Здравствуйте! Есть dll, упакована Themida & WinLicense 2.0 - 2.1 - struct (Hide from PE scanners II-V) по данным exeinfope.
Смотрел горы туторов. В одном (Themida + WinLicense 2.x (HWID + UnVirtualize + OEP + VM)) было довольно ясно всё, но скрипт VM OEP не нашёл, к сожалению. Выдал следующее:
VM ADDR: Custom
VM ALIGN: 33A2E014
VM PUSH PRE: 0
VM PUSH: 0
VM JUMP: 0
Oreans UnVirtualizer тут я не знаю куда применять Ибо джамп там первый не на push->jmp, а на
PUSH EBP
MOV EBP,ESP
CMP DWORD PTR SS:[EBP+0xC],0x1
JNZ SHORT main.61794BB7 ....
Собственно вопросы: Каким методом можно найти VM OEP? Почему после распаковки именно некоторые функции VM крашит(если я правильно понимаю, что она)? Пару советов "от себя" пригодились бы очень!
Если какой-то информации недостаточно - уточняйте. Реверс инженерией раньше не занимался никогда. Решил, что социальной из Вас вытащить немного инфы смогу
Спасибо за внимание.
С ув., Я.

| Сообщение посчитали полезным:

Прошу, открой мне тайну О Великий p4tr3g имею желание лицезреть сию dll и мы явим свою мудрость)
"Мы прийдём на выручку,была бы только выручка"

| Сообщение посчитали полезным:

https://exelab.ru/f/action=vthread&forum=5&topic=24055

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

p4tr3g пишет:
Реверс инженерией раньше не занимался никогда.
и
Девиртуализация Themida

Это как "я не учил в школе математику, но хочу решать сложные интегралы"

-----
ds

| Сообщение посчитали полезным: Dart Sergius, HandMill

script_kidis пишет:
имею желание лицезреть сию dll и мы явим свою мудрость)
Сия dll: https://yadi.sk/d/5jXlPQkOqFLuW
VodoleY пишет:
https://exelab.ru/f/action=vthread&forum=5&topic=24055
Спасибо, видел, прочитал.
DimitarSerg пишет:
Это как "я не учил в школе математику, но хочу решать сложные интегралы"
Как раз вот математику я и учу, только учебник на 4 языках и раскидан по всей школе. Решил уточнить у учителя алгоритм. Он же для этого и нужен.

| Сообщение посчитали полезным:

p4tr3g почитайте теорию прежде чем лезть в дивиртуализацию. Это достаточно сложный материал и врядли для вашего уровня. вам пол года читать теорию.. а потом задавать вопросы..
ЗЫ. вы ща ищете черную кошку в черной комнате..
ЗЫЫ я хз как вы прочитали.. я пол года изучал теорию от ВАМита.. + сам эксперементировал прежде чем понимание пришло

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY пишет:
почитайте
Читаю. Я занимаюсь этим постоянно и каждый день. Я пытаюсь продвинуться в текущей задаче. Для меня это важно, поэтому и спрашиваю. На пол года я это отложить не могу - стараюсь как могу.

| Сообщение посчитали полезным:

p4tr3g хочеш получить правильный ответ, задай правильный вопрос. пока его нету. "Каким методом можно найти VM OEP?" ответ. МОЗГОМ
ЗЫ. тебе девочка в той ссылочке что я давал.. ответила.. сигнатурный поиск с отсеиванием мусора. причем ей никто не помогал.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY пишет:
Каким методом можно найти VM OEP? ответ. МОЗГОМ
По сигнатурам, если использовано CRT. По передаче 3х аргументов, в числе которых первый - Image Base в dll, или hIstance для exe, и по проверке второго аргумента на код причины.

Вот если чисто на asm писалось без CRT, мозг незаменим... но для первого раза. -> В теории все протекторы похожи тем, что перед OEP производят один и тот же последний этап распаковки(для VMProtect - это релоки, если не забыл). А так ещё один ориентир для gui-приложений - в 99,99% без GetModuleHandle() не будет окна -> OEP будет между завершением распаковки и его первым после распаковки вызовом.

-----
IZ.RU

| Сообщение посчитали полезным: p4tr3g, BiteMoon

VodoleY пишет:
p4tr3g хочеш получить правильный ответ, задай правильный вопрос. пока его нету. "Каким методом можно найти VM OEP?" ответ. МОЗГОМ
ЗЫ. тебе девочка в той ссылочке что я давал.. ответила.. сигнатурный поиск с отсеиванием мусора. причем ей никто не помогал.
Вопрос снят. Сэкономил пол года посмотрев несколько видео и прочитав пару статей.
ЗЫ. Ник Вам подходит. Хотите.. дать.. ответ, путь.. даже.. пустой - учите.. русский. ЯЗЫК

| Сообщение посчитали полезным:

ну и хорошо, закроем.

-----
[nice coder and reverser]

| Сообщение посчитали полезным: