Вопрос Обход вмп

Начинающий
Статус
Оффлайн
Регистрация
3 Апр 2021
Сообщения
114
Реакции[?]
15
Поинты[?]
1K
Какие есть способы скрыть ida или x32dbg от VMPprotect? Ибо всё по типу scyllahide детект.
 
Разработчик
Статус
Оффлайн
Регистрация
1 Сен 2018
Сообщения
1,602
Реакции[?]
881
Поинты[?]
116K
А зачем тебе скрывать статику? У тебя там версия Пермяков 2.0 которая детектит через секретные технологии твой дизассемблер?
x64dbg:
Пожалуйста, авторизуйтесь для просмотра ссылки.

SharpOD тоже должен обходить, но не уверен насчёт последних версий.
 
Начинающий
Статус
Оффлайн
Регистрация
3 Апр 2021
Сообщения
114
Реакции[?]
15
Поинты[?]
1K
А зачем тебе скрывать статику? У тебя там версия Пермяков 2.0 которая детектит через секретные технологии твой дизассемблер?
x64dbg:
Пожалуйста, авторизуйтесь для просмотра ссылки.

SharpOD тоже должен обходить, но не уверен насчёт последних версий.
Спасибо
 
Murasaki
Разработчик
Статус
Оффлайн
Регистрация
18 Мар 2020
Сообщения
431
Реакции[?]
870
Поинты[?]
206K
✊Rot Front✊
Пользователь
Статус
Оффлайн
Регистрация
2 Июл 2020
Сообщения
132
Реакции[?]
258
Поинты[?]
86K
А зачем тебе скрывать статику? У тебя там версия Пермяков 2.0 которая детектит через секретные технологии твой дизассемблер?
x64dbg:
Пожалуйста, авторизуйтесь для просмотра ссылки.

SharpOD тоже должен обходить, но не уверен насчёт последних версий.
Нет,VMP детектит HyperHide т.к автор любит вставлять код из
Пожалуйста, авторизуйтесь для просмотра ссылки.
и иногда автор делает
Пожалуйста, авторизуйтесь для просмотра ссылки.
или забивает на анализ работы функций :)
Какие есть способы скрыть ida или x32dbg от VMPprotect? Ибо всё по типу scyllahide детект.
Поменяйте хуки на прослушку(просто выводите параметры, которые VMP передает в вызове и проверьте их валидность) и посмотрите, что не так.
В крайнем случае, просто используйте
Пожалуйста, авторизуйтесь для просмотра ссылки.
т.к он предотвращает создание DebugObject,которое и использует VMP для обнаружения или
Пожалуйста, авторизуйтесь для просмотра ссылки.
/
Пожалуйста, авторизуйтесь для просмотра ссылки.
,но использовать против UM приложения гипервизор - полный бред.
Лично автор отказался ломать голову тупым WoW64,поэтому рекомендую использовать драйвер(вы сказали,что x32dbg,поэтому предполагаю,что бинарник 32 битный).
UM решение -поставить bp в syscall,но вы не сможете изменить регистры, поэтому вам придётся использовать NtSetContextThread,но этот вариант костыльный и рекомендую просто юзать драйвер т.к в таком случае вам нужно предотвращать выполнение syscall и при этом не тригерить CRC
 
Последнее редактирование:
Сверху Снизу