eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: radmije, mkdev (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Виртуальная машина Themida
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 69.4 (постоянный)
Статус: Участник

Создано: 3 марта 2017 20:16 · Поправил: Boostyq New!
Цитата · Личное сообщение · #1

Всем привет
Изучаю один таргет, он упакован Темидой, версия от 2014 года (возможно позже)
Ранее я изучала предыдущую версию программы, и все было немного проще
Обфускации особой нет, проверки не интересуют, сломанный импорт и базовый мусор убрала через плагин LCF-AT.
Осталась одна проблема: это виртуальная машина, после распаковки я увидела вход виртуалки, только теперь все по-другому: ранее было push aabbccdd, jmp vm_entry, теперь же push aabbccdd, push eeffgghh, jmp vm_entry.
По сигнатуре нашла все вызовы, их оказалось 351, и, как я поняла, большая часть файла занимает секция вм. При этом - ни одна из функций не вызывается, я уже видела такое, и в том случае я намерено делала прыжки, чтобы пройтись плагином Oreans UnVirtualizer, теперь он не работает, так как рассчитан на более старые версии.
Цикл вм выглядит так:

Вопросы:
1) Могу ли я изучить статически виртуальную машину? У меня нет возможности запускать код, так как он нигде не используется, я также нашла инструмент VMattack. Так же меня интересует алгоритм в целом, я не могу зацепиться за что-либо, знаю принцип вм, но не представляю, что мне предстоит делать?
2) Есть ли какая-либо документация по вм темиды? Я знаю, что существует множество Fish/Risc/Cisc..? Не могли вы бы дать ссылки, если у вас есть.
3) Существуют ли какие-либо группы/проекты по изучению? Я имею опыт в реверсинге в целом, но не в виртуальных машинах, так что могла бы помочь тоже..
4) Почему после 2014 года пропали авторы плагинов LCF-AT, Deathway, а так же статьи? Неужели темида больше не актуальна?
5) Имеются ли у кого-то исходники плагинов девиртуализации?

Спасибо

Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 5 марта 2017 12:17 · Поправил: VodoleY New!
Цитата · Личное сообщение · #2

Boostyq а вы ща примитивы разбираете? или по кусочкам логику ВМ востановить пытаетесь?
возможно вам материал от ВАМита прийдется в пору.. там как раз он хорошо терминологию и логику расписал.. в свипере, соседняя темя про вмпротект

| Сообщение посчитали полезным: Boostyq



Ранг: 311.4 (мудрец)
Статус: Участник

Создано: 5 марта 2017 16:08 New!
Цитата · Личное сообщение · #3

dosprog пишет:
а ты в курсе, каково среднестатистическое соотношение массы мосха у разнополых особей?

Вот давно доказано, что масса мозга не при чём ) Умный ты, или немножно больной - совсем не из-за массы мозга. Всё зависит от количества извилин, их глубины и связей между ними, если физически. Психически, ментально - применительно к реверсу в чём-то прав difexacaw - в концентрации внимания дело. Но вы же знаете, что о женщинах сложно судить - где правило, там масса исключений. )

Ранг: 69.4 (постоянный)
Статус: Участник

Создано: 6 марта 2017 00:04 · Поправил: Boostyq New!
Цитата · Личное сообщение · #4

ого, вот это настрочили, сразу видно все по делу

difexacaw пишет:
Маловероятно что тс - девушка. Часто такой трюк используется, представиться бабой, что бы было какое то преимущество, так как отношение к ним снисходительное", так как это не обычно и основано на понятии что женщине это всё трудно. А тут я смотрю что то много баб появилось. Да невозможно такое физически, женский мозг способен аналитику выполнять не хуже мужского, но внимание женское не полноценное, нет должной концентрации на задачи, именно посему у них и не получается обычно.

difexacaw пишет:
Это не паранойя, у меня на разбор этих вещей уходит больше времени, чем на решение тех задач. Это когнитивная пихология, там всё очень очень трудно понять или осознать, так это немного иной слой реальности(попытки понять сам когнитивный механизм, можно весьма успешно двинуться на этом). Впрочем так всегда было, не понятно чему вы удивлены.

Мне всегда было интересно покопаться в разуме, особенно в своём. Даже как то был немного перебор, пришлось обратиться к доброму доктору
Доктор может быть и годный, а вот препараты нет.)

Ты прав в том, что маловероятно, а в остальном нет
ятянпруфовнебудет. шутка.
Да, я спросила совета, но я не разу не кричала, что кто-то обязан мне иным отношением. Кроме того, я ни разу не писала, что я девушка, чтобы получить какой-то ответ. Ну а изменять окончания, чтобы обезопаситься от тебя, чтобы не выделяться - вообще глупость
Ну а про физические возможности вообще бред, британский ученый блин, экстерминировать тебя мало

VodoleY пишет:
Boostyq а вы ща примитивы разбираете? или по кусочкам логику ВМ востановить пытаетесь?
возможно вам материал от ВАМита прийдется в пору.. там как раз он хорошо терминологию и логику расписал.. в свипере, соседняя темя про вмпротект

Спасибо, пытаюсь восстановить что делают блоки, прежде чем писать плагин попробую руками сделать
Так же сейчас восстанавливаю Oreans Unvirtualizer - за неимением исходников, возможно удастся понять что он хочет
Вообще все очень печально, после экспансии виртуалок темиды ее девиртуализация стала очень сложным процессом. Похоже, мы проигрываем: для сокращения этих трехэтажных конструкций нужен суперкомпьютер-оптимизатор, лол

Ранг: 3.1 (гость)
Статус: Участник

Создано: 6 марта 2017 00:47 · Поправил: Darkwing Duck New!
Цитата · Личное сообщение · #5

Boostyq
лично для меня гендерный вопрос - это всего лишь лёгкая ирония, подкреплённая недюжинным восхищением за ваше упорство в очень нелёгком деле - обратной инженерии.
Что же вы меня совсем то уж игнорируете, я на прошлой странице спрашивал вас о практическом происхождении ваших навыков, может раскроете некоторые секреты?


Ранг: 321.3 (мудрец)
Статус: Участник

Создано: 6 марта 2017 01:08 · Поправил: difexacaw New!
Цитата · Личное сообщение · #6

Boostyq

Я ничего плохого вам не сказал, просто некоторые общие мысли, не относящиеся к задаче. Мне кажется странным, когда девчёнка говорит про ресерч(я не верю что вы девушка) етц

| Сообщение посчитали полезным: unknownproject



Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 6 марта 2017 01:28 New!
Цитата · Личное сообщение · #7

difexacaw, то ты много пропустил из бытия форума, уделяя внимание больше васму.
Партнёр автора Камаза (унпакер для аспра), напротив, долгое время скрывала от всех, к какому полу она принадлежит. У каждого свои ролевые игры(или тараканы в башке), смысл тратить время на дедукцию...


Ранг: 325.8 (мудрец)
Статус: Участник

Создано: 6 марта 2017 10:39 New!
Цитата · Личное сообщение · #8

Boostyq пишет:
после экспансии виртуалок темиды ее девиртуализация стала очень сложным процессом. Похоже, мы проигрываем: для сокращения этих трехэтажных конструкций нужен суперкомпьютер-оптимизатор

Это не так, Темида - это средненькая вм и 100% восстановление кода после неё возможно, и мы не проигрываем, возьмите Вмпротект, после которого при некоторых опциях виртуализации можно только желать о полном восстановлении кода. И суперкомп тут не нужен, но рутины слишком много для ручного разбора.

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 6 марта 2017 11:12 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #9

К сожалению Deathway давно ушел от дальнейшей работы по плагину Oreans Unvirtualizer. Разработчики новых версий Themida учли работу этого плагина, и резко усложнили протектор. Так, например, если в старых версиях темиды было что-то около 100 хэндлеров, то в последних версиях темиды их стало уже около 1000. Причем, очевидно, что 900 хэндлеров - это пустышка, которые призваны не дать работать плагину (в плагине выделена память для записи 100 хэндлеров, а 1000 хэндлеров там просто не помещаются). Кроме того разработчики протектора немного изменили алгоритм определения ключа типа протектора, и по этой причине плагин просто останавливается, показывая сообщение о том, что ключ не найден. Однако нужно отметить, что в последней версии плагина Deathway значительно улучшил механизм деобфускации кода хэндлеров, который очень прекрасно работает. Я было начал работу по доработке последней версии плагина Oreans Unvirtualizer (увеличил объем памяти для записи порядка 1000 хэндлеров, исправил алгоритм поиска ключа типа VM), но из-за катастрофической нехватки времени просто не могу завершить эту работу. Boostyq начала работу в этом направлении. Может быть она и сможет продолжить работу над этим плагином. Я готов поделиться тем, что я успел сделать.

| Сообщение посчитали полезным: ajax, Bronco, v00doo



Ранг: 588.4 (!)
Статус: Модератор
Research & Development

Создано: 6 марта 2017 11:30 New!
Цитата · Личное сообщение · #10

vnekrilov пишет:
> Я было начала работу

Вот и не знаю, что и думать теперь…

vnekrilov пишет:
> увеличил объем памяти для записи порядка 1000 хэндлеров, исправил алгоритм поиска ключа типа VM

Ты его по-живому патчишь или из исходников собираешь?


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 6 марта 2017 11:57 New!
Цитата · Личное сообщение · #11

ну там реально деобфускатор грамотный, печалька что только под х86
под текущую фимку врядли, они первые безцикловую вм реализовали.

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 6 марта 2017 12:03 New!
Цитата · Личное сообщение · #12

Jupiter

Исходников Oreans Unvirtualizer у меня нет. Патчил по живому... И спасибо за указанную ошибку, исправил...

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 6 марта 2017 12:07 New!
Цитата · Личное сообщение · #13

Bronco пишет:
Камаза (унпакер для аспра)

Угу.Камаз кодился на делфях,но почему-то в 70% случаев косячил при восстановлении дельфовых бинарей, а тот же скрипт волкса (для сверки после ручного анпака.Нихера себе, кто-то еще так делает.Шокед.) справлялся на ура.Плюс камаз даже не может нормально имена всем секциям вернуть, частенько делал бинарь нерабочим, чудесно всовывая пофикшенный импорт в старое место и не патча там, где надо былоОчень приватный инструмент, который так и остался кривым.WindowsXP навсегда

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 6 марта 2017 12:13 New!
Цитата · Личное сообщение · #14

unknownproject пишет:
Очень приватный инструмент, который так и остался кривым


Я разработал серию скриптов для распаковки Аспротекта, но очень часто использую и Камаз, потому что он неплохо деобфусцирует мусорный код, который нуждается в небольшой ручной правке, чтобы его можно было поместить на его родное место. Поэтому просто хаять этот прекрасный инструмент - НЕКОРРЕКТНО. Просто нужно уметь им правильно пользоваться...


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 6 марта 2017 12:15 · Поправил: Bronco New!
Цитата · Личное сообщение · #15

unknownproject, это другая тема, акцент был на партнёре.
А Камаз даже своё время пережил, Волкс конечно далеко зашёл, СодеДоктор по его наработкам мутили, но SanX и PeKill зашли ещё дальше, и на выходе мы получили полною декомпиляцию первой ВМ, Вторую вот Валентин Иванавич Некрылов добил. А то что там с импортом косяки, так не было тогда Студии старше 7.

Ранг: 53.9 (постоянный)
Статус: Участник

Создано: 6 марта 2017 12:50 New!
Цитата · Личное сообщение · #16

vnekrilov пишет:
К сожалению Deathway давно ушел от дальнейшей работы по плагину Oreans Unvirtualizer. Разработчики новых версий Themida учли работу этого плагина, и резко усложнили протектор. Так, например, если в старых версиях темиды было что-то около 100 хэндлеров, то в последних версиях темиды их стало уже около 1000. Причем, очевидно, что 900 хэндлеров - это пустышка, которые призваны не дать работать плагину (в плагине выделена память для записи 100 хэндлеров, а 1000 хэндлеров там просто не помещаются). Кроме того разработчики протектора немного изменили алгоритм определения ключа типа протектора, и по этой причине плагин просто останавливается, показывая сообщение о том, что ключ не найден. Однако нужно отметить, что в последней версии плагина Deathway значительно улучшил механизм деобфускации кода хэндлеров, который очень прекрасно работает. Я было начал работу по доработке последней версии плагина Oreans Unvirtualizer (увеличил объем памяти для записи порядка 1000 хэндлеров, исправил алгоритм поиска ключа типа VM), но из-за катастрофической нехватки времени просто не могу завершить эту работу. Boostyq начала работу в этом направлении. Может быть она и сможет продолжить работу над этим плагином. Я готов поделиться тем, что я успел сделать.

Сейчас нет смысла в продолжении работы над Oreans Unvirtualizer. Разработчики многое поменяли в ВМ c 2012 года. Посмотрите последние версии (конец 2016 года)


Ранг: 325.8 (мудрец)
Статус: Участник

Создано: 6 марта 2017 14:33 New!
Цитата · Личное сообщение · #17

deniskore пишет:
Разработчики многое поменяли в ВМ c 2012 года.

Вот к чему приводит наличие в паблике декомпиляторов вм.

| Сообщение посчитали полезным: hors



Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 6 марта 2017 18:05 · Поправил: Bronco New!
Цитата · Личное сообщение · #18

Vamit пишет:
Вот к чему приводит наличие в паблике декомпиляторов вм.

наличие вм, для реверсов с большим опытом не препятствие, хотя и усложняет жизнь, но софт отламывается и без декомпиляции вм, а реализация вм по любому меняется и развивается именно по факту взлома.
Отсутствие инструмента на паблике лишь ограничивает кол-во участников в игре со взломом.
Вот то что скарженный прот гуляет по сети, вот это я не одобрямс.

| Сообщение посчитали полезным: vnekrilov


Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 6 марта 2017 18:53 New!
Цитата · Личное сообщение · #19

deniskore пишет:
Сейчас нет смысла в продолжении работы над Oreans Unvirtualizer


Недавно мне пришлось снимать темиду последней версии с одной программы. И нужно было восстановить оригинальный ассемблерный код виртуализированных подпрограмм. И здесь прав Bronco, который отметил, что наличие VM не является препятствием для реверсеров с большим опытом. Конечно, пришлось повозиться с восстановлением кода, но он был успешно восстановлен, и распакованная программа нормально заработала. Хотя здесь можно было бы применить инлайн-патчинг этой программы, но требование заказчика для меня было законом. А недавно столкнулся с одной программой, в которой разработчик завиртуализировал 780 (!) подпрограмм. Вручную их восстанавливать конечно нереально. Но здесь прекрасно сработал инлайн-патчинг, который значительно упростил процесс реверсинга программы. А разработчики протекторов всегда будут улучшать свой продукт, с учетом опыта взлома программ, защищенных их протектором. Так что это вечная борьбы между разработчиками программ и реверсерами...

| Сообщение посчитали полезным: Jupiter, DenCoder, VodoleY, sendersu


Ранг: 0.5 (гость)
Статус: Участник

Создано: 6 ноября 2018 04:30 New!
Цитата · Личное сообщение · #20

vnekrilov
vnekrilov пишет:
Я готов поделиться тем, что я успел сделать.


Привет,

Можете ли вы поделиться своими улучшениями с плагином Oreans Unvirtualizer?
У меня есть сообщение об ошибке:
[AntiFish] Can't find the correct keys

Спасибо.
<< . 1 . 2 .
 eXeL@B —› Протекторы —› Виртуальная машина Themida

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS