|
Вопрос VMP или Themida?
- Автор темы ded78667
- Дата начала
Участник
Участник
- Статус
- Оффлайн
- Регистрация
- 26 Апр 2018
- Сообщения
- 866
- Реакции
- 181
Не один нормальный вирус, не покрыт вмп, только игры определенные для того чтоб не ковыряли слишком. А тимидой обходят антивирусы почти все, с помощью еще много всего.
Разработчик
Разработчик
- Статус
- Оффлайн
- Регистрация
- 1 Сен 2018
- Сообщения
- 1,670
- Реакции
- 923
Ты же рофлишь,да? Начнем с того что мальвар не накрывают вмп из-за того что это популярный протектор,и у него большой детект,а темида не на столько популярна + там еще нету некоторых вещей которые влияют на детект. Насчет обхода антивирусов это смех, для обхода АВ нужно изменять саму мальвар,а не протект(ну или писать свой криптор).
Почитай эту статью на досуге -
Пожалуйста, авторизуйтесь для просмотра ссылки.
UPD : и прошу посмотреть раздел
Участник
Участник
- Статус
- Оффлайн
- Регистрация
- 26 Апр 2018
- Сообщения
- 866
- Реакции
- 181
Вот мне сидеть и расписывать, что нужно сделать чтоб не полил антивирус - вирус. Начитался!
Разработчик
Разработчик
- Статус
- Оффлайн
- Регистрация
- 1 Сен 2018
- Сообщения
- 1,670
- Реакции
- 923
Там не написано как обходить АВ. Там по пунктам расписано почему ты не прав.
Участник
- Статус
- Оффлайн
- Регистрация
- 16 Дек 2018
- Сообщения
- 1,009
- Реакции
- 178
вот тебе soufiw ответил
Эксперт
- Статус
- Оффлайн
- Регистрация
- 29 Апр 2020
- Сообщения
- 813
- Реакции
- 418
Мне вот неочевиден, чем вообще кряк отличается от платной версии, в контексте читов я думаю ничем.
VMProtect имеет гораздо лучше архитектуру, взять то же хранение контекста, дерматолог сразу придумал верно хранить его в стеке, а у темиды стопицот лет была даунская архитектура с выделением памяти, так что если два потока исполняются на одном интерпретаторе вм, то один будет ждать другой, и это убивает производительность.
Да вмп частично декомпилировали в итоге, но не потому что он слабее, это просто обусловлено спросом, все топовые античиты были защищены вмп на тот момент, когда кан писал декомпиль это было актуально и вмп попал под руку, но он так же обещал и темиду в будущем.
На данный момент обе стороны курят, дерматолог не выпускает обнов, а кан не ломает темиду в паблике.
Кроме того novmp это публичная тулза и там есть много недочетов и все равно можно запротектить так, что в один клик это не снять.
То что вмп не юзают для малвари, так это потому что автор отлиично сотрудничает с ав конторами, и туда зашиваются вотермарки, хотя эвристически они не могут детектить малварь под вмп (у них нет полного декомпилятора) они это делают тупо по сигнатуре пользователя.
Так и есть, они и неверлуз протектят вмп, причем там все равно есть где развернуться (ой).
Разработчик
Разработчик
- Статус
- Оффлайн
- Регистрация
- 1 Сен 2018
- Сообщения
- 1,670
- Реакции
- 923
Это же юмор,да?
Пользователь
- Статус
- Оффлайн
- Регистрация
- 2 Июл 2020
- Сообщения
- 140
- Реакции
- 285
Зависит от целей.
Скорее всего,вы хотите замедлить кряк вашего продукта.
Вы не можете сделать на 100% anti-crack product,но вы можете сильно замедлить реверс.
Если накрыть программу только протектором,то нет смысла это делать(Пример:Лоадер Interium).
Во-первых,у обоих протекторов слабый Anti-Debug(про syscall у VMProtect известно почти всем).
Рекомендую использовать:
1)
/*(NtCreateJobObject +NtAssignProcessToJobObject + NtSetInformationJobObject).
Так делают в Midnight,чтобы сломать дебаггеры. Они используют системные вызовы,а не nt!!*/
2)
3)найдите малопопулярные способы anti-debug.
Во-вторых,Anti-Vm нормальнный только у VMP,а именно:
inline bool cpuid_is_hypervisor()
{INT CPUInfo[4] = { -1 }; //al-khaser-master
__cpuid(CPUInfo, 1);
return ((CPUInfo[2] >> 31) & 1);}
В-третьих,VMProtect очень известен и на него было много атак за последнее время(примеры:VMPDump,NoVmp).
В-четвертых,на tuts4you считают фемиду более сильнее и сложнее,но если пишите на нативном языке программирования.
Если вам нужна кроссплатформенность ,то LLVM + VMP //
Если сравнивать только по виртуализации кода и мутации,то,безусловно,themida 1337 win.
Я бы выбрал фемиду,если бы самостоятельно делал детект виртуалки и anti-debug.
Скорее всего,вы хотите замедлить кряк вашего продукта.
Вы не можете сделать на 100% anti-crack product,но вы можете сильно замедлить реверс.
Если накрыть программу только протектором,то нет смысла это делать(Пример:Лоадер Interium).
Во-первых,у обоих протекторов слабый Anti-Debug(про syscall у VMProtect известно почти всем).
Рекомендую использовать:
1)
Пожалуйста, авторизуйтесь для просмотра ссылки.
/*(NtCreateJobObject +NtAssignProcessToJobObject + NtSetInformationJobObject).
Так делают в Midnight,чтобы сломать дебаггеры. Они используют системные вызовы,а не nt!!*/
2)
Пожалуйста, авторизуйтесь для просмотра ссылки.
3)найдите малопопулярные способы anti-debug.
Во-вторых,Anti-Vm нормальнный только у VMP,а именно:
inline bool cpuid_is_hypervisor()
{INT CPUInfo[4] = { -1 }; //al-khaser-master
__cpuid(CPUInfo, 1);
return ((CPUInfo[2] >> 31) & 1);}
В-третьих,VMProtect очень известен и на него было много атак за последнее время(примеры:VMPDump,NoVmp).
В-четвертых,на tuts4you считают фемиду более сильнее и сложнее,но если пишите на нативном языке программирования.
Если вам нужна кроссплатформенность ,то LLVM + VMP //
Пожалуйста, авторизуйтесь для просмотра ссылки.
Если сравнивать только по виртуализации кода и мутации,то,безусловно,themida 1337 win.
Я бы выбрал фемиду,если бы самостоятельно делал детект виртуалки и anti-debug.
