Антидамп

Там доступ рдп/цитрикс. Вырубают батником. Либо ручками. Прост получают админа домена и вырубают.

 

--- Сообщение объединено, 7 янв 2021 ---

Rel,

> Скажи это честным белорусским электрикам.

Создай тему в хипе, что ты засираешь эту тему. Уже порядком надоел со своим спамом комерсом и чернухой. Тут же тема по скрытию памяти, кого волнует сколько кто заработал, тут вопрос в том кто это решил и знает, а не сколько заработал. Ну решил задачу электрик", в чём проблема. Совесть - в блэке нет её, обида что сам ничего не смог при бабках - так это твои проблемы, если мыслить технически не можешь, соответственно и решать подобные задачи, ты ведь гуманитарий.

> Ну нет мотивации у человека созидать

Ты под созидать" понимаешь писать публикации, техники которые не паблик описывать.

Даже в этой теме - давно полностью описаны все механимы, бинарный транслятор в частности; ключевая задача решена https://wasm.in/threads/ukazatel-v-opisatel.33644/

Это позволяет выполнять код в реалтайме, при этом нет сигнатур можно рандомом собирать в буфер. Это что касается сканера.

--- Сообщение объединено, 7 янв 2021 ---

M0rg0t,

Вот тут можно есчо почитать https://archivevx.net/exelab/f/pages/action=vthread&forum=6&topic=25248&page=0.html

 

Смог написать реалтаймовый визор, который всего за пол часа эмулит стартапный код фокситридера и найти оеп вмпрота

 

Это интересно, учитывая что и с нормальным DBI найти OEP под виртуализацией невозможно, а уж с репликой DBI подавно.
Вы уверены что ничего не путаете?

 

Невозможно? Только не для Электроавера! *на фоне играет супергеройская музыка*

 

Я о том, что в http://vmpsoft.com/support/user-man.../main-window/project-section/options-section/ написано "If the code of EntryPoint is virtualized, this code will be executed on the same VM interpreter as the code of the unpacker itself"
Что означает если OEP включена в виртуализацию, то она будет исполнена сразу после точки входа вмпрота на том же интерпретаторе без выхода из вм. Найти эту склейку будет вряд ли возможно с помощью дби, потому как это будет лишь череда исполняемых примитивов, которые к тому же используются по несколько раз в разных местах, так что выдать какой то адрес вовсе невозможно без контекста. В общем, это выглядит как пустая болтовня со стороны этого чела...

 

Carnival,
Да нет, в тех тысячах семплов, что он крутил, вмпрот похоже просто как конверт висел, без виртуализации. Мастер сам говорил, что если виртуализация используется, то это уже другой класс задач

 

Да-да, все правильно, если все приложение накрыто виртуализацией, то чудо визоры тут бессильны. Когда Электроавер бьет себя тапком в грудь за снятие вмпротект, то имеет ввиду, что под виртуализацией только код, который распаковывает и расшифровывает полезную нагрузку. Понятно, что это в основном для аверов полезно, чтобы автоматом малварь под криптором доставать.

 

Rel,

Не правда, свертку вмп выполнил дий год или более назад я не помню. Есть ведь кл дамп, там эти темы есть.

M0rg0t,

https://xss.is/threads/46476/

Я на этом ресурсе не зареган, он мне не интересен, разве что тупые сообщения зайти почитать знакомых людей забавно.

> Ладно Инди, его визор никто не видел

Это не правда, какой то промежуточный билд был паблик на кл, затем где то тут я его продулировал.

Если ты слепой, то незачем говорить о том чего не видел; другие ведь видели. А это что https://archivevx.net/exelab/f/pages/action=vthread&forum=12&topic=15991&page=3.html#7 ?

Думаешь я это вручную отладчиком решил https://archivevx.net/exelab/f/pages/action=vthread&forum=13&topic=26404&page=3.html?action=pmail#4

Вам нравится на слабо, но увы вы такое не можите. Ты хотел реализовать пару недель назад, но как бы ты не пытался ты не сможешь. И твой весь тот ресурс, просто у вас скилл слишком мал, такого рода коды вы в принципе отладить не способны, не говоря уже про разработку. Без обид, просто факт.

 

Ты в бане штоль сидел? Дий ничего не выполнил, дия не существует, покуда нет доказательств его существования.

--- Сообщение объединено, 11 янв 2021 ---

Да хватит врать уже: https://xss.as/threads/46374/page-3#post-292215

 

Rel,

Из за яшечки да. Как обычно за мнение что он немного не правильный"

> покуда нет доказательств его существования.

Ну нет так нет, на нет и проблем с вопросами нет.)

--- Сообщение объединено, 11 янв 2021 ---

Rel,

Сссылка битая, видимо ты или кто то написал в моём стиле и ты начал доказывать что мол это я, твои обычные действия троля. Но причём тут эти ссылки, эти ресурсы никак не связаны, разве что людьми общими на них.

 

Ссылка не битая. Видимо, ты психонул, что тебя из-за Яши забанили, и пошел гуан размазывать по хссу. В принципе, для тебя это нормальное поведение, так что я не удивлен.

--- Сообщение объединено, 11 янв 2021 ---

 

Indy_, так толку, этого визора ни у кого нет (даже если он и существует), а значит говорить не о чем. Там обсуждалась практическая сторона вопроса - дебаг малвари , накрытой обфускаторами и ВМ. Вот как решить? Можно попробовать PIN, раз визор это и есть дби по типу интеловского. Или что?

 

Ему надо еще 10 раз сказать, что вся малварь накрыта ВМ, а не только расшифрующий малварь в память стаб, чтобы он это понял. Да и то вряд ли.

Да не, очень похоже. Я не знаю, за что он так ненавидет Яшу, но и этот стих, который якобы Яша рассылал, и эти сообщения практически один в один повторяют его сообщения на васме.

 

M0rg0t,

> дебаг малвари , накрытой обфускаторами и ВМ. Вот как решить?

А почему вы все полагаете что для вирты всегда нужен декомпиль(свёртка), тоесть зачем - выяснять алгоритм обычно не нужно. В большинстве нужно отследить по адресам куда крипта/виртра обращается(те выборку). Так в этом случае никакая вирта крипта ядерные вызовы ничем не помогут.

--- Сообщение объединено, 12 янв 2021 ---

Rel,

> накрыта ВМ

Во первых не накрыта, тот же вмп покрывает < 10% кода апп. Тоесть в памяти почти всё апп после декрипта распаковано, так как нельзя код от данных отличить.

Во вторых взять к примеру вирту PG - для обхода её декомпилить незачем, достаточно отслеживать выборку. Так что ты слишком веришь без понятий в вирту что это годный метод защиты. Да он годный, но в статике от декомпиляции, но не в динамике.

> Я не знаю, за что он так ненавидет Яшу

Тролей хватает, учитывая что хотят кого то вернуть. Яша барыга, зарабатывал на смерти КК, а теперь в наглую дайте мне 15k$ за перевод. А дальше что будет, 1M$ запрос за перевод паблик статей, тк чем больше доход тем больше расход.

 

Это называется инфляция стиля жизни (lifestyle inflation) и далеко не все люди ей подвержены.

Ну опять же у него совершенно другая позиция на это, зная, как ты любишь сделать драму из всего, это становится не удивительным.

Между тем ты сам пошел троллить Яшу на хсс, так то ты ничем не лучше его или меня.

Во-первых накрыта, что ты за горе авер такой, раз этого не знаешь? Наверное действительно электрик, а не авер, остается только вопрос, откуда у электрика десятки тысяч семплов для гоняния на своем горе-аверском визоре.

Ты не можешь, а линкер может, для этого и создается map-файл, который в последствии скармливается виртуализатору.

Ну если бы ты шарил, то тоже верил бы, а так ты не шаришь, а следовательно твое мнение по этому вопросу не имеет существенной силы.

 

Rel,

> Во-первых накрыта

Не накрыта вот тебе пример вмп https://archivevx.net/exelab/f/pages/action=vthread&forum=1&topic=25888&page=1.html#8 так как невозможно обеспечить покрытие, выделив интернал код - на него нет ссылок, а которые есть не известны на что. В той теме дий всё крутил, который видели все кроме тебя и моргота, впрочем ему спасибо за дамп, есть куда ссылаться.

> Ну опять же у него совершенно другая позиция на это

Выпилили его отсюда и с кл, теперь пошёл быбло просить на бывший дамаг. Но какое мне до этого дело, пусть там но сюда не нужно таким ходить и тебе от туда такое дерьмо носить.

 

Ну я и говорю, ты не шаришь, в map-файле есть все необходимое, чтобы отличить код от данных, и выбрать, что конкретно тебе надо покрыть.

Почему выпилили? Он до сих пор сюда заходит, даже темы про тебя создает.

Какое дерьмо хочу, такое и ношу, ты не можешь забрать у человека священное право - дерьмо в ладошках носить или не носить.

 

и тута возникает сакраментальный Вопрос == а наФуя такой боян????? получается, что из мап-файла всё можно успешно достать в статике, а в динамике чрез него можно мутить все необходимые хуки... это прям на анекдот смахивает == в обычном бинарнике как раз-таки и возникает проблема разделения кода от данных. А тута усЁёёёёё в мапе я уж совсем молчу, что столь "защита" дивная роняет скорость проги.