C++ Исходник VMP-Imports-Deobfuscator - Деобфускатор импортов VMProtect

colby57 · 6 Янв 2024

VMP-Imports-Deobfuscator позволяет деобфусцировать имеющиеся импорты в .text секции, которые декриптятся в секции VMProtect.
Она также перестраивает IAT и затем патчит все обфусцированные вызовы. Реверсеру остаётся только сдампить саму программу или модуль внутри программы. (Поддерживает только 64-бит)

Проект базируется на репозитории этого молодого человека, за что ему огромное спасибо: Пожалуйста, авторизуйтесь для просмотра ссылки.

Тулза была протестирована на версиях 3.1, 3.5, 3.6, 3.7, 3.8.3, 3.8.4, 3.8.5, 3.8.6.

До фикса:

После фикса:

Пример использования:

Код:

-p: required.
Usage: VMP-Imports-Deobfuscator [options]

Optional arguments:
-h --help       shows help message and exits
-v --version    prints version information and exits
-p --pid        Target process name [required]
-m --module     Target module name [default: ""]
-i --iat        Section that is used to storage new IAT, it maybe destroy vmp code [default: ".rdata"]

VMP-Imports-Deobfuscator.exe -p 3135
VMP-Imports-Deobfuscator.exe -p 3135 -m "sample.dll"
VMP-Imports-Deobfuscator.exe -p 3135 -m "sample.dll" -i ".sec0"

Пользователю больше не нужно вводить названия всех секции VMProtect, программа сама старается определять секции по вычисленной энтропии. У защищенных приложений VMProtect энтропия секции всегда больше 7.

Репозиторий тута:

Пожалуйста, авторизуйтесь для просмотра ссылки.

moneymaker69 · 6 Янв 2024

Спасибо за тулзу <3

qqqqqq111111 · 6 Янв 2024

Вывод: не юзайте вмп.Хорошая тулза.

GodOfReversing · 7 Янв 2024

Вывод юзайте милфускатор.А вообще найс вмп снят,смотри чтобы пермяков спортиков не нанял

colby57 · 7 Янв 2024

GodOfReversing написал(а):
смотри чтобы пермяков спортиков не нанял

уже год назад говорил мне, что лицуху пробанит, если буду ресерчи в паблик выкладывать

GodOfReversing · 7 Янв 2024

colby57 написал(а):
уже год назад говорил мне, что лицуху пробанит, если буду ресерчи в паблик выкладывать

Да че он себе позволяет,посади его на очко,скажи что щас девиртнешь вмп и на гитхаб выложишь

Porches · 7 Янв 2024

colby57 написал(а):
уже год назад говорил мне, что лицуху пробанит, если буду ресерчи в паблик выкладывать

godelessgotlove · 8 Янв 2024

Для просмотра содержимого вам необходимо авторизоваться.

colby57 · 8 Янв 2024

godelessgotlove написал(а):
Скрытое содержимое

Для просмотра содержимого вам необходимо авторизоваться.

GydraMapping · 11 Янв 2024

invers1on написал(а):
Вывод: не юзайте вмп.Хорошая тулза.

Напрашивается вопрос, а что тогда юзать?

qqqqqq111111 · 11 Янв 2024

GydraMapping написал(а):
Напрашивается вопрос, а что тогда юзать?

Это была больше шутка, нежели серьёзный совет.

OXXXYMlRON · 12 Янв 2024

GydraMapping написал(а):
Напрашивается вопрос, а что тогда юзать?

ну вообще тхемида поинтереснее будет. да и администрация фемиды тебя не банит если ты их в чатах телеграма обижаешь. да и известно о ее механизмах намного меньше. да и сурс код не сливался китайцами.

GydraMapping · 12 Янв 2024

Maybe Baby написал(а):
ну вообще тхемида поинтереснее будет. да и администрация фемиды тебя не банит если ты их в чатах телеграма обижаешь. да и известно о ее механизмах намного меньше. да и сурс код не сливался китайцами.

Спасибо за более развёрнутый ответ.

qqqqqq111111 · 12 Янв 2024

GydraMapping написал(а):
Спасибо за более развёрнутый ответ.

Так у тебя и выбора особого нету, ореанс/вмп/своё

GydraMapping · 12 Янв 2024

invers1on написал(а):
Так у тебя и выбора особого нету, ореанс/вмп/своё

Что за ореанс? Можно подробнее?

OXXXYMlRON · 12 Янв 2024

GydraMapping написал(а):
Что за ореанс? Можно подробнее?

Пожалуйста, авторизуйтесь для просмотра ссылки.