0040B457 pusha ; сохранить регистры для ВМ dotfix0:0040B458 mov esi, [esp+24h] ; загрузить адрес ленты с пикодом dotfix0:0040B45C mov edi, offset aVmprotectV0_9C ; "[ VMProtect v 0.9 (C) PolyTech ]" dotfix0:0040B461 cld ; сброс флага DF чтобы прогонка по ленте была от меньших адресов к большим dotfix0:0040B462 mov ebx, esi ; начальное значение ключа ... dotfix0:00414000 aVmprotectV0_9C db '[ VMProtect v 0.9 (C) PolyTech ]' OKOB пишет: Каким боком GPcH к VMProtect? как минимум, ГПЧ осуществлял тестирование вмпротект на VB, и помогал проекту поддерживать этот компилятор.
int Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 11 июня 2010 23:40 · Личное сообщение · #15 Цикл ВМ: Code: dotfix0:0040B464 vm_loop proc near dotfix0:0040B464 dotfix0:0040B464 lodsb ; сгружаем из ленты очередной КОП, инкремент esi dotfix0:0040B465 add al, bl ; расшифровка КОПа dotfix0:0040B467 add bl, al ; обновление ключа dotfix0:0040B469 movzx eax, al ; обнуление старшей части регистра eax dotfix0:0040B46C jmp _table[eax4] ; выполняем обработчик dotfix0:0040B46C vm_loop endp Пример обработчика КОПа: Code: dotfix0:0040B473 PUSH_REG32_BY_AL proc* near ; DATA XREF: dotfix0:_tableo dotfix0:0040B473 and al, 7 ; всего 8 32-битных регистров dotfix0:0040B475 push dword ptr [edi+eax4] ; edi - указатель на регистры ВМ dotfix0:0040B478 jmp* short vm_loop dotfix0:0040B478 PUSH_REG32_BY_AL endp Самый простой способ решить крекми - разобрать все хендлеры по именам, составить скрипт для декрипта ленты (что усложнится ветвлениями), разобраться в функционале каждой ленты.

Для печати