Головоломка для Криса: интеграция в код

nezumi

Декомпилятор вм протекта в студию. А может проще вернешь нативный вид тестовому приложению , которое мы тебе дадим ? Тогда да, скажем что реально вмпрот -говно. А так это голословие и пустобрехство.

 

4VR
> Декомпилятор вм протекта в студию.
да там скрипт для ида расставляющий комментарии по ходу дела.

> А может проще вернешь нативный вид тестовому приложению
что значит нативный код? что за странное ТЗ?
разбираться с логикой работы программ запротеченных vp prt
мне приходится довольно часто. опыт есть, проблем не возникает.
если нужно получить что-то as/c-подобное, листинг вычищается руками,
но чаще всего (мне) достаточно расковырять логику.

> которое мы тебе дадим ?
это обсуждаемо, но для начало запротекчнное приложение
хоть как-то меня должно заинтересовать

> Тогда да, скажем что реально вмпрот -гуан*.
а если оно не гуан? вроде бы разговор шел за то, что по скромному
мыщъхиному мнению расковырять vm prt быстрее, чем фемиду.
но это может оттого, что опыта работы с vm prt у меня больше,
чем с фемидой? чисто теоритически в контексте спора можно
посоревноваться кто быстрее расхачит программу, одна копия
из которой обработана фемидой, друга - vm prt, но тут есть
одно но. для фемиды есть декомпиляторы. и даже сорцы на
китайских формумах встречались. но декомпилить фемиду
еще не есть "разобраться", а мы говорили (если я правильно
понял) именно за разобраться как работают vm. ну а теперь
возьми hello, world обрабттанный фемидой и vm prt и посмотри
с чем легче разобраться с нуля.

> А так это голословие и пустобрехство.
что есть голословие? возьми запротекченнный файл и построй
граф, подсчитай частоту вызова блоков и сравни ее с частотой
инструкций цп. ида граф тебе так сразу и не построит. patchdiff
построит, только нужно его хорошо об этом попросить

в принципе, по анализу vm prt можно написать статью, если она
будет интереса кому нидь кроме меня

 

Ну всё, всё, хватит. Ну запинали Ок, наверное я выбрал не тот путь развития Будем клепать стелсы.

 

Статья мне будет интересна. А лечше - про снятие фемиды Нет, правда.

 

Killer
> Статья мне будет интересна. А лечше - про снятие фемиды Нет, правда.
про фемиду уже написано и без меня. и мне к написанному совершенно нечего добавить. а вот толковых статей про vm prt пока что не попадались (именно, что не попадались - специально я их не искал, может и есть, не знаю, но про фемиду попадаются сами

 

уверен это будет интересно оччень многим. надеюсь напишешь.

 

раз интересно - буду писать. надеюсь настрочить на этой неделе, хотя не уверен что успею. сейчас нужно визу в южную корею оформлять, где мне предстоить провести практически весь апрель.

 

Да уже как 3 года пишет:
http://www.cracklab.ru/f/index.php?action=vthread&forum=2&topic=4471

 

nezumi

Ну, вот с этого и надо было начинать. Свернули в сторону - разобрать логику. В данном случае речь идёт не о логике. Логику подчас бывает ой как непросто разобрать (к примеру особенно если под вм скрыты хитрые математические операции), а о конкретном вопросе вернуть программу в бинарный вид, который она имело до наложения на неё вм прота.
А разобрать логику - это извините не весть что может по итогу выйти. Если конечно не Helloworld разбирать. Я согласен частотный анализ может многое дать, но я не думаю что это реально в случае микрокодовой вм, у котрой одна команда нативная команда Jmp, переведенная в блок микрокода может иметь достаточно много лиц и различное количество микрокодовых инструкций, в простоте - пикод. Поэтому, Крис, я могу поверить тебе, что ты разбивал проги, накрытые протом более ранних версий, но в данный момент, судя по последним беткам от автора, сделать это будет уже ой как непросто. Роще говоря - не говори гоп, сначала прыгни. И не забывай, что основная часть защиты это не сам вм прот, а мозги юзера, который этот вмпрот накладывает. В случае отсутствия данного девайса я поверю, что прогу запротекченную таким образом можно разбить как нефиг делать. Но можно наложить защиту грамотно, и тогда реверс становится ацке тяжелой задачей. А как показывает практика, в более чем 90% случаев прот лежит через задницу. Да что я тебе рассказываю, это вообще твои слова =)))

Стотью давай. А то не первый год уже обещаешь, а всё никак не разродишься.

Их вообще нет. Не приходило в голову почему ?