Вопрос Как ломать вмп

danilaovcinnikov68 · 26 Окт 2022

я только начал изучать ассемблер,и хотел спросить,каким способом осуществляется отламывание вмп? вроде в инете искал,так и не понял ничего...

fukxc21124 · 26 Окт 2022

продолжай изучать ассемблер, а не задавать глупые вопросы

markushv · 27 Окт 2022

danilaovcinnikov68 написал(а):
я только начал изучать ассемблер,и хотел спросить,каким способом осуществляется отламывание вмп? вроде в инете искал,так и не понял ничего...

Опять же,что для тебя отламывать?//
реально,не лезь в обфускацию пока знаний толком не наберешься и руку не набьешь//
на форуме от дарк була тред в котором есть архив вообще со всем про реверс

danilaovcinnikov68 написал(а):
я только начал изучать ассемблер,и хотел спросить,каким способом осуществляется отламывание вмп? вроде в инете искал,так и не понял ничего...

напиши подробнее что ты именно имеешь ввиду под словом отломать

danilaovcinnikov68 · 28 Окт 2022

Rouzeee написал(а):
Опять же,что для тебя отламывать?//
реально,не лезь в обфускацию пока знаний толком не наберешься и руку не набьешь//
на форуме от дарк була тред в котором есть архив вообще со всем про реверс

напиши подробнее что ты именно имеешь ввиду под словом отломать

ну,сделать ассемблерный код читаемым,помню знакомый куда то бряк ставил ,потом ещё че то делал,вроде дампил,и получал exe шник с читаемым кодом

WatermelonCat · 28 Окт 2022

danilaovcinnikov68 написал(а):
ну,сделать ассемблерный код читаемым,помню знакомый куда то бряк ставил ,потом ещё че то делал,вроде дампил,и получал exe шник с читаемым кодом

Ну у тебя 2 варианта - либо писать свой анпакер (шиз идея немного, но почему бы и нет)
либо дампить с оперативы, ток тебе потом вручную нужно будет указать точку входа вроде (точно не помню).

AkatsukiSun · 28 Окт 2022

Вмп

peheader1337 · 28 Окт 2022

danilaovcinnikov68 написал(а):
я только начал изучать ассемблер,и хотел спросить,каким способом осуществляется отламывание вмп? вроде в инете искал,так и не понял ничего...

если хочешь снять виртуализацию, то сдампь процесс чем нибудь по типу ksdumper'а

markushv · 29 Окт 2022

danilaovcinnikov68 написал(а):
ну,сделать ассемблерный код читаемым,помню знакомый куда то бряк ставил ,потом ещё че то делал,вроде дампил,и получал exe шник с читаемым кодом

на системные вызовы бряки ставил или чз секурити куки :coolface:

,но это делается для "распаковки" самого exe-шника,потому что основной то код находится в .text секции(островки с читаемым как раз таки кодом),и без того как ты программу "не распакуешь" ты до туда не дойдешь//
на самом деле есть много вариантов,но как по мне бряки на вызовы аля GetSystemTimeAsFileTime etc будет полегче

Morphling · 29 Окт 2022

kshk1337 написал(а):
если хочешь снять виртуализацию, то сдампь процесс чем нибудь по типу ksdumper'а

всмысле? как это связано?

Ahora_technology · 29 Окт 2022

kshk1337 написал(а):
если хочешь снять виртуализацию, то сдампь процесс чем нибудь по типу ksdumper'а

Нет,вы говорите больше про распаковку.
Девиртуализация - крайне сложное занятие, которое потребует много сил и времени.
Вы лишь увидите распакованный/частично расшифрованный код,если сдампите процесс.
К тому же, сейчас делают почти все p2obfuscator стековые виртуальные машины и поэтому бесполезно их дампить(мы говорим про защищенный код под виртой).
Рекомендую прочитать эти статьи:
1)

Пожалуйста, авторизуйтесь для просмотра ссылки.

2)

Пожалуйста, авторизуйтесь для просмотра ссылки.

3)

Пожалуйста, авторизуйтесь для просмотра ссылки.

Rouzeee написал(а):
на системные вызовы бряки ставил или чз секурити куки,но это делается для "распаковки" самого exe-шника,потому что основной то код находится в .text секции(островки с читаемым как раз таки кодом),и без того как ты программу "не распакуешь" ты до туда не дойдешь//
на самом деле есть много вариантов,но как по мне бряки на вызовы аля GetSystemTimeAsFileTime etc будет полегче

Рекомендую изучить частично, как идёт распаковка самого протектора т.к __security_init_cookie можно изменить на самопис( юзать, например rdtsc,а не WinApi) или просто убрать частично CRT.
Если вы посмотрите на распаковку(я анализировал 3.6 - last версию,но в прошлых версиях будет так же, скорее всего),то увидите вызовы NtProtectVirtualMemory(не буду напоминать про manual syscall).
Найдите последний вызов и поставьте на самую 1 секцию VMP(туда VMP перетаскивает ваш виртуализированный код) и на .text секцию bp(Guard hook) на выполнение.
1 выполнение в .text секции - вы попали на OEP,а если 1 секция VMP,то вы попадёте на виртуализированный код OEP(тогда нужно восстанавливать инит VM или девиртнуть код).

VRetry · 4 Ноя 2022

Пожалуйста, зарегистрируйтесь или авторизуйтесь, чтобы увидеть содержимое.

invers1on · 5 Ноя 2022

kshk1337 написал(а):
если хочешь снять виртуализацию, то сдампь процесс чем нибудь по типу ksdumper'а

ахах

derevasha · 5 Ноя 2022

Лучше изучай дальше, тебе до него пока что далеко

Journkey · 5 Ноя 2022

Пожалуйста, зарегистрируйтесь или авторизуйтесь, чтобы увидеть содержимое.

Вопрос Как ломать вмп

Похожие темы