Вопрос Чем протектить чит, чтобы в дампе было не особо понятно как он работает?

[lascdre]

Облазил все популярные протекторы: Enigma, Themida, VMP, но у всех них есть свои минусы. К примеру у Enigma странная система установка маркеров из-за чего постоянно приходится сначала закончить маркер, а только потом уже можно писать новый, но проблема не только в маркерах, но ещё и в том что я установил все маркеры правильно но по итогу протектор почему-то зафризил на моменте протекта функций с маркерами. У Themida имеется один неприятный баг (либо я не умею использовать маркеры опять же), при использовании виртуализации в паттерн сканнере чит просто крашится, не понятно почему, приходится убирать защиту и тогда почти весь смысл защиты просто нулевой, если каждый может залезть в дамп и посмотреть в строчках какие паттерны там используются, и соответственно пофиксить. У VMP скрытие импортов обошли, стринги почему-то в строках видны, хотя кроссрефы на них не во всех случаях имеются (вопрос почему именно так, не проще ли было скрыть стринги?), но, безусловно у него SDK явно лучше среди всех других, ибо он очень удобен и понятен.

Может есть ещё какие-нибудь протекторы кроме этих трёх перечисленных? Obsidium можете не предлагать, потому-что кряка в интернете его нет, да и в функционале не имеется мутации, что очень печалит. Может есть какие-то комбинации VMP + енкрипт стрингов в рантайме и обфускация импортов или что-то ещё на замен этих трёх протекторов, а может и вовсе не нужен протектор, а можно как-то самому запротектить всё это дело?

 

[GoodUsers]

В чем проблема реализовать то что тебе нужно с помощью кода

 

[lascdre]

В чем проблема реализовать то что тебе нужно с помощью кода

спроси себя с какой целью человек спрашивает на форуме? наверное он не знает ответа сам и хочет чтобы ему помогли с этим?
в данной ситуации я не знаю как это всё работает, а времени для того чтобы учиться делать всё это самому - нет

 

[GoodUsers]

спроси себя с какой целью человек спрашивает на форуме? наверное он не знает ответа сам и хочет чтобы ему помогли с этим?
в данной ситуации я не знаю как это всё работает, а времени для того чтобы учиться делать всё это самому - нет

Ладно

 

[OXXXYMlRON]

по поводу маркеров - звучит как user issue.

в последний раз что я проверял, энигма была не в лучшем состоянии, возможно b tier.

 

[colby57]

привет,

У Themida имеется один неприятный баг (либо я не умею использовать маркеры опять же), при использовании виртуализации в паттерн сканнере чит просто крашится, не понятно почему, приходится убирать защиту и тогда почти весь смысл защиты просто нулевой, если каждый может залезть в дамп и посмотреть в строчках какие паттерны там используются, и соответственно пофиксить

надо понимать что ты виртуализируешь, нельзя всё подряд кидать под вирту, в случае продукта ореансов понимать, какую вм ты выбираешь для накрытия виртуализацией, плюс к этому идёт тот фактор, что виртуальная машина ореансов не самая идеальная по стабильности среди других конкурентов, по стабильности и безопасности вмпротект тот же на практике оказывается лучше

У VMP скрытие импортов обошли

защита импортов это не что-то критичное для реверсера, они не несут в себе какой-то сложности для фикса, фиксеры по типу моей тулзы ищут E8 коллы в исполняемых секциях и проверяют, входит ли оно в вмп секцию, соответственно, если твой вызов окажется внутри вирты, то тулза не заметит этого и пропустит этот момент.
никто не мешает так фиксить импорты у самой темиды, просто у нее вместо E8 будет FF 25 джамп и всё

стринги почему-то в строках видны

после того, как вмпрот распаковывает программу, то голые строки всегда будут видны, скрывай их самостоятельно или используй сдк протектора

а то что ты записал в минусы к протекторам, эт конечно полный кек, учитывая твои претензии, то тут и вправду юзер иссуе, но надеюсь хотя бы немного освежил твои знания по протекторам

 

[lascdre]

привет,

надо понимать что ты виртуализируешь, нельзя всё подряд кидать под вирту, в случае продукта ореансов понимать, какую вм ты выбираешь для накрытия виртуализацией, плюс к этому идёт тот фактор, что виртуальная машина ореансов не самая идеальная по стабильности среди других конкурентов, по стабильности и безопасности вмпротект тот же на практике оказывается лучше


защита импортов это не что-то критичное для реверсера, они не несут в себе какой-то сложности для фикса, фиксеры по типу моей тулзы ищут E8 коллы в исполняемых секциях и проверяют, входит ли оно в вмп секцию, соответственно, если твой вызов окажется внутри вирты, то тулза не заметит этого и пропустит этот момент.
никто не мешает так фиксить импорты у самой темиды, просто у нее вместо E8 будет FF 25 джамп и всё


после того, как вмпрот распаковывает программу, то голые строки всегда будут видны, скрывай их самостоятельно или используй сдк протектора

а то что ты записал в минусы к протекторам, эт конечно полный кек, учитывая твои претензии, то тут и вправду юзер иссуе, но надеюсь хотя бы немного освежил твои знания по протекторам

по безопасности лучше вмпротект? учитывая что у него выкладывали сурс в паблик (хоть это и 3.5 версия), но разница между версиями 3.5 и 3.8 конкретно если затрагивать виртуальную машину то было только два импрува, соответственно я считаю что ее лучше не использовать, да и сама популярность вмп говорит об этом, думаю многие люди, которые защищают свой проект, имеют хотя бы примерные идеи как девиртуализировать вмп и паблик сурс, и несколько программ, которые лежат на гитхабе - им в этом помогут.

после восстановления оепа и резолва импортов можно сразу начать девиртуализировать код, при виде того что в паблике лежит готовая программа для этого - отбивает желание использовать данный протектор..

я думал что виртуализация скрывает строки, но после этого я посмотрел и увидел в темиде две функции интересных Encrypt ASCII on VM Macros и Re-Encrypt after decryption, потом догадался что именно они скрывают стринги, тут согласен, моя оплошность что не пересмотрел на названия функций и что они конкретно делают

в любом случае спасибо за ответ

 

[colby57]

разница между версиями 3.5 и 3.8 конкретно если затрагивать виртуальную машину то было только два импрува

сливали и сливали, чо бухтеть то? От этого реверс семплов вмпшки под 3.8.6 версией легче станет для тебя?

если по-твоему мнению было всего два импрува (не знаю откуда ты взял это магическое число), то я б тебе посоветовал для начала сравнить семплы, накрытые 3.5 и 3.8.6, и самому оценить значительный импрув

машина ореансов настолько безопасная, что при себе имеет приятный шелл для реверсера, связанный с vmexit))0 но не думаю, что для тебя это какой-то весомый аргумент конечно же, легче упираться в факт слива сурсов, и опенсурс тулзы, которые все до одного уже неактуальны, вмп то не стоит на месте и тоже развивается, девирт не такая лёгкая штука, как ты у себя выдумал в голове
но тебе как простому обывателю, легче судить по другим факторам (слив сурсов, девирты на неактуальные версии, разраб шизоид и тому подобное), поэтому ты собсна лично не можешь оценить реальную ситуацию, пока семплы не сравнишь

ты создал эту тему, хотя мог давно уже на многих семплах эти два продукта протестировать, сравнить стабильность, пореверсить слегка их и тд, но вместо этого выбрал сомнительную позицию насчёт выбора протектора, бтв я тебе уже на твои вопросы ответил, дальше ты сам решаешь что тебе выбрать, поэтому молчу

 

[lascdre]

сливали и сливали, чо бухтеть то? От этого реверс семплов вмпшки под 3.8.6 версией легче станет для тебя?

если по-твоему мнению было всего два импрува (не знаю откуда ты взял это магическое число), то я б тебе посоветовал для начала сравнить семплы, накрытые 3.5 и 3.8.6, и самому оценить значительный импрув

импрувы я посмотрел и посчитал по обновлениям, которые написаны на сайте вмп ->

Пожалуйста, авторизуйтесь для просмотра ссылки.

(noad)
а каким образом я пойму что там импрувнуто? это же виртуализация, там код нихуя не понятен, да и он сам генерируется рандомно каждый раз..
то что он один раз сгенерируется по одному и сравнивать с другим кодом который сгенерируется по другому - такая себе идея честно, я не реверсер, чтобы понимать как это всё работает..

легче упираться в факт слива сурсов, и опенсурс тулзы, которые все до одного уже неактуальны, вмп то не стоит на месте и тоже развивается

потому-что так бы скорее всего подумали многие люди, не шарящие в реверсе, как я например.
конечно, ты можешь сказать что люди которые покупают или собираются использовать какую-либо защиту для их проекта, обязаны разбираться в этой теме хотя бы чтобы не задавать такие вопросы как я, но в таком случае зачем нужно было всё это было писать?

про развитие - сомнительно, обновлений нет, досихпор 3.8 с февраля 2023 года..

ты создал эту тему, хотя мог давно уже на многих семплах эти два продукта протестировать, сравнить стабильность, пореверсить слегка их и тд

стабильность виртуализации, виртуальной машины? не понимаю честно про какую такую ты стабильность говоришь, а про реверс это вообще, шутка наверное?

в данной ситуации я не знаю как это всё работает

возможно ты конечно не прочитал что я писал, поэтому не буду ничего говорить про это..

 

[Catharsis]

От этого реверс семплов вмпшки под 3.8.6 версией легче станет для тебя?

На tuts4you как минимум у 1 человека есть полный девирт для 3.8.* версии. Весной прошлого года я ему кидал семпл накрытый только вышедшей тогда версией 3.8.1 для апдейта девиртуализатора. Допил под версию 3.8.1 занял всего около недели.
Пермяков думал, что если спереть идею с combined handlers, которые были у Oreans еще во времена мамонтов в FISH виртуалках, то это ему сильно поможет
(просто ни к чему не обязывающая информация)

По поводу проблем со стабильностью (рандомное создание поломанного исполняемого файла) - это был баг связанный с GUI, который тянулся за TM/WL/CV как минимум с 19 года. Я его как раз и репортил.

После этого проблема с битыми бинарниками больше не наблюдалась (приложение с ~460 макросами и 6 разными виртуалками).
Иногда битый бинарник можно словить разве что если юзать некоторые опции со статусом "experimental".
При этом у VMProtect есть похожая проблема с созданием битого исполняемого файла (но для .NET), которая присутствует как минимум в версии 3.8.4 (хз, может уже пофиксили, не продлевал подписку дальше).

 

[Debounce]

стабильность виртуализации, виртуальной машины? не понимаю честно про какую такую ты стабильность говоришь, а про реверс это вообще, шутка наверное?

Это очень важный параметр на самом деле
Когда у тебя апдейты чита например собираются автоматически, а вмп (могу сказать только за него) выдает битый сэмпл, который падает например на ините
Дело в том, что в любой вирте юзается генератор случайных чисел, и компилятор вм может нагенерировать код с определенным шансом, который будет падать
В вмп такое чаще всего связано с какими-то нестандартными настройками компиля, либо его новыми версиями, которые не существовали на момент билда вмп

использовании виртуализации в паттерн сканнере

Это сразу даст инит чита длиной в 10 минут, максимум мутация

 

[lascdre]

Это очень важный параметр на самом деле
Когда у тебя апдейты чита например собираются автоматически, а вмп (могу сказать только за него) выдает битый сэмпл, который падает например на ините
Дело в том, что в любой вирте юзается генератор случайных чисел, и компилятор вм может нагенерировать код с определенным шансом, который будет падать
В вмп такое чаще всего связано с какими-то нестандартными настройками компиля, либо его новыми версиями, которые не существовали на момент билда вмп

спасибо за пояснение, лично у меня такого пока что не было..

Это сразу даст инит чита длиной в 10 минут, максимум мутация

вряд-ли прям в 10 минут, но да, будет подольше.. зато не придется искать новый обход от фикса, но всё же пришлось пока использовать мутацию, к сожалению..