eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: forever_, Medsft (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Oreans UnVirtualizer ODBG Plug-in
. 1 . 2 . 3 . 4 . >>
Посл.ответ Сообщение


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 25 марта 2011 21:02 · Поправил: BoRoV New!
Цитата · Личное сообщение · #1

UnVirtualizes CISC Themida/WL/CodeVirtualize Machines

Автор: Deathway

Code:
  1. This tool will help conversion VirtualOpcodes -> Assembly Instruction
  2. restoring the original code of your virtualized Application, the basic engine
  3. was from CodeUnvirtualizer, my other tool
  4.  
  5. [Features]
  6. - Supports WinLicense/Themida/CodeVirtualizer Cisc Machines
  7. - Supports almost all common opcodes
  8. - Supports CHECK_MACRO_PROTECTION
  9. - Supppots MultiBranch Tech
  10.  
  11. [Use]
  12. - Right-click on the jump leading to the Virtual Machine Area and press Unvirtualize (If machine isn't found
  13. you have to click again, after checking that the full machine was correctly deofuscated)
  14.  
  15.  
  16. [Oreans UnVirtualizer]
  17. [v1.0]
  18. - First public Version


{ Атач доступен только для участников форума } - OreansUnVirtualizerv1.0.rar

| Сообщение посчитали полезным: Maximus, Rio, HandMill



Статус: Пришелец

Создано: 25 марта 2011 21:08 New!
Цитата #2

Вообще-то софт по протекторам обычно складируют в Протекторы. Перенесено.

P.S. Эт чье вообще?
P.P.S. А, ясно, Deathway.


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 25 марта 2011 21:22 · Поправил: BoRoV New!
Цитата · Личное сообщение · #3

int пишет:
P.S. Эт чье вообще?

Как чье ?!
BoRoV пишет:
the basic engine was from CodeUnvirtualizer, my other tool

Deathway конечно.


Статус: Пришелец

Создано: 25 марта 2011 21:23 New!
Цитата #4

Остается кому-то заняться таки RISC машинами...

Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 25 марта 2011 22:43 · Поправил: VodoleY New!
Цитата · Личное сообщение · #5

я обожаю инструменты под названием пользуйтесь. это не упрек. кстати BoRoV именно сегодня было тоже самое. я с Vamit ом просидел в аське неделю чтоб мы хоть в терминах начали сходица. а он еще и мануал написал....
зы

---------------------------
OllyDbg: OllyDbg.EXE - Не удалось найти компонент
---------------------------
Приложению не удалось запуститься, поскольку MSVCR100D.dll не был найден. Повторная установка приложения может исправить эту проблему.
---------------------------
ОК
---------------------------


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 25 марта 2011 22:59 New!
Цитата · Личное сообщение · #6

Ну установи 2010 рантайм. Там же это по-русски написано.

Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 25 марта 2011 23:01 · Поправил: VodoleY New!
Цитата · Личное сообщение · #7

BoRoV ты молодец. уважаю. а линукс мне под винду поставить не надо? за севодняшний диалог отдельно спс. помогло кстати. но блин комплектуйте уж дистрибы так чтоб уже не фантазировать
ЗЫ я старый больной делфист нафиг эти телодвиги

| Сообщение посчитали полезным: Rio



Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 25 марта 2011 23:05 New!
Цитата · Личное сообщение · #8

VodoleY пишет:
но блин комплектуйте уж дистрибы так чтоб уже не фантазировать

Дык я тебе, что варезник, что бы репаки делать. Я размещаю оригинальные релизы. Все притензии к автору.

| Сообщение посчитали полезным: VodoleY, inf1kek


Ранг: 281.6 (наставник)
Статус: Участник
Destroyer of protectors

Создано: 25 марта 2011 23:24 New!
Цитата · Личное сообщение · #9

BoRoV пишет:
Я размещаю оригинальные релизы. Все притензии к автору.

я так предполагаю, что VodoleY наверное подумал, что ты автор

BoRoV
Статус: Uploader

Обнови проты


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 25 марта 2011 23:27 New!
Цитата · Личное сообщение · #10

MasterSoft пишет:
я так предполагаю, что VodoleY наверное подумал, что ты автор

Дык в 3 посте написано кто, нужно читать внимательно.

MasterSoft пишет:
Обнови проты

Я думаю над этим... не нравится мне это направление... всё и так можно найти в инете...


Ранг: 1995.9 (!!!!)
Статус: Модератор
retired

Создано: 26 марта 2011 09:18 New!
Цитата · Личное сообщение · #11

Значит, положить УПХ туда последний и выпилить проты нафиг. Заканчивайте оффтопить.

| Сообщение посчитали полезным: GPcH, inf1kek, SReg, Flashback/TMX


Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 26 марта 2011 16:57 · Поправил: VodoleY New!
Цитата · Личное сообщение · #12

BoRoV спасибо, прикольный инструмент, ток если что кидать его надо в чистую ольку. ибо наступил на обсыпание.


Ранг: 127.3 (ветеран)
Статус: Участник

Создано: 26 марта 2011 18:16 · Поправил: zeppe1in New!
Цитата · Личное сообщение · #13

Штуковина работает хорошо.
только пока не разобрался с джампами внутри вм.
например
10027B56 JNZ 0x21c
где увидеть код на который джамп должен прыгнуть?
и что он просит после того как создаёт Cisc_Uv_Dump.txt?


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 26 марта 2011 22:33 New!
Цитата · Личное сообщение · #14

Code:
  1. [v1.1]
  2. - Fixed Decode GenV1
  3. - Added CALL [EBX+ESI+0x234234]
  4. - Video logs Added
  5. - Updated OreansJunk.cfg


Мувик: http://www.sendspace.com/file/1lscnw

{ Атач доступен только для участников форума } - Oreans UnVirtualizer 1.1.rar

| Сообщение посчитали полезным: zeppe1in, Nightshade, _ruzmaz_, vnekrilov


Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 28 марта 2011 01:48 · Поправил: VodoleY New!
Цитата · Личное сообщение · #15

Ну что я могу сказать, примитивы разобрал четко. На этапе девирта таки не справился
ЗюЫю Свипер вамита походу тоже. Видимо это общая болячка при работе с длл.


Ранг: 127.3 (ветеран)
Статус: Участник

Создано: 28 марта 2011 15:08 New!
Цитата · Личное сообщение · #16

У меня всё как на видео. красота.


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 28 марта 2011 16:48 New!
Цитата · Личное сообщение · #17

Code:
  1. [v1.2]
  2. - Fixed Decode MovV1
  3. - Added REP - REPNE - CMPS - MOVS - LODS - STOS - SCAS Instructions
  4. - Added CISC-2 Micro-opcodes UnVirtualizer
  5. - Fixed Decode MovV2
  6. - OreansJunk.cfg updated
  7. - OreansAssembler.cfg updated
  8. - Added Virtual Opcode Mutation Tech
  9. - Fixed Jcc Jumps leading outside Virtual Machine
  10. - Fixed Crash on reading Register Handlers
  11. - Cisc_Vo_Dump.txt is no longer created


{ Атач доступен только для участников форума } - Oreans UnVirtualizer 1.2.rar

| Сообщение посчитали полезным: VodoleY, oloo_


Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 28 марта 2011 17:02 New!
Цитата · Личное сообщение · #18

Автору респект, по крайней мере часть глюков уже ушла.


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 28 марта 2011 17:41 · Поправил: Nightshade New!
Цитата · Личное сообщение · #19

У меня стабильно олька валится причем чистая. Даже на тех файлах, которые в архиве
Вроде понял. Надо как в свиппере быть как можно ближе к вызову кода, который под вм.
Если на оеп вызвать анвирт, то много шансов упасть

Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 28 марта 2011 17:51 · Поправил: VodoleY New!
Цитата · Личное сообщение · #20

Nightshade на скок я пытаюсь с ним работать надо стоять на точке входа в ВМ
З.Ы. Автору респектище. Есть пару косметических замечаний.. но он же вроде не русский?


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 28 марта 2011 18:37 New!
Цитата · Личное сообщение · #21

VodoleY пишет:
но он же вроде не русский?

Не, не русский.


Ранг: 755.8 (! !)
Статус: Участник
Student

Создано: 29 марта 2011 00:13 · Поправил: Модератор New!
Цитата · Личное сообщение · #22

oloo_ специально для китайцев, кнопочку сделали
От модератора: Он не китаец... И не надо тут расовых прений...

| Сообщение посчитали полезным: VodoleY


Ранг: 1.9 (гость)
Статус: Участник

Создано: 29 марта 2011 02:27 · Поправил: Модератор New!
Цитата · Личное сообщение · #23

Я понимаю русский, у меня нет русской клавиатуры
и если это не проблема для вас, я буду писать английском языке
От модератора: пользуйся кнопкой Правка и кнопкой Полезное сообщение

Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 29 марта 2011 18:47 · Поправил: VodoleY New!
Цитата · Личное сообщение · #24

zeppe1in я вроде догнал про 10027B56 JNZ 0x21c
вобщем как аналог в асме 10027B56+21c=10027D72 и прибавь еще 5 так как при реконструкции кода он делает абсолютный джамп, т.е ищи лейбу с номером 10027D77
И кстати сегодня поднял кусок нераспознанного кода
02D90FA1 PUSH ECX
02D90FC4 00D5
02D90FD6 0018
очченнььь помогает синтакс файл
02D90FC4 NOT DWORD
02D90FD6 STORE DWORD PTR [ADDR]
еще сильно харят конструкции
MOV DWORD PTR [EBP+0ffffffech],ECX вместо MOV DWORD PTR [ebp-14],ECX
и привязка к базе 400000 А У МЕНЯ ДЛЛ дивиртуализатор все прибил, адреса угадываеш по окончаниям


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 31 марта 2011 08:16 New!
Цитата · Личное сообщение · #25

Code:
  1. [v1.3]
  2. - Fixed Identifying Some handler variants
  3. - Added NEG - NOT - BSWAP instructions
  4. - Updated OreansAssembler
  5. - Added Options Panel
  6. - Added Hotkeys
  7. - Added UnVirtualize With/Without Jumps
  8. - Fixed DeOfuscation GenV4
  9. - Added optimization on reading virtual labels
  10. - Updated references panel


{ Атач доступен только для участников форума } - Oreans UnVirtualizer 1.3.rar

| Сообщение посчитали полезным: [0utC4St], VodoleY, inf1kek, oloo_, m0bscene, _ruzmaz_, 4kusNick, daFix, Ra1n0



Ранг: 95.2 (постоянный)
Статус: Участник

Создано: 31 марта 2011 12:14 New!
Цитата · Личное сообщение · #26

вообще отлично, на моём таргете нормально отработал, эра полного отфака ВМов началась

Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 31 марта 2011 19:37 New!
Цитата · Личное сообщение · #27

inf1kek ты не сильно прав, это помощник а не панацея. а если пару инструкций не разабрало? а они из 10-20 примитивов... вот возвращаемся к своим тулзам и кружку умелые руки. НО весч зачетная, без вопросов но про эру ты загнул, я согласен что началась эра их спользования, и соответственно попыток их нагибания


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 31 марта 2011 19:56 · Поправил: Nightshade New!
Цитата · Личное сообщение · #28

У меня почему-то на длл при восстановлении call есть такой баг. Например длл загружена по адресу 66900000, а в восстановленном коде есть много call 10001234 . Ну примерно так... Т. Е. Не учитывается база длл.

Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 31 марта 2011 22:31 · Поправил: VodoleY New!
Цитата · Личное сообщение · #29

Nightshade читай мои посты
угадывай по окончанию , базу он херит нафиг
З.Ы. есть полу ручной механизм если че стучи


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 1 апреля 2011 12:10 New!
Цитата · Личное сообщение · #30

Может кто на екзетулсах написать автору, чтобы он поправил косяк с базой восстановленного кода?
. 1 . 2 . 3 . 4 . >>
 eXeL@B —› Протекторы —› Oreans UnVirtualizer ODBG Plug-in

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS