Sophos сравнивает Themida и VMProtect, а так же что то про ExeCryptor есть. Как я понял речь об их VM. Язык английский, документ в pdf. Интересно узнать резюме этого документа от того, кто хорошо читает на английском и знаком с темой документа.

| Сообщение посчитали полезным:

Переводчик гугла натравил, сейчас будем читать
translate.google.ru/translate?hl=ru&sl=en&tl=ru&u=http%3A%2F%2F209.85.129.132%2Fsearch%3Fq%3Dcache%3ApCVGN5K_n_QJ%3Awww.datasecurity-event.com%2Fuploads%2Fboris_lau_virtualization_obfs.pdf%2Bhttp%3A%2F%2Fwww.datasecurity-event.com%2Fuploads%2Fboris_lau_virtualization_obfs.pdf%26cd%3D1%26hl%3Dru%26ct%3Dclnk%26gl%3Dru

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

ToBad пишет:
Sophos сравнивает Themida и VMProtect

Народ на эту тему не заморачивается. Смотрел SeTool2 - сверху Фима, а под ней ВМПрот.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB пишет:
сверху Фима, а под ней ВМПрот.
Популярная связка. Хотя именно такую связку один мой знакомый раздолбал за 15 минут.

Моё резюме такое. Любая ВМ, правильно навешанная разработчиком, обеспечивает достаточно серьёзный уровень безопасности. Но любая ВМ доступная на паблике по определению говно, ибо декомпилятор дело времени. Какая разница в какой тулзе нажать на кнопку "Start working bitch" (фраз взята из двух реально существующих декомпиляторов)? Сомневаюсь что для StarForce есть полностью автоматические декомпиляторы, а для всего что можно скачать - есть.

| Сообщение посчитали полезным:

progopis


progopis пишет:
Популярная связка. Хотя именно такую связку один мой знакомый раздолбал за 15 минут.

Позволю усомниться , что VMProt раздолбали за 15 минут.
Или по кривому был навешен или ваш знакомый просто гений.

| Сообщение посчитали полезным:

Hugo Chaves пишет:
Или по кривому был навешен или ваш знакомый просто гений.
Стар например тоже не лажа, но раздолбать в пух и прах его мона минут за 7.

progopis пишет:
Сомневаюсь что для StarForce есть полностью автоматические декомпиляторы
Может и нет.......было бы только желание разобраться. Если усиленно заниматься изучением одного и того же прота....одной и той же вм - то весь процесс анпака можно довести до автоматизма.

| Сообщение посчитали полезным:

Господа хватит уже мерятся органами

Док прочитал (половину), другую половину пролистал/просмотрел, тестирование ВМ VMProtect'а и Themida в котором победила Themid'a (по их мнению)

VMProtect VM


Случайные опкоды например
* Относительно чистый код например


• EDI указывает на контекст (16 внутренних регистров)
• EBP используется как внутренний стек



-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

3240 даже рядом не стоит с пятидесятими тысячими

| Сообщение посчитали полезным:

MasterSoft пишет:
одной и той же вм
В том-то и дело что она каждый раз разная. И очень быстро усиливается. Не буду здесь говорить подробности, тем более что их (подробности) я узнал не при личном опыте "общения" с данной защитой. Тем не менее отсутствие автоматики не означает что защиту не снимут. Не снимут только кнопко-тыкатели, которые "снимают" защиты кнопкой Unpack.

Hugo Chaves пишет:
Позволю усомниться
Сомневайтесь на здоровье.

Coderess
Какой смысл от этого топика? Все и без этих теоретиков знают что фима круче. Дальше что?

| Сообщение посчитали полезным:

progopis пишет:
Какой смысл от этого топика?
Большой смысл очень мног нового узнал ) семь и пятнадцать это очень круто

| Сообщение посчитали полезным:

progopis пишет:
Тем не менее отсутствие автоматики не означает что защиту не снимут. Не снимут только кнопко-тыкатели, которые "снимают" защиты кнопкой Unpack.
Полностью согласен.

| Сообщение посчитали полезным:

progopis
Все и без этих теоретиков знают что фима круче

Всегда считал, что наооборот.

На счет времени "взлома" из легких программ для взлома:

Bitfry
12. Как вы оцениваете сложность взлома?
Примечание для читателей: в последнем пункте, разумеется, пишут "меньше минуты!", обычно это означает, что автор провозился больше часа, но, как ему кажется, мог бы сделать и за "меньше минуты".

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Coderess пишет:
Как вы оцениваете сложность взлома?

Всё дело в том, что сначала ты работаешь над протектором. И тут даже не час. Тут дни и ночи порой. Потом ты "работаешь" над программами. Если разработчик полностью доверился протектору, то защита реально снимается за 5 минут. Чем скрипты Некрылова плохой пример (демонстрирующий это факт)?

Coderess пишет:
Всегда считал, что наооборот.
Это ты в дебагере узнал или же на форуме прочитал?

| Сообщение посчитали полезным:

Это ты в дебагере узнал или же на форуме прочитал?

Доступность информации по распаковке VMProtect или-же устройстве его ВМ (может плохо искал, но мизирное кол-во доков к тому же некачественные, и то, только демонстрация возможностей - ролик от нуби). Высказывания Криса ничем не подтврежденные, о слабости ВМ VMProtect'а и силы Themida, топик на васме растянутый до 12 страниц, вечные споры на форумах о силе VMProtect'а. Сегодня прочитал/просмотрел/помедитировал над сабжевым доком, в основе которого исследования и использование DSD-Tracer'а и таблица результатов, показало все на самом деле.

По исследованию темиды есть статьи от dragon'а, достаточно ввести в google запрос "Themida" статья (вторая ссылка).

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Hugo Chaves пишет:
Позволю усомниться , что VMProt раздолбали за 15 минут
Да можно и быстрее, смотря какую задачу выполняет эта защита. К примеру недавно унпакми слили, там поверх аспра умудрились повесить шнягу бай дерьмотолог, обойти оказалось не сложно и быстро.
Скрипта хватило на 15 строк.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Coderess пишет:
Доступность информации по распаковке VMProtect или-же устройстве его ВМ (может плохо искал, но мизирное кол-во доков к тому же некачественные, и то, только демонстрация возможностей - ролик от нуби) почему же,
_woodmann.com/forum/blog.php?b=167 довольно таки неплохое описание и есть несколько статей на openrce.org

| Сообщение посчитали полезным:

А почему информацию о силе защиты нужно узнавать где-то? Почему бы самому не попытаться посмотреть в отладчике?

С одной из прог, на которую неправильно навесили вмпрот, я снял его за 20 минут, не считая 2 часов потраченных на борьбу с антиотладкой. Программа была полностью вскрыта, работа как и до снятия защиты и код можно было рипать. Это реальные цифры, я ничего не придумывал.

P.S. Тема нарывается уйти в оффтоп.

| Сообщение посчитали полезным:

progopis пишет:
я снял его за 20 минут

Я одну прогу снимал дня полтора, и то завиртуаленные куски смог восстановить только по анализу стека в
некоторых функциях. Просто было завиртуалено кусков 10 кода, да и скрипт для импорта накосячил
местами, пришлось весь файл лопатить

-----
Research For Food

| Сообщение посчитали полезным:

Документ концепт версия , control flow вмпрота я выкладывал на васме , это после 10 минут работы и удаления лишнего кода на глаз. Новые техники в доке совсем не новые. Темида сложнее , в плане реализации , но принцип не сильно изменен.

Partial disassembly, Handler local DBT - техника слайсинга и динамич бинарной трансляции еще 88 года.


progopis вы флудер

ПС. Вы так и не поняли юмора)))

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
вы флудер
А вы дурак, если обижаетесь на подобные высказывания.

| Сообщение посчитали полезным:

Coderess пишет:
Высказывания Криса ничем не подтврежденные, о слабости ВМ VMProtect'а и силы Themida
В фиме просто говна в разы больше на 1 полезный байт тонна мусора

| Сообщение посчитали полезным: