C++ Исходник VMP-Imports-Deobfuscator - Деобфускатор импортов VMProtect

Murasaki
Разработчик
Статус
Оффлайн
Регистрация
18 Мар 2020
Сообщения
442
Реакции[?]
873
Поинты[?]
198K
VMP-Imports-Deobfuscator позволяет деобфусцировать имеющиеся импорты в .text секции, которые декриптятся в секции VMProtect.
Она также перестраивает IAT и затем патчит все обфусцированные вызовы. Реверсеру остаётся только сдампить саму программу или модуль внутри программы. (Поддерживает только 64-бит)

Проект базируется на репозитории этого молодого человека, за что ему огромное спасибо:
Пожалуйста, авторизуйтесь для просмотра ссылки.


Тулза была протестирована на версиях 3.1, 3.5, 3.6, 3.7, 3.8.3, 3.8.4, 3.8.5, 3.8.6.

До фикса:
1704558374272.png

После фикса:
1704558405523.png

Пример использования:
Код:
-p: required.
Usage: VMP-Imports-Deobfuscator [options]

Optional arguments:
-h --help       shows help message and exits
-v --version    prints version information and exits
-p --pid        Target process name [required]
-m --module     Target module name [default: ""]
-i --iat        Section that is used to storage new IAT, it maybe destroy vmp code [default: ".rdata"]

VMP-Imports-Deobfuscator.exe -p 3135
VMP-Imports-Deobfuscator.exe -p 3135 -m "sample.dll"
VMP-Imports-Deobfuscator.exe -p 3135 -m "sample.dll" -i ".sec0"
Пользователю больше не нужно вводить названия всех секции VMProtect, программа сама старается определять секции по вычисленной энтропии. У защищенных приложений VMProtect энтропия секции всегда больше 7.

1704558522521.png

Репозиторий тута:
Пожалуйста, авторизуйтесь для просмотра ссылки.
 
Начинающий
Статус
Оффлайн
Регистрация
14 Дек 2023
Сообщения
5
Реакции[?]
0
Поинты[?]
0
Вывод юзайте милфускатор.А вообще найс вмп снят,смотри чтобы пермяков спортиков не нанял
 
Murasaki
Разработчик
Статус
Оффлайн
Регистрация
18 Мар 2020
Сообщения
442
Реакции[?]
873
Поинты[?]
198K
Начинающий
Статус
Оффлайн
Регистрация
14 Дек 2023
Сообщения
5
Реакции[?]
0
Поинты[?]
0
уже год назад говорил мне, что лицуху пробанит, если буду ресерчи в паблик выкладывать
Да че он себе позволяет,посади его на очко,скажи что щас девиртнешь вмп и на гитхаб выложишь
 
Эксперт
Статус
Оффлайн
Регистрация
29 Мар 2021
Сообщения
1,600
Реакции[?]
606
Поинты[?]
46K
Напрашивается вопрос, а что тогда юзать?
ну вообще тхемида поинтереснее будет. да и администрация фемиды тебя не банит если ты их в чатах телеграма обижаешь. да и известно о ее механизмах намного меньше. да и сурс код не сливался китайцами.
 
Начинающий
Статус
Оффлайн
Регистрация
12 Апр 2021
Сообщения
106
Реакции[?]
12
Поинты[?]
6K
ну вообще тхемида поинтереснее будет. да и администрация фемиды тебя не банит если ты их в чатах телеграма обижаешь. да и известно о ее механизмах намного меньше. да и сурс код не сливался китайцами.
Спасибо за более развёрнутый ответ.
 
Сверху Снизу