Вопрос Как ломать вмп

Начинающий
Статус
Оффлайн
Регистрация
15 Апр 2021
Сообщения
30
Реакции[?]
5
Поинты[?]
2K
я только начал изучать ассемблер,и хотел спросить,каким способом осуществляется отламывание вмп? вроде в инете искал,так и не понял ничего...
 
Забаненный
Статус
Оффлайн
Регистрация
24 Окт 2022
Сообщения
1
Реакции[?]
0
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
продолжай изучать ассемблер, а не задавать глупые вопросы
 
40, 40, 40 blackout XD
Участник
Статус
Оффлайн
Регистрация
15 Янв 2020
Сообщения
458
Реакции[?]
229
Поинты[?]
25K
я только начал изучать ассемблер,и хотел спросить,каким способом осуществляется отламывание вмп? вроде в инете искал,так и не понял ничего...
Опять же,что для тебя отламывать?//
реально,не лезь в обфускацию пока знаний толком не наберешься и руку не набьешь//
на форуме от дарк була тред в котором есть архив вообще со всем про реверс
я только начал изучать ассемблер,и хотел спросить,каким способом осуществляется отламывание вмп? вроде в инете искал,так и не понял ничего...
напиши подробнее что ты именно имеешь ввиду под словом отломать
 
Начинающий
Статус
Оффлайн
Регистрация
15 Апр 2021
Сообщения
30
Реакции[?]
5
Поинты[?]
2K
Опять же,что для тебя отламывать?//
реально,не лезь в обфускацию пока знаний толком не наберешься и руку не набьешь//
на форуме от дарк була тред в котором есть архив вообще со всем про реверс

напиши подробнее что ты именно имеешь ввиду под словом отломать
ну,сделать ассемблерный код читаемым,помню знакомый куда то бряк ставил ,потом ещё че то делал,вроде дампил,и получал exe шник с читаемым кодом
 
unbound
Пользователь
Статус
Оффлайн
Регистрация
27 Окт 2019
Сообщения
271
Реакции[?]
90
Поинты[?]
60K
ну,сделать ассемблерный код читаемым,помню знакомый куда то бряк ставил ,потом ещё че то делал,вроде дампил,и получал exe шник с читаемым кодом
Ну у тебя 2 варианта - либо писать свой анпакер (шиз идея немного, но почему бы и нет)
либо дампить с оперативы, ток тебе потом вручную нужно будет указать точку входа вроде (точно не помню).
 
Забаненный
Статус
Оффлайн
Регистрация
2 Фев 2021
Сообщения
453
Реакции[?]
82
Поинты[?]
3K
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
я только начал изучать ассемблер,и хотел спросить,каким способом осуществляется отламывание вмп? вроде в инете искал,так и не понял ничего...
если хочешь снять виртуализацию, то сдампь процесс чем нибудь по типу ksdumper'а
 
40, 40, 40 blackout XD
Участник
Статус
Оффлайн
Регистрация
15 Янв 2020
Сообщения
458
Реакции[?]
229
Поинты[?]
25K
ну,сделать ассемблерный код читаемым,помню знакомый куда то бряк ставил ,потом ещё че то делал,вроде дампил,и получал exe шник с читаемым кодом
на системные вызовы бряки ставил или чз секурити куки:coolface:,но это делается для "распаковки" самого exe-шника,потому что основной то код находится в .text секции(островки с читаемым как раз таки кодом),и без того как ты программу "не распакуешь" ты до туда не дойдешь//
на самом деле есть много вариантов,но как по мне бряки на вызовы аля GetSystemTimeAsFileTime etc будет полегче
 
Последнее редактирование:
✊Rot Front✊
Пользователь
Статус
Онлайн
Регистрация
2 Июл 2020
Сообщения
132
Реакции[?]
257
Поинты[?]
85K
если хочешь снять виртуализацию, то сдампь процесс чем нибудь по типу ksdumper'а
Нет,вы говорите больше про распаковку.
Девиртуализация - крайне сложное занятие, которое потребует много сил и времени.
Вы лишь увидите распакованный/частично расшифрованный код,если сдампите процесс.
К тому же, сейчас делают почти все p2obfuscator стековые виртуальные машины и поэтому бесполезно их дампить(мы говорим про защищенный код под виртой).
Рекомендую прочитать эти статьи:
1)
Пожалуйста, авторизуйтесь для просмотра ссылки.

2)
Пожалуйста, авторизуйтесь для просмотра ссылки.

3)
Пожалуйста, авторизуйтесь для просмотра ссылки.


на системные вызовы бряки ставил или чз секурити куки:coolface:,но это делается для "распаковки" самого exe-шника,потому что основной то код находится в .text секции(островки с читаемым как раз таки кодом),и без того как ты программу "не распакуешь" ты до туда не дойдешь//
на самом деле есть много вариантов,но как по мне бряки на вызовы аля GetSystemTimeAsFileTime etc будет полегче
Рекомендую изучить частично, как идёт распаковка самого протектора т.к __security_init_cookie можно изменить на самопис( юзать, например rdtsc,а не WinApi) или просто убрать частично CRT.
Если вы посмотрите на распаковку(я анализировал 3.6 - last версию,но в прошлых версиях будет так же, скорее всего),то увидите вызовы NtProtectVirtualMemory(не буду напоминать про manual syscall).
Найдите последний вызов и поставьте на самую 1 секцию VMP(туда VMP перетаскивает ваш виртуализированный код) и на .text секцию bp(Guard hook) на выполнение.
1 выполнение в .text секции - вы попали на OEP,а если 1 секция VMP,то вы попадёте на виртуализированный код OEP(тогда нужно восстанавливать инит VM или девиртнуть код).
 
Забаненный
Статус
Оффлайн
Регистрация
1 Ноя 2022
Сообщения
4
Реакции[?]
1
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Забаненный
Статус
Оффлайн
Регистрация
5 Ноя 2022
Сообщения
1
Реакции[?]
0
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Сверху Снизу