VmProtect Вот решил попробовать но что то не так
Пользуюсь скриптом VMProtect API Turbo Tracer

Сам файл
Дамп мой

Но выходит такая ошибка
--> Link <--

Прошел по адресу и увидел вот что
Вот что показывает в дампленом файле
--> Link <--

А вот что в оригинале
--> Link <--

Подозрение падает то что не потому адресу составляет сам MZP

Запакованный
DS:[016C3D38]=00400000 (newwww_v.00400000), ASCII "MZP"
EAX=00400000 (newwww_v.00400000), ASCII "MZP"

Дамп

DS:[FDBBB097]=???
EAX=00400000 (newwww_v.00400000), ASCII "MZP"

Что я не так сделал или же Подскажите что и как
Как все таки распаковать его без проблем
Мне важен не файл а сам процесс
С Уважение Hack_Mishar

| Сообщение посчитали полезным:

попробуй этот скрипт от LCF-AT и думаю все вопросы решатся само собой
--> VMProtect Ultra Unpacker 1.0 <--

только что проверил отлично все распаковывается и запускается
OEP - 007032d0

| Сообщение посчитали полезным:

Jaa пишет:
попробуй этот скрипт от LCF-AT и думаю все вопросы решатся само собой
--> VMProtect Ultra Unpacker 1.0 <--
Извините конечно
Но я уже побывал таже самая ситуация

| Сообщение посчитали полезным:

Mishar_Hacker
видео туториал по скрипту смотрел внимательно?
лично я распаковал без проблем, там где распаковывал все запускается но сразу закрывается точно также как и в оригинальном файле (cpuid/rdtsc не патчил)
ресурсы можно пофиксить VMProtect Resource Fixer
пиши в личку помогу конкретнее

| Сообщение посчитали полезным:

Всем привет. Нужна помощь по вмпроту.
Есть некая программа. VMProt с неё снят, всё что нужно пропатчено и прекрасно работает. Только есть одна проблема... работает только на хп, на семерке у меня не идет. Тестил на:
1) WinXP на виртуалке;
2) XP у друга;
3) XP на ноутбуке.
Везде прекрасно работает. Но на вин7 ни у меня ни у друга не работает. Падает в самой вм, но не пойму почему.Сам опыта с этим протом имею не много, вернее с самой вм опыта нету, при трейсе потерялся в вм.
В-принципе мне только надо запустить дамп на своей семерке, всё остальное уже сделано.Прикладываю прогу (устанавливать не надо) и свой дамп.
Тому кто поможет большой человеческий респект, ибо уже третий день не могу отойти от компа,а есть то хочется...

--> Потёрто за ненадобностью <--

| Сообщение посчитали полезным: Abraham

видимо на 7-ке импорт другой если aslr не мешает.
и сколько стоит eng-portable?
русская вроде 500р

| Сообщение посчитали полезным:

r99 пишет:
и сколько стоит eng-portable?
русская вроде 500р
40$ за одну лицнзию и 100 за семейную.

r99 пишет:
видимо на 7-ке импорт другой если aslr не мешает.
Снимал и на семерке. Тоже самое, не работает, начинает запускаться и падает. Этот дамп не работает даже на хп.

| Сообщение посчитали полезным:

Благодарю всех за "помощь"
Всё сделал сам, инлайн патч оказался легче, чем распаковка.

| Сообщение посчитали полезным:

описал бы, как делал инлайн.

-----
[nice coder and reverser]

| Сообщение посчитали полезным: Jaa, 4kusNick, vnekrilov, -Sanchez-

Djeck
Мне тоже интересно

| Сообщение посчитали полезным:

Hellspawn
Инлайнится одно место при проверке CRC памяти. Но знающие люди говорят что бывают нюансы, но я пока не видел такого

-----
Research For Food

| Сообщение посчитали полезным:

daFix
А есть ли тутор или все таки на ощупь?

| Сообщение посчитали полезным:

На паблике не встречал, а в приват меня не пускают, так что на ощупь

-----
Research For Food

| Сообщение посчитали полезным:

To All
Сделать тутор нет проблем, но я бы не хотел рассматривать программу которую выкладывал выше, ибо в ней есть интимные моменты, не хочется себе жизнь в дальнейшем портить
Как смотрите на то, чтобы сделать анпакми, максимально приближенное к комерческой программе и на нём рассмотреть инлайн прота?
Mishar_Hacker
На паблике видел тутор от LCF-AT, но он мне не понравился.
Во-первых всё сделано сумбурно, хрен поймешь где он что делает.
Во-вторых мне его метод не нравиться, он просто не красив. В туторе он предлагает ложить рядом с патченным оригинал и перенаправлять проверку на него. У меня не прокатило. Может я не понял, а может в новых версиях прота это уже пофиксено.
daFix пишет:
Инлайнится одно место при проверке CRC памяти. Но знающие люди говорят что бывают нюансы, но я пока не видел такого
Прот мапит файл в память, а там кусками считывает и проверят хеши.Наша задача пропатчить эту проверку. Хоть это и не тяжело, но задача не тривиальная, занимает много времени.По крайней времени если всё делать вручную.

| Сообщение посчитали полезным:

Djeck, пешы тутор, я тоже юзал один раз редирект CRC, но не на вмпроте, потом второй раз попалась прога с жестким замапливанием и проверкой аж четырех хешей. Пока руки не доходят детально поисследовать, но с наскоку это дело не возмешь.

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

Djeck пишет:
Прот мапит файл в память
забыли как execryptor инлайнился?

| Сообщение посчитали полезным:

Djeck на паблике есть вмпрот 2.12.3, навесь на любой крекми не пакованный и сделай тутор

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Djeck пишет:
Наша задача пропатчить эту проверку
Вмопрот вроде как не дурак и как-то рандомно условия проверки меняются. В деталях не помню, пусть более осведомлённые люди рассказывают, если захотят

-----
Research For Food

| Сообщение посчитали полезным:

r99 пишет:
забыли как execryptor инлайнился?
Честно говоря я и не зналНикогда с execryptor-ом не имел дело

Hellspawn пишет:
Djeck на паблике есть вмпрот 2.12.3, навесь на любой крекми не пакованный и сделай тутор
Ок, договорились. Сейчас за пару дней решу свои домашние проблемы и сделаю тутор.
daFix пишет:
Вмопрот вроде как не дурак и как-то рандомно условия проверки меняются
Не знаю не заметил. Знаю только, что он рандомно куски кода проверяет,т.е. адреса не подряд идут, а в перемешку. Хотя это жизнь не сильно усложняет.

P.S. Кстати знающие люди не подскажут, что такое в этом проте CPUID & RDTSC? Как патчить и что это дает.

| Сообщение посчитали полезным: Mishar_Hacker

Djeck на паблике видел что-то вменяемое только на тутсях

http://forum.tuts4you.com/topic/30720-vmprotect-unpacking-problem/
http://forum.tuts4you.com/topic/31600-vmprotect-unpackme-crashing/

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Расскажу не можно Лирики
vmprotect - Лучше сделать Лодырь чем распаковывать
Значит если делать Лоадер есть проблема CRC
Но есть и решение их 2 какие я придумал
1.Патчить по времени напремер через 3 секунды но минус этого способа на разных компах по разному
2.Патчить когда появиться окно либо еще что нибудь
Расскажу про 2 мне он понравился
Я искал разные лоадер гены но понравился мне все таки abel loader generator
Я его настроил чтобы патчил при появление окна и сгенил
После этого я побывал на многих компьютерах и все было ОК
Если кому надо запишу гайд

| Сообщение посчитали полезным:

Mishar_Hacker есть варианты, когда код накрытый вмпротом самомодифицирующийся. причем, патч примитива црс какбы толку не дает.. ибо он ток считает црц. если вы црц попытаетесь считать из образа с винта, толку не будет.. когда около 1.5к проверок иногда нелинейных и код црц считается после модификации кода и до модификаци.. вам мало что поможет. надо долго и нудно ловить.
З.Ы. если вм прот просто сверху.. стыренной проги.. то проще распаковать.. а если 80 проц проги виртуализировано, по уму, то попотеть надо будет очень сильно

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным: daFix

VodoleY
Я с вами не спорю я нашел для себя тот вариант который я могу сделать по ка что
А с такими Профии я даже спорить не буду вам виднее я пока только занялся вмпротом
А анпак досих пор мне не поддается
Вот так я вышел с ситуации

| Сообщение посчитали полезным:

мишар мож ты и научился делать лоадеры но человек ты без совести.
я понимаю крякнуть программу и выложить в паблик это одно но когда ты крякаешь и кряк еще продаешь и таким образом хочешь пополнить свой кошелек через другой труд то ты просто лох.

| Сообщение посчитали полезным:

Super Info

Не соглашусь с вами - Mishar_Hacker может быть и жидокрекер, но не как не лох.
Лох - это тот чею программу он продает

| Сообщение посчитали полезным:

Не сомневаюсь, что ему внезапно стало очень стыдно. А раз вопрос решён, топик закрою.

| Сообщение посчитали полезным: