Всем лучшего доброго времени суток!

Тема эта звучит уже давно. И постоянно ускользает в нескончаемом троллинге. В теме про Инди уже 15 страниц, а визоров нет... (Надеюсь, здесь такого не будет, будет исключительно по теме)
Хоть и автор этого сабжа частенько переходит дозволенные границы, перегибает палку, лезет в бочку, катит балоны и т.д и т.п, везде всё-таки визоры упоминаются. Я человек не обидчивый, знаю, что где-то внутри, может быть, глубоко, может даже очень, но Инди человек хороший и писать некие ненужные слова у него находятся какие-то внутренние причины. Разберётся в них, если только психиатр, и то не каждый...

Так вот, по сабжу. Что же это такое? Чем визоры могут помочь, например, мне? Я человек, кремень, мне только дай идею, ухвачусь, и ещё своего привнесу, улучшу... Если мне попутно, конечно, будет...

Хорошо бы реальные примеры здесь привести. То есть, визоры на практике. Видео, или пусть даже 10 абзацев рассказов об их применении.

Такая формулировка пойдёт?

P.S. Просьба большая ко всем - не троллить, а только по существу. Написал в основном форуме потому, что возможно это передовая технология и все мы упускаем её ввиду недостаточной адекватности её автора. Не хотелось бы, чтоб топ ушёл в оффтоп.

-----
IZ.RU

| Сообщение посчитали полезным: Adler, plutos

--> Link <--

Добавлено спустя 5 минут
--> Link <--
PIN - DBI Tools

| Сообщение посчитали полезным:

По первой ссылке одна проблема, которая не улучшает моих подходов к делу - эмулятор. Медленно под ним всё делается, даже если убрать отладочный вывод

Добавлено спустя 2 минуты
Может, DYE как-то на уровне системы работает, что даёт преимущество в скорости?

-----
IZ.RU

| Сообщение посчитали полезным:

вы попробуйте его для начала завести

| Сообщение посчитали полезным:

ну подумаешь нужна XP 32bit да еще той же билд версии что и у клерка

| Сообщение посчитали полезным:

galenkane пишет:
вы попробуйте его для начала завести
Инди уже всё потёр, заводить нечего

Добавлено спустя 7 минут
И читать столько без нужной оправдываемости считаю потерей времени сейчас...

Вопрос - может, например, многоупомянутый визор помочь решить задачу с VMProtect'ом? Отследить, что, куда, как и почему засовывается? Визор это сделает быстрее, чем я вместе с эмулятором на юникорне?

-----
IZ.RU

| Сообщение посчитали полезным:

https://www.youtube.com/watch?v=VGmvx2B5qdo
https://www.youtube.com/watch?v=ec5xY7O-Txw
https://www.youtube.com/watch?v=gMdSYUQhuCE
https://www.virusbulletin.com/uploads/pdf/conference_slides/2014/sponsorAVAST-VB2014.pdf
https://i.blackhat.com/eu-19/Wednesday/eu-19-Delia-BluePill-Neutralizing-Anti-Analysis-Behavior-In-Malware-Dissection.pdf

DenCoder, в теории может. Дальше конференций паровоз не едет, возможно, из-за использования устаревших движков, которые, со слов Инди, не подходят для таких задач.

| Сообщение посчитали полезным:

Как говорится наследие Инди https://dropmefiles.com/hmGSs

| Сообщение посчитали полезным:

DenCoder пишет:
многоупомянутый визор помочь решить задачу с VMProtect'ом?
Это актуально для VMProtect 3.x
Для предыдущих версий есть таблица хендлеров - весь расклад сразу по типам хендлеров парсинг и построение веток исполнения, с последующей их оптимизацией и выкидыванием делается очень быстро на многоядерном CPU а-ля Ryzen/Threadripper без визоров и тд. Вопрос исключительно в плоскости грамотной программной реализации.

| Сообщение посчитали полезным:

ELF_7719116 пишет:
Это актуально для VMProtect 3.x
Ну у меня така же хрень, только на юникорне. Закладываю логику, что-то заложил. Свёртка есть - ммм... не дадут мне соврать, её начал прежде, чем Инди дал этому такое название. )

Кстати, для 2.x тоже годится...

Что быстрее-то? Визор круче всех?

Добавлено спустя 2 минуты
ELF_7719116 пишет:
Вопрос исключительно в плоскости грамотной программной реализации.
Может на старости лет чего-то забыл, или не увидел... Научи! )

Добавлено спустя 12 минут
Мифическая сущность, прям бог реверса - визор.

-----
IZ.RU

| Сообщение посчитали полезным:

reversecode а вы можете простым, человеческим языком написать, что это вообще такое (если не затруднит, конечно)?

Эмулятор, который составляет трассу выполнения кода? Чем результат отличается от списка вызовов, который мы можем получить каким-нибудь плагином отладчика?
Хочется разобраться, а то кругом спам про эти визоры, а зачем они нужны, не понимаю)

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler
вы знаете для чего нужен PIN от интела ?

ну а визор это PIN на клерко технологиях, прибитых к его win xp 32bit
и по заверениям клерка на стероидах и круче всяких PIN

| Сообщение посчитали полезным: Crawler, plutos, DenCoder

DenCoder

Реализация на 86 заняла очень много времени, в основном отладка тысяч семплов, что бы наконец получился стабильный билд. Можно за пару дней переписать на 64, с учётом всех прошлых нюансов и косяков, в этом нет проблемы(те разница только - размер регистров и системная обработка, а это всё мелочи). Почему не сделано - потому что не комерс задача, не особо интересно, в основном что не решена задача на 86 по оптимизации.

Не удивительно что ты тему поднял как только увидел какую то цитату про вмп. Можно симулировать ядерную среду через выборку, это единственный вариант, если нет девирта. Довольно простая задача, так как не нужно разбираться с кодом, графами всякими

> Может, DYE как-то на уровне системы работает, что даёт преимущество в скорости?

Он так и работает, напрямую на процике выполняет блоки. Из за необходимости отслеживать выборку инструкции не обьединяются в блоки, так проще, хоть и медленее. Можно получить реалтайм профайл через полноценную бин трансляцию, но как говорил не решено, хотя принципиально это возможно; сложная задача, тут я описывал ищи сам.

Поиск халявы по этой теме сводится к алгоритмам, проработай их сам, примеров не будет. Не потому что трудно что то показать или собрать, а потому что для твоих комерц целей эта тема - развод на инфу, плохая попытка дружище

-----
vx

| Сообщение посчитали полезным:

Хз как можно использовать визор на виртуализации. Единственное на что здесь можно опираться, то что т.к. вмп это универсальный компилятор, то будет такое-же кол-во, порядок, и адреса чтения/записи внешней (не стековой) памяти, вызовы незащищенных частей, плюс на стеке будет тоже самое, что в оригинальной программе (если игнорировать временную надстройку самого вмп), но каким образом это может помочь, банальная запись в стек, и ты понятия не имеешь записаны ли это данные самой программой, или это просто временная инфа которую вмп где-нибудь вытащит вскоре.

-----
В облачке многоточия

| Сообщение посчитали полезным:

Boostyq

У визора немного иная цель, это следить за активностью в реальном времени, те за каждой инструкцией и выборкой в память. Причём визоры на виртуализации ограничены в функционале, так как выборка не полностью контролируется(из за иного режима, короче кури матчасть по анклавам). Изначально это предназначалось для анализа выборки аверских вирт машин, что бы иметь возможность обнаружить эмуляцию через ту самую выборку, примерно так --> Link <--

-----
vx

| Сообщение посчитали полезным:

обнаружили и что дальше ?
кому это надо ?
тяжелое наследие тех времен когда клерка имели вирмейкеры и он для них придумывал как обходить и бороться с аверами

итог
визоры не нужны
клерки не нужны
/thread

| Сообщение посчитали полезным:

reversecode

Изначально подозревалось что ты лишь троль, за столько лет ты ничего не сделал а есчо у тебя с кгс косяк, ты умственно отсталый. Хотя попытки в пару кликов реверсить какой то примитив забавны.

-----
vx

| Сообщение посчитали полезным:

в каком моменте надо зажимать кнопочку на форме, чтобы DYE ее обработал?

| Сообщение посчитали полезным:

difexacaw пишет:
ричём визоры на виртуализации ограничены в функционале, так как выборка не полностью контролируется(из за иного режима, короче кури матчасть по анклавам).
Уже не раз Инде употребляет термины, не понимая их значения

Добавлено спустя 7 минут
На п4 под винхп32 анклавы видятся только во влажных снах

| Сообщение посчитали полезным:

То есть иудей даже не сам это придумал, а просто пудрит нам голову фантастической реализации уже известной штуки
Что же, ждемс, когда будет выложено сие чудо, нам всем так интересно протестить это на наших комерческих задачах, а то никак без визоров, спим и видим как бы обобрать нищеброда на dbi

-----
В облачке многоточия

| Сообщение посчитали полезным:

reversecode пишет:
ну а визор это PIN на клерко технологиях, прибитых к его win xp 32bit
ну хоть что-то начинает проясняться!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Я внезапно вспомнил о чем идет речь, крелк предлагал дизасмить текущие инструкции и копировать их в некий буфер для выполнения.
Что это дает? Чем отличается от покомандной эмуляции/трассировки?

| Сообщение посчитали полезным:

spinz пишет:
Чем отличается от покомандной эмуляции/трассировки?
Эмуляция это когда инструкции не исполняются вообще, только интерпретируются. То, чего он выкладывал, было бледной тенью того, что предлагал. Потом выкладывать перестал, только нахваливая на своем эльфийском языке всякие анклавы и то, что он якобы сделал казавшееся невозможным. Далее были упражнения с автоматическим определением OEP всего, что движется что может исполняться, потом совсем наркомания, породившая в каком моменте надо зажимать кнопочку на форме, чтобы DYE ее обработал?. Сейчас это вроде как поутихло, медаль собственноручно себе выданная, висит на кителе, можно за другие великие свершения браться.

ЗЫ: ну а два главных теоретических преимущества в том, что эмуляторы всегда содержат ошибки, а процессор не ошибается, и скорость исполнения.

-----
2 оттенка серого

| Сообщение посчитали полезным:

Ок, а трассировка по TF - она не быстрей? Тут изрядно нюансов, надо контролить FLAGS, но зато не нужен полноценнный дизасм, только "опасные" команды нужно детектить

Добавлено спустя 2 минуты
Я как то писал трассировщик ядра, когда все ядро выполняется с TF=1, это не летает, но работает, хотя тот же крелк утверждал, что идея мертвая

Добавлено спустя 24 минуты
У меня теоретический вопрос. Можно ли реализовать детерминированный алгоритм на недетерминированном устройстве?
Условно говоря, команду mov eax,eax проц может произвольно выполнить разными способами с разными результатами. При этом конечный результат последовательности подобных команд будет всегда однозначно определен.

| Сообщение посчитали полезным:

spinz пишет:
Можно ли реализовать детерминированный алгоритм на недетерминированном устройстве?

Если я правильно понял, и речь идет о недетерминированных конечных автоматах (nondeterministic finite automaton) и детерминированных конечных автоматах (deterministic finite automaton), то ответ на ваш вопрос положительный.
Дело в том, что NFA это по идее тот же DFA с добавлением "syntactic sugar": переходы (эпсилон переходы), множество состояний, неопределенность (недетерминированность ).


-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

spinz пишет:
Ок, а трассировка по TF - она не быстрей? Тут изрядно нюансов, надо контролить FLAGS, но зато не нужен полноценнный дизасм, только "опасные" команды нужно детектить
Она быстрее и лучше во всём кроме одного - используется в отладчиках и из-за этого проты и т.п. палят.
А клеркотехнологии не детектятся по одной простой причине - их никто не юзает, и соответственно никто не пытается детектить.
Неуловимый Джо короче.

| Сообщение посчитали полезным:

cppasm

Зачем ты этому тролю отвечаешь, он немного овощь судя по этой теме --> Link <--

Да и тут бред пишет, p4.. не вкуривая что речь идёт про софт, для чего железо значения не имеет, как всегда тот вырвал понятие из контекста, дурной совсем. Какие есчо TF, снимите профайл для начала

f13nd

> ЗЫ: ну а два главных теоретических преимущества в том, что эмуляторы всегда содержат ошибки, а процессор не ошибается, и скорость исполнения.

Основную суть ухватил, хоть и не полностью. Вирт машина выполняется изолированно, те её выборка аномальная, в отличие от прямого исполнения. Это значит что всякая эмуляция приводит к либо выборке из иного мода, либо к последовательности выброк из не доверенного кода. Говорил ведь что это нужно что бы работать с ав-вм. Всё остальное это лишь прикладное использование, не целевое. Очень многие задачи сводятся к необходимости трека трасс, но в основном это тут упоминаю не я, а те кто пытается на этом тролить.

-----
vx

| Сообщение посчитали полезным:

Крелк, может хватит демагогии и ты попытаешься объяснить преимущества выполнения кода в буфере по сравнению с пошаговой трассировкой. Мне кажется, что тут дело в обычной импотенции - ты еще на васме объявил, что трассировка ядра у тебя не получилась и поэтому не может получиться ни у кого. И сейчас свое неумение в какие-то техники ты привычно пытаешься скрыть объявляя оппонентов троллями. На техническом ресурсе это неприемлемо.

| Сообщение посчитали полезным:

spinz

Что тебе кажется" врядли имеет значение. Овощ значит овощ, не двусмысленно. Искать в гугле как бот и кидать сюда что либо в виде ответа крайне глупо. А есчо ты не спец, а глупый троль, не имеешь права и скилла утверждать про приемлемость на тех ресурсе". Давно пора выпилить отсюда как троля.

-----
vx

| Сообщение посчитали полезным:

Все, что надо знать о скиллах крелка.
В ответ на технические вопросы только мычание "все троли а я дартаньян".
Я далеко не первый раз пытаюсь услышать от крелка хоть один внятный ответ про его выдающиеся техники. И, думаю, не только я.
Полагаю, что если бы у него были ответы помимо "я шарю, а вы нет, сперва вникните в мои откровения", то он
бы их предоставил.
Это с его стороны даже не тролинг, а банальное желание выглядеть не простым белорусским электриком и получать какое-то
внимание и интерес.

| Сообщение посчитали полезным: Vintersorg