Начинающий
-
Автор темы
- #1
я только начал изучать ассемблер,и хотел спросить,каким способом осуществляется отламывание вмп? вроде в инете искал,так и не понял ничего...
|
Вопрос Как ломать вмп
- Автор темы danilaovcinnikov68
- Дата начала
продолжай изучать ассемблер, а не задавать глупые вопросы
40, 40, 40 blackout XD
Участник
Опять же,что для тебя отламывать?//
реально,не лезь в обфускацию пока знаний толком не наберешься и руку не набьешь//
на форуме от дарк була тред в котором есть архив вообще со всем про реверс
напиши подробнее что ты именно имеешь ввиду под словом отломать
Начинающий
-
Автор темы
- #4
ну,сделать ассемблерный код читаемым,помню знакомый куда то бряк ставил ,потом ещё че то делал,вроде дампил,и получал exe шник с читаемым кодом
unbound
Пользователь
Ну у тебя 2 варианта - либо писать свой анпакер (шиз идея немного, но почему бы и нет)
либо дампить с оперативы, ток тебе потом вручную нужно будет указать точку входа вроде (точно не помню).
Keep Ev0lving, Stay Fatal
Эксперт
Вмп
если хочешь снять виртуализацию, то сдампь процесс чем нибудь по типу ksdumper'а
40, 40, 40 blackout XD
Участник
на системные вызовы бряки ставил или чз секурити куки
,но это делается для "распаковки" самого exe-шника,потому что основной то код находится в .text секции(островки с читаемым как раз таки кодом),и без того как ты программу "не распакуешь" ты до туда не дойдешь//на самом деле есть много вариантов,но как по мне бряки на вызовы аля GetSystemTimeAsFileTime etc будет полегче
Последнее редактирование:
Пользователь
всмысле? как это связано?
✊Rot Front✊
Пользователь
Нет,вы говорите больше про распаковку.
Девиртуализация - крайне сложное занятие, которое потребует много сил и времени.
Вы лишь увидите распакованный/частично расшифрованный код,если сдампите процесс.
К тому же, сейчас делают почти все p2obfuscator стековые виртуальные машины и поэтому бесполезно их дампить(мы говорим про защищенный код под виртой).
Рекомендую прочитать эти статьи:
1)
Пожалуйста, авторизуйтесь для просмотра ссылки.
2)
Пожалуйста, авторизуйтесь для просмотра ссылки.
3)
Пожалуйста, авторизуйтесь для просмотра ссылки.
Рекомендую изучить частично, как идёт распаковка самого протектора т.к __security_init_cookie можно изменить на самопис( юзать, например rdtsc,а не WinApi) или просто убрать частично CRT.на системные вызовы бряки ставил или чз секурити куки
на самом деле есть много вариантов,но как по мне бряки на вызовы аля GetSystemTimeAsFileTime etc будет полегче
Если вы посмотрите на распаковку(я анализировал 3.6 - last версию,но в прошлых версиях будет так же, скорее всего),то увидите вызовы NtProtectVirtualMemory(не буду напоминать про manual syscall).
Найдите последний вызов и поставьте на самую 1 секцию VMP(туда VMP перетаскивает ваш виртуализированный код) и на .text секцию bp(Guard hook) на выполнение.
1 выполнение в .text секции - вы попали на OEP,а если 1 секция VMP,то вы попадёте на виртуализированный код OEP(тогда нужно восстанавливать инит VM или девиртнуть код).
Участник
ахах
