eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: UniSoft, Medsft, SaNX, shura_k (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Oreans UnVirtualizer ODBG Plug-in
<< . 1 . 2 . 3 . 4 . >>
Посл.ответ Сообщение


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 25 марта 2011 21:02 · Поправил: BoRoV New!
Цитата · Личное сообщение · #1

UnVirtualizes CISC Themida/WL/CodeVirtualize Machines

Автор: Deathway

Code:
  1. This tool will help conversion VirtualOpcodes -> Assembly Instruction
  2. restoring the original code of your virtualized Application, the basic engine
  3. was from CodeUnvirtualizer, my other tool
  4.  
  5. [Features]
  6. - Supports WinLicense/Themida/CodeVirtualizer Cisc Machines
  7. - Supports almost all common opcodes
  8. - Supports CHECK_MACRO_PROTECTION
  9. - Supppots MultiBranch Tech
  10.  
  11. [Use]
  12. - Right-click on the jump leading to the Virtual Machine Area and press Unvirtualize (If machine isn't found
  13. you have to click again, after checking that the full machine was correctly deofuscated)
  14.  
  15.  
  16. [Oreans UnVirtualizer]
  17. [v1.0]
  18. - First public Version


{ Атач доступен только для участников форума } - OreansUnVirtualizerv1.0.rar

| Сообщение посчитали полезным: Maximus, Rio, HandMill


Ранг: 516.1 (!)
Статус: Участник

Создано: 1 апреля 2011 13:26 New!
Цитата · Личное сообщение · #2

Nightshade, ты опиши конкретику, кто-нибудь да и запостит


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 1 апреля 2011 15:03 New!
Цитата · Личное сообщение · #3

Ну вот кусок восстановленного кода
66A8A0CF MOV DWORD PTR [EBP+0xfffffff0],EAX
66A8A10E CMP DWORD PTR [EBP+0xfffffff0],0x0
66A8A14A JE 0x1fa9
66A8A156 MOV EAX,DWORD PTR [0x100bc184]
66A8A162 MOV ECX,DWORD PTR [EAX+0x6c]
66A8A182 CALL 0x10003660
на самом деле код должен быть таким
MOV EAX,DWORD PTR [0x100bc184] > 100bc184 - 10000000 +Dllbase
CALL 0x10003660 > 10003660 -10000000 + Dllbase
Т е моя база например 66A70000, а код восстанавливает на базу 10000000


Ранг: 531.0 (!)
Статус: Участник
оптимист

Создано: 1 апреля 2011 15:14 New!
Цитата · Личное сообщение · #4

Nightshade
Может плаг читает базу из PE заголовка,попытайся изменить значения на реальную базу(подправив PE хидер).


Ранг: 116.6 (ветеран)
Статус: Участник

Создано: 1 апреля 2011 16:18 New!
Цитата · Личное сообщение · #5

Nightshade пишет:
Может кто на екзетулсах написать автору, чтобы он поправил косяк с базой восстановленного кода?

Попробуй заюзать плаг на Vista или 7-ке. Венда, начиная с Vista, пишет в PE заголовок реальную базу DLL-ки и скорее всего баги не будет.


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 1 апреля 2011 16:49 New!
Цитата · Личное сообщение · #6

Nightshade пишет:
Может кто на екзетулсах написать автору, чтобы он поправил косяк

Багрепорты все восновном сыпятся на тутс
http://forum.tuts4you.com/index.php?showtopic=25548&st=0


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 1 апреля 2011 17:40 New!
Цитата · Личное сообщение · #7

dermatolog пишет:
Попробуй заюзать плаг на Vista или 7-ке.

Я и так на вин7

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 1 апреля 2011 17:54 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #8

BoRoV
Желательно бы в шапке указывать и заливать последнюю версию плагина. Так намного удобнее будет смотреть, появилась ли новая версия, или нет.

| Сообщение посчитали полезным: [0utC4St], VodoleY, zeppe1in, _ruzmaz_


Ранг: 1.9 (гость)
Статус: Участник

Создано: 6 апреля 2011 20:08 New!
Цитата · Личное сообщение · #9

BoRoV will You provide source code for this plugin?


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 6 апреля 2011 20:14 New!
Цитата · Личное сообщение · #10

oloo_ пишет:
BoRoV will You provide source code for this plugin?

Это не я автор.

Ранг: 1.9 (гость)
Статус: Участник

Создано: 10 апреля 2011 16:12 New!
Цитата · Личное сообщение · #11

in my case i have lots of unresolved instructions

0249DEC7 MOV DWORD PTR [EBP+0xffffc2a8],0x499602d2
0249DF27 MOV DWORD PTR [EBP+0xffffc2ac],0x499602d2
0249DFA5 MOV DWORD PTR [EBP+0xffffc2b0],0x499602d2
0249DFFB MOV DWORD PTR [EBP+0xffffc2b4],0x499602d2
0249E072 LEA EDX,DWORD PTR [EBP+0xffffc2a8]
0249E108 PUSH EDX
0249E121 PUSH 0x454f60

0249E133 0001 //unresolved ??????
0249E149 015A(0249D7A6) //unresolved ??????
0249E14E NOP
0249E14F 0009 //unresolved ??????

0249E150 RETN


Статус: Пришелец

Создано: 10 апреля 2011 16:16 New!
Цитата #12

oloo_
Contact author on tuts4you/EXETools.

Ранг: 35.3 (посетитель)
Статус: Участник

Создано: 11 апреля 2011 14:22 New!
Цитата · Личное сообщение · #13

oloo_
first try to set in option much bigger size "max virtual opcodes to read"!

Ранг: 1.9 (гость)
Статус: Участник

Создано: 11 апреля 2011 21:28 New!
Цитата · Личное сообщение · #14

i dont think so it will help...but will try

Ранг: 189.9 (ветеран)
Статус: Участник

Создано: 12 апреля 2011 13:49 New!
Цитата · Личное сообщение · #15

возможно у тебя с импортом косяк.

Ранг: 1.9 (гость)
Статус: Участник

Создано: 12 апреля 2011 14:09 New!
Цитата · Личное сообщение · #16

реконструкция таблице импортов 100% правильно,
mне нужно только сделать реконструкцию "virtual opcodes"

Ранг: 5.5 (гость)
Статус: Участник

Создано: 12 апреля 2011 14:15 New!
Цитата · Личное сообщение · #17

oloo_ пишет:
0249E121 PUSH 0x454f60
0249E133 0001 //unresolved ??????
0249E149 015A(0249D7A6) //unresolved ??????


call dword[00454f60]

Real avtor Deathway,plies bug reports --> Link <--

Ранг: 1.9 (гость)
Статус: Участник

Создано: 12 апреля 2011 16:03 New!
Цитата · Личное сообщение · #18

already done:
http://forum.tuts4you.com/index.php?showtopic=25548&st=60&gopid=121469&


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 1 декабря 2011 09:39 · Поправил: Maximus New!
Цитата · Личное сообщение · #19

BoRoV умер, а между делом утилита мега полезная. Она восстанавливает VM темиды (CISC инструкции, которые встречаются в большинстве программ) в первоначальный вид. Поэтому приложу версию 1.3

{ Атач доступен только для участников форума } - Oreans UnVirtualizer 1.3.rar


Ранг: 533.6 (!)
Статус: Uploader
retired

Создано: 1 декабря 2011 09:50 New!
Цитата · Личное сообщение · #20

Maximus, а это не она https://ssl.exelab.ru/f/index.php?action=vthread&forum=13&topic=17944&page=0#25 ?


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 1 декабря 2011 09:52 New!
Цитата · Личное сообщение · #21

BoRoV точно она, извини, обнови тогда шапку.


Ранг: 1983.5 (!!!!)
Статус: Модератор
retired

Создано: 1 декабря 2011 09:58 New!
Цитата · Личное сообщение · #22

BoRoV не умер, не надо тут, я его только вчера в ирке видел
А что касается софта, сыроват ещё, где-то в половине случаев где-нибудь случается косяк, и в итоге не собирает код, а то и собирает неправильно, что ещё хуже. Хотя допилить до рабочего состояния не так уж и сложно, думаю, но автор явно не торопится.


Ранг: 525.7 (!)
Статус: Участник
5KRT

Создано: 1 декабря 2011 14:22 New!
Цитата · Личное сообщение · #23

Вот пример его ошибки при снятии виртуалки

Code:
  1. MOV ESI,DWORD PTR DS:[EAX]
  2. CALL DWORD PTR DS:[EAX+8]  <--- Вот тут должен быть регистр ESI


А вообще не хватает анализа валидных ссылок на VM и автоматического определения границ секции кода и виртуальной машины

Ранг: 189.9 (ветеран)
Статус: Участник

Создано: 5 марта 2012 23:37 New!
Цитата · Личное сообщение · #24

[v1.4]
- Fixed Cisc - CALL [REG32+IMMC]
- Fixed Cisc - SHL REG32, IMMC
- Fixed an issue with odbg when using context menu
- Added TAB key on windows
- Added autofill on FindReferences window
- Risc-64 machine function Posted Image
- Added OreansAssember_Risc.cfg

Well, it was a long journey to deal with Risc, but i'ts almost finished, hope you like it Posted Image

Some info about RISC machines
- It's still on debug mode, so it may take long time for deofuscate it
- 128 variant is not avaible, it could fail on that machine
- The example provided was modified in order to show how to deal when deofuscation fails
- In case of failure, two errors may popup (1) About Follow jump, this has a trail-error solution:
press reload and then the other option, (2) about could not find XXXX handler,
in this case the left list control show the current vm entry, and the right one the 'ideal handler',
on 80% of cases, the red instruction is the problem, the yellow part shows the handler that could
not be identified, press delete after selecting the 'wrong instruction' on the left panel (could be more than one)
- The example was compiled with full protection 64variant
- Can't read some opcodes like movzx, xchg, movsx, muls, div, etc


--> Link <--

| Сообщение посчитали полезным: daFix, SReg, Qbik, vnekrilov, Nightshade, BAHEK, obfuskator



Ранг: 240.4 (наставник)
Статус: Участник

Создано: 6 марта 2012 17:50 New!
Цитата · Личное сообщение · #25

В этой версии есть фикс адресов в дизасме?

Ранг: 189.9 (ветеран)
Статус: Участник

Создано: 10 марта 2012 09:11 New!
Цитата · Личное сообщение · #26

[v1.5]
- Fixed Unvirtualize with Jump on CISC machines
- Fixed some errors when handling signed constants on RISC
- Fixed an issue when processing MOVS instrution on CISC machine
- Fixed some inversion data when processing COMM, REGX, REGX (like XOR EDI,ESI was decoded as XOR ESI,EDI)
- Fixed a problem when handling AH CH DH BH registers on COMM2 instructions
- Added MOVSX - MOVZX - XCHG - IMUL - MUL - DIV - IDIV - PUSHFD - POPFD instructions on RISC
- Added CALL [ESP+IMMC] on Cisc Machine
- Added support of dump files on RISC machines
- OreansAssember_Risc.cfg updated
- DLL Support on CISC and RISC machines

There is a fix regarding Risc machines, if you unvirtualized the opcodes, there is a high chance that you obtain the inversed form of this opcodes COMM REGX,REGX (like XOR EDI,ESI was decoded as XOR ESI,EDI). This errrors is fixed on the latest version

DLL support is now avaible, however Risc machines must be initialized first (not a problem, since risc machines are always encrypted).

On both machines, it's recommended the devirtualization once the eip reach the oep.



{ Атач доступен только для участников форума } - Oreans UnVirtualizer 1.5.rar

| Сообщение посчитали полезным: VodoleY, SReg, MasterSoft, daFix, Maximus, m0bscene, obfuskator, Ra1n0, hlmadip


Ранг: 189.9 (ветеран)
Статус: Участник

Создано: 12 марта 2012 17:27 New!
Цитата · Личное сообщение · #27

Oreans RISC machine documentation


{ Атач доступен только для участников форума } - Oreans RISC machine documentation by Deathway.rar

| Сообщение посчитали полезным: Gideon Vi, yanus0, tihiy_grom, DimitarSerg, _ruzmaz_, obfuskator


Ранг: 7.7 (гость)
Статус: Участник

Создано: 14 марта 2012 12:52 New!
Цитата · Личное сообщение · #28

ну вот и пришел конец фиме


Ранг: 328.1 (мудрец)
Статус: Участник
born to be evil

Создано: 14 марта 2012 13:01 New!
Цитата · Личное сообщение · #29

эх, Вамиту бы такой запал

Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 14 марта 2012 14:29 New!
Цитата · Личное сообщение · #30

я бы не был бы так рад касательно фимы.. там приватные версии с 2к примитивами.. а Вамит круче проджект сделал, типа более адаптабельный под изменения, а Deathway чистит сигнатурно, наскок я знаю


Ранг: 127.3 (ветеран)
Статус: Участник

Создано: 14 марта 2012 22:15 New!
Цитата · Личное сообщение · #31

VodoleY
оба крутые. но без сырков представляют малую ценность имхо.
<< . 1 . 2 . 3 . 4 . >>
 eXeL@B —› Протекторы —› Oreans UnVirtualizer ODBG Plug-in

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS