eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 сентября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: rmn (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› VmProtect
Посл.ответ Сообщение

Ранг: 80.8 (постоянный)
Статус: Участник

Создано: 20 сентября 2013 22:58 · Поправил: Mishar_Hacker New!
Цитата · Личное сообщение · #1

VmProtect Вот решил попробовать но что то не так
Пользуюсь скриптом VMProtect API Turbo Tracer

Сам файл
Дамп мой

Но выходит такая ошибка
--> Link <--

Прошел по адресу и увидел вот что
Вот что показывает в дампленом файле
--> Link <--

А вот что в оригинале
--> Link <--

Подозрение падает то что не потому адресу составляет сам MZP

Запакованный
DS:[016C3D38]=00400000 (newwww_v.00400000), ASCII "MZP"
EAX=00400000 (newwww_v.00400000), ASCII "MZP"

Дамп

DS:[FDBBB097]=???
EAX=00400000 (newwww_v.00400000), ASCII "MZP"

Что я не так сделал или же Подскажите что и как
Как все таки распаковать его без проблем
Мне важен не файл а сам процесс
С Уважение Hack_Mishar

Ранг: 118.3 (ветеран)
Статус: Участник

Создано: 21 сентября 2013 00:48 · Поправил: Jaa New!
Цитата · Личное сообщение · #2

попробуй этот скрипт от LCF-AT и думаю все вопросы решатся само собой
--> VMProtect Ultra Unpacker 1.0 <--

только что проверил отлично все распаковывается и запускается
OEP - 007032d0

Ранг: 80.8 (постоянный)
Статус: Участник

Создано: 21 сентября 2013 01:04 New!
Цитата · Личное сообщение · #3

Jaa пишет:
попробуй этот скрипт от LCF-AT и думаю все вопросы решатся само собой
--> VMProtect Ultra Unpacker 1.0 <--

Извините конечно
Но я уже побывал таже самая ситуация

Ранг: 118.3 (ветеран)
Статус: Участник

Создано: 21 сентября 2013 02:42 New!
Цитата · Личное сообщение · #4

Mishar_Hacker
видео туториал по скрипту смотрел внимательно?
лично я распаковал без проблем, там где распаковывал все запускается но сразу закрывается точно также как и в оригинальном файле (cpuid/rdtsc не патчил)
ресурсы можно пофиксить VMProtect Resource Fixer
пиши в личку помогу конкретнее

Ранг: 193.7 (ветеран)
Статус: Участник

Создано: 7 октября 2013 05:53 · Поправил: Djeck New!
Цитата · Личное сообщение · #5

Всем привет. Нужна помощь по вмпроту.
Есть некая программа. VMProt с неё снят, всё что нужно пропатчено и прекрасно работает. Только есть одна проблема... работает только на хп, на семерке у меня не идет. Тестил на:
1) WinXP на виртуалке;
2) XP у друга;
3) XP на ноутбуке.
Везде прекрасно работает. Но на вин7 ни у меня ни у друга не работает. Падает в самой вм, но не пойму почему.Сам опыта с этим протом имею не много, вернее с самой вм опыта нету, при трейсе потерялся в вм.
В-принципе мне только надо запустить дамп на своей семерке, всё остальное уже сделано.Прикладываю прогу (устанавливать не надо) и свой дамп.
Тому кто поможет большой человеческий респект, ибо уже третий день не могу отойти от компа,а есть то хочется...

--> Потёрто за ненадобностью <--

| Сообщение посчитали полезным: Abraham



Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 7 октября 2013 09:08 New!
Цитата · Личное сообщение · #6

видимо на 7-ке импорт другой если aslr не мешает.
и сколько стоит eng-portable?
русская вроде 500р

Ранг: 193.7 (ветеран)
Статус: Участник

Создано: 7 октября 2013 16:17 New!
Цитата · Личное сообщение · #7

r99 пишет:
и сколько стоит eng-portable?
русская вроде 500р

40$ за одну лицнзию и 100 за семейную.

r99 пишет:
видимо на 7-ке импорт другой если aslr не мешает.

Снимал и на семерке. Тоже самое, не работает, начинает запускаться и падает. Этот дамп не работает даже на хп.

Ранг: 193.7 (ветеран)
Статус: Участник

Создано: 10 октября 2013 02:58 New!
Цитата · Личное сообщение · #8

Благодарю всех за "помощь"
Всё сделал сам, инлайн патч оказался легче, чем распаковка.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 10 октября 2013 07:50 New!
Цитата · Личное сообщение · #9

описал бы, как делал инлайн.

| Сообщение посчитали полезным: Jaa, 4kusNick, vnekrilov, -Sanchez-


Ранг: 80.8 (постоянный)
Статус: Участник

Создано: 10 октября 2013 08:14 New!
Цитата · Личное сообщение · #10

Djeck
Мне тоже интересно


Ранг: 527.1 (!)
Статус: Участник
5KRT

Создано: 10 октября 2013 21:21 New!
Цитата · Личное сообщение · #11

Hellspawn
Инлайнится одно место при проверке CRC памяти. Но знающие люди говорят что бывают нюансы, но я пока не видел такого

Ранг: 80.8 (постоянный)
Статус: Участник

Создано: 10 октября 2013 22:00 New!
Цитата · Личное сообщение · #12

daFix
А есть ли тутор или все таки на ощупь?


Ранг: 527.1 (!)
Статус: Участник
5KRT

Создано: 10 октября 2013 23:25 New!
Цитата · Личное сообщение · #13

На паблике не встречал, а в приват меня не пускают, так что на ощупь

Ранг: 193.7 (ветеран)
Статус: Участник

Создано: 11 октября 2013 00:54 · Поправил: Djeck New!
Цитата · Личное сообщение · #14

To All
Сделать тутор нет проблем, но я бы не хотел рассматривать программу которую выкладывал выше, ибо в ней есть интимные моменты, не хочется себе жизнь в дальнейшем портить
Как смотрите на то, чтобы сделать анпакми, максимально приближенное к комерческой программе и на нём рассмотреть инлайн прота?
Mishar_Hacker
На паблике видел тутор от LCF-AT, но он мне не понравился.
Во-первых всё сделано сумбурно, хрен поймешь где он что делает.
Во-вторых мне его метод не нравиться, он просто не красив. В туторе он предлагает ложить рядом с патченным оригинал и перенаправлять проверку на него. У меня не прокатило. Может я не понял, а может в новых версиях прота это уже пофиксено.
daFix пишет:
Инлайнится одно место при проверке CRC памяти. Но знающие люди говорят что бывают нюансы, но я пока не видел такого

Прот мапит файл в память, а там кусками считывает и проверят хеши.Наша задача пропатчить эту проверку. Хоть это и не тяжело, но задача не тривиальная, занимает много времени.По крайней времени если всё делать вручную.


Ранг: 262.5 (наставник)
Статус: Участник
RBC

Создано: 11 октября 2013 08:38 New!
Цитата · Личное сообщение · #15

Djeck, пешы тутор, я тоже юзал один раз редирект CRC, но не на вмпроте, потом второй раз попалась прога с жестким замапливанием и проверкой аж четырех хешей. Пока руки не доходят детально поисследовать, но с наскоку это дело не возмешь.


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 11 октября 2013 09:11 New!
Цитата · Личное сообщение · #16

Djeck пишет:
Прот мапит файл в память

забыли как execryptor инлайнился?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 11 октября 2013 11:19 New!
Цитата · Личное сообщение · #17

Djeck на паблике есть вмпрот 2.12.3, навесь на любой крекми не пакованный и сделай тутор


Ранг: 527.1 (!)
Статус: Участник
5KRT

Создано: 11 октября 2013 14:17 · Поправил: daFix New!
Цитата · Личное сообщение · #18

Djeck пишет:
Наша задача пропатчить эту проверку

Вмопрот вроде как не дурак и как-то рандомно условия проверки меняются. В деталях не помню, пусть более осведомлённые люди рассказывают, если захотят

Ранг: 193.7 (ветеран)
Статус: Участник

Создано: 11 октября 2013 18:39 New!
Цитата · Личное сообщение · #19

r99 пишет:
забыли как execryptor инлайнился?

Честно говоря я и не зналНикогда с execryptor-ом не имел дело

Hellspawn пишет:
Djeck на паблике есть вмпрот 2.12.3, навесь на любой крекми не пакованный и сделай тутор

Ок, договорились. Сейчас за пару дней решу свои домашние проблемы и сделаю тутор.
daFix пишет:
Вмопрот вроде как не дурак и как-то рандомно условия проверки меняются

Не знаю не заметил. Знаю только, что он рандомно куски кода проверяет,т.е. адреса не подряд идут, а в перемешку. Хотя это жизнь не сильно усложняет.

P.S. Кстати знающие люди не подскажут, что такое в этом проте CPUID & RDTSC? Как патчить и что это дает.

| Сообщение посчитали полезным: Mishar_Hacker



Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 12 октября 2013 11:51 New!
Цитата · Личное сообщение · #20

Djeck на паблике видел что-то вменяемое только на тутсях

http://forum.tuts4you.com/topic/30720-vmprotect-unpacking-problem/
http://forum.tuts4you.com/topic/31600-vmprotect-unpackme-crashing/

Ранг: 80.8 (постоянный)
Статус: Участник

Создано: 15 октября 2013 14:17 New!
Цитата · Личное сообщение · #21

Расскажу не можно Лирики
vmprotect - Лучше сделать Лодырь чем распаковывать
Значит если делать Лоадер есть проблема CRC
Но есть и решение их 2 какие я придумал
1.Патчить по времени напремер через 3 секунды но минус этого способа на разных компах по разному
2.Патчить когда появиться окно либо еще что нибудь
Расскажу про 2 мне он понравился
Я искал разные лоадер гены но понравился мне все таки abel loader generator
Я его настроил чтобы патчил при появление окна и сгенил
После этого я побывал на многих компьютерах и все было ОК
Если кому надо запишу гайд

Ранг: 488.4 (мудрец)
Статус: Участник

Создано: 15 октября 2013 15:10 · Поправил: VodoleY New!
Цитата · Личное сообщение · #22

Mishar_Hacker есть варианты, когда код накрытый вмпротом самомодифицирующийся. причем, патч примитива црс какбы толку не дает.. ибо он ток считает црц. если вы црц попытаетесь считать из образа с винта, толку не будет.. когда около 1.5к проверок иногда нелинейных и код црц считается после модификации кода и до модификаци.. вам мало что поможет. надо долго и нудно ловить.
З.Ы. если вм прот просто сверху.. стыренной проги.. то проще распаковать.. а если 80 проц проги виртуализировано, по уму, то попотеть надо будет очень сильно

| Сообщение посчитали полезным: daFix


Ранг: 80.8 (постоянный)
Статус: Участник

Создано: 15 октября 2013 16:13 New!
Цитата · Личное сообщение · #23

VodoleY
Я с вами не спорю я нашел для себя тот вариант который я могу сделать по ка что
А с такими Профии я даже спорить не буду вам виднее я пока только занялся вмпротом
А анпак досих пор мне не поддается
Вот так я вышел с ситуации

Ранг: 0.4 (гость)
Статус: Участник

Создано: 21 октября 2013 02:36 New!
Цитата · Личное сообщение · #24

мишар мож ты и научился делать лоадеры но человек ты без совести.
я понимаю крякнуть программу и выложить в паблик это одно но когда ты крякаешь и кряк еще продаешь и таким образом хочешь пополнить свой кошелек через другой труд то ты просто лох.

Ранг: -0.1 (нарушитель)
Статус: Участник

Создано: 21 октября 2013 03:27 New!
Цитата · Личное сообщение · #25

Super Info

Не соглашусь с вами - Mishar_Hacker может быть и жидокрекер, но не как не лох.
Лох - это тот чею программу он продает


Ранг: 1989.1 (!!!!)
Статус: Модератор
retired

Создано: 21 октября 2013 09:31 New!
Цитата · Личное сообщение · #26

Не сомневаюсь, что ему внезапно стало очень стыдно. А раз вопрос решён, топик закрою.
 eXeL@B —› Вопросы новичков —› VmProtect
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS